信息周刊：微软谨慎入局安全市场

　　文/靳志辉

　　微软在哪里都是危险的竞争对手，但安全市场是个例外，它必须小心翼翼地藏起锐利的牙齿。

　　微软公司(Microsoft，下称微软)进入任何一个市场，对处于这个市场的既有厂商而

言，都是危险的。最近，微软在安全软件市场的牛刀小试再次证明了这一点。

　　美国调研机构NPD集团(NPD Group)八月最新统计显示，推出不到半年的微软Windows Live OneCare已经占据美国安全软件零售市场第二的位置。Windows Live OneCare集中了防病毒、防火墙、数据备份、反间谍和磁盘清理等众多安全功能于一身，而每年只收取49.95美元的服务费，其低价优势已经十分明显了。

　　今年初，在RSA信息安全国际会议上，赛门铁克公司(Symantec Corp.，下称赛门铁克)的首席执行官(CEO)约翰·汤普森(John Thompson)曾经赞扬微软在安全领域的努力。他在演讲时说：“由于防火墙、

　　但事实上，微软绝不想轻易得罪安全市场的传统巨头们。这些安全界的大佬可是微软安全战略不可或缺的合作伙伴。同样在这次会议上，比尔·盖茨(Bill Gates)明确提出了微软解决安全问题的四个策略，其中第一次系统提出了“可信的生态系统”这一理念，这也表明微软的安全战略发生了新的变化，由以往单纯注重通过自身技术手段的提高加强安全，转而更加重视安全生态链的建设，由微软一贯的单兵作战，变为微软引导整个安全产业链集体作战。

　　但是，既要响应用户越来越高的安全呼声，不断推出新的安全解决方案，又要避免因此裂化与合作伙伴的良好关系，微软的新安全战略之路并不好走。

　　可信的生态系统

　　微软的安全信任危机由来已久。长期以来，微软的安全战略基本采取应急反应模式，即遇到安全威胁时被动解决。自从2002年初盖茨提出可信赖计算(Trustworthy Computing)以来，微软开始强调源代码设计的安全性，并连续推出安全开发生命周期(Security Development Lifecycle，SDL)项目，以及政府源代码协议(GSP)计划，2004年微软推出增强了系统安全性的Windows XP SP2，使安全漏洞大幅降低。但是，这些举措并没有从根本上改变微软安全防御的被动局面。

　　两个月之后，微软的下一代操作系统Vista就将正式发布。人们像期待“超人归来”一样，期待Vista带给用户全新的体验，当然，如果没有安全漏洞就更好了。

　　但是，奇迹几乎不可能出现。如同电影《超人特攻队》里的中年超人，Vista系统的身材过于臃肿， 5,000万行程序代码的“容量”，比Windows XP足足多出40%。虽然微软的安全漏洞报告显示，其频次近几年一直呈下降趋势，但即使微软的技术人员也不得不承认，有如此庞大的软件程序，Vista系统的安全漏洞肯定存在，打补丁难以避免。微软(中国)有限公司(下称微软中国)首席技术官(CTO)李志霄坦言：“补丁是软件必备的流程。目前还没有一套商业软件是没有补丁的。”

　　微软也意识到安全生态链的重要性。六月在北京召开的微软信息安全峰会上，微软提出“打造可信的互联世界，构建可信的生态系统”理念，这正是盖茨年初提出的安全策略的继承与延续。“我们需要生态环境，从供应商一直到执法单位，到公众认知到用户，构成完整的生态链。” 李志霄说。这位微软中国的技术专家一再强调，安全是IT整体解决方案的一部分，而不能纯粹搞信息安全。他们强调说：“这需要方方面面的努力。”

　　合作共赢

　　企业信息安全的整体形势恶化，促使微软加快了安全生态系统建设。

　　《信息周刊》2006年信息安全调查的数据显示，有16%的中国企业认为，今年遭受的

　　为了实现“可信的生态系统”的战略，去年十月，在微软的倡导下，旨在整合针对微软平台开发的安全方案的组织—安全IT联盟(SecureIT Alliance)宣告成立，其成员包括赛门铁克、趋势科技公司、迈克菲公司(McAfee)、F-Security公司、VeriSign公司等知名安全企业。而且，这个组织的规模还在不断扩大中，从成立至今，安全IT联盟(SecureIT Alliance)的成员已经扩大了一倍，达到80多家。在技术合作上，微软正与产业链合作伙伴合作，支持用于保护用户身份、开放的、支持互操作的架构—标识元系统(Identity Metasystem)，以解决因多个数字标识解决方案拼凑所造成的钓鱼攻击等安全问题。

　　微软中国的合作伙伴也面临机遇， 2007财年，微软在中国市场的工作重点之一就是要发展合作伙伴的生态链，微软大中华区首席安全顾问埃里克·阿史当(Eric Ashdown)表示，在全国一级和省一级，微软将采取“手牵手”的方式来发展服务型和软件开发型两类合作伙伴。微软不仅强调自身开发的软件要符合安全开发生命周期(Security Development Lifecycle)要求，也要求所有合作伙伴的应用软件必须符合安全开发生命周期要求。

　　与中国各级政府和行业部门的积极合作，也是微软安全策略的重要组成部分。微软在中国已经建有20家微软技术中心，这些技术中心都承担着安全培训与安全部署的任务，并且都与政府部门保持着密切的合作关系。此外，微软跟公安部达成的一项关于僵尸网络(BotNet，又称波特网)的专题研究，目前已经取得相当大的进展。

　　阿史当透露，与合作伙伴以及政府的沟通、努力已经促成即将发布的Vista和Office2007的一项主要功能，即Vista跟Office2007的加密密码可以由用户设置。微软虽然提供了默认的加密算法，但是用户可以关闭，加载自己的加密算法。“只有靠这些努力，我们才能建立健康的生态环境。”他认为。

　　给用户选择权

　　加强安全产业链合作的同时，微软也从未放弃自身整合安全技术的努力。推出针对个人的安全服务产品 Windows Live OneCare之后，今年六月，微软又宣布推出企业级安全品牌Forefront，该品牌脱胎于去年被微软收购的Sybari 公司，尽管其威力尚未得到市场验证，但显然是微软埋伏在安全软件市场的又一杀手锏。

　　微软的这种努力无疑被看作是传统安全市场势力的威胁，但微软又不得不如此行事。尽管微软在平台安全方面投入巨资，但是，一些微软的用户早已对其支离破碎的安全功能丧失了信心。“微软要建立安全方面的良好信誉路还很长。” 美国教育机构富兰克林·W·奥林学院(Franklin W. Olin College)的首席信息官(CIO)乔安妮·科苏特(Joanne Kossuth)毫不客气地表示。用户需要更易管理、更易使用、更集成的安全技术，OneCare和Forefront则是微软必须做出的回应，哪怕这样做即使引起合作伙伴的猜忌也在所不惜。

　　不过，微软虽然拥有在平台上整合安全技术的优势，但产业链的合作仍然是主旋律。“Sybari的技术属于病毒特征码引擎，收集特征码并不是微软的特长，仍然要靠合作伙伴去收集。”李志霄认为，即使微软推出了自己的安全产品，实际上仍然是基于生态链合作的。此外，微软安全产品销售是靠合作伙伴和渠道销售，合作伙伴和渠道都不是排他性的，也是有多样的选择，“我们只是提供更多选择，给用户选择权。”

　　只要是盖茨下定决心要涉足的领域，微软从来都是危险的竞争对手，但安全市场显然不是靠单打独斗就能取胜，即使微软也不例外。