安全話題始終都是非常嚴(yán)肅和重要的話題。微軟全渠道事業(yè)部首席技術(shù)官（CTO）徐明強(qiáng)博士披露了微軟在安全領(lǐng)域的策略、方法論、全球化布局以及實際應(yīng)用成效。

微軟安全管理跨越三大階段

一直以來，人們都認(rèn)為Linux天生比Windows要安全的多，以前Windows每年都會爆出大量的漏洞。但2003年Windows XP和Windows Server發(fā)布后，漏洞明顯減少，以至于有熱衷于Linux開發(fā)的人加盟微軟，去探究微軟的安全是怎么做的。

在那里，他找到了答案——微軟自己定義了一套威脅模型建造的軟件工程，即安全設(shè)計的生命周期管理（Security Design Life Cycle）的方法論，使得產(chǎn)品的安全性不斷提高，同時安全管理水平也不斷提升。

這個威脅模型首先把每一個邊界標(biāo)注清楚，包括節(jié)點(diǎn)、數(shù)據(jù)、應(yīng)用進(jìn)程的邊界等等，之后顯示所有這些不同的威脅存在的風(fēng)險并進(jìn)行量化，同時建立適當(dāng)?shù)木徑獯胧?/p>

2010年之后，開始了移動和云計算的時代，數(shù)據(jù)分布在公有云、私有云以及移動設(shè)備上。這套方法論和模型得以拓展應(yīng)用，開啟了微軟安全的第二個階段。

從2108年開始，微軟將安全升級到立體層面，除了保護(hù)云上數(shù)據(jù)，還繼續(xù)解決IoT、移動設(shè)備、辦公設(shè)備、云上服務(wù)器，把信息集成起來進(jìn)行對策分析，化解釣魚、勒索一類病毒的威脅。

看得出來，這一方法論在不同的階段發(fā)揮著不同的作用。一開始是較為原始的個別應(yīng)用，即OS和服務(wù)器安全性大大提升，第二階段，相當(dāng)于辯證唯物法的否定階段，在確保本地安全運(yùn)行的同時對數(shù)據(jù)中心、公有云環(huán)境運(yùn)行的IoT等終端設(shè)備進(jìn)行有效防護(hù)，第三階段稱得上是“否定之否定”，微軟推出了很多類似Defender及零信任的解決方案，為客戶提供全方位的立體防護(hù)。

1. STRIDE威脅模型及應(yīng)用

微軟建立的這個名為STRIDE的威脅模型有如下內(nèi)容：

“S”是Spoofing，指身份假冒；“T”是Tampering，即篡改信息數(shù)據(jù)；“R”指Repudiation，即否認(rèn)，把痕跡擦干凈，表明自己沒有來過；“I”指Information Disclosure信息泄露；“D”是Denial of Service，即拒絕服務(wù)，經(jīng)常聽到的DDoS攻擊（分布式拒絕服務(wù)攻擊）就是其中一個變種，“E”是Elevation of Privilege，即授權(quán)提升，盜取最高管理權(quán)限。

徐明強(qiáng)博士以自己當(dāng)時參加設(shè)計的Windows HPC Server 2008為例對STRIDE威脅模型的功能進(jìn)行介紹，披露了某些調(diào)度器存在的四五十個威脅，這些威脅被清楚地定義為權(quán)限的威脅、信息泄露的威脅，信息篡改、拒絕服務(wù)的威脅，并且把緩解步驟全部都進(jìn)行了展示。

另外，微軟的搜索工具Bing每個月要搜索180億個網(wǎng)頁。很多黑客在攻擊之前，會先建一個釣魚網(wǎng)站，模仿某個銀行或者是公司的網(wǎng)站界面，欺騙用戶登陸，盜走用戶的賬戶密碼。微軟把所有這些網(wǎng)頁進(jìn)行掃描，通過機(jī)器學(xué)習(xí)研判哪些可能是釣魚網(wǎng)站，做出標(biāo)記，下次用戶再點(diǎn)擊鏈接的時候，首先訪問SafeLink網(wǎng)站，在那里判斷出用戶是否點(diǎn)擊了釣魚網(wǎng)站，以及被釣魚的威脅有多大，通過這樣的分析真正保護(hù)客戶。

這個模型在微軟得到了廣泛的應(yīng)用——微軟有一個信息安全審核部門，其成員分布在每一個產(chǎn)品組。如果他審核產(chǎn)品文檔后認(rèn)為安全不過關(guān)，會行使其獨(dú)特的一票否決權(quán)——當(dāng)時就連CEO鮑爾默都沒有一票否決權(quán)的權(quán)利。這說明了微軟對安全是非常重視的。當(dāng)然，在通過威脅模型的審核后，產(chǎn)品離上市還有至少安全審計、自動測試等的流程。微軟借助DevOps工具跟蹤管理每一個產(chǎn)品的安全開發(fā)周期。

顯然，一個優(yōu)秀的系統(tǒng)要具備身份驗證、保密性、可用性及授權(quán)以及完備性、不可否認(rèn)性等功能。確保黑客留下的任何痕跡不可抹掉，成為讓罪犯伏法的確鑿證據(jù)。

2.覆蓋全球的信息安全保護(hù)體系

作為排名財富百強(qiáng)的互聯(lián)網(wǎng)龍頭企業(yè)，微軟的投資遍布全世界。

為了幫助企業(yè)客戶和他們的客戶能有最親密接觸——縮短信息的延遲、高質(zhì)量傳輸?shù)男Ч?，微軟公有云覆蓋了60多個地域。表面上，這些區(qū)域經(jīng)濟(jì)較為發(fā)達(dá)，社會治安良好。實際上對應(yīng)的黑客甚眾。微軟致力于為客戶提供信息安全保護(hù)的同時，還遵從這些國家和地區(qū)的信息安全法規(guī)，并隨時進(jìn)行升級跟進(jìn)，滿足當(dāng)?shù)卣?、行業(yè)、企業(yè)的安全認(rèn)證要求。

目前，微軟在全球已經(jīng)有擁有100多個認(rèn)證資質(zhì)，在中國，微軟也有非常多的證書，包括國標(biāo)證書，Azure云和Office 365也都獲得了等保三級的認(rèn)證。

在微軟自建的網(wǎng)絡(luò)運(yùn)營中心，目前有8500多名全棧安全員工，比兩年前的3000多人翻了一番還多。這里除了完成各種測試，還對網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行實時監(jiān)控，每天處理和分析24萬億個安全信號，包括登錄的信號、微軟云服務(wù)的應(yīng)用信號和終端設(shè)備的信號，為1億多微軟用戶提供信息安全保護(hù)。

除了安全運(yùn)營中心，微軟還有一個數(shù)字犯罪部門。這個部門掌握著全球各種僵尸網(wǎng)絡(luò)、各種病毒感染的機(jī)器的狀況、數(shù)量以及被感染的IP地址信息，為當(dāng)?shù)氐幕ヂ?lián)網(wǎng)服務(wù)提供商（ISP）和警方合作懲治信息安全違法行為、緝拿犯罪嫌疑人提供支持。

五年來，微軟共投入了200億美金用于網(wǎng)絡(luò)安全研發(fā)與服務(wù)；2020年，在安全方面的營收達(dá)到了150億美元，增速達(dá)到了45%。

3.全面而完善的安全戰(zhàn)略架構(gòu)

微軟的安全戰(zhàn)略架構(gòu)，把從客戶端、私有云端、公有云端、IoT、各種SaaS服務(wù)訪問、身份訪問以及安全運(yùn)營中心獲取的數(shù)據(jù)集合在一起，采取機(jī)器學(xué)習(xí)等技術(shù)手段，對分散在各處的各種各樣的通信信息進(jìn)行全方位的保護(hù)。

在Gartner和Forrester領(lǐng)導(dǎo)象限中的訪問管理、云訪問安全管理、企業(yè)信息歸檔、終端防護(hù)平臺、統(tǒng)一終端管理工具等象限，微軟都被列為第一。

高度重視并服務(wù)中小企業(yè)

中小企業(yè)一致是微軟非常重視的的領(lǐng)域。由于他們的安全預(yù)算不夠，技術(shù)能力也確實不足。再加上數(shù)字威脅比人們想象得更近、更多、更嚴(yán)重，每次最新的病毒出現(xiàn)后，總是中小企業(yè)先中招，損失也最大。以勒索病毒為例，勒索已經(jīng)形成產(chǎn)業(yè)化、自動化，以前很多被勒索的中小企業(yè)求救于微軟。另外，病毒的攻擊面非常廣泛，所有聯(lián)網(wǎng)設(shè)備都有可能遭遇攻擊，特別是在疫情發(fā)作期間，人們出行不便，更加依賴網(wǎng)絡(luò)，移動設(shè)備管理帶來的安全隱患更大。

微軟的目標(biāo)是提高整個環(huán)境的安全標(biāo)準(zhǔn)，中小企業(yè)到大型企業(yè)都不錯過。當(dāng)然，面向中小企業(yè)，微軟將側(cè)重安全系統(tǒng)的更加整合、管理的更加簡化、成本的更加優(yōu)惠。

聯(lián)手合作伙伴，共建生態(tài)服務(wù)客戶

談到微軟安全生態(tài)，徐明強(qiáng)博士表示，微軟的合作伙伴可以為客戶提供大量的服務(wù)，最重要的是幫助其提高安全意識，在此基礎(chǔ)上建立全方位的、立體的防護(hù)體系。

借助一個叫做Cyber Accelerator Program的項目，合作伙伴可根據(jù)客戶的現(xiàn)實情況及需求量身訂作安全主題的workshop，介紹如何上云，各個端點(diǎn)，包括手機(jī)、電腦的防護(hù)，以及攻擊防護(hù)、身份安全、多云安全、數(shù)據(jù)防泄露，還有敏感數(shù)據(jù)的治理、內(nèi)部風(fēng)險管控，統(tǒng)一綜合管理，云原生SOC建設(shè)、防釣魚、防勒索等內(nèi)容豐富的課程，很受客戶的歡迎。

微軟的安全伙伴也分為若干類型，如安全的MSP，也有咨詢類型，如埃森哲、普華永道、安永；按行業(yè)，有面向汽車行業(yè)的數(shù)據(jù)防泄露、醫(yī)療行業(yè)的隱私計算；其他終端防護(hù)，如安全事件的應(yīng)急響應(yīng)，勒索、挖礦的應(yīng)對等，都有合作伙伴為共同的客戶提供服務(wù)。

微軟，一家值得信賴的信息安全防范管理供應(yīng)商

安全是一個道高一尺，魔高一丈的游戲，看起來是一個無解的難題?，F(xiàn)在的安全態(tài)勢，從攻擊鏈的同比增長，以及勒索事件頻頻發(fā)生，安全形勢非常嚴(yán)峻。

從方法論、產(chǎn)品、技術(shù)、咨詢、服務(wù)、生態(tài)、第三方評價等方面來看，微軟真的是一家全面領(lǐng)先的供應(yīng)商，真的值得你信任。

xiesc