馬　薈

如何在軟件開發(fā)過(guò)程中。把安全性植入軟件的DNA?如何建立可信互聯(lián)網(wǎng)，提供端到端的安全?微軟將信息安全推進(jìn)到了一個(gè)新的高度。

4月8日，微軟最新的安全研究報(bào)告指出，2004年到2007年間，影響互聯(lián)網(wǎng)安全的絕大部分漏洞在于應(yīng)用軟件，而不是操作系統(tǒng)，占88％到94％。2008年，整個(gè)行業(yè)的漏洞數(shù)量比2007年下降了16％。而在所有安全漏洞之中，對(duì)Windows XP有影響的占41％，Windows Vista只占5.5％。

報(bào)告發(fā)布后不久，微軟安全技術(shù)部資深安全項(xiàng)目經(jīng)理、《軟件安全開發(fā)生命周期》的主要作者之一Michael Howard來(lái)到北京，專門對(duì)中國(guó)軟件安全領(lǐng)域的技術(shù)專家們進(jìn)行了為期四天的SDL(Security Development Lifecycle，安全開發(fā)生命周期)培訓(xùn)，與中國(guó)信息安全測(cè)評(píng)中心的安全技術(shù)專家、高校教授和海關(guān)等政府機(jī)構(gòu)的技術(shù)骨干分享了微軟在軟件開發(fā)過(guò)程中確保其安全性和可靠性所采取的方法論。

接受培訓(xùn)的中國(guó)信息安全測(cè)評(píng)中心常務(wù)副主任王貴駟告訴記者，軟件開發(fā)生命周期促進(jìn)了軟件開發(fā)流程中從單純追求功能性到完善軟件自身安全性的轉(zhuǎn)變，深具啟發(fā)意義。

正本追末

盡管人們對(duì)微軟安全認(rèn)知一直被掩蓋在其產(chǎn)品功能的光環(huán)之下，但是貫穿于軟件產(chǎn)品生命的信息安全卻一直是微軟公司戰(zhàn)略的重中之重。

近年來(lái)，微軟連續(xù)收購(gòu)6家安全廠商；微軟去年在研發(fā)上90億美元的投入中，有三分之一花在了改進(jìn)產(chǎn)品安全、修補(bǔ)已有產(chǎn)品的漏洞等安全方面。

早在2002年，比爾·蓋茨就在微軟全公司范圍內(nèi)推行可信賴計(jì)算策略，Michael Howard作為當(dāng)時(shí)的培訓(xùn)人專門用三個(gè)月時(shí)間給軟件開發(fā)人員培訓(xùn)，從設(shè)計(jì)開始就強(qiáng)調(diào)源代碼的安全性。

微軟戰(zhàn)略安全架構(gòu)師裔云天在接受采訪時(shí)表示，當(dāng)時(shí)的可信賴計(jì)算主要包括四個(gè)方面。首先是安全，包括安全的設(shè)計(jì)，安全的部署以及安全的配置；其次是隱私，第三是保證開發(fā)的可靠性；最后是最佳的商業(yè)實(shí)踐，微軟在網(wǎng)上提供了文檔和成功案例，幫助用戶學(xué)習(xí)借鑒。作為獨(dú)立于微軟Windows平臺(tái)的安全方法論，SDL同樣適用于Linux等開源系統(tǒng)，可以滿足各種平臺(tái)軟件開發(fā)者的安全需求。

微軟希望建立一個(gè)可信的分層架構(gòu)，架構(gòu)底層是基本的安全基準(zhǔn)，首先是軟件開發(fā)過(guò)程中確保其安全性和可靠性，即SDL；其次是深層防御，從可信硬件、安全軟件、可信的人到可信的數(shù)據(jù)，再上一層是“1+4A”的核心系統(tǒng)部件，定義授權(quán)人，最后建立不斷更新的可信的架構(gòu)，從硬件到軟件到操作到網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)潛水艇式的重重防御。

從安全觀到方法論

軟件開發(fā)有了保障，但互聯(lián)網(wǎng)上的安全該如何保證呢?“建立端到端的安全，僅僅靠微軟一家是不夠的?！币嵩铺鞂?duì)記者說(shuō)。2003年，蓋茨訪華時(shí)與中國(guó)政府簽署了GSP協(xié)議(政府源代碼共享計(jì)劃)，這也就意味著政府可以自由查看微軟的最高機(jī)密。

同時(shí)，微軟還與政府簽訂了安全合作協(xié)議，一旦發(fā)生大規(guī)模的網(wǎng)絡(luò)安全事件，微軟可跟政府及時(shí)合作，共享信息，在最短時(shí)間內(nèi)把這個(gè)事件帶來(lái)的損耗降低。在過(guò)去兩年多時(shí)間內(nèi)，微軟與國(guó)家信息中心、中國(guó)安全測(cè)評(píng)中心，共同做了安全護(hù)理中心，微軟幫助政府自上而下安裝安全補(bǔ)丁。

作為信息安全理念的推動(dòng)者和踐行者，微軟針對(duì)企業(yè)用戶建立了SGC(安全導(dǎo)航中心)，加入導(dǎo)航中心的企業(yè)會(huì)定時(shí)收到最新補(bǔ)丁的安裝通知，從而保護(hù)其內(nèi)部安全性。目前，已經(jīng)有300家大中型企業(yè)加入這個(gè)計(jì)劃當(dāng)中。微軟安全漏洞響應(yīng)中心可以通過(guò)一個(gè)專門的郵件地址，保證在4個(gè)小時(shí)回復(fù)所接收到的安全漏洞報(bào)告。微軟在全球建立防釣魚網(wǎng)站的聯(lián)盟，一旦發(fā)現(xiàn)釣魚網(wǎng)，聯(lián)盟成員會(huì)對(duì)信息進(jìn)行共享；與防病毒廠商建立起全球范圍的聯(lián)盟，入盟廠商都可以看到病毒的特征碼。

作為全球最大的平臺(tái)軟件供應(yīng)商，從安全觀念到方法論，微軟竭力面面俱到，采取全面“主動(dòng)防護(hù)”策略，步步為營(yíng)保障信息安全。