微軟董事長比爾蓋茲宣布安全將是微軟產品第一要務,國內業者表示,資訊安全要做好,除了軟體產品防範要健全外,消費者的資訊活動上,更要具備安全意識。
本週國際媒體爭相報導,由比爾蓋茲對內部員工所發出的電子郵件中,揭示安全將是微軟今後的第一要務。其中甚至有消息指出,微軟可能因為要對其產品進行檢測而將暫停研發一個月。
事實上,去年夏天開始,Code Red與Nimda造成重大威脅,美國微軟去年十一月就已舉行Trusted Computing conference,找來200多位的安全專家、隱私權人士及政界人士,共商建構.Net的安全網路環境;當時微軟並與美國頂尖的安全公司,包括Guardent, @Stake, Bindview, Foundstone 和Internet Security Systems等五家業者簽訂協定,約束安全專家在發現與微軟相關的漏洞時,必先通知微軟,俟後者發布修補檔後才可以公開宣布。
台灣微軟並表示,蓋茲本人也不是第一次做類似談話,去年底他也曾針對電腦安全性之重要與急切性發表過公開文章。至於暫停研發的計畫,台灣微軟表示可能是誤傳,微軟產品研發單位很多,從研究院到各事業群,所以可能是部分研發單位的計畫而已。
不過台灣業者表示,真正的資訊安全,除了軟體業者將洞補起來外,使用者才是關鍵。趨勢科技總經理丘立全指出,微軟產品因為使用者眾,故較其他產品易被了解,因而要攻擊其弱點也就容易,尤其XP又是個複雜的作業系統,漏洞新聞自然也就較多。
他指出,無論是防毒或作業系統再精良,也比不上毒蟲出現更新的速度,若使用者沒有安全意識,也無法杜絕災難,如不要開啟來路不明的電子郵件檔案、隨時更新病毒定義,以及裝設個人防火牆。他並強調,企業多半已有安全防護措施,家庭用戶往往是最脆弱的一環。
代理Foundsotne的漏洞掃瞄技術Foundscan的精誠資訊表示,微軟以消費者產品起家,當然講求便利,如網路芳鄰便利於企業的檔案交換,便利性高往往就無法顧全安全。微軟許多功能就是以開放為原始設定。
精誠資訊指出,在去年SANS (System Administration, Networking, and Security)協會公布的資訊安全前20大威脅中,有許多即是導因於使用者的不注意,如安裝Windows 2000時,隨著微軟光碟片進行預設安裝(default installation),導致其伺服器軟體IIS也安裝進去,成為駭客進攻的開口。
組合國際台灣區總經理曾賢德指出,以企業而言,資訊安全光是單純防護還不夠,還須管理者(administrator)有存取及管理二個層面的措施和作業系統整合,如權限控管及集中化管理,因為往往入侵者就是來自公司內部。
賽門鐵克台灣區總經理史秀蓉則表示,病毒型為轉變為混合式攻擊,作業系統防堵只能作一定程度的阻擋,但並不能完全取代資安管理,如防火牆、弱點管理、入侵偵測,而企業也一定要確實執行安全政策(security policy),確保公司的資訊安全。
