以下為微軟中國有限公司首席技術執行官李志霄博士談信息安全的策略。

李志霄：今天聊聊信息安全的策略。我們首先要了解今天信息安全的趨勢在哪兒？以前在垂直應用的時候基本上一個用戶一個密碼可以照顧所有的業務，今天由于信息量的爆炸，每個人都有各種用戶名密碼和在網上的多重身份。另外黑客集團犯罪團伙技術越來越高，他們野心在于詐取大量財產，危害國家安全。第三個趨勢就是安全風險級越來越高，從安全補丁公布，到黑客利用匯編語言做反向工程，開始制造病毒蠕蟲木馬的時間越來越短，甚至已經看到零時間攻擊。其次就是攻擊層次是越來越高，網絡層的攻擊今天已經進入應用級別攻擊。

過去我們面臨的安全威脅基本上是網上攻擊，網上蠕蟲，拒絕服務。如今，黑客犯罪團伙有金融上的動機，隨之而來的就是網上釣魚，身份竊取，僵尸網絡等。未來會有更多的安全問題出現。

今天在中國北京參加這場盛會，我們看看中國在信息安全方面面臨哪些特色威脅。中國已經成為全世界第二大網民國，有1.1億網民。國家也開始特別重視信息安全法規的制定和執行。大家可以看到，國內開始有新興的咨詢廠商出現，國內有一些企業在信息安全領域做外包。另外，在線游戲大量風行，這絕對是病毒的溫床。

目前，信息標準主要是WebSevices，我們必須保障WebSevices。目前，釣魚越來越風行，中國是世界上僵尸網絡最大的受害國，根據中國公布的調查，88%在中國境內部署的PC都曾受到病毒的感染。

所以提出一個策略怎么做？最重要的基礎是做安全策略，一定要有政策和法規，一定要有法規、組織和功能，要符合標準，再有就是主動防御，深度防御，還要不斷監測，就是由政策執行，不斷糾錯、不斷反饋。安全解決方案面臨的挑戰是什么？減少被攻擊的次數，盡量快地把安全方案更新推出，從合作伙伴和廠商，都要推出不斷的更新，要有深度防御的策略，要有身份的認證，跟用戶要溝通，要有安全防御的指南。什么是深度防御策略？首先了解一下什么是信息安全的定義跟模型。信息安全的定義就是信息的正確性，信息的保密性還有信息的可用性，可用性跟正確性保密性是矛盾的，信息在什么地方會出差錯，信息有三種狀態，第一是處理中會出差錯，第二是傳輸中，第三是存儲中會出差錯。同時搞信息安全除了技術以外，必須要有政策法規，還要有用戶的認知，三者缺一不可，所以說，搞信息安全是三分技術，七分管理。

我談一下什么是縱深防御策略，最底層政策、法規、執行過程、物理安全、周邊安全、內部網絡邏輯式處理，應用的安全和數據的安全，這是剛才思科、聯想網御的專家都講過的，今天安全已經進入應用層和數據層的威脅，這是非常新的課題，廠商、合作伙伴用戶都在為此努力。

講到信息安全，剛才主持人說微軟的軟件無處不在這也是一個事實，硬件不能融合沒關系，通過軟件，包括數字化的標準，包括壓縮的標準，包括通信協議，包括數字版權管理，我們通過這些軟件的手段，可以把不同的硬件內容融合起來，也就是說軟件是整個大網絡的核心，所以我們必須要對軟件做保護。

保護軟件信息安全是是重要的，整個精神就是可信賴運算，安全、信賴是兩個同義詞，搞安全就是你要相信這個網絡，你相信跟你談話的對方是可信賴、安全的。可信賴計算有四大支柱，即可靠性、業務完整性、隱私性和安全性，今天我提一下安全性，也就是遵守ISO/IEC17799規定。

信息流轉一定有接受方和傳送方，你所有的信息流轉，就是信息使用者和發送者之間的對話，你跟對方對話的時候，你看不見對方的，你跟對方對話的時候要信任對方，怎么信任，也就是你相信跟你對話的人是可信任的，跟你對話的軟件是可信任的，跟你對話的硬件終端是可信任的，或者跟你對話的組織和單位是可信任的。我們怎么樣保障可信任，這里有一些手段。基本上是強調建立信任，包括對什么建立信任，對人建立信任，有身份控制訪問管理，合法的終端才可以進入網絡，合法的用戶才可以進入網絡，合法的單位才可以進入網絡，合法的使用者才可以進入網絡，這里有種種手段。

第二點安全策略。就是說，安全的產品必須要有一個共通的設計守則，首先正本清源要有安全的源代碼，要有安全的默認值，再就是安全的部署和對安全的認知。再有對用戶來講要簡單，適用。

今天所有IT系統都要有一個平臺，所有IT系統硬件里面都要有一個軟件平臺，要保證它基本上是安全的，需要有哪些功能，如互聯網要有保護模式，服務要加強，用戶身份訪問控制，提供一些靈活方便的身份認證系統。還有保護自己的數據讓不授權的人看不到，還有數字保護手段都是平臺需要提供的功能，所以強調四大策略，系統的設計要符合安全的守則，開發人員要有統一的培訓手段，要使用統一的工具，再就是簡單好用，另外平臺要安全。

微軟推出下一代操作系統Windows Vista是遵循這一原則，一個功能是能防釣魚網站，加強了加密通信協議，還有要求發垃圾郵件人把發件人名單發過來等就不列舉了。IE服務也增加了很多在里面，另外軟件硬件廠商有跟用戶溝通的義務，隨時要發安全補丁，安全通告，還有跟用戶的培訓和溝通。從可信的預算開始，一再強調微軟本身做表率，在TWC之前和之后的產品在安全上有了顯著的進展。我今天想談的是策略，我今天一再強調，安全是一個生態環境，是一個供應鏈，不可能靠硬件廠商，也不可能靠軟件廠商來完成，必須要靠整個供應鏈，整個生態環境里面各個角色來完成，這些角色是政府制訂法律，執行法律，還有這些硬件廠商，主流廠商的大量合作伙伴，還有用戶一起來完成才能保障信息的安全，不可能靠一家廠商完成的。

所有的軟件都有潛在的漏洞，但廠家都在盡力而為。要保證安全的源代碼和流程部署、安全要遵循標準，有標準可訊，歐盟NTEC13335，美國CC，ISO/ITE17799。安全型企業要理解發出信息之前必須要保障信息的安全，必須理解安全是一個里程，不是目的地。各位有沒有理解到我在剛才30分鐘之內，微軟有大量的安全工具，成百萬上千萬的安全工具已經下載到各個PC里面去了，在這里只是略微表述一下微軟在安全方面所做的努力。謝謝各位！