微软主席比尔·盖茨连续 6 年参加 RSA Conference 安全大会并做主旨演讲，可见微软对 RSA Conference 安全大会的重视和 RSA Conference 安全大会在业界的影响力。记得比尔 · 盖茨在去年的大会上讲“ 密码在三四年内开始退休 ”，而今年则与微软首席策略研究官 Craig Mundie 一起全面地阐述了微软针对日益严峻的安全问题提出了解决方案并在最近推出的产品中的实际部署，有兴趣的读者可以上微软网站上看看 演讲原文 或在线收看演讲录像，笔者根据自己的体会大概摘译和整理了部分内容如下：

    微软在 5 年提出可信计算 (Trustworthy Computing) 的概念，而新推出的 Windows Vista 根据可信计算的概念而研发，不仅在安全方面性能卓越，当然也是一个优秀的应用平台。面对当前的威胁，我们需要一个非常可靠的操作系统，既能保护人们的个人隐私和机密数据，又把安全作为最关键的问题来全面考虑，当然还有可信任。

    现在，所有系统和设备要联上网，人们需要任何时间、任何地点都能访问所需的信息，当然是安全地访问。这样使得现在的安全概念不能是按网段来划分访问权限，不可能设立什么“物理隔离区”和“逻辑隔离区”，因为您的外部合作伙伴需要访问位于隔离区内的信息。

    一个新的概念是必须保证机密数据在任何时候都是安全的，而不仅仅是在传输过程中 ( 部署 SSL 证书就可以保证机密数据的加密传输 ) 。现在许多情况丢失机密数据不是由于网络攻击而是由于丢了笔记本电脑或数据存储设备 ( 磁带、硬盘等 ) ，必须重视这些问题。

    对于网络的安全访问，其基础是数字证书，数字证书能证明访问者的真实身份，可以定义什么身份能访问什么资源，或什么人可以运行什么应用软件来完成什么工作。 IPv6 和 IPsec 的安全机制能方便定义访问规则，而不是简单地定义网段，这种安全机制是基于数字证书来定义网络连接双方的访问权限。也就是说，以前是“位置决定权限”，您在什么位置 ( 网段 ) 就能访问什么网络资源；而现在应该是“身份决定权限”，您的真实数字身份决定了您能访问哪些资源，而不管您在什么位置。

    以上讲的是隔离 (isolation) 问题，现在谈谈保护 (Protection) 问题。现在的网络保护就好象是中世纪的城堡，厚厚的城墙、高高的炮楼、深深的护城河、还有大大的吊桥，但我们忘了现在有飞机和导弹，所以这些中世纪式的防护虽然是非常重要的保护，但远远不够的。我们的城堡有许多漏洞，许多宝贵资产实际上离开了城堡；不仅如此，人们还要求无论人在哪里，都能够获得城堡里的东西，所以要求放下吊桥留下小路可以随时回来取所需的东西。

    保护的另一个问题是信息资产的全程保护，它必须保管在自己的银行保险柜中，当您需要用它时，您必须能让人们安全地访问，而一旦使用完毕，必须安全地回到保险柜中。 ( 估计指的是信息的加密存储与解密访问 )

    谈到权利管理 (rights management) ，人们通过电子邮件来发送机密信息，但是对方转发给别人，别人又转发给其他人，则机密信息就会跑到某个网站的首页上了。所以，应该能够设定某个机密信息只能某人才能看，即使转发给其他人也看不到，而且还要能定义此人能保存此信息多长时间。即使丢失笔记本电脑，其他人一样不能看到机密信息。这些必须是技术上来控制，而不是在 Email 的后面的法律声明。 ( 使用客户端数字证书加密就可以做到这些要求 )

    而关于身份认证，现在的密码体系是最不安全的，密码重置成本太高、密码容易被猜到，更糟糕的是：人们往往使用同一密码来登录个人帐户和公司帐户。所以，密码问题不仅仅是非常不安全，而且会带来更严重的安全问题，密码越多，则问题越糟糕。所以，我们的解决方案是数字证书，不同的应用使用不同的数字证书来登录，就象现实世界您使用不用的证件来通过不同的检查一样。而数字证书可能存储到智能卡或 USB Key 中，需要时插入电脑中即可。 Vista 和有关服务器软件提供了完善的数字证书管理功能，以便企业能顺利地从简单的密码认证方式升级到数字证书认证方式。

    笔者读后的感觉是有些观点“似曾相识”，请大家看看一年前笔者文章《网络虚拟世界“天下无贼”是可以实现的》，当时就提出了同样的思路：机密信息的全程安全，即：使用数字证书加密存储、加密传输和解密阅读，而不是仅仅修建坚固的城堡。

    实际上，微软的整个系统安全架构都是基于数字证书(公钥基础设施)的，因为只有数字证书才能证明数字世界的个体的真实身份，也就是说，一个可信的安全的网络世界一定是一个“实名制”的世界。具体措施介绍如下：

    (1) 微软要求每个软件代码都是数字签名的(每个软件代码都有真实身份)，没有数字签名的 ActiveX 控件是不允许下载和运行的；微软将逐渐要求可执行文件如 .exe 也必须数字签名后才能运行；

    (2) 从Windows Vista 开始，所有硬件驱动程序都必须是有数字签名，并通过微软徽标认证的，否则不允许安装；

    (3) 基于 Windows mobile 的所有移动应用软件，都是要数字签名的，否则不允许下载和运行；

    (4) 彻底抛弃用户名/密码方式，采用客户端数字证书的强身份认证机制， Windows Vista 和有关服务器软件提供方便的数字证书颁发、吊销等管理功能；

    (5) 增强了新一代浏览器 IE7 的安全性能，浏览器在访问部署了 EV SSL 证书网站时整个地址栏会变成绿色，提醒用户此网站是经过严格身份验证的；而对于列入黑名单的和可疑的网站则会显示为红色警告，提醒用户注意；

    (6) 服务器与客户端之间的通信、服务器与服务器之间的通信的身份认证也都是基于 SSL 证书和客户端证书的。

    WoTrust是目前国内唯一提供符合以上全部要求的相关数字证书产品和相关服务提供商，欢迎广大用户根据自己的信息安全需求选购和部署合适的数字证书产品，以提升企业的信息安全水平，保障企业的信息系统的安全，从而增强企业的核心竞争力。