200多位政府官員、學者、安全專家和軟件開發人員齊聚一堂,就信息安全問題展開積極討論,微軟可信賴計算部門總經理 John Lambert 鼓勵中國軟件公司采用業界領先的開發工具和實踐來提高產品安全性,增強在全球市場的競爭力。
2012 信息安全論壇和科技展由中國計算機學會計算機安全專業委員會和微軟公司聯合主辦,大會內容包括主題演講、圓桌討論和安全增強技術的現場演示。
微軟大中華區首席法律顧問Tim Cranton
Lambert在主題演講中重點談到中國的具體安全趨勢,同時強調軟件開發人員迫切需要利用能夠實現深度防御的安全緩解技術。
根據 Net Applications 的數據,現在中國有幾乎24% 的互聯網用戶正在使用 IE 6,占全球 IE 6 用戶的半數以上。 此外,這些計算機中的大多數在運行 Windows XP 或更早的平台。 Lambert 強調,這個統計數據令人擔憂,因為根據 Microsoft 安全報告第 11 卷 的報告,Windows XP Service Pack 3 感染惡意軟件的可能性比 Windows 7 高六倍。
Lambert表示,“本地安全公司、軟件公司和搜索服務提供商都在競爭中國市場,在這些公司中,很多在運行各種版本的Windows操作系統、IE和其它基於Trident的浏覽器。”
計算機安全專委會常務副主任 嚴明
“我們對這個市場的安全科技進行了分析,分析結果是,這些供應商中很多仍然沒有利用Windows內置的安全緩解技術,如地址空間隨機化(ASLR)和數據執行保護(DEP)。”
為幫助 IT 專業人員和軟件開發人員利用安全科技資源和最佳實踐領域的最新創新成果,微軟演示了在此次活動中展示的四個安全開發工具:
增強的緩解體驗工具包(EMET) - 幫助用戶緩解像零日威脅這類沒有安全更新的威脅;
微軟可信賴計算部總經理 John Lambert
攻擊面分析器(Attack Surface Analyzer) - 這一工具可在安裝產品前後獲取系統狀態的快照,顯示對 Windows 攻擊面若干關鍵因素的更改;
威脅建模工具(Threat Modeling Tool) - 幫助工程師分析系統威脅,在軟件生命周期的早期發現並解決設計問題;
BinScope 工具 - 驗證是否正確使用了安全緩解技術,如 ASLR 或 DEP。
隨著安全界使用免費安全緩解技術和工具的意識日益增強,提高軟件安全質量也將勢在必行。 這樣可以培育更安全的全球計算生態系統,幫助保護世界上最大軟件市場上的 Windows 和 Internet Explorer用戶。
微軟可信賴計算部門旗下的安全工程中心 (MSEC) 在Lambert的領導下從事安全科技工作。 安全科技的用途是識別新出現的安全漏洞和威脅類別,針對這些新類別進行主動防御開發。 微軟使用安全科技開發先進的工具和技術,使攻擊軟件難於成功。
Lambert 在演講的最後,向用戶和 IT 專業人員提供了具體的指導,幫助他們獲得保護,防范攻擊。 他鼓勵用戶使用新產品,讓他們的系統及時安裝最新的安全更新,使用來源可靠的反惡意軟件。 微軟還鼓勵 IT 專業人員思考一下,他們正在使用或考慮使用的軟件是否執行了類似 SDL 的安全流程來盡量減少軟件漏洞,以及是否采用了攻擊緩解技術。