| 微軟公司可信賴計(jì)算總經(jīng)理 約翰·蘭伯特 (John Lambert)
在中國,隨著安全界使用免費(fèi)安全緩解技術(shù)和工具意識的增強(qiáng)��,提高軟件安全質(zhì)量也將勢在必行�����。上周,中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會和微軟公司聯(lián)合主辦了2012信息安全論壇暨科技展��,200多位政府官員����、學(xué)者�����、安全專家和軟件開發(fā)人員參加此次活動��。活動上微軟展示了一系列領(lǐng)先的開發(fā)工具和安全科技�,鼓勵中國軟件公司采用這些工具和實(shí)踐來提高產(chǎn)品的安全性����。
中國已經(jīng)有五億多網(wǎng)民�����,和更多的使用智能手機(jī)作為上網(wǎng)平臺的用戶���。未來互聯(lián)網(wǎng)用戶的增長的空間依然非常大�����。對于廣大網(wǎng)民來說,尤其是在互聯(lián)網(wǎng)上消費(fèi)的人群來說,有一個(gè)安全的IT環(huán)境是至關(guān)重要的�。這也就是為什么我們希望通過本次活動推進(jìn)和增強(qiáng)安全軟件開發(fā)的意識和實(shí)踐��,確保互聯(lián)網(wǎng)使用者有一個(gè)安全的使用環(huán)境。
得益于各個(gè)業(yè)務(wù)部門和產(chǎn)品線��,微軟對全球的安全威脅行勢有全局的了解����。Hotmail通過對2.8億個(gè)活躍用戶帳戶掃描,可以掌握惡意軟件威脅,搜索引擎Bing 每天掃描數(shù)十億個(gè)頁面掌握惡意網(wǎng)頁的情況����。根據(jù)最新統(tǒng)計(jì)數(shù)據(jù)�,現(xiàn)在中國有幾乎24% 的互聯(lián)網(wǎng)用戶正在使用 IE6��,占全球IE6 用戶的半數(shù)以上。IE6是微軟十年前開發(fā)出來的,當(dāng)時(shí)我們安全軟件開發(fā)的技術(shù)還沒有那么成熟����,IE6之后的軟件開發(fā)的產(chǎn)品在安全性上都要比IE6強(qiáng)得多�����,我們希望更多的中國用戶能夠去使用更新版本的IE,因?yàn)檫@些新版本融入上安全開發(fā)的理念和作法�。中國使用Windows XP操作系統(tǒng)的用戶也較多�����,而Win7操作系統(tǒng)則可以大大降低惡意軟件感染的概率�����。
十年前,比爾▪蓋茨提出了可信計(jì)算(TwC)計(jì)劃,并為微軟今后的發(fā)展指明了方向,即保證每一個(gè)電腦用戶的體驗(yàn)都是安全���、私密、可靠的。2004年�,安全開發(fā)生命周期(SDL)誕生��。此后,微軟的所有產(chǎn)品都運(yùn)用了安全開發(fā)生命周期。運(yùn)用安全開發(fā)生命周期之后���,微軟開發(fā)出來的產(chǎn)品中的漏洞攻擊已經(jīng)下降了30%。安全開發(fā)生命周期意味著在軟件設(shè)計(jì)開發(fā)的過程中,安全已經(jīng)嵌入其中��。在軟件開發(fā)的早期����,就采用威脅建模工具,發(fā)現(xiàn)正在開發(fā)的軟件可能遇到的威脅,并盡早地采取措施,減少或避免這些威脅;在軟件開發(fā)的晚期�����,通過測試的環(huán)節(jié)發(fā)現(xiàn)和解決漏洞����。安全開發(fā)生命周期工具是免費(fèi)提供的���,迄今已經(jīng)有各類開發(fā)者進(jìn)行了超過85萬次的下載�。
現(xiàn)在,微軟每一條產(chǎn)品線有都有安全團(tuán)隊(duì)����,同時(shí)微軟還有一個(gè)綜合的安全團(tuán)隊(duì)支持各個(gè)業(yè)務(wù)部門和產(chǎn)品線���。微軟可信計(jì)算部門的其中一個(gè)團(tuán)隊(duì)是安全響應(yīng)中心(MSRC)����,安全響應(yīng)中心是一個(gè)被動反應(yīng)式的安全響應(yīng)中心��,只要是在微軟產(chǎn)品中生產(chǎn)了漏洞�����,安全響應(yīng)中心會采取措施加以處理;安全工程中心(MSEC)則是微軟的安全工程中心���,微軟的安全工程中心則是積極主動的安全預(yù)防中心。在微軟的安全工程之下有安全開發(fā)生命周期和安全科學(xué)這兩部分����。從分工上來說�����,安全響應(yīng)中心主要是針對已經(jīng)投放市場的產(chǎn)品�����,比方說Windows XP��,而安全工程中心則主要是針對即將但是尚未投放市場的產(chǎn)品,比如Win8���。如果安全工程中心的工作沒有做好的話,那么接下來安全響應(yīng)中心在后續(xù)的工作中就會很麻煩���。這樣一種緊密合作的模式可以有效地提高產(chǎn)品的整體安全性。安全科學(xué)通過開放最前沿的工具和安全保護(hù)技術(shù)�,既可以提前發(fā)現(xiàn)漏洞���,同時(shí)通過安全環(huán)節(jié)的技術(shù)實(shí)現(xiàn)縱深的保護(hù)��,并且對整個(gè)生態(tài)系統(tǒng)價(jià)值鏈中的威脅與漏洞始終保持監(jiān)控�����。安全科學(xué)是融入到了我們的安全開發(fā)生命周期當(dāng)中的。
目前���,微軟主要利用兩個(gè)技術(shù)來幫實(shí)現(xiàn)深度防御功能,即數(shù)據(jù)執(zhí)行保護(hù)(DEP)和地址空間布局隨機(jī)化(ASLR)�����。數(shù)據(jù)執(zhí)行保護(hù)使得黑客攻擊的數(shù)據(jù)不會被作為一個(gè)執(zhí)行文件的代碼來處理���,這樣就使得黑客的攻擊變得非常困難�。而地址空間布局隨機(jī)化則可以當(dāng)黑客準(zhǔn)備利用你系統(tǒng)的漏洞進(jìn)行攻擊時(shí),對系統(tǒng)的行為做出一些預(yù)測��。有了地址空間布局隨機(jī)化����,每次你開機(jī)的時(shí)候�����,你的電腦的地址空間都會有一個(gè)隨機(jī)化的布局�,這樣就讓黑客沒有辦法去預(yù)測��。打個(gè)比方��,開汽車我們可以告訴司機(jī)要安全行駛,但是即使在他們有這個(gè)安全意識的情況下,任然可能發(fā)生事故,在發(fā)生事故的情況下���,我們會有安全帶和安全氣囊去保護(hù)我們。深度防御技術(shù),比如數(shù)據(jù)執(zhí)行保護(hù)和地址空間布局隨機(jī)化起的正是這樣一種作用�����,有了這兩個(gè)技術(shù)的幕后保護(hù)��,即使我們的開發(fā)員在編寫代碼的時(shí)候出現(xiàn)了失誤��,都不會被黑客利用。那么我們安全技術(shù)的工具���,如數(shù)據(jù)執(zhí)行保護(hù)和地址空間布局隨機(jī)化都是免費(fèi)提供給開發(fā)者使用的。我們就是希望開發(fā)者在編寫代碼的過程中��,能夠把我們的這種深度防御的技術(shù)用進(jìn)去���。
為幫助 IT 專業(yè)人員和軟件開發(fā)人員利用安全科技資源和最佳實(shí)踐領(lǐng)域的最新創(chuàng)新成果�,微軟還有四個(gè)安全開發(fā)工具供開發(fā)人員使用:
• 增強(qiáng)的緩解體驗(yàn)工具包(EMET) - 這是微軟為開發(fā)者提供的,可以免費(fèi)下載的工具,其中包含了我們剛才
說的深度防御的工具,數(shù)據(jù)執(zhí)行保護(hù)和地址空間布局隨機(jī)化�����。它不光可以用于新產(chǎn)品開發(fā)����,同時(shí)也可使早
期開發(fā)出的應(yīng)用程序具有最新的安全保護(hù)能力���;
• 攻擊面分析器(Attack Surface Analyzer) - 主要是為軟件開發(fā)人員和IT專業(yè)人員服務(wù)的��,當(dāng)他們在PC系
統(tǒng)當(dāng)中加裝一個(gè)新的軟件的時(shí)候��,供給面分析器會分析新加裝的功能和可能會給用戶帶來的、潛在黑客攻
擊風(fēng)險(xiǎn)��;
• 威脅建模工具(Threat Modeling Tool) - 是幫助開發(fā)者在開發(fā)早期把自己作為一個(gè)黑客�����,使得開發(fā)者能
夠超前于潛在攻擊者的思維進(jìn)行開發(fā)��。幫助工程師分析系統(tǒng)威脅,在軟件生命周期的早期發(fā)現(xiàn)并解決設(shè)計(jì)
問題�;
• BINSCOP工具 - 是軟件開發(fā)過程中的一個(gè)安全合規(guī)的工具�����,也就是幫助開發(fā)人員評估你開發(fā)出來的軟件是
否充分利用了DEP和ASLR樣的深度防御技術(shù)���。
希望這些工具可以提升人們對安全開發(fā)軟件的認(rèn)識�����,確保用戶的應(yīng)用能夠得到安全性能上的更新,同時(shí)我們也鼓勵大家盡可能使用已經(jīng)融入了我們深度防御技術(shù)、安全開發(fā)科學(xué)的新的軟件產(chǎn)品和更多版本的產(chǎn)品。微軟將繼續(xù)和中國的公司���,如淘寶、奇虎 360 和翰海源,圍繞著安全技術(shù)進(jìn)行合作���,共同提升安全開發(fā)的意識和先進(jìn)的實(shí)踐���。
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
當(dāng)前位置:
