微軟宣布新安全計畫

微軟最新的安全計劃在獲得了少數業界專家好評的同時，也遭到了很多的非議。
許多專家認為微軟於上周三宣布的策略性安全保護計畫（Strategic Security Protection Program，SSPP）只不過是為了應付政府、業界和消費者日益高漲的提高產品安全性之要求而制定的緩兵之計，以免政府干預而影響到銷售量。
微軟承認它負有「特殊的職責來幫助加強網際網路和客戶資料的安全」，並表示將提供免費安全支援服務，也就是有各系統平台安全修正檔的免費光碟，並會每隔兩個月通過網路自動傳送、安裝新的安全修正檔。
微軟公司Windows部門資深副總裁瓦倫泰（Brian Valentine）說這個新計劃的口號是「你們的業務安全之後我們才安心！」
但是有些安全專家認為如果微軟真的遵守這個諾言，那麼它的員工恐怕就不會有多少休息時間了，而且僅僅改進不安全產品的修正程式發送方式是不足以提供真正的安全的。
據參加上周一FBI會議的人員說，空軍的資訊長吉力根（John Gilligan）在會議中向FBI表示，出售滿是漏洞的產品是讓人無法接受的。
吉力根說政府機構和企業花不起時間去玩這種找漏洞再修正的遊戲，他要求軟體公司在推出產品前對其進行徹底地測試。
吉力根補充說如果軟體生產商不重視安全問題的話，政府可能需要制定安全標準來約束他們，特別是911事件發生後這一點變得尤為重要。
「毫無疑問地，微軟解決這個問題的方式是完全錯誤的，」紐約州軟體安全顧問馬肯（Nick Marken）說，「SSPP計畫的很大一部分是著重在如何發送安全修正程式，但是他們應該把注意力放在出售更為安全的產品，而不是想出各種巧妙的辦法來安裝修正程式。」
「如果他們把精力花在修正程式上，而不重視產品本身的安全問題，微軟的技術人員就會像無頭蒼蠅一樣忙得不可開交，」馬肯說，「這個新的計劃只是做做樣子，並不是對業界和消費者對於安全產品需求的真正回答。我認為政府需要介入制定安全標準。」
微軟公司的瓦倫泰解釋了該公司為何把重點放在修正程式上。
「出現漏洞是很自然的事，要減少漏洞，我們需要加大技術投資，並且和政府部門、適當的顧問機構合作。」瓦倫泰在一次媒體聲明中表示。
系統管理員兼安全工程師梅爾（Joey Maier）認為直接向終端使用者發送修正檔是個不錯的想法，但是他警告說系統管理員可能不會接受這個服務。
「很多管理員都發現未經測試就在系統安裝修正檔很可能會破壞現有的應用程式。」梅爾說。
其他安全專家表示修正檔只能解決已知的安全問題。

「安全性的不變準則就是要瞭解它是一個不斷發展的過程，修正和更新是其中重要的部分。」軟體安全公司Finjan軟體的總裁克洛（Dave Kroll）說。
「但是系統安全管理員不要以為安裝了所有的修正檔就可以高枕無憂了。修正檔是無法修補未知的漏洞的。安裝修正檔似乎是一種主動的行為，但事實上這只是對已知漏洞的一種補救措施罷了。」
吉力根的簡報內容主要著重紅色警戒、Nimda和梅麗莎等針對微軟系統的病毒，上周Gartner公司的安全分析師派司卡托（John Pescatore）的報告也建議在今夏病毒爆發後，企業用戶應該轉而使用非微軟的網路伺服器軟體。
該報告宣稱「如果微軟不推出一個完全重新編寫並經過徹底、公開測試的IIS，那麼病毒將繼續襲擊IIS…這一項修改工程應包括所有微軟的.NET網路服務，這些服務都需要用到IIS。」
微軟公司的瓦倫泰在一份聲明中表示，該公司將不會重新編寫飽受駭客攻擊的IIS網路伺服器軟體的下一個版本，而是採取「鎖定預設值」的方法，將預設的安全標準訂在最高級數。
「注重安全性的人一直希望微軟可以推出鎖定預設值的產品。而今微軟終於響應了系統安全界和網路界專家們的呼籲。」系統安全性新聞入口網站的葛洛文（Marquis Grove）說。
「如果那時的產品仍然不夠安全，這就可以說明產品的本身有瑕疵，而不是因為系統管理員不熟悉微軟產品中繁多的安全設置而造成的。」
葛洛文還指出紅色警戒和Nimda利用的不是安全設置錯誤，而是IIS原始碼中的漏洞。
Watchguard科技的伺服器安全副總裁達赫尼（Jack Dahany）也指出微軟雖然提供了修正檔，但是紅色警戒和Nimda並沒有停止散佈，但他仍表承認微軟的計劃是朝正確的方向走。
「微軟之所以不願意重寫他們的產品是因為這樣做難度很大，也需要花時間，」達赫尼說，「而且這樣做也不一定就可以生產出更安全的產品。」
「SSPP對於需要它的使用者族群來說是一個不錯的基本措施。我認為微軟透過這個計劃為使用者提供了真正的服務，」達赫尼說，「微軟的產品出售後還需要很多後續安全措施，這一點眾所周知，現在有跡象表示微軟將真正參與到安全教育和客戶訓練。」
微軟公司的瓦倫泰表示他對此計畫充滿了信心。
「我們對這個計劃是相當認真的。」瓦倫泰在一份聲明中說。