如果我們把癌癥視為人類健康的頭號敵人，那么信息安全問題則可以視為人類在數(shù)字生存領域的“癌癥”。如果我們不能構建一個可信的計算環(huán)境，那么當人類把越來越多的工作和生活架構在數(shù)字世界里，這一切將變得越來越危險。

　　來自微軟剛剛公布的安全研究報告顯示，在美國、英國、法國和意大利，特洛伊木馬是最大的威脅類別；在中國，有多種特定語言的基于瀏覽器的威脅普遍存在；在巴西，以網(wǎng)上銀行為目標的惡意軟件普遍存在；在西班牙和韓國，則以蠕蟲病毒為主。如同人類需要不斷去對抗非典、甲流等一系列新疾病的威脅一樣，在數(shù)字信息世界里，我們也必須構建一個強大防御體系，抵御各種威脅，保證信息的安全。要做到這一切，從廠商到用戶到產(chǎn)業(yè)生態(tài)系統(tǒng)每一個環(huán)節(jié)的企業(yè)需要聯(lián)起手來，從我做起。

　　目前，微軟成為在安全層面投入最多的廠商之一。2009年微軟在整個研發(fā)上總共投入95億美金，其中1/3是花在安全上，包括改進產(chǎn)品安全，彌補已有產(chǎn)品的漏洞等等，共30億美金。剛剛問世不久的Windows7在安全與效率方面實現(xiàn)了非常好的平衡。除了對自身產(chǎn)品安全性進行重大投資，微軟安全戰(zhàn)略官裔云天近日透露，從2010年開始微軟還將進一步加大對產(chǎn)業(yè)生態(tài)系統(tǒng)安全的投資，推動整個產(chǎn)業(yè)生態(tài)系統(tǒng)構建一個更為安全的可信計算環(huán)境。

　　加大投入改善自身產(chǎn)品的安全性

2001年發(fā)生的9·11 事件給全世界敲響了警鐘：如果我們在安全上不能夠投入更多，那么我們花費巨大人力物力構建起來的巍然大廈將有可能毀于瞬間。也正是9·11事件，提醒了當年在微軟公司任董事長的比爾·蓋茨，微軟必須推動可信計算戰(zhàn)略，否則微軟持續(xù)了30多年的龐大數(shù)字帝國也將轟然倒塌。

　　2002年1 月，比爾·蓋茨給微軟員工簽發(fā)了一封關于可信計算的電子郵件，號召微軟員工加倍努力提高安全性。郵件要求公司所有的開發(fā)人員停工3個月，員工在這3個月中只做一件事情———安全培訓。如果開發(fā)人員沒有參與這個培訓，就不能作為合格程序員繼續(xù)在微軟從事產(chǎn)品開發(fā)。這個措施在當時引起了很大轟動。一個龐大的公司停下所有的工作來專門做安全，足以可見，安全問題成為當時比爾·蓋茨心中“最大的痛點”。

　　從那時開始，安全就如同“緊箍咒”無形地 “鎖”在微軟公司的每一個環(huán)節(jié)。要實現(xiàn)全方位的安全提升，軟件開發(fā)成為最初也是最重要的環(huán)節(jié)。在開發(fā)環(huán)節(jié)，如果不能把安全性作為最重要的指標植入其中，那么以后對產(chǎn)品安全性所做的彌補都只能是事倍功半的。為此，微軟創(chuàng)立了軟件安全開發(fā)生命周期方法論，在軟件開發(fā)的每一個階段全面植入安全DNA，減少了殘留漏洞的可能性。

　　也正是因為推行了軟件開發(fā)安全生命周期方法論，從2002年以后，在微軟發(fā)布的產(chǎn)品中，其產(chǎn)品漏洞的數(shù)量開始直線下降。

　　如果我們提出一個問題：微軟操作系統(tǒng)從WindowsXP升級到WindowsVista，最大的變化是什么？也許有人會回答操作界面更炫、多媒體功能更為強大，也許有人會回答是平臺功能的加強。這些回答當然沒錯，但其實最重要的改變之一是安全功能的提升，也正是因為要實現(xiàn)安全性前所未有的提升，微軟對 Windows架構進行了全方位重構。

微軟第7期安全研究報告顯示，2009年上半年，在所有配置中，采用安全內核設計的微軟操作系統(tǒng)WindowsVista的感染率遠遠低于WindowsXP(注：Windows7/WindowsServer2008采用了更為細化的安全設計，系統(tǒng)內核級別比WindowsVista安全級別更高)，WindowsVistaSP1的感染率比WindowsXPSP3低61.9%。

　　評測機構認為：Windows7提供了較為靈活的安全保護機制，在安全性、控制和效率3個方面實現(xiàn)了平衡。Windows7內核的安全機制是有史以來最好的，達到EAL4級安全認證的通用標準和美國聯(lián)邦信息處理140-2標準。

　　安全性已經(jīng)成為業(yè)界、用戶考問微軟產(chǎn)品的第一個關鍵指標。也許很多人會問，在比爾·蓋茨和鮑爾默心中，哪些問題是他們最關注的問題：產(chǎn)品的創(chuàng)新？公司的股票？競爭對手？未來的轉型？這些當然都是，但他們還有一個更關注的問題就是安全問題。如何構建一個更可信的計算環(huán)境，成為從2002年開始一直貫穿在微軟所有創(chuàng)新與商業(yè)活動背后的一只“無形的手”。而目前這只手中所掌控的微軟研發(fā)投入已經(jīng)超過了總投入的1/3。

　　投入產(chǎn)業(yè)生態(tài)系統(tǒng)建立可信計算環(huán)境

　　研究報告顯示，從2004年開始，在所有的安全漏洞中，與操作系統(tǒng)有關的漏洞少于9%，而與應用軟件相關的漏洞占了90%～94%。這意味著在大家知道的安全事件中，除了9%是與操作系統(tǒng)有關外，另外的90%來自第三方應用軟件，應用層面更是安全的薄弱地帶。

　　究其原因，微軟安全戰(zhàn)略官裔云天接受《中國電子報》記者采訪時說：“大的操作系統(tǒng)廠商在安全性方面投入了大量的人力物力，整體提高了操作系統(tǒng)產(chǎn)品的安全性，所以對于黑客來說，攻擊操作系統(tǒng)變得越來越困難。于是他們就把攻擊目標轉移到應用軟件上，因為應用軟件大多是由第三方企業(yè)開發(fā)的，這些企業(yè)的規(guī)模和實力不一樣，很多時候他們優(yōu)先考慮的是功能的實現(xiàn)，而不是安全性，所以導致了產(chǎn)業(yè)生態(tài)系統(tǒng)上應用軟件的薄弱。”

　　所以不管微軟在自身產(chǎn)品的安全性上投入了多少，這只能解決整個計算環(huán)境1/10的問題，剩下9/10的問題必須由整個產(chǎn)業(yè)生態(tài)系統(tǒng)的企業(yè)攜手共同推進，才有可能構建更為安全的可信計算環(huán)境。微軟已經(jīng)意識到這一點，開始把生態(tài)系統(tǒng)安全納入微軟安全戰(zhàn)略中，并加大了對業(yè)界合作伙伴、客戶、政府及其他重要團體等產(chǎn)業(yè)生態(tài)系統(tǒng)的安全投入力度。

針對政府層面，微軟在全球推出了政府安全計劃(GSP)源代碼協(xié)議，使政府及其指定單位以可控的方式查看微軟主流操作系統(tǒng)和 Office軟件的源代碼以及相關的技術信息，由此增強政府對Windows平臺安全性的了解和信心。2003年，微軟把這項計劃帶到中國，與中國信息安全產(chǎn)品測評認證中心(CNITSEC)簽署了微軟與政府安全計劃(GSP)源代碼協(xié)議。據(jù)透露，2009年微軟在發(fā)布Windows7前的一個星期，就向中國政府開放了windows7的源代碼，在幾個星期前，微軟也向中國政府開放了WindowsSer-ver2008相關源代碼。

　　道高一尺魔高一丈，信息安全的“防守”與“攻擊”雙方永遠處于博弈的狀態(tài)。對于防御的一方來說，需要在各個層面布下天羅地網(wǎng)來應對“攻擊”方制造的種種挑釁，除了采取更好的防御措施，還必須建立快速便捷的修復處理機構，一旦有了問題能夠及時提供相關的修復服務。在防御與應急響應方面，微軟與不同層面的合作伙伴展開了合作。2009年7月，微軟與中國國家信息中心、中國信息安全評測中心聯(lián)合推出政務終端安全護理方案，在中央和地方進行兩級部署，向政府部門和企事業(yè)單位提供全方位的安全護理服務。此外微軟也與中國安全廠商結為伙伴積極參與到由中國公安部牽頭的國家關鍵系統(tǒng)的等級保護項目中。

　　在微軟的操作系統(tǒng)之外還有著龐大的產(chǎn)業(yè)生態(tài)系統(tǒng)，如何推動整個產(chǎn)業(yè)生態(tài)系統(tǒng)以更為科學而安全的方法來進行軟件開發(fā)同樣是一個巨大的課題。目前微軟正在中國免費推廣安全開發(fā)生命周期方法論，希望更多的ISV與軟件合作伙伴、用戶受惠于這套方法論。接受過微軟安全開發(fā)生命周期培訓的中國海關信息中心王先生說： “我們亟須一套科學的軟件開發(fā)流程，來加強并保證開發(fā)出的軟件的安全性。微軟安全開發(fā)生命周期方法論的培訓對于國內軟件開發(fā)者以及企業(yè)的CIO們，都具有重要的啟發(fā)意義。這套方法論讓我們明白，安全的產(chǎn)品是設計出來的，而且必須經(jīng)過嚴格的流程控制才可能交付一個更安全的產(chǎn)品。”

　　裔云天表示，在2010年，微軟將更大規(guī)模地推動產(chǎn)業(yè)生態(tài)系統(tǒng)的安全建設，尤其是在對ISV以及相關軟件開發(fā)人員的培訓上，將借助微軟與中國國家發(fā)改委、教育部、工業(yè)和信息化部合作的相關配選項目渠道，把安全開發(fā)軟件生命周期方法論惠及中國軟件產(chǎn)業(yè)生態(tài)系統(tǒng)。