2006年2月14日,比尔·盖茨以一个对安全现状的综述性报告拉开了RSA安全大会的帷幕。作为微软的首席软件架构师,盖茨说,要想提升整个社会的安全性,业界首先必须做到四个方面。因为,这是一个越来越数字化的社会。
盖茨的开场很轻松,他说他很高兴能够在RSA演讲。他说:“现在,我真的是感到非常安全。”
接着,盖茨对未来安全的重要性展开讨论,并把所有迫切需要做的事情分为四类:信任系统(trust ecosystem)、安全工程(engineering for security)、简易性(simplicity)和基础的安全平台(fundamentally secure platforms)。
盖茨说,要确保安全问题不会阻止我们前行的脚步真是一个非常大的挑战。英特网对于生产力、对于可靠性、对于隐私,都是非常关键的基础设施,所以我们不仅要有安全的方法,还必须要使得这些方法易于管理,让用户能力真正理解,才有可能战胜困难、实现梦想。这就意味着,从现在开始,我们需要许许多多的发明和大幅度的提升。
至于为了满足他那四项主要目标微软有哪些新的举措,盖茨未提及很多。相反,他主要围绕即将面世的Windows Vista客户端操作系统的一些特性来谈,包括对智能卡的支持、InfoCard身份认证技术以及IE浏览器方面的改进。
盖茨做出的惟一宣布就是,微软的认证生命周期管理器(Certificate Lifecycle Manager)现在处于测试状态。而这惟一的宣布也不是正式做出的,在演示丢失了智能卡、笔记本电脑和手机的用户怎样迅速找到替代品的时候,解说旁白中透露的这一消息。
盖茨使用这一演示来强调他的提升安全四大要点之一的信任系统。
盖茨说,我们有信任链,我们所需要做的就是去跟踪那些信任关系、获得准许、然后撤回那些信任关系、建立好名声。他说,今天,人们生活在一个没有信任系统的世界。解决问题的可以是一个特有的软件,也可以是一个特别的组织,但所有的东西必须形成一个联盟,以便人们能够理解所有的信任声明并对之进行推理验证。这样,我们就可以得到好名声,无论是对代码还是对用户,在所参与的各种各样的活动中我们都可以得到好名声。
盖茨说,信任系统中的一个关键是关于人的,并且需要管理认证,包括已发布的认证和撤回的认证。他说,在接下来的三到四年中,用户应该能够看到,智能卡的形式会从密码向双因子认证转变。他还说,高质量的认证可以帮助用户可靠地识别网站所有者。
谈到安全工程,盖茨用了一个例子来阐述:微软使用工具和新的设计方法来开发安全的代码,仅仅这样并不能保证安全,还必须保证代码得到了正确的操作。
至于简易性,盖茨说,微软一定会有大幅度的提升。
他说,你所必须用到的显示器的数量还是太高,想要搞清楚目前运行的是什么,你所必须要走的地方还是太多。提升的空间很大。
盖茨说,微软已经在努力做得更好了,比如,在Vista中加入了OneCare安全服务、提高了该操作系统中安全中心的性能、IT部门使用了组策略控制(group policy controls),并且还使用了InfoCare。现在,IE 7.0可以支持InfoCard,从而使得用户可以控制自己身份信息的传播。
盖茨说,现在,安全和管理已经不是完全独立的两件事情了。
在他的“基础的安全平台”目标下,盖茨说,就安全性而言,Vista会把微软带到新的高度。他强调了限制管理权限并防止恶意代码杀来的用户保护控制,同时还提到了阻止间谍软件的Windows Defender。大会当天会发布Defender的Beta 2版本。
最后,盖茨说,业界需要致力于这四个方面才能真正提升安全性。