>     Gibson Research的总裁Steve Gibson在最近一次的专访当中表示，微软即将推出的Windows XP Server Pack 2应该改名为Security Pack 2。事实上，几乎每一个IT安全专业人员都会认同，SP2是微软推出信赖运算以来，最重要的一个组件。不过，虽然我们说的是每一个人，但微软似乎不这么认为。



　　当Red Hat这些公司已经开始加强推动Linux的桌上型计算机应用，微软在SP2这个时间点上，是不是陷入困境？还是不管微软是不是不断出现恼人的安全问题，微软的地位（尤其在桌上型计算机的市场）都不会因此受到动摇？



　　针对Windows、Outlook、Office、IIS、SQL Server而来的攻击，所造成的损失以及所需的防范成本都非常可观，但是使用者还是继续使用微软的产品。一家公司的产品或服务，如果在一段时间的发展之后（以微软为例，五年），还是无法令人满意，还得让用户承担潜在风险，是没有使用者会继续使用该产品的。



　　举例来说，福特的Pinto在被发现会因为后方的轻微撞击而造成爆炸事件之后，销售成绩马上就开始衰退。回想你到餐厅吃饭的经验，通常只要这家餐厅有一次服务不好或是菜色不佳，你根本就不会想再去一次。全球最大的风险管理服务供货商TruSecure的总监Russ Cooper就用伊拉克的情况做一个比较，「当西班牙发现在伊拉克的军人，因为受到攻击而丧生，西班牙的人民马上就换了一个新总统，撤回西班牙的部队。」



　　TruSecure在Melissa之后，针对所有的系统弱点，不分平台进行调查，调查结果显示，1999年3月之后的前10大安全攻击，都是针对微软的软件。根据TruSecure的统计，光是2003年8月，Sobig和Blaster所造成的损失，就达到35亿美元。



　　即使真的有所谓占有率的临界交叉点，一旦过了之后就会看到使用者大规模转换至其它操作系统，但这可能会让企业产生一种错误的安全感，Cooper表示，「因为微软在市场上有95%的占有率，所以成为攻击的目标。」「如果用户基础转向其它操作系统，恶意的攻击者也会跟者转移。你猜会发生什么样的事？受到攻击的公司还是会再遭到攻击，因为这些公司会受攻击的原因，就是公司本身并不重视信息安全，才会因为系统弱点而受到攻击。」



　　但虽然嘴上抱怨连连，大家还是一直使用微软的产品。和你对于其它不满商品的果决相比，即使微软情况再糟糕，但产品需求依然持续热烈。



　　微软的IIS网站服务器或许是唯一一个占有率出现衰退的产品。虽然这个衰退不完全跟安全问题有关，不过根据NetCraft Web Server Survey的调查显示，在2002年3月之后，Apache占有率的增加，刚好对应于IIS占有率的流失。在IIS占有率开始出现下滑之前没多久，Gartner的安全分析师John Pescatore曾经以安全为由，建议企业全面停用IIS。在我的记忆当中，这是唯一一次看到知名的研究机构，建议把产品换掉是改善安全的最佳做法。不过即使这样，IIS的需求还是很不错。



　　使用者为什么没有像上餐厅一样舍弃微软，Pescatore的解释是，「餐饮业并没有一家独占市场的餐厅。如果真的有独占市场的餐厅，你就会不断上同一家餐厅。微软的替代解决方案，大多都是服务器端的产品。」「这解释了为什么在网站服务器上Apache和IIS的此消彼长。至于桌上型计算机的应用，则像政府单位所说的：微软确实独占市场。对于Gartner的客户来说，转换系统是根本不可行的。」



　　TruSecure的Cooper也同意这样的看法，「系统转换的代价，比从攻击当中复原的成本还高。」TruSecure解释了一部分的故事，但是同样的故事还有另外一面：大多数因为安全措施不严格，而遭受攻击的企业，在学到教训之后，都会建立更好的安全措施。使用微软的产品，可能会受到前十大的攻击入侵，但是很少有公司会遭受所有攻击。通常公司遭到一次重大的攻击之后，就会变得非常小心。也许前十大的标题令人害怕，但是事实上并不是每一家公司都会遭到每一个攻击。



　　Pescatore也指出了微软强悍的地方：在 Gartner的客户当中，没有任何一家因为安全的理由，而转用Linux和Mac的桌上型计算机系统。「Mac有一定的占有率，大部分的公司多少都有Mac系统，如果公司认为转换系统可以改善安全问题的话，她们应该都已经换可以使用微软Office的Mac上，藉以减少可能产生的安全问题。」基于这样的理由，Pescatore表示，改用Linux桌上型应用的决定，应该都是成本上的考虑，而不是因为安全的关系。依照Pescatore的看法，信息安全对于开放原始码取代Windows系统，而进入桌上型应用并没有帮助。



　　SP2推出在即，不管是不是真的有一个临界值会引发使用者的大出走，微软在桌上型计算机的占有率还是非常稳固。虽然SP2被称为微软在安全上的一大进展，但是如果微软在SP2之后，继续再发表其它安全更新也不会太令人意外。这或许可以解释微软在发表SP2时，为什么这么小心翼翼，不愿做出过多承诺。回想2001年10月，发表Windows XP之前，微软曾经把XP称为一次安全上的重大进展。但是不到几个礼拜，微软就因为Universal Plug and Play的一个重大漏洞而发表修补程序，并引起大家对微软处理信息安全的质疑。



　　经过两年半以后，现在比较明确的是：第一，SP2之后一定还会有后续的修补程序。这是无法避免的，没有任何一个操作系统不需要这种修补程序。微软不应该因为这些修补程序而被视为无能。第二，SP2之后，一定还是会有各种的攻击，而且理论上来说，可能会像以前任何重大的攻击一样成功。这个攻击可能会利用已知的漏洞，或是利用没有进行更新的系统。微软一定会受到很多批评，像是「微软的信赖运算也不怎样。」



　　微软Windows的主任产品经理Greg Sullivan非常清楚微软的两难之处：找不完的弱点、随之而来的修补程序、不可能完美的系统更新率、以及入侵事件的发生，是一个永远不可能结束的循环。「不可能有一击中的，一劳永逸的解决方案，猫抓老鼠的循环，永远不可能结束。这就是商业的本质。」



　　讽刺的是，根据Pescatore指出，使用者对Windows XP缺乏信心，使用者并没有因此倒向Linux阵营，但是许多单位，反而继续延用早该替换的Windows 2000系统。Pescatore并表示，当IT产业的架构开始朝向网络服务发展，桌上型计算机的角色越来越不重要（BlackBerrry之类的行动装置开始受重视），使用者对于微软其它产品（尤其是网络服务的重要产品PocketPC）的信心，也可能受损。



　　微软的角色也很尴尬。使用者希望听到信赖运算有很大的进步，可是微软自己又得小心，不去对单一产品（例如SP2）做出过度地宣传。不然随之而来的一定是使用者对产品的失望。微软的Sullivan也体认到这个挑战，「我们告诉使用者单一的更新或修补程序有多重要，但是又不能让使用者只停留在宣传的讯息上。」「为了让使用者在对的时间广为安装修补程序，我们必须在沟通上下功夫，也必须让安装的流程更简单。我们还得让使用者知道我们对改进安全问题的决心。」



　　如果最近的Sasser病虫，可以作为微软有所改进的例子，那么对微软和Windows的使用者来说，情况确实开始好转。根据Sullivan表示，在Sasser的修补程序发布的三个礼拜之间，修补程序的下载次数，就达破纪录的2亿次。



　　不幸的是，不管微软再怎么做，进步的幅度有多大，微软都不可能逃脱过去的阴影。因此你可以看到微软宣扬SP2的安全功能（真的很棒的安全功能），但是你不可能看到微软有所承诺。技术本身会说话，也希望我们这些使用者可以证实新技术到底确实有效还只又是一次历史的教训。 （David Berlind‧黄晨哲）