馬　薈

如何在軟件開發(fā)過程中。把安全性植入軟件的DNA?如何建立可信互聯(lián)網(wǎng)，提供端到端的安全?微軟將信息安全推進到了一個新的高度。

4月8日，微軟最新的安全研究報告指出，2004年到2007年間，影響互聯(lián)網(wǎng)安全的絕大部分漏洞在于應用軟件，而不是操作系統(tǒng)，占88％到94％。2008年，整個行業(yè)的漏洞數(shù)量比2007年下降了16％。而在所有安全漏洞之中，對Windows XP有影響的占41％，Windows Vista只占5.5％。

報告發(fā)布后不久，微軟安全技術部資深安全項目經(jīng)理、《軟件安全開發(fā)生命周期》的主要作者之一Michael Howard來到北京，專門對中國軟件安全領域的技術專家們進行了為期四天的SDL(Security Development Lifecycle，安全開發(fā)生命周期)培訓，與中國信息安全測評中心的安全技術專家、高校教授和海關等政府機構的技術骨干分享了微軟在軟件開發(fā)過程中確保其安全性和可靠性所采取的方法論。

接受培訓的中國信息安全測評中心常務副主任王貴駟告訴記者，軟件開發(fā)生命周期促進了軟件開發(fā)流程中從單純追求功能性到完善軟件自身安全性的轉變，深具啟發(fā)意義。

正本追末

盡管人們對微軟安全認知一直被掩蓋在其產(chǎn)品功能的光環(huán)之下，但是貫穿于軟件產(chǎn)品生命的信息安全卻一直是微軟公司戰(zhàn)略的重中之重。

近年來，微軟連續(xù)收購6家安全廠商；微軟去年在研發(fā)上90億美元的投入中，有三分之一花在了改進產(chǎn)品安全、修補已有產(chǎn)品的漏洞等安全方面。

早在2002年，比爾·蓋茨就在微軟全公司范圍內(nèi)推行可信賴計算策略，Michael Howard作為當時的培訓人專門用三個月時間給軟件開發(fā)人員培訓，從設計開始就強調(diào)源代碼的安全性。

微軟戰(zhàn)略安全架構師裔云天在接受采訪時表示，當時的可信賴計算主要包括四個方面。首先是安全，包括安全的設計，安全的部署以及安全的配置；其次是隱私，第三是保證開發(fā)的可靠性；最后是最佳的商業(yè)實踐，微軟在網(wǎng)上提供了文檔和成功案例，幫助用戶學習借鑒。作為獨立于微軟Windows平臺的安全方法論，SDL同樣適用于Linux等開源系統(tǒng)，可以滿足各種平臺軟件開發(fā)者的安全需求。

微軟希望建立一個可信的分層架構，架構底層是基本的安全基準，首先是軟件開發(fā)過程中確保其安全性和可靠性，即SDL；其次是深層防御，從可信硬件、安全軟件、可信的人到可信的數(shù)據(jù)，再上一層是“1+4A”的核心系統(tǒng)部件，定義授權人，最后建立不斷更新的可信的架構，從硬件到軟件到操作到網(wǎng)絡來實現(xiàn)潛水艇式的重重防御。

從安全觀到方法論

軟件開發(fā)有了保障，但互聯(lián)網(wǎng)上的安全該如何保證呢?“建立端到端的安全，僅僅靠微軟一家是不夠的?！币嵩铺鞂τ浾哒f。2003年，蓋茨訪華時與中國政府簽署了GSP協(xié)議(政府源代碼共享計劃)，這也就意味著政府可以自由查看微軟的最高機密。

同時，微軟還與政府簽訂了安全合作協(xié)議，一旦發(fā)生大規(guī)模的網(wǎng)絡安全事件，微軟可跟政府及時合作，共享信息，在最短時間內(nèi)把這個事件帶來的損耗降低。在過去兩年多時間內(nèi)，微軟與國家信息中心、中國安全測評中心，共同做了安全護理中心，微軟幫助政府自上而下安裝安全補丁。

作為信息安全理念的推動者和踐行者，微軟針對企業(yè)用戶建立了SGC(安全導航中心)，加入導航中心的企業(yè)會定時收到最新補丁的安裝通知，從而保護其內(nèi)部安全性。目前，已經(jīng)有300家大中型企業(yè)加入這個計劃當中。微軟安全漏洞響應中心可以通過一個專門的郵件地址，保證在4個小時回復所接收到的安全漏洞報告。微軟在全球建立防釣魚網(wǎng)站的聯(lián)盟，一旦發(fā)現(xiàn)釣魚網(wǎng)，聯(lián)盟成員會對信息進行共享；與防病毒廠商建立起全球范圍的聯(lián)盟，入盟廠商都可以看到病毒的特征碼。

作為全球最大的平臺軟件供應商，從安全觀念到方法論，微軟竭力面面俱到，采取全面“主動防護”策略，步步為營保障信息安全。