有关网络安全的6个急迫问题4、Microsoft会正确对待安全性吗?

　　在Bill Gates最后一次在RSA 2007大会上出现在公众面前时，他与Craig Mundie(Gates将指挥公司产品安全发展方向的指挥棒交给了他)同台亮相。这两个人以自我批评的口吻解释了Microsoft的软件为什么达不到要求的原因。

　　两个人指出过去Microsoft软件缺少安全性的原因可以追溯到早期年代的一种天真的想法。这种想法认为由于“所有人都是善良的”并且数据中心似乎被谨慎地保护起来，所以不需要多少控制。

　　Nemertes Research公司高级副总裁、创建合伙人Andreas Antonopoulos认为，几十年积累下来的包袱仍是Microsoft的负担。他说：“甚至在今天，25年前做出的基本设计决策仍困扰着Microsoft.Windows Vista不是一种新操作系统。在Vista外衣下有很多老的操作系统，为了确保应用的向后兼容性，Vista承担了过去20年积累的负担。”

　　Antonopoulos认为，Microsoft处于一种两难境地。如果这家公司的确决定在软件上重起炉灶，它可能不得不牺牲财务优势。他说：“这种事不可能发生。”

　　Burton Group分析师Dan Blum表达了类似观点，他说：“从这个意义上讲，他们是受害者。他们在思想上受到向后兼容性的限制。几年前，Microsoft曾在所谓的下一代安全计算基础(NGSCB)项目中寻求与过去决裂，但Microsoft停止了这个项目。”

　　Microsoft仍沿着“方便性、灵活性和向后兼容性”的道路前进，而这使得Microsoft在市场中具有最大的优势。Blum假设如果他是Gates，他会尝试一种“并行方式”来开发下一代可信任的操作系统，即使与已有应用决裂。

　　“在另一些方面，Microsoft总体上制定了一种可行的身份战略，但受到其以Windows为中心的方式的束缚。”Blum说，“他们永远不会批准任何不同的平台。例如，Microsoft缺少对SAML标准的支持就是个大错误，不符合软件行业的最大利益。”

　　Antonopoulos认为，Linux、Unix和Macintosh操作系统在发货时具有比Microsoft产品更好的“安全设计状态”。

　　不过，Antonopoulos和Blum都认为Microsoft在Vista和XP2上有了改进。

　　“问题在于Microsoft造成了一种坏的声誉，摆脱这种恶名很难。”Antonopoulos说。Microsoft拥有大量掌握着身份和信任专业知识的天才工程师，但他们在工程会议上表达的想法却很少被采用到Microsoft软件中。他补充说：“我认为这些想法肯定被驳回了。”

　　对于一些与Microsoft密切合作的第三方安全软件提供商来说，有时也是很难受的。

　　生产用于Microsoft桌面和服务器产品的口令和管理员管理工具的Lieberman Software公司总裁Phil Lieberman说：“这一直就是个过山车。

　　Microsoft面临的问题是它不仅仅是一个公司;它是走在不同的道路上相互打架的存在分歧的多个公司。“

　　Lieberman说，在一些Microsoft部门中，如那些管理CRM或Office产品的部门，不存在为安全性与第三方应用合作的努力，而核心操作系统部则更开放。

　　但是，与Microsoft合作(这可能是获得正式Microsoft认证所必需的)的更令人生气的部分是这家公司不更新技术文件。

　　Lieberman说：“很大一部分操作系统没有记录到文件中。他们前进的速度很快，发行那么多的版本和更新，没有人记录他们在做什么。例如，如果Microsoft为周二补丁发布修改某个东西并且数据链接库被修改了，他们不愿修改文件，而你的应用则不能使用。我们不得不研究这个问题，结果发现他们修改了它。”

　　尽管承认Microsoft不良的记录，但另一些记录却让人稍感安慰。

　　Symantec公司安全响应部经理Oliver Friedrichs说：“Microsoft进行改进的努力产生了正面影响。我们必须在改进操作系统安全性上给Microsoft一些表扬。”

　　过去几年里，没有出现过像Code Red、Blaster和Nimbda这样的利用Microsoft产品存在的漏洞在世界范围造成重大破坏的灾难性的蠕虫攻击。

　　Friedrichs补充说：“今天的攻击者将注意力放在第三方Web插件上。”

　　SystemExperts公司总裁Jon Gossels说：“很容易选择Microsoft产品作为攻击目标，因为它们无处不在，而且历史上存在问题。但是他们的产品每年都在改进，有很多专业人员在努力寻找产品存在的隐患。”