有人問(wèn)帕勃洛·畢加索在他的眾多畫(huà)中哪一幅是他最喜歡的。他的回答是：下一幅。如果問(wèn)微軟首席執(zhí)行官史蒂夫·鮑爾默哪一款Windows是最安全的，那么你猜他會(huì)怎么回答呢？

我注意到微軟準(zhǔn)備為Windows 2000發(fā)布最后一個(gè)安全補(bǔ)丁包Rollup 5。它不同于通常的服務(wù)補(bǔ)丁，而更像是一個(gè)方便性的補(bǔ)丁－自SP4以來(lái)的所有hotfix補(bǔ)丁程序積累成一個(gè)大的安裝包。這個(gè)補(bǔ)丁將在微軟終止對(duì)Windows 2000的主流支持之前，也就是本月底之前推出。

五年，難道真的已經(jīng)過(guò)了如此長(zhǎng)的時(shí)間了么？我曾經(jīng)如此急切的放棄NT4而安裝上閃亮的新的Windows 2000，這些好像是發(fā)生在不久前的事。但是細(xì)想一下，在這五年中發(fā)生了太多的事情。互聯(lián)網(wǎng)改變了，安全改變了，整個(gè)世界都已經(jīng)改變了。

我認(rèn)為在整個(gè)微軟的發(fā)展歷史上，Windows 2000可能是微軟最大的負(fù)面新聞的源頭之一。但是它也造就了現(xiàn)在微軟的地位。微軟曾經(jīng)想把Windows 2000打造成為他們最安全的操作系統(tǒng)，但是事實(shí)上成為一個(gè)絕對(duì)的安全災(zāi)難。微軟一直設(shè)法不僅僅要從那場(chǎng)災(zāi)難中恢復(fù)過(guò)來(lái)，還要把安全性變?yōu)樗麄兏蟮馁Y本。事實(shí)證明Windows 2000是微軟迄今最成功的失敗者。

2000年的情況與現(xiàn)在不同。程序員證明千年蟲(chóng)問(wèn)題并沒(méi)有帶來(lái)巨大的麻煩。我們順利的度過(guò)了2000年1月1日，一切都順利進(jìn)展。隨之在第一季度Windows 2000到來(lái)了，更多的人開(kāi)始對(duì)安全有了更多的興趣－－Windows是一個(gè)不錯(cuò)的開(kāi)始的場(chǎng)所。同時(shí)一些新的Windows黑客也開(kāi)始出現(xiàn)了。

那一年在Windows 2000中漏洞潮水般的不斷被發(fā)現(xiàn)，其中許多會(huì)對(duì)IIS造成破壞。任何一名黑客一旦發(fā)現(xiàn)他們?cè)诠舻氖且粋€(gè)基于IIS的站點(diǎn)，他們確信他們肯定能發(fā)現(xiàn)一個(gè)方式來(lái)攻破他。換言之，不管這家公司有多大，你都可以侵入他，在數(shù)分鐘內(nèi)就可以侵入他們的IIS服務(wù)器。這種情況一直持續(xù)到2001年。

情況有那么糟糕么？確實(shí)。不幸的是，許多入侵是悄無(wú)聲息的，而發(fā)現(xiàn)被攻擊的公司也對(duì)此諱莫如深。銀行、政府、軍方站點(diǎn)、商業(yè)站點(diǎn)都無(wú)一例外被黑過(guò)。但是你能真的完全責(zé)備微軟么？大多數(shù)黑客并非能力超群，只是利用了微軟已經(jīng)修補(bǔ)過(guò)的漏洞，只是人們沒(méi)有安裝這些補(bǔ)丁來(lái)堵住這些漏洞。那個(gè)時(shí)候，無(wú)論我們?cè)趺磁Γ坪鯖](méi)有人接受安全的重要性。那個(gè)時(shí)候銷(xiāo)售安全產(chǎn)品幾乎是不可能的。我記得有一次問(wèn)另一個(gè)顧問(wèn)，“我們?cè)撛趺醋霾拍芤鹑藗儗?duì)安全的重視，難道非要黑掉每一個(gè)人來(lái)讓他們明白安全的重要性么？”

從2001年5月份開(kāi)始，情況有所改變。我開(kāi)始接到一些公司的電話(huà)，過(guò)去我曾經(jīng)向他們?cè)噲D銷(xiāo)售過(guò)安全服務(wù)，但是他們對(duì)此從來(lái)沒(méi)有興趣。現(xiàn)在他們需要我的幫助因?yàn)榘l(fā)生了一些事情。許多人的站點(diǎn)被這樣的詞語(yǔ)所丑化：“fu*k 美國(guó)政府，fu*k PoinzonBOx（美國(guó)一黑客）。”那時(shí)第一次許多公司經(jīng)歷了蠕蟲(chóng)病毒的攻擊。當(dāng)然絕對(duì)不是最后一次。

sadmind/IIS蠕蟲(chóng)病毒比較有意思的是，它給安全業(yè)界帶來(lái)了一些工作做，但是它與七月份發(fā)生的事情是沒(méi)法相比的。

我依然非常清楚的記得那一天－網(wǎng)絡(luò)變得非常慢，我的入侵監(jiān)測(cè)設(shè)備（IDS）快要崩潰了，我發(fā)現(xiàn)許多來(lái)自Marc Maiffret的郵件出現(xiàn)在不同的安全郵件列表中。人們后來(lái)稱(chēng)它為紅色代碼。當(dāng)時(shí)幾乎每人都感染了它。

從那一晚起，我知道我們大多數(shù)人的工作不會(huì)像以前那樣了，那就是互聯(lián)網(wǎng)安全的911事件。但是，這并不是結(jié)束，只是變得更嚴(yán)重的惡夢(mèng)的開(kāi)始。到年底的時(shí)候你把一臺(tái)裝著Windows 系統(tǒng)的機(jī)器聯(lián)到網(wǎng)絡(luò)上，在你有機(jī)會(huì)下載最近的補(bǔ)丁之前可能已經(jīng)被十幾種病毒感染了。而現(xiàn)在不需要五分鐘的時(shí)間。

那時(shí)候到處充滿(mǎn)了譴責(zé)之聲。有的人譴責(zé)安全專(zhuān)家公開(kāi)了漏洞。追溯每一種主要病毒的根源，幾乎都可以發(fā)現(xiàn)其是利用了被有的安全專(zhuān)家公開(kāi)的漏洞。某些人聲稱(chēng)假如安全專(zhuān)家不公開(kāi)這些漏洞的話(huà)，他們就不會(huì)遭受到黑客的攻擊。但是這種觀點(diǎn)是很虛弱的，因?yàn)橛械暮诳鸵呀?jīng)知道了這些漏洞，不管你公開(kāi)不公開(kāi)并在偷偷的利用這些漏洞。

人們譴責(zé)微軟，但是讓我們來(lái)看一下真實(shí)的情況吧：系統(tǒng)管理員真的需要6個(gè)月以上安裝一次更新么？是的，是微軟程序員寫(xiě)出的這些有BUG的代碼，但是在那時(shí)候他們和大多數(shù)程序員有什么區(qū)別么？他們難道不是整個(gè)社會(huì)對(duì)安全的態(tài)度的反映么？許多代碼都是在5年前寫(xiě)的，那時(shí)候安全是一個(gè)增值功能而不是一個(gè)用戶(hù)必須的要求。那時(shí)候的管理員也是懶惰的。

問(wèn)題是那時(shí)候你不能簡(jiǎn)單去WindowsUpdate站點(diǎn)看一下你需要安裝那些補(bǔ)丁。你不得不一個(gè)一個(gè)的瀏覽整個(gè)補(bǔ)丁列表來(lái)確認(rèn)哪些你沒(méi)有安裝。更糟糕的是微軟發(fā)布了太多的漏洞修補(bǔ)補(bǔ)丁以使管理員無(wú)法機(jī)警的迅速安裝任何補(bǔ)丁。不得不承認(rèn)那時(shí)微軟的補(bǔ)丁策略真的是非常混亂的。一切都是那么不協(xié)調(diào)的，而且彼此之間缺乏溝通。

然而在企業(yè)界很少看到的奇怪的事發(fā)生了。微軟不僅僅開(kāi)始負(fù)起責(zé)任，而且把他們的失敗變?yōu)樗麄兊淖罡邇?yōu)先的漏洞修補(bǔ)。他們停止努力維護(hù)他們的形象，并開(kāi)始承認(rèn)他們有安全問(wèn)題需要修補(bǔ)。正如比爾蓋茨在它的著名的可信頼計(jì)算備忘錄里提到的，“這是一個(gè)只有微軟可以解決的挑戰(zhàn)。”

大多數(shù)人對(duì)這個(gè)發(fā)言持藐視態(tài)度。這次備忘錄聽(tīng)起來(lái)是偉大的，只是不能迅速變?yōu)楝F(xiàn)實(shí)。我們真的納悶是什么使他們突然改變了態(tài)度并從那時(shí)起開(kāi)始了改變。

但是蓋茨是正確的，微軟是唯一適合解決這個(gè)問(wèn)題的候選人。他們投入了大量的資金，事情開(kāi)始慢慢的發(fā)生變化。微軟開(kāi)發(fā)著開(kāi)始討論他們已經(jīng)知道的安全問(wèn)題。開(kāi)始參與了更多安全會(huì)議。IIS服務(wù)器不再對(duì)任何人來(lái)說(shuō)都是很容易侵入的。更令人吃驚的是，當(dāng)去年Windows XP SP2的到來(lái)，我們發(fā)現(xiàn)安全功能的重要程度已經(jīng)優(yōu)于于其他所有特點(diǎn)的。

當(dāng)然微軟依然還有許多工作要去做。針對(duì)沖擊波和SqlServer蠕蟲(chóng)病毒的出現(xiàn)，讓他們作出了自己的緊急響應(yīng)計(jì)劃。在振蕩波出現(xiàn)的時(shí)候，他們把他們的恢復(fù)時(shí)間縮減到五天，與沖擊波的38天相比快了很多。微軟安全應(yīng)答中心(MSRC)的建立讓我們看到了成功的信號(hào)。當(dāng)然這決不是最后的勝利，但是他們已經(jīng)具備了一定的反應(yīng)能力。

微軟的問(wèn)題不僅僅是只讓微軟受益：現(xiàn)在我們都對(duì)安全提高了警惕。我的岳母已經(jīng)在討論防火墻的問(wèn)題。我的鄰居在談話(huà)間偶爾會(huì)引用到釣魚(yú)（phiishing）攻擊。還有有一天我聽(tīng)到我的兒子在向他的弟弟解釋木馬軟件帶來(lái)的麻煩。

微軟也許要再花十年推出許多更安全的產(chǎn)品，才能最后宣告對(duì)安全問(wèn)題的勝利，但是他們現(xiàn)在已經(jīng)具備了基礎(chǔ)架構(gòu)、豐富的經(jīng)驗(yàn)和關(guān)鍵要素來(lái)發(fā)生這些改變。