Windows Vista 能否引发安全革命？(4)

“安全与应用和网络融合是大势所趋。”业内资深人士季春勇认为，这一点可以在IBM收购最大的入侵检测厂商ISS，以及HP、Cisco的系列收购就可以体现的淋漓尽致。他非常赞同微软(中国)战略安全顾问裔云天的看法，在未来，一些安全厂商可以考虑向专业的安全咨询和安全服务转型，随着用户业务同IT网络系统的进一步结合，这个新兴的市场领域一定会出现爆炸式的增长。

相关链接一: “可信赖运算”理念

“可信赖运算”理念是2001年，微软公司主席兼首席软件设计师比尔.盖茨亲自操刀为微软所做的重大战略调整，把为客户提供安全、私密、可靠的计算体验列为微软公司的最优先目标。

微软希望和科技行业的其他厂商携手采取下列措施，使运算变得更加可靠、更加安全:

其一，构建一个信任生态系统，系统内的人、组织、设备制造商和代码编写人员可被正确识别并对其行为负责，同时仍将保护终端用户的隐私;

其二，构建安全工程，建立、发布并共享最佳做法、安全检测工具和安全测试方法;

其三，简化针对消费者和IT专业人士的安全维护程序，把行业标准、通用开发工具、各平台、产品和服务的通用惯例加以整合;

其四，提供一个基本安全的平台，包括各类保护技术，启用隔离、基于信任的多要素认证、基于策略的访问控制和统一的应用程序检查。

相关链接二:安全产品开发生命周期(SDL)

自2003年开始，微软对在企业中部署、用来处理敏感信息或个人信息或经常通过互联网交流的所有为产品执行一套严格的程序——安全产品开发生命周期(SDL　Secure software development life cycle)，包括安全设计、编码、测试、检查和反馈。

自开发伊始，开发团队就与一名安全顾问紧密合作，这名顾问担任向导和项目联系人的角色，从最初概念成型到最终安全检查完成一直如此。在SDL过程中，安全检查和测试贯穿于交运周期的每一步。安全视窗主导攻击团队(SWIAT)对项目进行广泛的设计和测试，旨在识别出产品代码或设计中需要继续改进方能使其抵御攻击的能力达到可接受水平的部分。安全视窗功能(SWI)团队为产品团队提供了培训和工具，以支持威胁模拟过程;该团队也全面、深入地检查了各类威胁模式。

具体到Windows Vista， 开发过程中吸取了所有Windows以前版本中安全方面的经验、微软安全反馈中心分析和微软Windows XP SP2及Windows Server 2003 SP1开发过程中的开发惯例，并利用微软开发的工具寻找某些类别的代码漏洞，包括PREfix、PREfast、FxCop等创新工具。在Windows Vista SWIAT团队中，对“室内黑客”小组的特意增加了来自主要安全研究和测试企业的安全研究承包商。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001