互联网安全近况与微软安全策略

总量的56%。由此可以看出，为数不多的几种恶意软件是有害软件广为传播的罪魁祸首。

　　在检测中还发现，增长速度最快的一类恶意软件是对个人隐私和安全性造成最大影响的恶意软件。例如，从2006年上半年到下半年，检测到的远程控制和监视软件分别增长了277%和135%。

　　除此之外，社交工程威胁在范围和数量上也呈不断上升趋势。这些威胁的形式从利用用户无知的欺骗发展到高度复杂的恶意软件交付技术，而后者正是利用了通过Web 2.0技术所建立和维持的信任关系。

　　从这些发现中可以清楚地看到，现在的犯罪者更侧重于高层攻击，他们主要利用应用程序的安全操作不足和人类的社交弱点。操作系统级别的攻击仍处于较低的水平，且大部分的攻击目标都是已修补的漏洞。因此，及时部署安全更新仍是解决这些问题的重要措施。

　　除MSRT和相关防恶意软件工具的发现外，Microsoft Research还在2005年开发了在线攻击代码检测系统，即Strider HoneyMonkey，该系统可对犯罪者的漏洞攻击系统（包括攻击代码配置、颁发和更新）提供更进一步的监查。Strider HoneyMonkey系统包括一个Web爬网程序和一系列的Windows XP虚拟机，这些虚拟机的操作系统都打上了不同级别的修补程序和服务包更新，每个虚拟机作为一个密罐（Honeypot），用来吸引恶意网站的攻击。通过对16 000多个可疑URL进行初始扫描，并对从虚拟机攻击中所收集的数据进行分析，发现最新更新的那些计算机最不容易受到攻击，即便在恶意网站上冲浪也是如此。因此，更新是抵制在线攻击的最重要、最有效的措施。此外，恶意软件阵营中还有两类迥然不同的提供程序：内容提供程序和攻击提供程序。内容提供程序的特点是吸引Web用户访问其站点，然后将用户复位到攻击提供程序，扫描用户系统的漏洞，执行基于攻击脚本的特定攻击，以控制用户系统，使之成为"僵尸网络"的一部分。还有，内容提供程序和攻击提供程序总是狼狈为奸，常用最新推出的攻击代码更新其网站，其速度往往比用户部署安全更新的速度更快。

四、应对网络安全的挑战

　　Strider HoneyMonkey系统和各种不同Windows安全工具的发现显示，要解决不断升级的网络安全挑战，我们需要继续多方位地提升安全战略及战术。在组织内部，应以人员、系统和责任为中心，制定和实施综合安全策略，以满足企业针对安全风险的防护、执行和响应需求。

　　1.人员--发掘能力

　　在过去，针对人员的安全性增强主要是提高其安全风险意识，有针对性的安全培训只为专业的安全人员提供。但在帮助客户解决从Nimda到Sasser的安全问题，以及与法律机关合作，协助调查各类计算机犯罪事件的过程中，我们发现，许多的企业、IT专家和用户仍未做好准备，尚不具备有效处理当前安全挑战的能力。除了工具可用性因素以外，造成这一现象的主要原因还有安全流程的不充分以及安全知识和操作的不足。只有在人门能够满足基本的安全需求，并将安全操作融入其日常工作时，安全措施才最有效。

　　因此，微软在2003年10月启动了一项世界范围的安全动员计划，以帮助企业、IT专家和用户缩小这种差距。该计划旨在构建更多的安全指南、交付更多安全培训和方案、吸引安全合作伙伴社区，以及改进和增强主动安全通信，并为我们的工作人员、合作伙伴和客户做好准备，以更加可靠、有效的方式响应安全事件。

　　2.系统--风险缓解与措施执行

　　在系统级别，需要加快风险缓解工作。微软在Strider HoneyMonkey项目中发现，网络犯罪者习惯将系统（包括平台操作系统、数据库和商业应用程序）中存在的漏洞作为第一攻击目标。因此，更新IT系统安全的方法是在应对不断发展的安全挑战中取得成功的关键因素。

　　微软的基本原则是，先从降低不可接受的严重风险入手，为此微软实施了三位一体的缓解办法：评估、改进已感染恶意代码的软件的隔离性和弹性，以及在环境中开发和实施控制来管理风险。

　　作为这种方式的补充，微软还基于支持自动化和关键业务方案的新型安全技术进行投资并开发新功能，以提升企业价值，这在以前是绝对不可能的。这种方法允许以一种全新的方式连接客户、与合作伙伴相集成和提高员工能力。

　　3.响应--为下一事件做好准备

虽然微软能够解决企业IT环境中的已知风险，但俗话说"没有绝对的安全"，而风险管理的原则也是永远会有新的安全问题不断涌现。出现这些问题的可能原因是IT环境的复杂性、应用程序和系统软件中的bug，或单纯的人为错误或疏忽。我们无法预测和预见到所有这些问题。但是，从其他事故和突发事件（包括自然灾害）中得到的经验教会我们充足的准备工作会为此类事件带来不同的