微软为软件开发流程植入安全基因

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:maciqian
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  
  信息泄露、恶意攻击并非都由病毒和木马引起,造成风险的原因还有系统漏洞和第三方应用软件漏洞。
  
  第三方应用不安全
  
  微软在今年4月8日发布了第六期《微软安全研究报告》。该报告显示,随着软件公司改善了操作系统的安全性,目前第三方应用软件已成为恶意软件的主要攻击目标,2008年下半年发现的漏洞中有90%涉及到应用软件。
  
  微软公司大中华区战略安全架构师裔云天说,如今,在具有一定规模的企业的IT环境里往往存在着少则上百个,多则上千个大大小小的业务应用,小到支持几个人的小规模团队的协同应用,大到贯穿于一个企业生产、经营、管理全过程的企业级应用。随着软件公司改善了操作系统的安全性,攻击者已经把目光转向应用层面。降低信息技术给企业带来的各种安全风险,无疑已成为当今所有企业面临的新挑战。
  
  报告中显示,在最近四年里出现的安全漏洞中,全球排名前五大IT厂商,包括微软、IBM、思科、甲骨文和苹果在内,总共的系统漏洞只占了所有漏洞的14%,而其他的占了86%。在2008年出现的所有安全漏洞中,对Windows XP有影响的漏洞占41%左右,而影响Windows Vista的只占了5.5%,也就是说从安全角度来看,Windows Vista的安全性远远超过了Windows XP。换句话说,在即将面世的Windows 7中,安全性会更高。
  
  从近几年发现的漏洞状况来看,基本上90%的第三方应用软件漏洞都可以被黑客用来发起远程攻击。也就是说,如果某个存在漏洞的电脑接入互联网,一个黑客可以从全世界任何一个国家对它发起攻击,或者偷取数据,或者对它进行控制。
  
  裔云天解释说,这是因为第三方软件开发商没有把安全问题考虑进去,更多的是考虑软件的功能性,所以漏洞百出。
  
  在微软安全博客中,微软大中华区安全组成员表示,企业信息安全的涵盖面非常广,涉及到人员、流程和技术等诸多方面的因素。正因为如此,一方面,信息安全越来越受到广泛的关注,并且企业在信息安全方面的投入不断增加,而另一方面,各种给企业造成负面影响的安全事件却层出不穷。单纯的技术手段往往无法帮助企业彻底消除存在的诸多安全问题,只有建立起一整套安全策略和流程,通过合理地资源配置并且充分利用各种技术和非技术手段,企业才有可能更加有效地管理各类安全风险。
  
  改进软件开发流程
  
  从前“寻找安全漏洞”的做法并不能真正保证应用的安全性。裔云天认为,企业有必要改进软件开发流程,做到在应用开发的整个过程中自始至终地关注应用安全。保证和提高应用安全性的最佳时机是在應用的开发阶段。
  
  微软可信赖安全部门通过多年来在安全领域的实践经验,创建了一整套安全开发流程,即信息技术安全开发生命周期流程(Secure Development Lifecycle for Information Technology,缩写为SDL)。该流程包含一系列的最佳实践和工具,多年以来不仅被用于微软内部业务应用的开发过程中,而且也被成功地应用在许多微软客户的开发项目中。
  
  安全开发生命周期有两个目标:一是缩减与安全性有关的设计缺失与程序码缺陷错误,二是降低未完全解决的缺陷错误的严重程度。
  
  记者了解到,SDL流程涵盖了软件开发生命周期的整个过程。目的是通过在软件开发生命周期的每个阶段执行必要的安全控制或任务,保证应用安全最佳实践得以很好地应用。SDL强调在业务应用的开发和部署过程中对应用安全给予充分的关注,通过预防、检测和监控措施相结合的方式,降低应用安全开发和维护的总成本。
  
  SDL流程的第一步首先是对所要开发的应用程序进行安全风险评估,接下来SDL-IT流程要求为应用建立安全威胁模型。在应用程序投产前,微软要求由独立的安全团队对应用程序的安全性进行综合评估。主要内容包括对应用进行代码安全审核(即白盒安全测试)以及对应用程序的部署及环境进行安全审核。
  
  虽然SDL会在一定程度和一定阶段增加应用开发的成本,但是却可以有效地帮助企业提高开发、部署和投产的应用的安全性和质量。SDL以往只是在微软内部使用,用来保证操作系统的安全性。从去年下半年开始到现在,国外已经有十余家企业开始采用SDL对应用软件进行开发和评估。
  
  传统防火墙无法应付Web威胁
  
  ■ 本报记者那罡
  
  Gartner统计,目前75%的攻击已经转移到应用层,企业的网站不断遭到攻击,原有的防火墙已经不能满足企业对网络攻击的防御。这是因为应用层面非常广,比如说Web应用、邮件应用、中间件应用等,应用在不断增多,导致现在很多攻击在应用层,用户原有的防火墙或是IPS不能进行全面的防御了。
  
  Web威胁在加剧
  
  当前全球安全漏洞的发现速度在快速上升,Web威胁也在加剧。同样,利用这些漏洞所进行攻击的数量也在上升,这些攻击所采用的技术也更加先进。对于中国的IT管理员来说,他们既要保护好关键数据,又要使网络性能满足要求。因此,发现并且解决这些漏洞正在快速变为一项艰巨的任务。
  
  Fortinet全球总裁谢青认为,安全厂商需要对企业的各种内部应用非常了解,比如对OA、MIS、ERP等应用的支持。因此当初Gartner就曾提出更加综合的应用交付网络的概念,将安全、加速、管理等集成在一起,实现完整的Web保护。
  
  之前有专家介绍说,当前Web应用防火墙从全球范围内已经进入部署的高峰期,准确地说是第二波浪潮已开始。以美国为例,它最早是在美国能源部使用,确保能源安全,之后过渡到一些普通政府部门使用,最后到纽约市的卫生局都开始采购。特别是2008年PCI法案通过,要求提供信用卡网上支付超过一定营业额的企业,都需要配置Web应用防火墙。可以说,国外Web应用防火墙进入了成熟化与普及化时代。
  
  在记者看来,随着基于Web的各种应用高速发展,大量企业用户和合作伙伴将会涉及到各种复杂的在线交易、数据交换,包括库存管理、客户关系管理。这些应用程序通常与敏感数据资产相关。
  
  在应用Web化之前,这些应用程序位于公司网络深处,受到多层安全保护。现在,这些应用被翻新成基于Web的“体验”,以支持更大规模的用户或合作伙伴,也就被迫迁移至离网络边界更近的位置。
  
  Web防御强调性能
  
  谢青向记者表示,X-UTM将成为新一轮安全投资的重点。X-UTM已经在Web防御性能、应用层过滤性能以及网络基础性能三方面具备强大的技术优势,从全球的情况看,极有可能取代传统防火墙市场的大部分份额。而且IDC以及Gartner都频频对此抱以期待,因此有理由相信X-UTM在国内的井喷潜力。
  
  梭子鱼通过收购Netcontinum进入到了应用防火墙市场,于2008年正式将应用防火墙推向市场,从技术角度上说,其最大的特点是利用策略实现应用层流量的过滤。梁中钢介绍称,梭子鱼应用防火墙提供信息阻断、应用层安全防御和关键业务加速三大功能。
  
  记者了解到,其中信息阻断功能就是将应用防火墙部署在Web服务器群的前方,并提供反向代理,也就是说,所有Web的交互信息都将被应用防火墙拦截,在应用防火墙中缓存,再通过扫描过滤放行无害的流量,阻断有危险的流量,加上相关的关键业务的策略配置,从而达到有效防御应用层攻击的目的。
  
  需要注意的是,目前在金融、电信、医疗、大企业等行业,用户对多功能应用安全网关非常感兴趣,从功能的专业性而言无论是UTM、下一代安全网关还是Web安全网关都能在一定程度上满足这些行业用户的需求。
  
  但作为合格的企业级多功能应用安全网关,除了具有全面的功能外,开启所有功能后的性能也是不容忽视的,也是用户选择多功能安全网关时需要多方面评测的重要指标之一。
  
  这就需要用户在对各个功能模块的实现技术与原理进行深入研究以辨明安全防御和管控功能的同时,也需要辨明设备架构、操作系统以及扫描处理算法,甚至功能实现技术所带来的性能差异。功能再全面,如果没有良好的性能,那也只能是花架子。
  
  
  
其他文献
广州安正软件科技有限公司(简称安正软件)成立于2006年,专注于信息技术服务领域,尤其是企业数据应用领域,通过数据仓库、商业智能、统计技术等信息类技术的融合运用,服务企业的业务管理与分析决策,为客户提供数据到信息、信息到知识的完整解决方案以及相关产品与服务。  安正软件提倡创新、求是、诚信、合作、进取的企业文化氛围,以平等、开放、自由的沟通方式以及专业、诚信、求是的服务态度为电信、保险、金融、政府
投入达8500亿元的医改“蛋糕”和3G牌照的发放如一石激起千层浪,引起了国内外软件巨头的高度关注,而在国内医疗领域和电信领域耕耘多年的东软,也积极在医疗信息化和3G业务方面进行了战略布局。最近,借助软博会的机会,东软对媒体宣传了在这两项业务上的新策略。    基层医院是重点    医改方案提出,三年内中央将重点支持2000所左右县级医院建设,还将完成2.9万所乡镇卫生院和1.1万个社区卫生服务站的
6月,富士施乐对热销的网络多功能一体机Phaser 3200MFP/N进行了大幅价格调整,在之前4999元媒体报价基础上让利2000元,达到普通A4网络单功能打印机的价格。富士施乐(中国)有限公司打印机事业部产品经理张新认为:“采购成本的大幅降低,可以有力助推网络办公的进程。”  除了具有竞争力的价格,3200MFP/N在产品性能方面丝毫没有缩水。3200MFP/N的打印速度是每分钟24页,属于中
InfiniBand以其高带宽、低延迟、易扩展的技术特性,被认为是刀片服务器以及集群节点之间最佳的互联技术之一。尤其在高性能计算领域,这种服务器与存储连接方案占据着绝对上风。我国目前速度最快的高性能计算机曙光5000A就是基于Mellanox提供的ConnectX DDR Infiniband互联技术搭建网络的,它实现了20Gbps的传输速率、1.3us的低通信延迟。    I/O不该成为瓶颈  
10月15日,IBM在西安正式启动“2009 IBM服务器及存储解决方案全国巡展”活动,该活动将在全国各大城市举办一百站,是IBM4季度在硬件方面最重要的市场活动。  自8月份IBM宣布“蓝旋风”计划以来,“非北上广”的区域市场成为IBM新的拓展目标,这一块也就成了IBM名副其实的长尾市场。  此次IBM在西安启动的百站巡展活动,是要落实之前的区域市场拓展计划。我们可以看到IBM在三个方面加强了整
高达十亿美元的财务造假丑闻让印度排名第四的外包企业萨蒂扬,短短数月,就不得不靠出售股权来生存下去。究竟是什么原因,让萨蒂扬靠做假账来维持企业营运?这对中国的外包企业又有着怎样的借鉴意义?    萨蒂扬软件技术有限公司(以下简称萨蒂扬)的创始人兼董事长拉马林加·拉贾可能做梦也没有想到,自己一手创立的公司会毁在自己手中。4月14日, 印度公司Tech Mahindra在萨蒂扬竞购中以最高价60亿卢比(
斐讯 SOHO级网络解决方案     斐讯通信SOHO级网络解决方案包括FreeSwitch 800系列百兆接入交换机、1824型千兆接入交換机以及FR801无线宽带路由器等网络通信设备。FreeSwitch 800系列SOHO级交换机是专为工作组级网络、小型办公场所设计的百兆快速以太网交换机,可提供8~24个10/100Mbps自适应端口。通过全智能控制即插即用端口,FreeSwitch 800
一直以来,云安全存在两种技术发展路径,一种是依靠海量服务器、基于搜索引擎技术的“云架构”系统,另一种是依靠分布在互联网每个角落的用户搭建的“云安全”系统。一岁多的云安全,让众多用户和厂商开始重新思考云安全对用户终端的意义和核心价值是什么。    准确的说,云安全1.3岁了,从一个看不见的概念到如今可以拿出无数案例。趋势科技、卡巴斯基、瑞星和熊猫安全等安全公司一年多的“云”体验,时间不长,但效果明显
已婚,有两个孩子,年过50的Hal Wolf,是目前美国最大的非盈利性健康计划和综合医疗服务机构——Kaiser Permanente(以下简称KP)的高级副总裁兼首席运营官。  Hal Wolf的职业生涯虽不能说是传奇,但却称得上丰富:他横跨传媒、网络、电信、医疗等行业;近十几年来,跻身管理层,先后负责技术研发、业务运营、信息技术等部门的管理工作。  多年的历练,尤其是首席信息官和运营主任的工作
很多华尔街公司都在打造SOA架构,期待达到一个更高的水准。SOA强调功能实体的完全独立自主能力,采用大数据量的低频率访问和基于文本的信息传递方式,从而达到理想的兼容性。美林证券、摩根大通等公司所采用的SOA技术已经运行了5年甚至更长时间了。根据最近一期《Wall Street