Windows与Office软件的普及,使微软称霸桌面系统数十年,然而从2000年开始就有许多恶意程式利用微软软件的安全漏洞,造成大规模安全泄密事故,于是该公司决心重新规划发展软件安全体系。
微软软件开发生命周期分为7大步骤,包括教育训练(Training)、需求管理(Requirements)、设计(Design)、实作(Implementation)、验证(Verification)、发布(Release)、反应(Response)。众所周知,微软最早并没有踏入信息安全的领域,之所以开始发展相关的系统防护措施,主要跟近年网络大量繁殖的病毒、蠕虫等安全威胁有关。
这些能够干扰、瘫痪电脑系统运行的恶意程序,之所以能够渗透到个人电脑,主要是利用微软操作系统的安全漏洞。因此,使用者除了仰赖自行安装的杀毒软件来侦测、阻挡恶意程序之外,微软也积极针对这些被滥用的漏洞发布修补程式,让使用者能够强化对于威胁的抵抗力。
在此同时,微软也逐渐意识到自身对信息安全威胁反应力不足的问题,而且必须找到正确的方法来解决,于是他们提出了高信赖度运算(Trustworthy Computing,TwC)的概念,意思是人类生活相当依赖电脑运算,因此微软应该建立一个这样的平台,让电脑运算像水、电、电话的服务供应一样──不只是随手可得,而且还要安全、可靠。
这段期间,Windows与其他微软产品的安全性,继续遭受到更大的挑战。例如2003年先后出现了SQL Slammer、Blast等网络蠕虫程式的快速繁殖。前者主要针对部分主机发动阻断式攻击(DoS),并且严重影响了整个网络的传输效能;后者则是使电脑在感染后,不断出现重开机的状况而无法使用。而这些蠕虫之所以扩散,就是利用了微软Windows的安全性漏洞。
因此微软决心要强化Windows的安全性功能,最重要的成果就是2004年推出的Windows XP Service Pack 2,开始内建个人防火墙、增加了可执行文件预防(Data Execution Prevention,DEP)、强化对IE浏览器外挂管理、自动启动系统更新机制等。
