李志霄:
各位领导、嘉宾大家好,今天我花15分钟跟各位谈一谈微软作为全世界最大的软件公司对垃圾软件信息发展趋势的看法以及软件提供商提供的防御方式。各位都是专家,杨秘书长谈到的法规问题也是重点,其他大家也都很熟。一些趋势,垃圾邮件、调研。针对某个社区有特定的攻击,90%的邮件是垃圾邮件,垃圾邮件已经成为世界范围的威胁,计算机变得越来越没有防护。威胁的演变会造成什么危险呢?损坏信任。今天我们看主要的威胁是在什么地方?谋取金钱的攻击还有鱼叉式网络攻击,有特定目标以特定目标为标发。刚才恶意软件专家们也讲了很多。
未来会看到什么呢?更高技术的攻击、跨设备的攻击、对信誉的攻击。对客户的信赖还有在线信赖造成了影响,对电子商务网上的推行也造成了阻碍。微软一个非常熟的客户,比如说招行就对推网民非常的投入,因为基本上消费者生怕身份被盗窃,所以造成电子商务和网上银行推广的难度。对国家安全和经济造成的损害就不用说了。
微软是世界上最大的平台软件供应商,微软作为一个企业公民有义务促进网络的安全,那么促进网络安全必须要有策略?微软通过安全创新用户指导和行业合作,通过安排的平台、产品和服务创造客户安全。
我们的主策略就是技术投资,提供最优秀的跨平台的产品和服务。再一个提供最说明的指导,然后就是联合执法单位创造一个生态系统帮助政策、帮助执法。我刚才强调微软是一个商业公司,所以它不能参与政策和执法,但是能够对政策和执法做建议。我们今天面对一个多前线的战场,微软能够提供哪些技术?首先电子邮件的保护,比如说发件者身份架构以及过滤垃圾邮件,在发邮件加了一些包括发信的时间和收信人的姓名,这种技术使得垃圾邮件被鉴别。送垃圾邮件要尽量减少开销才能送大量的高级邮件,而增加邮件的开销就产生的区别。
游览器的保护。我们在垃圾方面做两个方面的保护,一个是垃圾邮件的保护还有游览器的保护。防垃圾邮件的最主要工作需要鉴定发件者的身份。这方面主要靠技术支持,SIDF它是一个过滤技术,因为很多邮件是有价值,你要增加它的打开率,而不要使用户害怕是垃圾邮件而不敢打开。
我把这个技术做一个简单的描述让各位有兴趣了解一下,在2006年被IETF形成一个国际标准。主要的工作机理就是发信者把策略放在域名服务器里面,发了邮件以后收端根据IP地址聘域名服务器来验证是一个合法邮件。基本上收件人到域名服务器来验证发送框架。这样就可以知道发过来的邮件是合法的,但光过滤还不够还要做信用的鉴定。比如说滥发信息使使用者误认为合法的寄件者,即使通过验证但是信誉很差,所以还要做一个信誉的过滤,信誉过滤的机理在这里看得很清楚。信誉是靠用户反馈来形成的,所以它不是一个黑白分明是一个加权的手段。
怎么加权呢?发送者名字、用户反馈,所以信誉是靠这四种过滤方法实现的。四种都是有用、必要的但都需要改进。我刚刚说信誉的建立,加权不是数学公式不是二进制而是加权的指数。总之要强调一句信用可以克服过滤的局限性,验证信誉。
今天都知道中国有1亿6千万网民,所以上网络去游览必须要有防护,游览器主要对技术的防护,当设置不安全发出警告。然后对社会工程怎么做呢?地址栏可以很容易识别有没有造假,提供增强的第三方的安全证书。在设计要求方面客户利益和安全措施还有对虚假信息的防护。微软公司的网络调研跟大家介绍一下,对欺诈性将网络站点与已知站点的列表进行对比,扫描站点一下,再次检验站点是否符合。我刚才说这个列表时时更新的,目前从一号试用版开始超过120万都可以进行。这边是一个截图,针对欺诈性网站的实施保护,我刚才说辅助的技术是客户指导和教育,这是一个网页,大家看一下。
我刚刚说过生态系统,第一个讲技术,对垃圾邮件的技术对游览器保护的技术。第二个辅助就是协作,创造一个可信的生态系统。这个可信生态系统需要政府、需要行业、需要企业,这都是行业的组织列表在这个地方。微软是一个企业能够帮助立法和执法,各位都是专家立法我也不多谈。执法的方面应用一定的民间执行权利,执法机构和政府部门合作非常的重要,微软在全球协助执法机构超过400个案件,另外有效的立法和执法至关重要。我们在这里呼吁希望尽快看到有效的立法和执法。
第一,我们呼吁建设起来最大限度的建立信赖信息。第二是企业行业政府部门的协作。第三要使用标准搞安全是有标准的,使用标准和最佳实践创建产品服务。第四,给企业用户提供使用说明。安全是3分技术、7分管理,各位看技术只在第三项,其他方面都是政策方面,政策可生的生态系统。给企业和客户提供说明。
大家看一下这张,有兴趣可以来看一下。我的演讲到这里结束。
网友评论