——CNNIC数字显示,中国网民人数已超过1亿。在互联网经济蓬勃发展的同时,中国互联网用户却变得越来越缺乏安全感:恶意软件、网络钓鱼、僵尸网络、拒绝服务攻击,再加上黑客手段越来越高,病毒潜伏期越来越短……如此种种,层出不穷。比起其他行业,开放性极强的校园网面临的安全问题有过之而无不及。面对信息安全的严峻形势,软件巨头微软到底有哪些安全策略呢?
正本清源见成效
微软中国首席技术官李志霄博士表示,互联网经济的发展必然导致越来越多的信息在网上流转,由此带来的安全漏洞会越来越多。信息安全是保证各类信息顺畅流转到相应用户的手段,而不是目的。比如在学校,要保证只有人事部门能看到人事的信息,只有财务部门才能看到财务信息,学生当然要能够看到课业信息了。因此他认为,适当的授权认证是保证信息安全的第一步。就象小区的门禁系统一样,只能让业主及其朋友进门,不相干的人进不来。
在安全性框架方面,微软的做法是:首先要正本清源,设计安全的源代码(Secure by Design);其次,在系统的配置上有关安全的参数都要设成默认安全值(Secure by Default);第三,在部署上要与用户保持顺畅沟通(Secure in Deployment + Communications),包括培训、发布安全通告等。即SD3+C安全性框架。
“2002年底,在比尔·盖茨倡导下,微软推出了SDL项目(Security Development Lifecycle,安全开发生命周期),要求从设计开始就强调源代码的安全性。微软要求所有产品都必须通过SDL认证,如果不能通过SDL,坚决不允许上市。” 李志霄告诉记者。
李志霄还透露,在明年Windows Vista正式发布后,IE7将具备邮件的数字签名、分析邮件包以及防间谍软件等特性。此外,针对僵尸网络,IE7在发送过程中也能够进行过滤。IE7中还增加了防钓鱼功能,要求将发邮件人身份发过来。
微软自身的安全实践
近几年来,微软采取了主动积极的态度来解决安全问题。从2001年推出高信度计算战略,2002年底推出SDL项目,2003年推出政府源代码备案协议,到2004年Windows XP Service Pack2的正式面市,从这一连串的行动中不难看出微软对网络安全的重视程度。
那么微软自身的网络安全情况又是怎样呢?据李博士介绍,作为美国第三大企业网络,微软网络上有90000个用户,在全球有400个数据中心,每天有几百万封电子邮件。微软网络平均一天受到4000次攻击,攻击有同步的,也有异步的,而且每天至少有一次拒绝服务式攻击。如此规模的网络,使用的全部是微软自己的产品,但微软网络从来没有瘫痪过。
原因何在?李博士解释说,这正是SDL的功劳,微软也正是用这个思路来部署、维护其自身的网络安全。
别做红衣黑客
谈到校园网,李博士表示,互联网是学校与外界沟通的主要途径,开放性强是它的一大特征。因此除了应用层的防火墙、内网的防火墙,在后台上部署防病毒系统和软件补丁的自动升级管理也必不可少。校园网安全解决方案的特色在于应用层内容过滤,系统软件补丁管理和防缓存溢出。
此外,采访中李博士反复强调提高学生信息安全认知度的重要性。他说,学生有好奇、爱表现的特点,再加上他们知识水平高,思维活跃,如果引导不利,很容易被人利用。
的确,现在世界范围内的黑客部落中以学生或教育领域相关人士居多。李博士反复告诫学生们:千万不要做制造病毒谋取利益的“红衣黑客”。为提高自己的编程水平而偶尔编写一些恶意代码是可以理解的,但这些代码千万不要公布出来,更不要把它卖给红衣黑客,否则会毁了自己的一生。最合适的做法是与厂商合作,将发现的产品漏洞告诉厂商,以利于厂商更好地改进产品,这也是对IT产业做出的一份贡献。
(责任编辑:adminadmin2008)
