科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Vista在安全性与易用性两者间取舍

Vista在安全性与易用性两者间取舍

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在微软Vista中的大量安全功能可以让很多客户感觉“足够安全”,但是对于企业而言,这并不是足以促进销售的改进——而且对一些专家来说,这也不是它们所应达到的状态。这也再次凸显安全性与易用性两者之间的取舍问题。

作者:zdnet.com.au 2007年2月6日

关键字: Windows Vista 安全管理

  • 评论
  • 分享微博
  • 分享邮件

在微软Vista中的大量安全功能可以让很多客户感觉“足够安全”,但是对于企业而言,这并不是足以促进销售的改进——而且对一些专家来说,这也不是它们所应达到的状态。

在Vista一打(12项)的安全功能中,主要是一些改进;比如恶意软件移除工具,智能卡和登陆认证方面的改动,用户权限控制,USB设备控制,Windows防护工具以及Windows防火墙。

但是这些功能中没有任何一个可以被视为万用灵药,哪怕是将这些功能组合起来也不行。对于分层安全的需求依旧像过去那样紧急。

Stuart Okin,微软former UK的安全领导,Accenture的安全合作者,告诉silicon.com说:“我看到了Vista中有15项的安全功能,但是其中没有任何一项是伟大的万用灵丹,让你可以装上之后就万事大吉。”

“安全是关于层面的,你需要对安全使用分层的方法”——当然,没有什么新鲜的东西,不过这句话说上多少遍也不算过分,特别是对Vista的安全功能寄予了太多希望来保护自己的消费者而言。

客户的网络效果将毋庸置疑是一个改进。Okin说:“从一个消费者的观点来看,我认为最大的改进是围绕着用户权限控制以及Internet Explorer进行。”

“目前的趋势是,他们会收到更多的提示信息。但是如果民众和业界都能就此形成一个共识,认为这样的环境更加安全,那我想,从积极的观察角度来看,这会产生重大的影响。”

不过,也正是这些安全提示令一些安全专家质疑:微软为了强化安全功能,是否牺牲了操作系统的简单易用性?这也再次凸显安全性与易用性两者之间的取舍问题。

服务于First Base Technologies公司的渗透测试者——或者可以称呼为“道德黑客”——Peter Wood暗示,微软在回答这个问题时,已朝正确方向勇敢的跨出了一大步。

他说:“如果微软希望让操作系统变得更加安全,那么他们就必须在权衡可用性与安全性的时候,朝安全性方面进行倾斜。我认为他们已经这么做了,因为默认环境下,他们开启了更多的安全功能,而不是关闭了更多的安全功能”

并且,Vista给人的初步印象是,消费者们如果愿意关闭一些有安全疑虑的功能,并接受更加频繁的提示和弹出式的警告,就会更加安全。

Gartner研究部的副总裁Jay Heiser说:“对终端用户来说,Vista绝对有进步。Vista的稳定性显然超出预期,这对每个人来说都是个惊喜;但我个人觉得,相对来说,Vista对终端用户和小企业而言所做的改进,要比其对大企业所做的明显多得多。”

“对经验不足、缺乏支持的因特网用户而言,Vista应当是一个大幅增强的安全使用环境。”

Vista从发售日起就会有消费者购买,这是毫无疑问的。但更强调安全性能否刺激提升对企业用户的销售,微软只能寄希望于它可以如愿以偿。

Gartner的Heiser的看法则是对此表示怀疑。他说:“今天,即使没有Vista,许多企业遭遇的安全风险程度也已在可容忍的范围之内”。他提到,事实上,企业界已被灌输了历代微软操作系统的安全性都需要增强的观念,并看到了针对风险而对症下药的安全性(risk-based security,基于风险的安全性)将是大势所趋。

不过,Accenture的Okin表示,若是能把那些价格极为昂贵的安全架构化繁为简,同时保留坚不可破的安全防护层,仍会吸引许多企业用户。并且他补充说,有许多功能可以让企业看到,将其引入自己企业范围之内的意义所在。

Okin说:“从企业的角度来看,我认为必将掀起重大变革的一项功能,应该是管理登录以及智能卡认证的新架构。这是历史上第一次,应用程序可以如此轻易地调用智能卡或生物辨识(biometric)认证。”

目前Accenture的一半安全生意都围绕着识别和权限管理——特别是在后端——并且,因为这样,Okin确信他的以前老板们已经从这个功能中特别闻出了一丝甜蜜的味道。

他说:“未来几年内,不论是进行在线银行业务、电子商务或其它任何事务,你会看到这样的一个应用程序,它会告诉我们这样开始——OK,现在你必须进行生物辨识认证,或拿出你的智能卡。”

“在此之前,这种作法不仅所费不菲,而且难度很高。又贵又不方便的话,大众们有理由不去采用。”

Okin认为,说服CIO们打开支票簿的诱因,不只是Vista的身分管理与权限管理而已。新增的USB装置控制功能,正好迎合了企业日益升高的另一种需求:即拦阻数据经由数码相机、iPod、随身闪盘等装置外泄,并防范未授权软件、盗版软件以及中毒文件随这些装置渗入。

他说:“一些客户听说有BitLocker功能,都非常兴奋。”

BitLocker全磁盘加密(full disk encryption)功能是Windows操作系统令人期待已久的改进功能,也是“道德黑客”Peter Wood所说的,朝正确方向迈进的一步。

他说:“BitLocker技术是相当有趣的作法。长久以来,我们一直敦促企业认真推动全磁盘加密,这对笔记型计算机和其它外部装置尤其有必要。但据我们了解,大多数企业至今尚未实施这种策略。”

然而,安全性再怎么强,也依旧是Windows中最薄弱的环节。Wood认为,和其它Windows功能一样,BitLocker的作用也可能被打上折扣。

Wood说:“我们的全磁盘加密都使用PGP,因为PGP独立在操作系统之外。经验告诉我,微软对这类系统的控制通常会另有小路可避开,因为这是深植于Windows环境的一部分。”

Wood认为,对下定决心的黑客而言,要找Vista操作系统的安全漏洞应该不是难事。但他承认自己尚未取得Vista,上述评论只是根据以前轻易破解微软程序的经验而发表的言论。并且他也怀疑微软是否真的已记取了昔日的种种教训。

这是一种可能性,Wood说:“Vista是庞大的程序,必定充满漏洞,因为任何人写的程序都免不了有漏洞。”

不过,不管怎样,BitLocker绝对是一大改进。加密即使有可能遭到破解,但有加密总比没有好。随着资料盗窃案及相关损失的日益升高,BitLocker多少能让人安心一点,也降低了你的笔记本落入一个业余人员之手后泄密的可能性。

但正如所有的新技术一样,Wood认为Vista安全性最大的弱点还是它的终端用户。由于加密跟个别Windows用户账户绑在一起,Wood担心这种作法也会导致BitLocker存有潜在的不安全性。

不过,他并没有动摇Okin的信心。Okin相信,双重认证--以及Vista所支持的更强认证方式--会大大地提升安全性,让情况大为改观。

相比较而言,Wood更担心,Vista虽然做了各种改进,但密码(或其他那些所谓“挥之不去的原始愚蠢问题”)对许多部署Vista的企业用户而言仍会是防不胜防的致命伤,虽然这个问题显然与Vista本身的程序无关。再者,Wood指出,生物辨识技术与智能卡认证虽比密码认证方式有所进步,但仍只是表面上的进步。他更支持改用一个通行短语(pass phrases),认为有助于大幅提升所有Vista环境的安全性,并能让其它功能更有效的运作。

但最重要的是,看起来微软的安全程序也许需要推出一代以上,才能够逐渐的取信于用户。而目前微软针对安全性所作的承诺,跟小孩答应不偷看圣诞礼物是什么,大致上差不多。

他说:“跟我往来的客户也许因为仍在用Windows 2000,且不准备换成XP,而有意升级到Vista。”

“我认为,Vista的节电功能、BitLocker降低笔记型计算机失窃率及其它成本,加上其它的新功能,可能协助用户省钱。但就算全部加起来,Vista的吸引力也尚未达到令人无法抗拒的地步。”

看起来,恐怕要靠其它因素,才能驱使企业升级到Vista。例如自然的淘汰周期,或企业不希望公务计算机比员工自己家里用的Vista计算机还落伍。CIO们正在告诉Okin:“我不想我的伙计们回到家,有一个更好的体验”

他说:“若你用的是Windows 2000系统,那升级当然很吸引你。用XP的势必慢慢来,选择自己想要的时机升级。但企业升级到Vista是看上安全功能吗? 不见得。其中一部分是,实际上,这个因素总体上是很弱的。”

(责任编辑:陈毅东

查看本文的国际来源

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章