Крупные организации, бурное развитие Интернета

Переход к защищенным компьютерным системам

• 
  безопасность при разработке — вопросы безопасности необходимо учитывать при разработке всех компонентов любого продукта;
  
• 
  безопасность при установке — безопасность продуктов не должна нарушаться во время их установки и настройки;
  
• 
  безопасность при использовании — безопасность должна поддерживаться на протяжении всего жизненного цикла продукта и совершенствоваться при появлении новых угроз или обнаружении уязвимых мест.
  

1 Directions on Microsoft (www.directionsonmicrosoft.com (EN)) — независимая компания, занимающаяся исключительно изучением технологий и политики корпорации Microsoft, а также публикацией результатов своих исследований. Более десяти лет компания является одним из важных источников информации для всей ИТ-индустрии, оперативно оповещая обо всех решениях, принимаемых корпорацией Microsoft, сообщая о новых продуктах и технологиях, а также рассказывая о заключаемых Microsoft партнерских соглашениях и о внутренних организационных изменениях.

2 Полный текст письма Билла Гейтса приводится в информационном бюллетене московского представительства Microsoft «Современные подходы к обеспечению информационной безопасности», выпуск Источник: www.microsoft.com/mscorp/execmail/2002/07-18twc.asp

Письмо Билла Гейтса о новых взглядах Microsoft на вопросы обеспечения информационной безопасности

Я пишу вам о том, что представляет особую важность для всех, кто применяет компьютеры в повседневной работе и жизни,  — о том, как сделать информационные системы более защищенными. Защищенные информационные системы (Trustworthy Computing) включают в себя многое — безотказность работы компьютерных систем (reliability), безопасность (security) и конфиденциальность информации (privacy), а также бизнес-этику (business integrity) ИТ-компаний.

Прежде чем подробнее изложить свои мысли по этому поводу, я хочу пояснить, почему я направляю вам это письмо. Оно является первым из целой серии посланий, которые мы с генеральным директором корпорации Microsoft Стивом Балмером, а иногда и с другими руководителями Microsoft будем время от времени посылать людям, интересующимся нашим мнением по тем вопросам информационных технологий и государственной политики, которые мы считаем важными для пользователей компьютеров, ИТ-индустрии и всех, кого волнует будущее высоких технологий. Это является одной из форм реализации нашего твердого стремления к тому, чтобы более открыто рассказывать о том, кто мы есть и что мы делаем.

Самая приоритетная задача для корпорации Microsoft и ИТ-индустрии на предстоящие десять лет — создать для пользователей защищенную информационную среду, такую же стабильную, как электричество, которое работает сегодня в наших домах и офисах.

Данное письмо рассылается всем подписчикам бюллетеня Microsoft. Если вы хотите и в будущем получать корреспонденцию от меня, Стива Балмера и других руководителей Microsoft, пойдите по следуюшей ссылке: register.microsoft.com/subscription/subscribeMe.asp?lcid=1033&id=155 (EN). Если же вы больше не хотите получать от нас письма, то не нужно ничего делать. Мы не будем отправлять вам новые письма руководителей Microsoft, если вы не подпишетесь описанным выше способом.

Из моих бесед с клиентами за прошедший год — от отдельных пользователей до крупных корпоративных клиентов — мне стало очевидно, что все отдают себе отчет в том, что компьютеры играют все более и более важную и полезную роль в нашей жизни. В то же время многие, с кем я разговариваю, озабочены безопасностью1 технологий, от которых они зависят. Их волнует, защищены ли их личные данные. И хотя они знают, что компьютеры могут делать поразительные вещи, их расстраивает, что эти технологии не всегда работают так, как нужно. Они хотели бы услышать, что индустрия высоких технологий воспринимает их озабоченность всерьез и работает над тем, чтобы усовершенствовать их общение с компьютером.

Шесть месяцев назад я направил 50 тысячам сотрудников Microsoft письмо-«призыв к действию», обрисовав в нем то, что я считаю самой приоритетной задачей для корпорации и ИТ-индустрии на предстоящие десять лет: создать для пользователей защищенную информационную среду — такую же стабильную, как электричество, которое работает сегодня в наших домах и офисах.

Это важная составляющая эволюции Интернета, поскольку при отсутствии «экосистемы2», обеспечивающей своей жизнедеятельностью защищенность информационных систем, информационные технологии не смогут помочь людям и коммерческим компаниям реализовать их потенциал. По иронии судьбы, именно рост Интернета и появление крупных компьютерных систем, построенных на основе слабых связей3 между службами, машинами, коммуникационными сетями и прикладными программами, способствовали увеличению количества возможных «уязвимостей4».

Уже существуют решения, устраняющие такие слабые звенья, как пароли и поддельные электронные письма. В корпорации Microsoft для удостоверения личности пользователей мы наряду с паролями используем смарт-карты5. Кроме того, мы работаем с другими ИТ-компаниями над совершенствованием Интернет-протоколов, чтобы преградить путь электронным письмам, которые могут распространять вводящую в заблуждение информацию или вредоносный код, якобы исходящие от доверенных отправителей. И мы коренным образом меняем наши методы разработки программного обеспечения, образ функционирования и ведения бизнеса, а также наши меры по поддержке пользователей, чтобы информационные системы, создаваемые на базе наших технологий, стали более защищенными.

Например, раньше мы делали наши программы и службы более привлекательными для пользователей в первую очередь путем добавления новых функций. И хотя мы по-прежнему прилагаем значительные усилия для воплощения новых возможностей, необходимых нашим клиентам, наиболее приоритетной задачей сегодня мы считаем повышение уровня безопасности. Так, мы внесли изменения в Microsoft Outlook, чтобы блокировать почтовые вложения6, связанные с небезопасными файлами, предотвращать доступ к адресной книге пользователя и дать администраторам возможность управлять настройками безопасности электронной почты для всей организации. В результате этих изменений количество заражений почтовыми вирусами резко упало. Как показывает практика, многие почтовые вирусы, среди которых недавно появившийся вирус-червь Frethem, проникают только в те системы, где модернизация не была произведена, что подчеркивает важность регулярных обновлений.

Мы коренным образом меняем наши методы разработки программного обеспечения, образ функционирования и ведения бизнеса, а также наши меры по поддержке пользователей, чтобы информационные системы, создаваемые на базе наших технологий, стали более защищенными. Кроме того, мы предпринимаем тщательную и всестороннюю проверку многих продуктов Microsoft, чтобы свести к минимуму другие потенциальные уязвимости в защите. Так, в начале года была приостановлена работа более чем 8,5 тысячи инженеров-разработчиков Microsoft с целью проведения интенсивной проверки безопасности миллионов строк исходного текста Windows. Помимо этого, все разработчики Windows и несколько тысяч инженеров из других подразделений компании прошли специальное обучение по написанию защищенных программ. Мы ожидали, что этот перерыв в работе займет 30 дней. Он длился почти вдвое дольше и стоил Microsoft свыше 100 млн долл. Мы также предприняли подобные проверки кода и обучение по вопросам безопасности для Microsoft Office и Visual Studio .NET и планируем осуществлять их для других продуктов.