加载中…
个人资料
微软中国
微软中国
  • 博客等级:
  • 博客积分:0
  • 博客访问:7,211
  • 关注人气:1,998
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

微软鼓励中国软件开发人员采用领先的开发工具和实践提高产品安全性

(2012-03-30 15:05:03)
标签:

it

microsoft

微软

信息安全

产品安全

分类: 微观中国

微软公司可信赖计算总经理 约翰·兰伯特 (John Lambert)

 

    在中国,随着安全界使用免费安全缓解技术和工具意识的增强,提高软件安全质量也将势在必行。上周,中国计算机学会计算机安全专业委员会和微软公司联合主办了2012信息安全论坛暨科技展,200多位政府官员、学者、安全专家和软件开发人员参加此次活动。活动上微软展示了一系列领先的开发工具和安全科技,鼓励中国软件公司采用这些工具和实践来提高产品的安全性。


    中国已经有五亿多网民,和更多的使用智能手机作为上网平台的用户。未来互联网用户的增长的空间依然非常大。对于广大网民来说,尤其是在互联网上消费的人群来说,有一个安全的IT环境是至关重要的。这也就是为什么我们希望通过本次活动推进和增强安全软件开发的意识和实践,确保互联网使用者有一个安全的使用环境。
   

    得益于各个业务部门和产品线,微软对全球的安全威胁行势有全局的了解。Hotmail通过对2.8亿个活跃用户帐户扫描,可以掌握恶意软件威胁,搜索引擎Bing 每天扫描数十亿个页面掌握恶意网页的情况。根据最新统计数据,现在中国有几乎24% 的互联网用户正在使用 IE6,占全球IE6 用户的半数以上。IE6是微软十年前开发出来的,当时我们安全软件开发的技术还没有那么成熟,IE6之后的软件开发的产品在安全性上都要比IE6强得多,我们希望更多的中国用户能够去使用更新版本的IE,因为这些新版本融入上安全开发的理念和作法。中国使用Windows XP操作系统的用户也较多,而Win7操作系统则可以大大降低恶意软件感染的概率。
   

    十年前,比尔▪盖茨提出了可信计算(TwC)计划,并为微软今后的发展指明了方向,即保证每一个电脑用户的体验都是安全、私密、可靠的。2004年,安全开发生命周期(SDL)诞生。此后,微软的所有产品都运用了安全开发生命周期。运用安全开发生命周期之后,微软开发出来的产品中的漏洞攻击已经下降了30%。安全开发生命周期意味着在软件设计开发的过程中,安全已经嵌入其中。在软件开发的早期,就采用威胁建模工具,发现正在开发的软件可能遇到的威胁,并尽早地采取措施,减少或避免这些威胁;在软件开发的晚期,通过测试的环节发现和解决漏洞。安全开发生命周期工具是免费提供的,迄今已经有各类开发者进行了超过85万次的下载。
   

    现在,微软每一条产品线有都有安全团队,同时微软还有一个综合的安全团队支持各个业务部门和产品线。微软可信计算部门的其中一个团队是安全响应中心(MSRC),安全响应中心是一个被动反应式的安全响应中心,只要是在微软产品中生产了漏洞,安全响应中心会采取措施加以处理;安全工程中心(MSEC)则是微软的安全工程中心,微软的安全工程中心则是积极主动的安全预防中心。在微软的安全工程之下有安全开发生命周期和安全科学这两部分。从分工上来说,安全响应中心主要是针对已经投放市场的产品,比方说Windows XP,而安全工程中心则主要是针对即将但是尚未投放市场的产品,比如Win8。如果安全工程中心的工作没有做好的话,那么接下来安全响应中心在后续的工作中就会很麻烦。这样一种紧密合作的模式可以有效地提高产品的整体安全性。安全科学通过开放最前沿的工具和安全保护技术,既可以提前发现漏洞,同时通过安全环节的技术实现纵深的保护,并且对整个生态系统价值链中的威胁与漏洞始终保持监控。安全科学是融入到了我们的安全开发生命周期当中的。

   

    目前,微软主要利用两个技术来帮实现深度防御功能,即数据执行保护(DEP)和地址空间布局随机化(ASLR)。数据执行保护使得黑客攻击的数据不会被作为一个执行文件的代码来处理,这样就使得黑客的攻击变得非常困难。而地址空间布局随机化则可以当黑客准备利用你系统的漏洞进行攻击时,对系统的行为做出一些预测。有了地址空间布局随机化,每次你开机的时候,你的电脑的地址空间都会有一个随机化的布局,这样就让黑客没有办法去预测。打个比方,开汽车我们可以告诉司机要安全行驶,但是即使在他们有这个安全意识的情况下,任然可能发生事故,在发生事故的情况下,我们会有安全带和安全气囊去保护我们。深度防御技术,比如数据执行保护和地址空间布局随机化起的正是这样一种作用,有了这两个技术的幕后保护,即使我们的开发员在编写代码的时候出现了失误,都不会被黑客利用。那么我们安全技术的工具,如数据执行保护和地址空间布局随机化都是免费提供给开发者使用的。我们就是希望开发者在编写代码的过程中,能够把我们的这种深度防御的技术用进去。


    为帮助 IT 专业人员和软件开发人员利用安全科技资源和最佳实践领域的最新创新成果,微软还有四个安全开发工具供开发人员使用:


    • 增强的缓解体验工具包(EMET) - 这是微软为开发者提供的,可以免费下载的工具,其中包含了我们刚才

      说的深度防御的工具,数据执行保护和地址空间布局随机化。它不光可以用于新产品开发,同时也可使早

      期开发出的应用程序具有最新的安全保护能力;


    • 攻击面分析器(Attack Surface Analyzer) - 主要是为软件开发人员和IT专业人员服务的,当他们在PC系

      统当中加装一个新的软件的时候,供给面分析器会分析新加装的功能和可能会给用户带来的、潜在黑客攻

      击风险;

 

    • 威胁建模工具(Threat Modeling Tool) - 是帮助开发者在开发早期把自己作为一个黑客,使得开发者能

      够超前于潜在攻击者的思维进行开发。帮助工程师分析系统威胁,在软件生命周期的早期发现并解决设计

      问题;
   

    • BINSCOP工具 - 是软件开发过程中的一个安全合规的工具,也就是帮助开发人员评估你开发出来的软件是

      否充分利用了DEP和ASLR样的深度防御技术。
  

    希望这些工具可以提升人们对安全开发软件的认识,确保用户的应用能够得到安全性能上的更新,同时我们也鼓励大家尽可能使用已经融入了我们深度防御技术、安全开发科学的新的软件产品和更多版本的产品。微软将继续和中国的公司,如淘宝、奇虎 360 和翰海源,围绕着安全技术进行合作,共同提升安全开发的意识和先进的实践。

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有