文章作者:毛江华
信息来源:计算机世界网
全球用户对Windows系统安全问题的诟病,目前已使得微软这位IT霸主首次感到了巨大的压力。虽然微软近年来对安全问题采取了前所未有的重视态度,但似乎效果甚微,漏洞频频、攻击不断、漫骂依旧。信息安全成了比尔·盖茨心中的一根毒刺。
安全,考验微软“底盘”
尽管2月16日,当微软公司董事长比尔·盖茨在“RSA Conference 2005”会上公布反间谍件计划时,一些与会者的表现是翻起白眼,不屑一顾。但不少分析师依然认为,微软有可能成为安全市场的生力军;有外电称,微软意图在安全软件业掀起一场海啸。
而此前一周的2月9日,微软刚刚宣布即将收购Sybari软件公司,Sybari开发的安全软件可用于微软的Exchange和Lotus Notes服务器,该公司的产品能对付病毒、蠕虫和垃圾邮件。
这是继2002年微软收购信息安全公司Xdgrees,2003年收购罗马尼亚反病毒厂商GeCAD、Pelican,2004年12月收购防间谍软件企业Giant后的第五次收购。Xdgrees、GeCAD、Pelican是有独立技术的反病毒企业;而Giant和Sybari则是反病毒行业的周边技术企业,前者为反间谍软件,后者为反病毒邮件软件。
从2004年起,微软的盖茨和鲍尔默在不同场合都不遗余力地宣称:“安全是微软的首要任务 。”
收购的真正意图
2月中旬,比尔·盖茨在RSA大会上的高谈阔论,引发安全厂商的一阵紧张。盖茨说,微软在2005年中将推出IE7.0测试版本,在2005年底,将 推出一个以客户为中心的付费的反病毒解决方案。1月6日,微软已经推出了基于个人用户的反间谍软件“Microsoft Windows AntiSpyware”的测试版本,将来还会推出企业级版本。
“Microsoft Windows AntiSpyware”主体技术承继于2004年12月收购的Giant公司原来的“Giant AntiSpyware”软件,有业内人士指出,二者的区别只是标签不同而已。
虽然安全领域两大领头羊赛门铁克CEO约翰.汤姆森和McAfee总裁霍奇斯在美国《商业周刊》和一些外电上反复扬言,“我们并不惧怕微软挑战。” 但依然无法阻挡分析师们的敏感分析,也不能阻止赛门铁克、McAfee股票在Nasdaq上的频频下滑。
看上去,微软角逐安全软件市场已成必然。但迄今为止,微软尚未放出任何具体风声。而安全业内人士的普遍看法是,外电反应过敏,微软通过收购,成为一家安全软件厂商是件“不靠谱”的事 。
中国知名信息安全专家曲成义教授认为,微软的主要目的是通过提升其操作系统的安全性,继续保持其市场霸主的地位。“如果别的操作系统能比它更好地解决安全问题的话,微软将备受威胁。” 曲成义说,早在2001年,微软就开始抓操作系统的安全,只是目前安全问题愈演愈烈而已。
在接受本报记者采访时,微软大中华区公共事业部首席安全官Eric Ashdown也证实,微软收购Giant以及即将收购Sybari,是竭尽所能满足客户在Windows安全方面的需求。
对于反间谍软件,Eric Ashdown反复强调,微软推出这项技术是因为业界分析师估计67%以上的PC上都感染了各种间谍软件,而微软从不少用户那里得到反馈,希望能够帮助解决这些安全问题。
“我们计划至少推出一个额外的Windows反间谍软件测试版。一旦技术成熟,即推出最终版本,所有持有Windows许可协议的用户都可以使用。” Eric Ashdown说。
Eric Ashdown透露,微软除了在内部进行技术开发外,同时也继续寻求收购那些能够满足客户需求的技术。但他拒绝透露微软的一些具体收购计划的资金投入情况。
“微软已经拥有了反病毒、反邮件蠕虫、反间谍软件方面的综合实力。”安全业资深人士张晓兵分析说,“系列的收购事件表明微软想要掌握完整的反病毒技术,而从目前的情形来看,微软还会在安全行业继续有所动作,以期在反病毒技术上具备一体化的绝对优势。”
他认为,微软走这一步是必然。微软以前走的是系统加固的道路,通过强有力的认证技术来实现系统的安全性,然而系统安全性的提高并没减少病毒的产生,这样的事实使微软认识到维持操作系统的安全性仅靠自身的加固是无法完全解决的,它还需要引入第三方的反病毒技术作为支持。
2002年以来,对信息安全的关注点面临着从应用逐渐向系统迁移的趋势,而微软的动作更是加深了这一趋势。虽然OFFICE系统软件是微软的主要利润来源,但是操作系统却是微软的基石,在微软做出的战略中,有相当一部分都是为了巩固操作系统的地位的,而当病毒问题成为Windows系列操作系统的诟病后,微软便开始了反病毒技术的攻势。
形势非常严峻
2005年2月10日,就在微软公布其反间谍软件 “Microsoft Windows AntiSpyware” 测试版本后的第25天 ,一个名叫“BankAsh-A Trojan”的程序被黑客制造出来,该程序专门针对微软反间谍软件进行攻击,使微软反间谍软件瘫痪并能窥探用户的活动。
“BankAsh-A Trojan”会移除Windows AntiSpyware的文件,抑制其发出警告信息,甚至将反间谍软件完全从用户的电脑中删除。
“当我们关上一扇大门时,敌人会打开另一扇大门。他们很聪明,这种猫捉老鼠的游戏永无休止,我们在进行一场持久战,我们的任务永远也不会结束。”一位微软的产品主管说。
从1998年的CIH病毒开始,梅利莎、爱虫、尼姆达、求职信、冲击波、震荡波接踵而来,到2003年,活体计算机病毒已达14000种;而近年来,各种恶意的混合型攻击的抬头,使得整个IT网络面临着非常严峻的形势。
恶性病毒利用网络安全漏洞进行入侵,使软件的原始提供商成了人们的众矢之的,而占据电脑90%市场份额的微软更是重中之重。采访中,几位信息安全主管(CSO)向记者表示,微软强调企业要增强信息安全的重视程度和管理力度,要求企业时刻注意要给软件打补丁,拾遗补漏。但是损失归根到底是产品存在安全漏洞所致的,根源不解决,我们怎么防堵都没有用。“况且对于多数中小企业,若是聘用专业的网络管理人员,人力费用过高”。
“微软依靠软件补丁修复重大安全漏洞的政策,总是使我们感觉跟不上形势。”一位电力行业的CSO说,微软自己在网络攻击中也未能幸免也受到蠕虫攻击,例如 2003年初,微软曾敦促用户修复SQL Server 2000软件中的安全漏洞,但它自己却没有接受自己的忠告。在这个安全漏洞披露一年多时间以后,微软自己的服务器仍存在受到网络攻击的重大安全漏洞。
“软件出现安全漏洞是无法避免的。”信息安全专家曲成义教授说,只要它是人类的创作就肯定会有缺陷和问题存在,无法做到完美。而缺陷和问题只有用户在反复使用的时候才会被发现。“普通用户发现问题后可能会报告给软件提供者,而黑客则会把问题当做后门,编写程序,溜进去兴风作浪。”
“微软的系统如此庞大,漏洞多,后门更多,又备受黑客青睐,感觉安全性越来越差。” 一位IT行业的网络管理者黄先生表示,只要别的操作系统再可用一点、再成熟一点,他就有可能转向。目前他已经不用IE浏览器了,而改用火狐(Firefox)。“你用IE浏览时,难道没有感觉到真的很痛苦吗?”他反问记者。
但安全业资深人士张晓兵不赞同这一看法。他认为,首先没有证据表明微软操作系统的安全性一定比其他操作系统差。由于操作系统体系的不同和用户群的不同,这之间不具备可比性,不过有一点是可以证明的,就是微软操作系统与其他操作系统的用户数之比与病毒数之比是基本相同的。
其次,操作系统要想完成用户易用性和安全性两大目标,势必要增加超量的代码,这必然会带来大量的错误,而微软与日俱增的用户群也会暴露出在测试中没有暴露的安全问题。
再者,由于大多数用户使用的都是微软的面向个人的桌面操作系统,桌面操作系统本身的安全要求等级与服务器级别的操作系统的安全要求等级不同,这种情况也会使用户产生微软的操作系统更不安全的感觉。服务器操作系统是以安全为第一位,易用性为第二位的,从互联网上的服务器节点采用微软操作系统与非微软操作系统的比率为7:3这种情况来看,也能说明一些问题。
微软大中华区公共事业部首席安全官Eric Ashdown 则表示,无论以何种标准考核,基于XP SP2的IE都比Firefox更为安全,并且存在的漏洞更少。Firefox有自身的漏洞,比如近来公布的一个较大的安全公告,它涵盖了20个漏洞。
“看一看近来的Firefox公告以及它的公布方式(比如只有英语版本)和公布时间,相比之下,微软的优势就很明显。” Eric Ashdown强调说,“因为微软拥有健全的安全公告能力和机制,能够及时、有效地以本地化语言方式发布出去! “
未来无法预测
微软的任何举措历来都会激起人们的反应和猜测。由于浏览器和多媒体播放器的前车之鉴,安全软件厂商的担心虽然显得过敏,但绝对不是多余。
人们无法预测 ,微软的下一步将做什么,怎样做;而微软则无法预测,黑客下一步将做什么,怎样做。
微软方面没有正面回答本报记者的问题:是否将和一些安全软件厂商直接竞争?但试图用这么几句话来表达其在安全方面的主张:微软在尽各种努力为用户提供强大的安全软件及其解决方案;微软所有这些关于安全方面的努力是基于满足用户的需求;微软在个人运算领域目前没有单独的安全产品计划;对于企业级用户,安全更多是个管理问题;微软意在提供一个安全平台,会同其合作伙伴一起努力为用户提供一个安全的可信赖的计算环境。
“自大约三年前微软宣布‘可信计算’计划以来,安全已经成为微软所有努力的必要组成部分。” Eric Ashdown说。
客观上讲,微软在安全上已经是尽其所能:微软除了伸出强有力的臂膀,去拥抱一个个技术独到的安全公司外,从2003年起,微软每年70亿美元的研发投入,有20亿是用于信息安全或是与信息安全相关的研发。
但用户却普遍认为,微软对安全方面的投入并未达到预期效果,微软的前几次收购的直接结果,就是震荡波病毒专杀工具和SP2安全中心的产生,SP2安全中心里改变最大的是个人_blank">防火墙功能,做得已经非常实用了,但是对于反病毒方面,微软只是推出了一个可以管理商用反病毒软件的管理平台,并没直接推出反病毒的功能。
一位金融行业的CSO甚至认为,SP2将使得视窗系统面对恶意攻击具有更强的防御能力(_blank">防火墙,拒绝网上不明数据的防护罩;自动升级,能使用户第一时间得到最新的安全补丁;病毒防护。上述三种保护措施有一种被关闭,报警信息就会显示在屏幕上),但同时,微软也允许用户定义需要开放的端口,比如_blank">防火墙认证后门、电子邮件、即时通信、流媒体等等。这些开放的端口,从另一方面也成为黑客通过远程登录实施破坏活动的重要方向。
“安全问题永远防不胜防,单靠微软是解决不了的。”信息安全专家曲成义说,“必须建立一个可信赖的计算环境,这是他们微软的目标,也是我们做信息安全工作的重要目标。”
与两位CSO的对话
《计算机世界》:作为一名用户,最困扰你的安全问题是什么?
张先生其实作为一个用户,最困扰我的问题就是中病毒的问题,我的电脑总是会出现这样那样的不良症状,甚至出现系统崩溃的 情况。
崔先生:计算机病毒、黑客软件层出不穷,不断发现的Windows操作系统安全漏洞。
《计算机世界》:你认为微软在安全上最需要做的是什么?
张先生:我认为微软在安全上最需要做的是完善它的操作系统,别总是出现那么多的补丁,我个人感觉XP操作系统就比98操作系统安全多了,这是微软应该做的,至于微软非得推出杀毒软件和别人抢市场,我觉得太没必要,有点不务正业。
崔先生:我觉得应该从Windows操作系统的体系设计上,解决Windows存在的安全问题。
《计算机世界》:如果微软的操作系统上捆绑着免费的安全产品,你个人是否还会用其他产品?你的单位呢?
张先生:这得看微软的免费安全产品是否做得足够好,比如说,当微软的MSN Messenger6.0推出时,我就基本放弃用QQ了,但是在MSN Messenger6.0版本以前,我对它连看都不看,因为不好用。微软在SP2中推出了一个安全中心,我个人感觉也不错,只要安装了杀毒软件,就会在安全中心里体现,这样挺好,那个安全中心里提供的个人_blank">防火墙也不错,功能已经很强大了,但是与其他成熟的商用个人_blank">防火墙软件相比,还有很大的差距,因此,这个自带的_blank">防火墙我基本上就是关着的。
单位由于对安全的要求更高,不会去用微软提供的免费安全产品,而且单位已经选购了网络版杀毒软件,也没必要去使用微软的免费安全产品了。
崔先生:个人如果对于安全要求不是很高的情况下,从节约钱的角度,就不会再去购买其他安全产品。对于单位,就要先看看微软的安全产品是否实用?是否能够满足自身的安全需求?
《计算机世界》:你常用的安全产品是什么?如果微软也推出付费的安全产品,你是否会转投微软,为什么?
张先生:我常使用的安全产品是诺顿。因为大家都说它好,稳定,用着放心。对于微软的付费安全产品,我会抱着试试看的态度,不会立刻购买和使用,如果他推出试用版,我肯定会去试用,然后比较一下,看看是不是真的比较容易使用,杀毒能力是不是真的很强。如果确实很好的话,我会考虑转投微软,因为我总觉得在微软操作系统上运行微软的软件是最稳定的。
崔先生:我常用的安全产品是防病毒软件。不一定会转投微软的产品,要看微软安全产品的功能是否强大、实用。因为术业有专攻,微软虽然拥有其他公司无法比拟的开发实力,但一个公司不可能做到在所有产品上都是业内最好的。一些规模不大的公司反而在某些方面开发的软件功能更加强壮,更加实用。
链接一: 微软的安全部门和职能
微软内部由“安全事务技术部门”来专门负责微软在安全产品及解决方案的开发和市场方面的主要活动,其中ISA Server 2004、Windows权限管理服务的开发和推广以及Sybari技术的开发和推广都是由“安全事务技术部门”来完成的。此外,该部门还负责微软 Windows反间谍软件的开发和推广,将在2005年底之前推出付费的用户反病毒解决方案。
对微软来讲,安全产品不仅仅是“安全事务技术部门” 的责任。安全编码实践是微软所有开发投入的基础,这在Windows Server 2003及其安全组件PKI(公钥基础设施)和Active Directory(活动目录)中得到了具体体现。同时,还通过微软响应中心(Microsoft Response center)、卓越安全中心(Security Center of Excellence)以及其他组织和“首席安全顾问”(Chief Security Advisor)项目为用户提供大量安全指导。
微软已经在中国各地(成都、济南、辽宁、重庆和广州)建立了多个以安全为首要任务的微软技术中心,对它们提供了技术、培训和管理指导。此外,微软正在探索与中国安全业界合作,开发出更多在Windows平台上运行的本土安全产品,意图提供适合中国需要的全面安全解决方案。
链接二:高信度计算:微软的目标
高信度计算(Trustworthy Computiong)的目标是客户的信任。其中,涉及安全性、隐私性、可靠性及商业信誉四个关键要素。它们直接影响着人们对计算的信任程度:
● 安全性(Security):即客户的系统在遭受攻击后有能力进行恢复,且系统及数据的机密性、完整性和有效性均受到保护。
● 隐私性(Privacy):即客户可以控制自己的信息,确信这些信息的安全,并且应用恰当,更重要的是这些应用为他们带来更多的价值。
● 可靠性(Reliability):客户可以依靠产品随时随地实现其各种功能。
● 商业信誉(Business Integrity):即产品提供商对客户要求能够迅速反应,认真负责。
在广泛的客户反馈的基础上,微软开发了一套框架,以期通过共同努力,实现高信度计算的目标并衡量我们取得的进步。该框架包括四个部分:
● 通过设计,构建产品及服务的安全性、保密性、可靠性和信誉。
● 通过默认项的设置,优化所提供产品或服务的安全性、保密性和可靠性。
● 通过部署,为客户提供指导,帮助他们最有效地使用我们的产品和服务。
● 沟通、听取客户的意见,并与他们进行明确、开放、坦诚的沟通。
在安全性、可靠性、隐私性和商业信誉4个关键要素上,微软投入了大量人力物力,试图不断改善产品的安全性和在安全信息沟通方面的速度、深度和准确度,为用户创造一个可以信赖的计算环境。
