问题4　Microsoft会正确对待安全性吗？

　　在Bill Gates最后一次在RSA 2007大会上出现在公众面前时，他与Craig Mundie（Gates将指挥公司产品安全发展方向的指挥棒交给了他）同台亮相。这两个人以自我批评的口吻解释了Microsoft的软件为什么达不到要求的原因。

　　两个人指出过去Microsoft软件缺少安全性的原因可以追溯到早期年代的一种天真的想法。这种想法认为由于“所有人都是善良的”并且数据中心似乎被谨慎地保护起来，所以不需要多少控制。

　　Nemertes Research公司高级副总裁、创建合伙人Andreas Antonopoulos认为，几十年积累下来的包袱仍是Microsoft的负担。他说：“甚至在今天，25年前做出的基本设计决策仍困扰着Microsoft.Windows Vista不是一种新操作系统。在Vista外衣下有很多老的操作系统，为了确保应用的向后兼容性，Vista承担了过去20年积累的负担。”

　　Antonopoulos认为，Microsoft处于一种两难境地。如果这家公司的确决定在软件上重起炉灶，它可能不得不牺牲财务优势。他说：“这种事不可能发生。”

　　Burton Group分析师Dan Blum表达了类似观点，他说：“从这个意义上讲，他们是受害者。他们在思想上受到向后兼容性的限制。几年前，Microsoft曾在所谓的下一代安全计算基础（NGSCB）项目中寻求与过去决裂，但Microsoft停止了这个项目。”

　　Microsoft仍沿着“方便性、灵活性和向后兼容性”的道路前进，而这使得Microsoft在市场中具有最大的优势。Blum假设如果他是Gates，他会尝试一种“并行方式”来开发下一代可信任的操作系统，即使与已有应用决裂。

　　“在另一些方面，Microsoft总体上制定了一种可行的身份战略，但受到其以Windows为中心的方式的束缚。”Blum说，“他们永远不会批准任何不同的平台。例如，Microsoft缺少对SAML标准的支持就是个大错误，不符合软件行业的最大利益。”

　　Antonopoulos认为，Linux、Unix和Macintosh操作系统在发货时具有比Microsoft产品更好的“安全设计状态”。

　　不过，Antonopoulos和Blum都认为Microsoft在Vista和XP2上有了改进。

　　“问题在于Microsoft造成了一种坏的声誉，摆脱这种恶名很难。”Antonopoulos说。Microsoft拥有大量掌握着身份和信任专业知识的天才工程师，但他们在工程会议上表达的想法却很少被采用到Microsoft软件中。他补充说：“我认为这些想法肯定被驳回了。”

　　对于一些与Microsoft密切合作的第三方安全软件提供商来说，有时也是很难受的。

　　生产用于Microsoft桌面和服务器产品的口令和管理员管理工具的Lieberman Software公司总裁Phil Lieberman说：“这一直就是个过山车。

　　Microsoft面临的问题是它不仅仅是一个公司;它是走在不同的道路上相互打架的存在分歧的多个公司。“

　　Lieberman说，在一些Microsoft部门中，如那些管理CRM或Office产品的部门，不存在为安全性与第三方应用合作的努力，而核心操作系统部则更开放。

　　但是，与Microsoft合作（这可能是获得正式Microsoft认证所必需的）的更令人生气的部分是这家公司不更新技术文件。

　　Lieberman说：“很大一部分操作系统没有记录到文件中。他们前进的速度很快，发行那么多的版本和更新，没有人记录他们在做什么。例如，如果Microsoft为周二补丁发布修改某个东西并且数据链接库被修改了，他们不愿修改文件，而你的应用则不能使用。我们不得不研究这个问题，结果发现他们修改了它。”

　　尽管承认Microsoft不良的记录，但另一些记录却让人稍感安慰。

　　Symantec公司安全响应部经理Oliver Friedrichs说：“Microsoft进行改进的努力产生了正面影响。我们必须在改进操作系统安全性上给Microsoft一些表扬。”

　　过去几年里，没有出现过像Code Red、Blaster和Nimbda这样的利用Microsoft产品存在的漏洞在世界范围造成重大破坏的灾难性的蠕虫攻击。

　　Friedrichs补充说：“今天的攻击者将注意力放在第三方Web插件上。”

　　SystemExperts公司总裁Jon Gossels说：“很容易选择Microsoft产品作为攻击目标，因为它们无处不在，而且历史上存在问题。但是他们的产品每年都在改进，有很多专业人员在努力寻找产品存在的隐患。”

　　问题5　NAC：你的防火墙足够用了吗？

　　网络访问控制（NAC）并不是为所有人准备的，但它可以成为控制个人获得网络接入环境的有价值的工具。

　　NAC可以在对终端进行全面的检查后，再允许终端进入企业网络。这类检查有助于那些要求合法终端必须被正确配置的企业。

　　大多数NAC平台不仅执行这种功能，而且还记录执行过程，而这是不同管理规定（如PCI标准和医疗保险便携与责任法）所要求的。

　　如果企业拥有经常使用它们的网络的全职雇员、承包商和客户构成的多样化的用户群体，NAC可以帮助确保他们用来连接的设备符合配置政策。

　　对于达不到要求的机器，NAC可以修补它们，隔离它们或批准它们访问只有有限资源并且它们只能造成有限破坏的网段。

　　同样，必须按部门或职能划分网络的企业可以利用NAC中的授权控制将访问权限控制在相当精细的水平上。

　　Forrester Research公司分析师Rob Whitely说：“如果公司面临多种遵从性要求（Sarbanes-Oxley法、PCI、HIPAA），拥有多样化的劳动大军（雇员、承包商、远程工作人员、合作伙伴、供应商）和全球运营（需要按地区、业务单位以及其他情况划分环境），那么NAC最终将成为分层安全架构中的元素。”

　　这种分层的安全架构较少依赖于作为主要防线的周边防火墙，而更多的依赖于寻求减少威胁的不同的安全层。他说，NAC并不是必需的，但是它将成为这些新安全架构的至关重要的组成部分。

　　多数网络没有NAC仍可以存在下去。这项技术防止受到损害的机器获得网络接入以及减少如果它们得逞所造成的破坏。但它并不能保证安全性。

　　NAC是为应对传统的3层防火墙不能对付的威胁而生的，现在出现了NAC不能对付但可以做出重要贡献的威胁。

　　Whiteley说：“问问你自己：你的防火墙足够用了吗?如果够用了，很可能就不需要NAC了。NAC提供额外的主机完整性检查，但这除了更细粒度的认证和授权之外（这些实际上只是试图弥补今天防火墙存在的不足），没有提供其他的价值。”

　　问题6　IT解决了补丁管理问题了吗？

　　补丁和安全漏洞管理工具可以承担检测和保护一个基本上静态的、受控的环境中存在漏洞的机器的任务。这一技术领域被认为是IT经理中的重点任务。IT经理很可能用了很多年时间来完善他们的漏洞扫描、补丁测试和软件分发过程。

　　据Enterprise Management Associates公司的一项调查显示，接受调查的250位IT经理中的76%使用某种补丁管理产品，并说打补丁是个非常重要的过程。VanDyke Software的第五次年度企业安全调查采访了300位网络管理员。调查发现30%的人仍为打补丁去担心，这一数字比过去几年减少了。一些业界观察家推测担心的减少反映了补丁管理产品和IT经理的修补过程中的成熟度。

　　佛罗里达州Gainesville市Exactech公司网络管理员Craig Bush说：“我们实际上没有任何改变需要被修补的东西的事情，除了远程访问用户之外，这些用户一直给我们保持修补造成困难。目前，我们必须等到客户机连接在我们的VPN后才进行更新，而这永远是不规律的。”

　　Exactech公司的修补过程很成熟，但厂商可以通过为用户节省在把补丁部署到分散的机器之前恰当地测试补丁的时间，来方便修补过程。他说：“厂商应当确保在发布补丁之前全面地测试过它们。这种事对于开源技术比对于像Microsoft这样的封闭源代码公司更容易，Microsoft通常需要更长的补丁交货时间。”

　　但是业界观察家说，今天和未来补丁技术所面临的问题将更多地涉及用户环境而不是厂商的更新。他们警告说，尽管补丁管理技术可以被认为是成熟了，但随着环境演进到包括更多的虚拟化和复杂应用基础设施，补丁技术也必须向前发展。Altiris公司（现在成为Symantec的一部分）、BigFix、CA、St. Bernard Software、PatchLink和Shavlik Technologies等厂商反过来必须将对虚拟化和其它技术的支持加入到他们的工具中来充分地修补客户环境。

　　Enterprise Management Associates研究主管Andi Mann说：“这是个比较成熟的技术，但这并不意味着它在控制之中。虚拟化等领域中的补丁技术目前仍很不成熟;服务器和桌面虚拟化正在将补丁技术的老规则抛出窗外。”

　　虚拟化带来复杂性，并且造成在同样的时间里需要修补的机器的数量大大增加。这可能造成IT经理加快补丁测试过程，而这最终将造成生产机器上的配置冲突。Mann说：“测试是补丁技术的关键要素，在存在像零天攻击这样的直接威胁以及虚拟机数量急剧增加的情况下，确保所有的更新一起配合保护环境变得更困难。”

　　分析师Jasmine Noel认为，再加上依从性修补，修补可能成为IT经理面临的新的挑战。她表示，随着环境变得更加复杂，分发补丁的厂商数量的增加，测试和分发更新的多个层次将令许多IT经理目前采用的老修补方式不再适用。

　　企业网络安全亟待解决的六大问题（上）