| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
微软公布安全计划
微软公司近日公布了一项多年研究计划的详情,该计划旨在将其安全和访问保护技术嵌入到为安全分布式计算设计的基于策略的网络模型之中。该计划将活动目录(Active Directory)、智能卡或生物测定等授权/认证技术、IPv6、IPSec、反恶意代码和NAP(Network Access Protection,网络访问保护)等技术结合到一起。其中NAP是在计算机被允许接入某个网络之前检测其“健康”状况的一项技术。计划的最终目标是向用户提供一种基于良好定义策略的、能将安全特性置入到扩展网络中的方法。该方法控制“谁从哪里以何种方式访问哪些网络设备”,而不是常规的建立防火墙一类的物理分界。 对于那些拥有各种品牌计算机和补丁的公司来说,如果微软将这些技术嵌入到Windows内部,将使他们能更容易地扩展网络。微软似乎想成为一个一站式的产品供应商,将所有开发策略和管理统统放到一个集中的产品之中。但是,微软在2007年之前并不打算将这项计划用到Longhorn Server服务器上。微软Windows服务器部门高级副经理Bob Muglia在TechEd会议上透露了这项计划的细节,它也是微软“集成边缘”工作努力的一部分。集成边缘工作是微软正在重点研发改进的Windows服务器系统技术之一,它可使Windows服务器系统能够在企业内部充当不同的角色,包括.Net分布式应用、智能分布式存储以及其DSI(Dynamic Systems Initiative,动态系统计划)。 该计划能够创建一个根据策略保证安全并完成控制的网络,而不是通过建立网络拓扑结构来应对安全问题。通过这项计划,微软希望能够在一定程度上消除将内联网与互联网分开的防火墙一类的分隔线。企业的策略需要定义企业的边界,这必须是定义网络边缘而不是拓扑结构的策略,因为今天的物理边界明天未必可用。 微软宣称,在所有Windows服务器系统的计划当中,重新定义企业网络边界的工作将在最后完成,也许这会需要10年时间。在这项安全计划中,充当各个部分之间粘合剂的是Active Directory(活动目录),它向用户提供对安全至关重要的信用度、访问控制和数字证书。年底前,微软将会公布ADFS(Active Directory Federation Service,活动目录联盟业务),该业务将能使商业伙伴之间集成Active Directory基础设备,共享身份信息。支持其他技术的产品发布还将延迟。微软的NAP能使未打补丁和未受安全保护的计算机远离网络,原计划此产品将于今年秋季上市,目前看来将推迟到2007年。同时,微软还与Cisco正在开发的相似技术进行集成。 目前,反恶意代码技术也悬而未决。微软最近收购了防病毒和垃圾邮件厂商Sybari与反间谍软件企业Giant Company Software。采用现在已成为微软内部规范的双重身份鉴别(智能卡鉴别技术与生物测定鉴别技术)将非常关键,这也正是微软为Web业务和其InfoCard技术而开发的一种安全而标准的身份信用交换方式。IPSec也是必要的,在Windows 2003 Server中已提供对此技术的支持,能为IP数据包提供完整性和身份鉴别。还有一个关键技术是IPv6,它将互联网地址空间向PC以外的设备开放,以支持这类设备迅猛的发展。 这项计划的长期目标是建立一个全新的网络模型。公司可以只选择好的经验,将这些经验加入决策策略当中来支持建模。策略可以是用户定制的,但对所有这些定制策略的管理将会是下一个技术难题。 (朱新亚) |
||||||||||||||||||||||||
