如果我們把癌癥視為人類健康的頭號敵人,那么信息安全問題則可以視為人類在數字生存領域的“癌癥”。如果我們不能構建一個可信的計算環境,那么當人類把越來越多的工作和生活架構在數字世界里,這一切將變得越來越危險。
來自微軟剛剛公布的安全研究報告顯示,在美國、英國、法國和意大利,特洛伊木馬是最大的威脅類別;在中國,有多種特定語言的基于瀏覽器的威脅普遍存在;在巴西,以網上銀行為目標的惡意軟件普遍存在;在西班牙和韓國,則以蠕蟲病毒為主。如同人類需要不斷去對抗非典、甲流等一系列新疾病的威脅一樣,在數字信息世界里,我們也必須構建一個強大防御體系,抵御各種威脅,保證信息的安全。要做到這一切,從廠商到用戶到產業生態系統每一個環節的企業需要聯起手來,從我做起。
目前,微軟成為在安全層面投入最多的廠商之一。2009年微軟在整個研發上總共投入95億美金,其中1/3是花在安全上,包括改進產品安全,彌補已有產品的漏洞等等,共30億美金。剛剛問世不久的Windows7在安全與效率方面實現了非常好的平衡。除了對自身產品安全性進行重大投資,微軟安全戰略官裔云天近日透露,從2010年開始微軟還將進一步加大對產業生態系統安全的投資,推動整個產業生態系統構建一個更為安全的可信計算環境。
加大投入改善自身產品的安全性
2001年發生的9·11 事件給全世界敲響了警鐘:如果我們在安全上不能夠投入更多,那么我們花費巨大人力物力構建起來的巍然大廈將有可能毀于瞬間。也正是9·11事件,提醒了當年在微軟公司任董事長的比爾·蓋茨,微軟必須推動可信計算戰略,否則微軟持續了30多年的龐大數字帝國也將轟然倒塌。
2002年1 月,比爾·蓋茨給微軟員工簽發了一封關于可信計算的電子郵件,號召微軟員工加倍努力提高安全性。郵件要求公司所有的開發人員停工3個月,員工在這3個月中只做一件事情———安全培訓。如果開發人員沒有參與這個培訓,就不能作為合格程序員繼續在微軟從事產品開發。這個措施在當時引起了很大轟動。一個龐大的公司停下所有的工作來專門做安全,足以可見,安全問題成為當時比爾·蓋茨心中“最大的痛點”。
從那時開始,安全就如同“緊箍咒”無形地 “鎖”在微軟公司的每一個環節。要實現全方位的安全提升,軟件開發成為最初也是最重要的環節。在開發環節,如果不能把安全性作為最重要的指標植入其中,那么以后對產品安全性所做的彌補都只能是事倍功半的。為此,微軟創立了軟件安全開發生命周期方法論,在軟件開發的每一個階段全面植入安全DNA,減少了殘留漏洞的可能性。
也正是因為推行了軟件開發安全生命周期方法論,從2002年以后,在微軟發布的產品中,其產品漏洞的數量開始直線下降。
如果我們提出一個問題:微軟操作系統從WindowsXP升級到WindowsVista,最大的變化是什么?也許有人會回答操作界面更炫、多媒體功能更為強大,也許有人會回答是平臺功能的加強。這些回答當然沒錯,但其實最重要的改變之一是安全功能的提升,也正是因為要實現安全性前所未有的提升,微軟對 Windows架構進行了全方位重構。
微軟第7期安全研究報告顯示,2009年上半年,在所有配置中,采用安全內核設計的微軟操作系統WindowsVista的感染率遠遠低于WindowsXP(注:Windows7/WindowsServer2008采用了更為細化的安全設計,系統內核級別比WindowsVista安全級別更高),WindowsVistaSP1的感染率比WindowsXPSP3低61.9%。
評測機構認為:Windows7提供了較為靈活的安全保護機制,在安全性、控制和效率3個方面實現了平衡。Windows7內核的安全機制是有史以來最好的,達到EAL4級安全認證的通用標準和美國聯邦信息處理140-2標準。
安全性已經成為業界、用戶考問微軟產品的第一個關鍵指標。也許很多人會問,在比爾·蓋茨和鮑爾默心中,哪些問題是他們最關注的問題:產品的創新?公司的股票?競爭對手?未來的轉型?這些當然都是,但他們還有一個更關注的問題就是安全問題。如何構建一個更可信的計算環境,成為從2002年開始一直貫穿在微軟所有創新與商業活動背后的一只“無形的手”。而目前這只手中所掌控的微軟研發投入已經超過了總投入的1/3。
投入產業生態系統建立可信計算環境
研究報告顯示,從2004年開始,在所有的安全漏洞中,與操作系統有關的漏洞少于9%,而與應用軟件相關的漏洞占了90%~94%。這意味著在大家知道的安全事件中,除了9%是與操作系統有關外,另外的90%來自第三方應用軟件,應用層面更是安全的薄弱地帶。
究其原因,微軟安全戰略官裔云天接受《中國電子報》記者采訪時說:“大的操作系統廠商在安全性方面投入了大量的人力物力,整體提高了操作系統產品的安全性,所以對于黑客來說,攻擊操作系統變得越來越困難。于是他們就把攻擊目標轉移到應用軟件上,因為應用軟件大多是由第三方企業開發的,這些企業的規模和實力不一樣,很多時候他們優先考慮的是功能的實現,而不是安全性,所以導致了產業生態系統上應用軟件的薄弱。”
所以不管微軟在自身產品的安全性上投入了多少,這只能解決整個計算環境1/10的問題,剩下9/10的問題必須由整個產業生態系統的企業攜手共同推進,才有可能構建更為安全的可信計算環境。微軟已經意識到這一點,開始把生態系統安全納入微軟安全戰略中,并加大了對業界合作伙伴、客戶、政府及其他重要團體等產業生態系統的安全投入力度。
針對政府層面,微軟在全球推出了政府安全計劃(GSP)源代碼協議,使政府及其指定單位以可控的方式查看微軟主流操作系統和 Office軟件的源代碼以及相關的技術信息,由此增強政府對Windows平臺安全性的了解和信心。2003年,微軟把這項計劃帶到中國,與中國信息安全產品測評認證中心(CNITSEC)簽署了微軟與政府安全計劃(GSP)源代碼協議。據透露,2009年微軟在發布Windows7前的一個星期,就向中國政府開放了windows7的源代碼,在幾個星期前,微軟也向中國政府開放了WindowsSer-ver2008相關源代碼。
道高一尺魔高一丈,信息安全的“防守”與“攻擊”雙方永遠處于博弈的狀態。對于防御的一方來說,需要在各個層面布下天羅地網來應對“攻擊”方制造的種種挑釁,除了采取更好的防御措施,還必須建立快速便捷的修復處理機構,一旦有了問題能夠及時提供相關的修復服務。在防御與應急響應方面,微軟與不同層面的合作伙伴展開了合作。2009年7月,微軟與中國國家信息中心、中國信息安全評測中心聯合推出政務終端安全護理方案,在中央和地方進行兩級部署,向政府部門和企事業單位提供全方位的安全護理服務。此外微軟也與中國安全廠商結為伙伴積極參與到由中國公安部牽頭的國家關鍵系統的等級保護項目中。
在微軟的操作系統之外還有著龐大的產業生態系統,如何推動整個產業生態系統以更為科學而安全的方法來進行軟件開發同樣是一個巨大的課題。目前微軟正在中國免費推廣安全開發生命周期方法論,希望更多的ISV與軟件合作伙伴、用戶受惠于這套方法論。接受過微軟安全開發生命周期培訓的中國海關信息中心王先生說: “我們亟須一套科學的軟件開發流程,來加強并保證開發出的軟件的安全性。微軟安全開發生命周期方法論的培訓對于國內軟件開發者以及企業的CIO們,都具有重要的啟發意義。這套方法論讓我們明白,安全的產品是設計出來的,而且必須經過嚴格的流程控制才可能交付一個更安全的產品。”
裔云天表示,在2010年,微軟將更大規模地推動產業生態系統的安全建設,尤其是在對ISV以及相關軟件開發人員的培訓上,將借助微軟與中國國家發改委、教育部、工業和信息化部合作的相關配選項目渠道,把安全開發軟件生命周期方法論惠及中國軟件產業生態系統。
進入論壇>>聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
微軟去年10月剛剛發布Windows7,市場反映良好,用戶的升級熱情也較高。但對于大企業用戶而言,通常還要等到SP1。 1月6日消息,據國外媒體報道,知情人士透露,Windows 7 SP1已經初步成型,微軟可能很快將提供外部測試>>>詳細閱讀
本文標題:微軟:營造可信計算環境 構建安全生態系統
地址:http://www.sdlzkt.com/a/xie/20111230/196001.html
網友點評
精彩導讀
科技快報
品牌展示