跨出“可信赖”的第一步,本文主要内容关键词为:可信赖论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随时在“百度”上一起输入信息安全和微软两个词,都会看到20万余个相关的网页。
“安全”显然已经成为微软首要考虑的问题,无论是因为来自客户的需求,还是微软产品自身发展需要。自从比尔·盖茨给所有员工发出一封信,要求大家“停下手中的工作”来保证产品的安全,微软已对安全投入了全部的注意力。但就像.NET战略一样,很多人并不清楚微软的“可信赖计算”的真正含义,不了解这个概念对于微软的意义,也不知道这个概念该如何推进。
九月下旬,微软的几位高层来京,与政府部门相关人士召开了“信息安全高层会议”。关于会议的具体内容,微软并没有对外透露,而且表示这次“只是交流,不会有实质的协议签署”。但微软数位负责信息安全的高层来访,并与主管部门的内部交流,这对于一向重视政府公关的微软来讲,应该是深度沟通前的路演。
如何架构“可信赖计算”的市场环境,是微软高级副总裁兼CTO克瑞格·蒙迪心里的难题,而在对他的访谈中,我们对“可信赖计算”概念的框架以及实施步骤也做了进一步了解。并对比尔·盖茨近一年前提出的“无缝计算”远景有了更深认识。
框架与进展
记者:微软为什么热衷于讲述“可信赖计算”这个概念?这个概念的含义是什么?
克瑞格·蒙迪:大概是在三年前的时候,微软开始提出“可信赖计算”。在2001年“9·11”事件发生之前,实际上已经有了一些恐怖活动在全球散布,我们之前就已经提出了一个安全的概念。现在回头看一下,我觉得当时提出这么一个想法是很有高见的。与此同时,微软把这个概念结合到产品、网络的各个方面中去。同时我们注意到,花大力气改善我们自己产品的安全程度不足以广泛推广这个可信赖计算的概念,因此我们也给开发界的很多人士提供了很多应用的工具,让他们用这个工具可以帮助改善安全。
我们认为可信赖计算有四个关键要素:安全性、隐私性、可靠性及商业信誉,它们直接影响着人们对计算的信任度。这里强调一点:可信赖计算会影响到微软公司的每一个产品,以及它的每一个业务领域。
记者:我们注意到微软实际上推出可信赖计算已经进入了第二阶段后半部 分,从整个框架来看,可信赖计算目前是在哪个阶段,整体的布局是怎么样的?
克瑞格·蒙迪:作为整个概念的一部分,我们在2001年底、2002年初的时候推出了visualstudio以及.NET这方面的计划。当时安全问题基本上是采取问题发生再解决的方式,因此,我们以前的做法等于是采取被动的安全措施,而现在是要采取主动积极的安全问题的解决方法。这在整个微软的系统当中,我们对所有的产品,从设计、开发到测试以及最后的维护,都是将这样一个周期性的安全管理的概念融入在里面。
另外,我们的.NET架构以及可信赖计算会有一个新的发展,就是和万维网的架构密切相关的安全问题。以前安全问题基本上是在这些基础架构方面,也就是操作系统、浏览器还有传输方面的问题,但是现在这方面越来越多的问题则是出在应用领域以及提供服务网络架构有关的领域。
比如我们在万维网的服务身份领域,以及万维网服务的模型方面,对一些标准工作进行了很广泛的参与。因此,我们希望通过可信赖计算这样一个概念,可以学到很多的经验教训和知识,这样使我们的一些新技术得到更好的应用,更好的推广到我们整个产品的生命周期的管理当中,使这些产品解决安全问题的能力包括在身份识别、通知以及健全方面都能够得到加强。
记者:微软在美国已经举行了20多场安全峰会,显示出对安全越来越重视,你们会不会在国内举办类似的技术交流大会?
克瑞格·蒙迪:2003年微软在中国做了一些培训工作,在IT行业,包括客户、非客户这方面的培训在中国很多的城市都做了,今年我们还会继续这方面的工作。
我们一直在培育人们加强能力的一个领域,就是如何能够建立并发展自己的安全系统、配合自己的安全系统。实际上微软的产品都包括了安全功能,但是作为用户来说他们不了解这些功能,或者不知道如何正确的使用这些功能。因此为了教育这些用户,我们就把有关的问题,在研讨会上进行讨论,或者在我们的网站上将有关的信息登出来,这样用户可以知道如何保护好自己的系统。这些东西分别是针对家庭用户、IT人员或者是开发人员而做的。
“开放”背后的价值
记者:据悉微软和中国政府的一些承包商签订了开放源代码协议,请问微软和中国政府在GSP方面有哪些最新的进展?
克瑞格·蒙迪:我很高兴微软公司和国务院信息技术办公室就这个GSP的问题进行了广泛的交流,帮助他们来建立一个实验室,并且通过这样的实验室对于有关的人员进行关于安全方面的培训。他们现在已经有能力进行一些分析,并且把部分反馈意见向我们加以说明,反映其他的问题。我觉得这种做法是非常可行的,我们还会继续加强和中国政府有关部门的沟通。
记者:最近有消息称,微软在Office产品上向各国政府开放90%源代码,中国政府也包括在内?
克瑞格·蒙迪:是的。对签订了GSP政府安全合作计划的政府,我们都会把这方面的计划进一步扩展,也会把90%提供给他。
记者:最早会在什么时候,能够在中国看到这部分源代码?
克瑞格·蒙迪:我不太清楚具体应该是什么时候能够提供给中国政府,但是我认为不会太久。
记者:在开放Office产品源代码的计划上,微软会有哪些考虑?
克瑞格·蒙迪:世界上很多国家的政府都要求微软公司在对Windows操作系统的源代码进行开放以后,也对Office产品的代码进行开放,他们主要是考虑到自己文件处理系统的安全问题,而且这些文件处理系统使用的人非常多。我们通过这个计划,主要来解决两个方面的问题。第一个就是他们的疑虑。以前用户担心使用Word处理文件的时候,怕隐藏源代码或者有些文件会自动发出去,包括会在他们不知情的情况下把文件发给第三方。我们要解决了他们这方面的担心。
第二个问题就是存档方面的一个考虑,还有对其他系统的相互兼容、操作性这方面的考虑。尽管后者我觉得不会有很大的作用,但是我们仍会重视这个问题。例如2003年之前老版本的Office,它的格式是我们自己独有的一种格式,将这种版本的源代码提供给我们的用户之后,对于进行文件存档有很大帮助。在Office2003以后的版本,我们对产品的总体架构进行了修改,因此这个问题得到了解决。当然政府部门出于对安全的考虑,他们可以拿到源代码以后对安全问题、存档问题以及相应的操作性问题进行很好的解决。
记者:现在对开放源代码的计划是微软长期战略的一部分吗,开发源代码的计划和微软可信赖计算战略之间是什么关系?
克瑞格·蒙迪:我们一开始推出可信赖计算的时候,主要是包含四个方面, 分别是安全、隐私、可信赖和业务的完整性。作为参与政府安全计划的一部分,我们等于是从技术层面已经解决了安全和隐私这方面的问题,但是后面的两个问题,还只是从概念上给他们加以了解决。也就是说公司之间进行传输的东西,保证是可靠的,是没有什么隐藏的东西在后台的。实际上微软开放源代码并非是一件新的事情,12年前我们就已经这样做了。我们很多这样的计划以前是大家所看不到的,我们后来又做了一个资源共享方案,把这些源代码提供给我们的客户。我们有40多个这样的被称为“共享资源”的授权,专门为一些客户进行开发、设计,以量体裁衣的方式满足他们的需求,授权给他们,这是我们以前的做法。现在我们有了一个政府安全计划,可以说是以前活动的延续。通过这样的做法,等于也是一种共享源代码的方式来解决政府对安全方面的关注,我们还有很多类似的计划在执行。比如说WindowsCE版本的有关开发工具,我们也提供给客户。包括对一些院校以及大型企业,我国每年也是根据他们内部的要求来为他们提供这样的计划,使他们内部IT人员的程序编写水平得到提高。这些计划今后还要继续下去。
记者:那么未开放的10%左右的源代码是涉及哪些功能的,和安全问题有关吗?
克瑞格·蒙迪:我的回答是NO。因为微软过去是收购了第三方的一些技术,比如我们的拼写输入是属于另外一家公司的知识产权,这个拼写应该是和安全没有什么关系的。但是我们跟对方签署了授权协议,只能是供我们一家使用,我们不能把这个也公布给第三方,因此这个也属于10%内的没有公布的东西。这10%应该是和安全无关。或是我们无权来跟大家共享的一些内容。
反垃圾邮件的努力
记者:刚才你提到制定身份识别标准的话题,是否微软正在与各国政府还有互联网国际组织进行合作,我想问一下目前合作的情况怎么样?据悉有关邮件发送者身份识别的合作被拒绝了,是否遇到了一些难题?
克瑞格·蒙迪:关于身份识别以及与政府交流这个问题,我们和世界各国政府包括中国政府在内的主要合作内容一般只是涉及到有关立法和执法方面的问题,而涉及到身份识别方面的技术问题是比较少的。可能随着时间的推移,这个情况会有所变化。但基本上我们谈合作都是涉及政策立法方面的问题,技术方面只是说做一个补充,不会直接就身份识别相关技术问题进行合作。
另外,微软公司开发过一项技术,叫做呼叫者身份,最近又把它演化成发邮件者身份识别技术。这样可以识别出来谁是邮件发送人,通过这样的做法可以更好地控制垃圾邮件的传播。对我个人以及公司来说,有关方面拒绝了我们经过知识产权专利保护的一个技术,有一些失望。
记者:为什么会很失望?
克瑞格·蒙迪:很失望的原因是,微软公司在提出这个建议时明确一点,包括今天以及今后如果任何一方要实施这方面的技术不会收取任何费用。因此,我们可以说有关人士是假借知识产权和知识产权保护所谓有关的问题,借用这个理由,就等于让这个事业无法进行发展。
我们的做法是免费让人们使用,同时这种做法我们也是在世界各地的有关标准化的机构当中,涉及到知识产权保护的一个标准的做法。在这件事情上尽管遇到很大的困难,但是微软公司还是会努力推进这领域的技术发展,并把这项技术应用到我们所有的产品当中,以用来阻止垃圾邮件的传播,但是别的公司会不会用,我无法确定。
编后语:
在听到蒙迪谈论“可信赖计算”的时候,我们不禁想起了微软的“无缝计算”计划。
记得在2004年初,微软在CES(电子消费品展会)上发布了最新技术规划“无缝计算”,即要利用当前的计算技术与更多的领域进行融合,消除不同软件系统之间所存在的界线,形成一个无缝连接的环境。按照盖茨的解释,在“无缝计算”的世
界里,人们可以实现在任何时候、任何地点、任何设备得到任何想要的信息。
尽管以前的“维纳斯”和“.NET”计划一直为业内人士诟病,但微软帝国不会停止对一个商业宏图的憧憬,并且会继续投入更多人力物力。这包括今年6月28日,微软与长虹就信息家电领域签订的全面战略协议。在全球PC市场的萎靡趋势面前,如何寻找新的利润增长点是具有战略意义的事情,从PC到手机、家电,“无缝计算”的意图显而易见。但是对新的市场推进并不意味着对原有市场的放弃,继续挖掘PC市场的潜力和需求,比如“安全”问题,并把这种影响力扩展到除PC市场以外的领域,是“可信赖计算”与“无缝计算”之间一些千丝万缕的内在联系吧。比尔·盖茨一年前说过,要对“可信赖计算”投入最多的资金、人力和智慧,或许现在“可信赖计算”的一小步,就是将来“无缝计算”的一大步。
克瑞格·蒙迪
微软全球副总裁,首席技术官,负责微软长期战略。
他是比尔·盖茨的私人技术顾问。与盖茨共同制订微软公司有关技术、业务等一系列综合策略,负责微软在中国的战略发展事务,推进中国软件产业的发展。同时,他还负责协调上述综合策略在微软所有产品部门的全面实施。