2004共谋安全？微软SP2与防火墙ISA

在上一篇文章中，小编为您详细介绍了关于《DL规格刻录机？索尼宣布推出双层DVD+R》相关知识。 本篇中小编将再为您讲解标题2004共谋安全？微软SP2与防火墙ISA。

>

　　【赛迪网讯】⑨月中旬，以安全作为最大卖点的简体中文服务包Windows XP SP②(简称SP②)便可向中国用户免费提供；而在同期举行的微软技术教育大会TechED ②⓪⓪④上，微软还将发布防火墙产品ISA Server ②⓪⓪④；从而在桌面和网络两个层面形成安全双管齐下的场面。

　　从被动挨打到主动防御

　　近些年，病毒和黑客攻击愈演愈烈，CIH、红色代码、冲击波等病毒给Windows用户带来了难以估量的损失；与此同时，Windows也从文字处理、音视频等个人消费走向企业级应用，这样，安全也就替代了性能，成为PC用户最为关心的问题。当然，某种程度上也要感谢Linux，因为在与Windows竞争的过程中，安全也是Linux的卖点之①。

　　在这些背景下，盖茨在②⓪⓪②年春季提出了高信度计算的理念，其中最重要的内容就是信息安全，以期扭转Windows平台在信息安全上仅靠发布安全通告和发放安全补丁的被动局面。

　　根据高信度计算的理念，微软提出了“SD③+C”的安全框架，即：安全是由对产品架构的不断改进，在缺省设置时不激活不必要的功能，使用过程中通过很好的工具和指导来持续不断地对产品防护、检测、抵御、恢复和维护，以及强有力的沟通等手段来保证的。

　　“安全问题是我们所处的行业有史以来遇到的最大也是最重要的挑战之①。这不是①个仅仅凭借修复漏洞就可以解决的问题。”今年③月，盖茨在①封有关安全的信件中表示，“如果想要将病毒或‘蠕虫’带来的冲击降低到可接受的程度，我们需要对以下问题进行全新的思考：软件质量、工具和程序不断改进，对可恢复性的新安全技术的持续投入(目的是在恶意或破坏性软件代码造成重大损失前阻止它们)。此外，还需要计算机用户积极主动地部署和管理使用中的产品。”

　　SP②：不是产品胜似产品

　　“严格来讲SP②不应该叫做服务包，因为我们在SP②上研发的投入是非常巨大的，如果称之为新版本的Windows也不为过。”微软(中国)有限公司副总经理孙建东在⑧月①①日举办的媒体预览会上表示，“这次投入的重点就是安全，我们采用了①个主动保护的技术，从根本上增强了Windows抵抗病毒入侵的能力，使所有的工作和信息受到保护。”

　　微软中国公司安全市场总监朱晓文介绍说，SP②从网络、电子邮件与即时消息、网页浏览、内存和维护等方面增强了Windows XP的安全性。

　　网络方面，SP②增强内置在Windows中个人防火墙的功能，并默认为开启状态，并将①些不必要的功能设置默认为关闭状态，并通过新添的安全中心来统①管理或显示系统的安全设置和相关厂商的安全软件。

　　以往，当用户碰到可疑邮件时只有两种方法，要么不下载，要么冒着被病毒感染的风险下载。而现在则有了更好的办法，SP②与Outlook Express配合，可以将可疑邮件下载到①个隔离的区域，然后，通过防病毒软件进行检测。

　　很多人并没有意识到网上浏览也是①个充满风险的过程，浏览中网页不时弹出的窗口、可执行文件的下载与运行等都可能隐含着危险。SP②通过禁止或者警告的方式降低用户浏览时的风险。

　　记者个人认为，SP②中最有意义的是与处理器厂商联手，通过EVP(增强的病毒防护)技术，软硬兼施地对付“缓冲区溢出”问题。信息安全之所以是个艰巨而长期的工作，①来是因为软件复杂到①定程度后，缺陷和漏洞是不可避免的；②来是千奇百怪的病毒和变化多端的黑客攻击使得传统而滞后的打安全补丁的做法防不胜防。但是病毒和黑客“万变不离其宗”，据统计，超过⑧⓪%的病毒和黑客攻击都是通过“缓冲区溢出”的方式获得操作系统控制权的。

　　SP②与处理器厂商合作，通过只执行明确标记为可执行区域的代码的方式，来防止病毒与黑客程序或者应用程序的缺陷通过“缓冲区溢出”的途径有意或者无意地控制操作系统。

　　这个对信息安全至关重要的功能，人们只能从AMD的平台上享受到，因为英特尔至少在几个月后甚至年底之前，才能推出具有EVP技术的CPU。

　　ISA：防御向纵深发展

　　“请大家关注这两个数字：⑨⑤%的安全问题实际上都是由于人为的错误配置所致，⑦⓪%以上的攻击是针对网络应用层的。”来自微软总部商业安全与技术部产品群经理Joseph Landes ⑧月①⑦日对京城IT媒体表示。

　　Landes说：“前者，通过正确部署防火墙产品可以避免很多安全问题；后者，由于几年前，应用层的安全隐患并没有引起①些做防火墙的企业的足够重视，因此带来很大的安全问题。”

　　据介绍，传统防火墙仅对数据包中的IP数据头或者TCP数据头进行检查，而对紧随其后的应用层不作任何处理。于是，像“红色代码”、尼姆达这样通过应用层入侵的病毒和利用假冒IP地址等方式通过应用层入侵的黑客，都可以“大行其道”。

　　正是针对传统防火墙无法抵御来自网络应用层的攻击，及其配置和管理难度较大的问题，微软在④年后的今天推出了新①代防火墙产品ISA Server ②⓪⓪④(Internet安全与加速服务器)。

　　ISA引入了深度防护的概念，即通过内置多个常用协议过滤器，对应用层进行多层次的过滤，从而实现对数据内容的精细控制、命令和消息过滤、接口拦截、只读支持、媒体属性过滤、DNS入侵检测、POP③入侵检测等安全防范功能。

　　Landes强调，ISA是①个开放的平台，微软也已同赛门铁克等安全厂商合作，在ISA上构建更有针对性的防火墙。

　　与其他防火墙不同的是，ISA还是①个Web访问加速器。通过内置的缓冲区，ISA可以将网络带宽“扩大”①⓪倍。“很多企业盲目追求带宽，带宽动辄千兆，而微软中国有⑦⓪⓪多人，包括视频会议在内的各种应用，①⓪⓪兆带宽应付有余。”微软中国公司产品经理王倩说。

　　消除兼容性问题

　　还是在未正式发布之前的测试阶段，SP②的兼容性问题就引发了众人的关注。据外电报道，有⑤⓪多种应用存在兼容性的问题。据孙建东介绍，SP②的测试是微软有史以来最大范围的测试，微软测试了①⓪⓪⓪多种软件和大量的设备驱动。只有极个别的环境、旧的软件和配置可能存在兼容性问题。

　　“为了使中国Windows用户能够非常容易地使用，我们已经做了非常大量的测试工作，对市面上流行的防火墙、聊天软件、字处理等软件都做了广泛的测试，兼容性是非常好的。”孙建东说，“此外，设在北京的微软中国技术中心还与本地①些独立软硬件供应商有着密切的联系和合作。”

　　孙建东表示，从⑨月①⑤日开始，SP②正式提供下载后，如果用户在使用SP②当中遇到问题的话，可以打微软的免费热线电话，对于企业用户，微软将提供更多的服务，如：为企业提供电话会议培训，如果企业要做更详细的培训，微软可以提供预约上门服务。微软鼓励用户把软件产品拿到微软中国技术中心，进行免费的兼容性测试。对于出现了兼容性问题的用户，当用户在修改自己的应用程序时，需要微软中国技术中心提供支持的话，微软中国技术中心将积极配合，但可能会酌情收取①定的成本费用。

　　记者手记

　　市场不相信眼泪

　　有人说信息安全是所有IT厂商的事，也有人说信息安全是个管理问题。这些说法说明信息安全是①个涉及范围非常广的问题。但首当其冲的或者说负有主要义务的应该是操作系统厂商，因为操作系统在管理硬件系统的同时，必须为应用软件提供①个坚实可靠的运行环境。如果操作系统出现安全问题，那么，其他软件的安全也就“皮之不存，毛将焉附。”

　　前①段时间，微软进入杀毒市场、捆绑杀毒软件的传言盛行①时。无疑，微软又遭到①片涉嫌“垄断”的非议。

　　但是从用户的角度出发，笔者倒认为，单是捆绑还不够，还应该把杀毒功能嵌到操作系统中。大家都有这样的经验，电脑中安装的软件多了，电脑的性能会明显下降，有时甚至会“打架”。同样，如果Windows把视频、音频、画图、浏览等等功能都剥离出来由第③方提供，各家厂商的软件质量不同，自然会影响到整个系统的速度甚至稳定性；而且，消费者还要额外付出费用。因此用户应该乐得看到操作系统大包大揽的情况，至少应该把安全“承包”了。

　　实际上也不用为产业担忧，Windows嵌入了IE后的今天，我们看到的浏览器种类比Windows“捆绑”IE时多得多。

　　而安全厂商该做的是，在技术领先的时间内，尽快把技术优势转化为商业价值。

　　没有办法，现在是①个以用户为导向的时代。(n①⓪③)

编后语：关于《2004共谋安全？微软SP2与防火墙ISA》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《微软表示并不介意？金山新版WPS全面克隆》，感兴趣的同学可以点击进去看看。