在日前的一项调查中,Forrester调研公司对微软Windows产品的安全提出质疑,认为微软漏洞补丁的推出时间和用户安装补丁的工作量都不合理。Forrester调研的用户分类、Windows软件使用情况和安装版本都不得而知。对于他们的调研结果,微软持不同意见。
Forrester公司在调查中指出,微软对重大漏洞发布补丁的时间间隔过长。而事实上,漏洞补丁的发布时间间隔长短和发布频率,与产品的安全与否没有任何必然的等比例逻辑联系。并不是说,一个软件产品的补丁越多,就越能说明该产品拥有让人放心的安全性能,关键要看对待发布补定的态度和补丁质量。软件产品中的漏洞是需要不断检测才能逐步发现的,因而不论哪家公司都不可能向用户保证发布漏洞补丁的时间,也不可能列出具体的时间表。微软在安全检测方面投入了大量人力、物力,发现漏洞就会马上公布补丁、通知用户。到目前为止,微软关于Windows产品发布的漏洞补丁不仅数量相当多,而且从发布的程序上也是任何一家软件公司不能比的。由此也可以看出微软对产品的安全持有的严肃态度,尤其是微软在安全性方面早在一年前就由比尔·盖茨提出并开始实施“高信度计算”,安全是微软公司在软件开发设计时的第一要务。
对于微软的个人用户而言,Windows XP提供用户了“Windows Update”(在线更新)功能。微软一旦公布补丁漏洞,或者有技术更新,这个功能可以随时通知用户。对企业级用户来说,微软建议用户在自己的局域网上架设“Windows Update Server”,这样可以随时帮助客户迅速下载和快速安装补丁。除此之外,微软还有自己的一套客户服务机制,有专门响应队伍提供用户补丁和技术资料,帮助用户解答在产品安全方面出现的疑问,有服务队伍在第一时间帮助客户适时处理相应的问题。
从微软Windows Server 2003的研发过程也可以看出微软在安全方面付出的努力。该产品在安全性方面有三个原则:系统设计过程中注重安全、为初始系统建立安全的预设值、具有部署高度安全的操作系统环境和管理工具。产品投入生产的时间一推再推,也是出于安全的考虑。盖茨曾让Windows产品开发组的5千名开发工程师停下手中工作,用整整60天的时间,一行行重新检验源代码,不合格就重写。应该说,为了维护产品的安全性,微软已经不遗余力了。
微软推荐终端用户使用安全性、可靠性最高的Windows桌面产品Windows XP,推荐企业客户及时更新到安全性、稳定性、可靠性都更高的Windows企业级服务器产品,如即将发布的代表服务器操作系统新纪元的Windows Server 2003。
还有一点很重要,Windows产品的安全使用,不能只靠微软一家公司的努力。安全不可能一步到位,用户也要注意自己的安全管理和正确操作。(徐扬)