微軟信息安全之思

馬　薈

如何在軟件開發過程中。把安全性植入軟件的DNA?如何建立可信互聯網，提供端到端的安全?微軟將信息安全推進到了一個新的高度。

4月8日，微軟最新的安全研究報告指出，2004年到2007年間，影響互聯網安全的絕大部分漏洞在于應用軟件，而不是操作系統，占88％到94％。2008年，整個行業的漏洞數量比2007年下降了16％。而在所有安全漏洞之中，對Windows XP有影響的占41％，Windows Vista只占5.5％。

報告發布后不久，微軟安全技術部資深安全項目經理、《軟件安全開發生命周期》的主要作者之一Michael Howard來到北京，專門對中國軟件安全領域的技術專家們進行了為期四天的SDL(Security Development Lifecycle，安全開發生命周期)培訓，與中國信息安全測評中心的安全技術專家、高校教授和海關等政府機構的技術骨干分享了微軟在軟件開發過程中確保其安全性和可靠性所采取的方法論。

接受培訓的中國信息安全測評中心常務副主任王貴駟告訴記者，軟件開發生命周期促進了軟件開發流程中從單純追求功能性到完善軟件自身安全性的轉變，深具啟發意義。

正本追末

盡管人們對微軟安全認知一直被掩蓋在其產品功能的光環之下，但是貫穿于軟件產品生命的信息安全卻一直是微軟公司戰略的重中之重。

近年來，微軟連續收購6家安全廠商；微軟去年在研發上90億美元的投入中，有三分之一花在了改進產品安全、修補已有產品的漏洞等安全方面。

早在2002年，比爾·蓋茨就在微軟全公司范圍內推行可信賴計算策略，Michael Howard作為當時的培訓人專門用三個月時間給軟件開發人員培訓，從設計開始就強調源代碼的安全性。

微軟戰略安全架構師裔云天在接受采訪時表示，當時的可信賴計算主要包括四個方面。首先是安全，包括安全的設計，安全的部署以及安全的配置；其次是隱私，第三是保證開發的可靠性；最后是最佳的商業實踐，微軟在網上提供了文檔和成功案例，幫助用戶學習借鑒。作為獨立于微軟Windows平臺的安全方法論，SDL同樣適用于Linux等開源系統，可以滿足各種平臺軟件開發者的安全需求。

微軟希望建立一個可信的分層架構，架構底層是基本的安全基準，首先是軟件開發過程中確保其安全性和可靠性，即SDL；其次是深層防御，從可信硬件、安全軟件、可信的人到可信的數據，再上一層是“1+4A”的核心系統部件，定義授權人，最后建立不斷更新的可信的架構，從硬件到軟件到操作到網絡來實現潛水艇式的重重防御。

從安全觀到方法論

軟件開發有了保障，但互聯網上的安全該如何保證呢?“建立端到端的安全，僅僅靠微軟一家是不夠的?！币嵩铺鞂τ浾哒f。2003年，蓋茨訪華時與中國政府簽署了GSP協議(政府源代碼共享計劃)，這也就意味著政府可以自由查看微軟的最高機密。

同時，微軟還與政府簽訂了安全合作協議，一旦發生大規模的網絡安全事件，微軟可跟政府及時合作，共享信息，在最短時間內把這個事件帶來的損耗降低。在過去兩年多時間內，微軟與國家信息中心、中國安全測評中心，共同做了安全護理中心，微軟幫助政府自上而下安裝安全補丁。

作為信息安全理念的推動者和踐行者，微軟針對企業用戶建立了SGC(安全導航中心)，加入導航中心的企業會定時收到最新補丁的安裝通知，從而保護其內部安全性。目前，已經有300家大中型企業加入這個計劃當中。微軟安全漏洞響應中心可以通過一個專門的郵件地址，保證在4個小時回復所接收到的安全漏洞報告。微軟在全球建立防釣魚網站的聯盟，一旦發現釣魚網，聯盟成員會對信息進行共享；與防病毒廠商建立起全球范圍的聯盟，入盟廠商都可以看到病毒的特征碼。

作為全球最大的平臺軟件供應商，從安全觀念到方法論，微軟竭力面面俱到，采取全面“主動防護”策略，步步為營保障信息安全。