Microsoft все больше внимания уделяет «защищенности»

Билл Гейтс: «Сегодня на первый план выходит задача повышения уровня безопасности ПО»
Конференция Microsoft «Платформа 2003», заседания которой состоялись 28 и 29 ноября в гостинице «Рэдиссон-Славянская», прошла под лозунгом «Защищенные информационные системы» (Trustworthy Computing). Именно так называется новая программа корпорации Microsoft, озвученная Биллом Гейтсом в открытом письме всем сотрудникам, партнерам, клиентам и пользователям продукции компании.

В соответствии с новой программой Microsoft, термин «Защищенные информационные системы» подразумевает четыре составляющих: безотказность работы компьютерных систем (reliability), безопасность (security), конфиденциальность информации (privacy) и бизнес-этику (business integrity).

Реализацию программы компания Microsoft начала с изменений на всех этапах процесса разработки программного обеспечения, что позволит резко сократить число ошибок в программах и ускорить процесс их написания. Теперь все программисты компании должны подписывать созданную ими часть кода своей электронной цифровой подписью. Эта мера должна кардинально повлиять на качество продуктов, поскольку каждый сбой в работе ПО станет «авторским». В начале года была приостановлена работа более чем 8,5 тысяч программистов компании с целью проверки миллионов строк кода с точки зрения безопасности.

Наряду с этим разработаны решения, удаляющие такие слабые звенья в системах безопасности, как пароли и поддельные электронные письма. В самой Microsoft используются современные средства идентификации и авторизации пользователей — смарт-карты.

Билл Гейтс подчеркнул, что если раньше продукты компании привлекали пользователей своими большими возможностями, то теперь на передний план выходит повышение уровня их безопасности. В соответствии с этой идеей конфигурация ПО, устанавливаемая «по умолчанию», будет предполагать наиболее защищенный режим. Например, в Office XP по умолчанию отключен Visual Basic, а в Microsoft Outlook внесены изменения, позволяющие блокировать почтовые вложения, связанные с небезопасными файлами, предотвращать доступ к адресной книге пользователя и предоставить возможность администраторам управлять настройками электронной почты во всей организации.

В октябре 2001 года Microsoft начала Стратегическую программу защиты технологий (Strategic Technology Protection Program, STPP). Ее цель — сделать серверы Internet Information Server (IIS) и Windows .NET Server безопасными по умолчанию, а также обучить пользователей безопасной работе. Windows 2000 вместе с дополнительными компонентами сертифицирована в соответствии с ISO 15408 по максимальному, четвертому уровню соответствия (5, 6 и 7-й уровни ISO 15408 предполагают сертификацию на соответствие требованиям, специфичным для государства, в котором система используется).

Microsoft предлагает ряд новых технологий и служб, призванных увеличить безопасность информационных систем, построенных на базе ее продуктов. В их числе Software Update Services (инструмент управления безопасностью для корпоративных клиентов, позволяющий быстрым и надежным образом устанавливать важные обновления на серверы с Windows 2000 и на компьютеры под управлением Windows 2000 Professional и Windows XP Professional); платформа для шлюза безопасности сервер Internet Security and Acceleration Server Enterprise Edition; Microsoft Baseline Security Analyzer — бесплатная программа, предназначенная для проверки безопасности систем на Windows 2000 и Windows XP, и ряд других.

Информационная безопасность, к сожалению, все больше и больше выходит за рамки технологических проблем. На первые позиции выдвигаются новые фундаментальные проблемы, связанные со стандартизацией, политическими интересами высокоиндустриальных стран и т.д. Одна из попыток разрешить эти проблемы — создание лидерами ИТ-индустрии Web Services Interoperability Organization — организации по функциональной совместимости Web-служб.

Поделитесь материалом с коллегами и друзьями