秦钢

Microsoft曾说过，今年夏天晚些时候推出OneCare测试版，到2005年末时启动一个规模更大的测试战役。上周，大约6万名Microsoft员工收到了预定信息。这表明，Microsoft正是进入了安全市场。WindowsOneCare订购安全服务将保护用户免受病毒和间谍件的困扰，保护PC上的数据。。大多数分析师预计，一旦该软件大规模提供，Microsoft就会迅速获得市场份额。

Microsoft的头等大事

2002年1月 ，Microsoft公司的员工收到了来自比尔.盖茨的一分群发备忘录。一些老员工在打开那份邮件之前就意识到了公司将进行战略方向的调整，因为类似的事情曾经发生在1995年，当Microsoft决定把工作中心转向Internet，以及2000年，当Microsoft提出并开始实施.Net战略。那份备忘录邮件对当时的计算环境所面临的包括安全在内的各种威胁进行了分析，在承认Microsoft以往在安全方面重视不足的同时，指出整个公司的工作重点将转移到高可信度计算(Trustworthy Computing)上去，并提出“安全是Microsoft的头等大事(security is top priority)”，各项工作的进行都要把安全因素考虑进去。

2年多之后，2004年5月，在西雅图Microsoft总部，Microsoft公司高可信度计算计划的高级主管Adrienne Hall告诉记者。“Microsoft当前各产品的研发中，产品生命周期的每一阶段都要符合高可信度计算的有关标准，并通过有关评审才能继续，换句话说，我们拥有一票否决权。这种方法可以有效地减少系统的漏洞。Windows 2003 Server是第一个按照高可信度计算的有关标准开发的Windows平台产品，与之前的Windows 2000 Server相比，从各自发布一年之后的关键漏洞和重要漏洞的统计结果看，后者为43个，而前者仅为13个。”

3年多之后，2005年5月，在北京的Microsoft开放日的活动中，新上任的Microsoft(中国)有限公司公共事业部首席安全官Eric T. Ashdown向记者展示了一系列新统计数据，来证明Windows Server 2003在安全性的一些主要指标方面已经超过了主要的竞争对手Linux(如图1所示)。Eric还就Microsoft公司近期在反病毒、反谍件领域的一系列收购和发布动作与记者进行了交流。

为计算讨回信任

Microsoft产品的安全性一直是公众极为关注的问题，这一方面是因为Microsoft的产品拥有全球最大的用户群体，另一方面则由于Microsoft还是一家平台软件产品开发商，而平台的安全性与用户的日常工作与生活息息相关。

在2002年比尔.盖茨发出那份战略性备忘录之前，Windows XP的发布，把Microsoft产品的易用性推向了前所未有的高度，而与此同时，Windows的安全性遭遇到了前所未有的信任危机。2001年下半年codered和nimda等网络病毒的肆虐对Windows NT和Windows 2000造成了极大麻烦，至今很多系统管理员谈起当时的情况还心有余悸。当时刚刚发布不久的Windows XP也被发现在UPnP功能实现方面有严重的漏洞，甚至早先的Windows Me和Windows 98也未能幸免。事实证明，仅仅靠不断打补丁很难保障产品的安全性。必须从产品的设计和开发阶段就充分考虑到产品的安全性因素。

而当时的Microsoft刚刚提出了.Net蓝图，正在计划发布Windows Server 2003(当时使用的名称为开发代号“Whistler”)，也就是Microsoft第一个.Net企业级操作系统平台。准备在企业级服务器市场大干一场。那时，Microsoft之前3年发布的Windows 2000已经获得了巨大的市场成功，在性能、功能和易用性方面都明显领先于Linux等竞争对手，Microsoft上下都对Whistler寄予厚望，因为如果Whistler在高可用性、高端硬件平台支持等方面有进一步的提高，显然将有资格向更高端的市场挺进。然而，安全威胁的严重性使Microsoft在反复权衡之后，终于决定不惜一切代价，将安全性的优先级调为最高。事实上，如果失去了Microsoft用户对于产品安全性的信任，也就失去了进军和企业级市场和实施.Net战略的基础。

Microsoft的目的非常明确，在由Microsoft首席技术官Craig Mundie等人草的“高可信度计算白皮书”中，一开始就强调了计算可信的重要性，该文档举例指出“计算机曾经被证明是可以信赖的，它曾经帮助人类登上月球并返回，也帮助人类控制每年数百万航班，处理数以10亿计的交易。然而，由于日益增长的安全威胁，如今的个人用户在计算机处理其投资和医疗记录时都心存疑虑。”白皮书进而指出“高可信度计算的目标是要使计算机和现在的家电设备一样可靠和可以信赖，达到这个目标需要业界的共同努力，我们预计需要10到15年的时间。” 除了安全性之外，高可信度计算计划还涵盖了私密性、可靠性、业务集成性等几个方面。

Microsoft提出高可信度计算计划之后，第一个大动作就是暂停Whistler的开发工作，进行全面的安全检查，为此，Microsoft也付出了延迟提交的代价。

此后，随着高可信度计算计划的深入展开，渗透到了Microsoft的日常工作中，开始在软件生命周期的每一个阶段发挥影响。软件构架师从设计阶段起就考虑到安全性的因素，序员开始认真学习如何写出没有安全漏洞的代码，测试人员也把安全性测试作为产品测试的首要任务。

近年来，Microsoft的主要产品在安全性方面都有了重要的改变，例如，Windows 2003发布时提交时，采取了“默认安全(Security by Default)的安全策略。即系统安装后，运行的服务被设置为最少状态，由用户根据业务需求启用相应的服务。在编译器设计中，为了减少编译器产生缓冲区溢出类安全漏洞的机会，Microsoft在Visual C++ version 7 和Visual C++ .Net编译器中都实现了新的堆栈保护功能。类似的例子还有很多。

可以说，Microsoft实施高可信度计算计划，是要把自身的产品的开发过程纳入一个理论上安全、理论上可行的体系，并不断在实践中加以完善。

3年多来，Microsoft在实施高可信度计算计划方面投入了大量的人力和财力，但在公众看来，效果并不显著。甚至在集成了众多安全更新的Windows XP SP2中，仍然被发现了严重的GDI+安全漏洞。

任何借口都不能弥补安全漏洞所带来的影响，但Microsoft在安全方面所付出的努力仍然值得肯定。事实上，Windows发展到今天的规模，代码量已经创造了软件开发领域的记录，要维护和发展如此庞大的代码，使编译结果能够稳定、安全和高效的运行，其难度可想而知。

需要指出的是，继Windows NT 4.0之后，Windows 2000的核心版本号是Windows 5.0，而Windows XP是Windows 5.1，Windows Server 2003是Windows 5.2。因此从Windows 2000到Windows XP和Windows 2003。一直是次要版本号的变更。自从6年前Windows NT 4.0升级到Windows 2000以来，Windows平台尚未经历过主要版本的升级。而据信下一代Windows Lornhorn将是Windows 6.0。由于Longhorn设计和开发的大部分时间都是在高可信度计算计划的框架下度过的，我们有理由对其安全性寄予更高的期望，longhorn的发布日期一再推迟也一再助长了用户的期望。当然，Longhorn也不可能根除安全问题，要知道高可信度计算是一个“10年起”的计划，可见安全的路还很长。

进入安全领域的悬念

由于信息安全环境的进一步恶化，除了采取措施减少产品的安全漏洞之外，近年来，Microsoft在安全产品领域也屡有些动作，表现出一种采取积极措施应对安全问题的姿态。2003年，Microsoft并购了罗马尼亚反病毒公司GeCAD；2004年12月，Microsoft又并购了反谍件公司Giant，并于最近将其产品整合到Windows XP系统中。2005年2月，Microsoft又宣布了收购反病毒软件公司Sybari的计划。因此外界普遍猜测Microsoft会进军反病毒领域，甚至进一步推出全线的安全产品。从Microsoft以往的产品线来看，除了一些小工具之和系统整合的功能外，安全类的大型产品只有ISA Server软件防火墙，而当记者在2004年问及Microsoft是否会开发IDS/IPS产品时，Adrienne Hall给出了否定的答案。按照Microsoft的一贯做法，在发布任何重要产品时，都是提供一个平台，同期提供开发工具包(SDK)，为独立软件开发商提供增值机会。然而，当Microsoft认为某一类工具会决定公司的命运，或者是用户所必备时，也会毫不犹豫地切入。浏览器就是最好的例子。Eric T. Ashdown指出，Microsoft收购Sybari是由于Microsoft认为这家公司提供的产品与Microsoft的Exchange具有优秀的整合能力，Microsoft今后可能会将相关的功能整合到Exchange中去。至于Microsoft是否会开发反病毒产品，目前还没有正式的说法，但可以肯定的是，Microsoft的产品中将不断地加入安全相关的功能，从Windows XP的个人防火墙和反谍件工具，到Exchange的EDGE Service(用于反垃圾邮件)都表明了这个趋势。至于桌面防毒方面，到底是使用收购的技术为反病毒厂商提供更好的接口和环境，还是提供基本的反病毒功能，或是提供按服务收费的反病毒功能，目前仍然是一个悬念。