今年是微软可信赖计算推出10周年。3月22日，微软公司可信赖计算部和中国计算机学会计算机安全专业委员会共同主办了2012信息安全论坛。在本次论坛上，微软可信赖计算部总经理John Lambert对未来影响安全的趋势表达了自己的看法。microsoft-com:office:office" />

　　John Lambert认为，影响信息安全产业的因素不只是技术，还有不断变化的新威胁。

　　过去十年，我们面临的威胁持续演化。其中2006年出现的漏洞最严重，虽然此后漏洞数量逐年下降，但仍然呈现出一些新的趋势，主要包括：出现了Android漏洞利用，针对性的攻击利用占据了主流，Java漏洞利用最多。在漏洞逐渐减少后，还出现了一些新的威胁，如：黑客们的社会工程学攻击，对身份认证和验证措施和缓解技术提出了更高要求;利用失窃的签名密钥和虚假证书等对PKI基础设施实施攻击;利用泄露的密码进行验证信息的劫持。

　　Lambert 还透露，目前，本地安全公司、软件公司和搜索服务提供商都在竞争中国市场，这些公司很多都在运行各种版本的 Windows 操作系统、IE和其它基于 Trident 的浏览器，但这些供应商中很多没有利用 Windows 内置的安全缓解技术，如地址空间随机化(ASLR)和数据执行保护(DEP)。 而根据 Net Applications 的数据，现在中国有几乎24% 的互联网用户正在使用 IE 6，占全球 IE 6 用户的半数以上，这些计算机中的大多数在运行 Windows XP 或更早的平台，而Windows XP Service Pack 3 感染恶意软件的可能性比 Windows 7 高六倍。Lambert 认为，以上现象和统计数据令人担忧。

　　实际上，微软有一些免费向公众提供的安全开发工具，如：增强的缓解体验工具包(EMET)，能帮助用户缓解像零日威胁这类没有安全更新的威胁;攻击面分析器(Attack Surface Analyzer)，可在安装产品前后获取系统状态的快照，显示对 Windows 攻击面若干关键因素的更改;威胁建模工具(Threat Modeling Tool) ，能帮助工程师分析系统威胁，在软件生命周期的早期发现并解决设计问题;BinScope 工具，验证是否正确使用了安全缓解技术，如 ASLR 或 DEP。微软定期在其安全开发生命周期 (SDL) 的各个不同阶段使用它们(SDL 是一种安全的软件开发方法，可编写能最大程度减小软件和服务中漏洞的数量、严重性和可攻击性的代码。)

(责任编辑：)