數(shù)年來，安全軟件供應商們都是依靠微軟的錯誤來大賺一筆的。安全漏洞——以及人們對安全漏洞的恐懼——讓很多軟件開發(fā)者賺了大錢。因此，賽門鐵克是否真的對Vista的安全性感到擔憂呢？

近日，賽門鐵克發(fā)布了一份研究報告“Vista操作系統(tǒng)的安全隱患”，該報告舉出了該操作系統(tǒng)的新的安全特性的一些問題。

甚至連微軟也讓步了，他們現(xiàn)在認識到UAC(用戶帳戶控制)——Vista的最顯著的安全特性——易受Subversion攻擊，尤其是通過社會工程策略。

微軟的讓步是一回事，賽門鐵克的評估則是另外一回事了。如果微軟提高了安全性——無論是在操作系統(tǒng)還是它所發(fā)布的自己的技術(shù)方面有所提高——那么其它軟件開發(fā)商就會受到潛在的威脅。在這種情況下，賽門鐵克所發(fā)表的關于Vista安全的任何信息都將與其自身利益矛盾。

“賽門鐵克對Vista的研究報告做得很好，很有研究；它們不是不確定的或者具有猜測性的報告”Yankee集團的安全研究項目經(jīng)理Andrew Jaquith說。

但是賽門鐵克也會試圖對用戶進行勸說，Jaquith 強調(diào)“最主要的目的就是讓用戶認為他們的產(chǎn)品對Vista系統(tǒng)的安全性同樣有幫助?！?

我的同事Jim Rapoza恰當?shù)匕衍浖峁┥毯臀④浀年P系描述成了“獅子和老鼠們”。

“微軟需要周圍這些小老鼠馴服于它，并且完成這個獅子關照不到的地方。而小老鼠們則靠獅子得到的食物過活，”Jim解釋說。但是那些麻煩的小老鼠們“總是擔心會被獅子吃掉，或者擔心微軟進入安全軟件供應市場而不再依靠它們的產(chǎn)品?！?

老鼠們的擔心不是毫無道理的，因為微軟不僅僅是提高了Windows的安全性。擁有著Forefront和Windows Live OneCare這兩大產(chǎn)品，微軟現(xiàn)在在消費以及商務級的安全市場領域已經(jīng)是它們名副其實的競爭者了。

微軟作為安全軟件競爭者也很矛盾。當然，微軟也希望在安全領域有最好的前景。

“賽門鐵克的研究對消費者很有利，因為它是對微軟信息的一個有力的修正，”Jaquith說。盡管Vista的安全性高于Windows XP，“人們能從微軟之外的角度來找出缺點，也是很有必要的?！?

誠實得近乎殘酷

盡管賽門鐵克的研究對Vista的安全性有所贊許，但由于這些報告十分清楚，并具有預見性，可以說，它對Vista的批評近乎殘酷：

“微軟用來提高Vista安全性的很多技術(shù)并不新鮮。事實上，其中很多技術(shù)本來都是來自于開放源碼操作系統(tǒng)，比如Linux和OpenBSD，the pax和Stackguard項目等等，還有些是來自很多學術(shù)論文的研究成果。這些技術(shù)中的很大一部分都是先出現(xiàn)在Windows XP SP2(SP2)中的。微軟的Windows XP SP2剛一發(fā)布的時候，微軟也稱其為最安全的Windows操作系統(tǒng)。”

這個報告認為那些早期的安全方面的進步對Windows系統(tǒng)的安全性具有著積極的影響，尤其是有利于它改進自身的某個缺點。

“賽門鐵克發(fā)現(xiàn)越來越多的攻擊開始針對操作系統(tǒng)上運行的應用程序，比如 Office 套件和網(wǎng)絡瀏覽器，盡管微軟在保護操作系統(tǒng)的核心方面投入很大，但是攻擊早已轉(zhuǎn)移了方向?！?

應用層和網(wǎng)絡層的威脅現(xiàn)在是安全問題中最熱門的話題。Honeypot項目在2月7日的報告中稱，“了解你的敵人：網(wǎng)絡應用程序威脅是最基本的內(nèi)容?！?

ActiveX和Zero Day漏洞的涌現(xiàn)昭示了一種趨勢。隨著越來越多的攻擊集中到攻擊應用程序上，微軟將需要轉(zhuǎn)移它的安全側(cè)重點了。

類似地，賽門鐵克找出了Vista安全問題的癥結(jié)區(qū)域，比如合法程序，新的網(wǎng)絡特性和UAC。即使是那些有改進的部分也同樣伴隨著攻擊。

“Vista比起XP系統(tǒng)來說，把惡意軟件的威脅降低了95%，”Jaquith說。“盡管如此，圍繞Windows的那些惡意軟件也不會自動消失。就像在足球比賽中，參賽者要盡力尋找對方破綻以便得分一樣，專業(yè)的惡意軟件編寫者也會竭盡所能尋找Vista的弱點?！?

無論如何，像賽門鐵克這樣的安全軟件開發(fā)商仍能夠從微軟的手指縫中賺到大筆錢。

如今，微軟的高級安全產(chǎn)品——無論操作系統(tǒng)還是它自己的競爭軟件——并不會與賽門鐵克關于Vista的評估發(fā)生沖突。

相反地，Jaquith說“賽門鐵克的研究廣泛地印證了我們的觀點?！?