微软安全新闻聚焦-双周刊第三十六期


                               Biweekly Spotlights    

            ==== 2013. 7. 11 – 2013. 7. 31  36 ====    

透过漏洞变化看安全技术发展

2013 7 25             

clip_image002

 

以史为镜,可以知得失。微软可信计算部门对2006年到2012年的所有微软安全补丁进行了统计和分析,希望通过该项调查,从微软产品漏洞数量的变化上来验证微软安全技术的成效。在调查报告中,研究人员还对漏洞种类进行了趋势分析和统计,通过大量的图表,向安全管理人员提供了最为直观的分析结果,可以帮助企业更好地规避安全风险。如,在报告中可以看到,这七年中远程代码执行漏洞的发生率逐步降低、曾经最普遍的堆溢出漏洞利用率也从2006年的43%降至2012年的7%。说明 DEP 和 ASLR 等技术确实在系统安全保护上起到了显著的效果。报告中针对各种常见漏洞提供全面的分析,包括攻击者的利用方法和其防范措施,我们相信该报告可以更好地帮助用户进行风险管理。

 

 

微软工具提高安全信息双向沟通效率

2013 7 19

clip_image002

企业高管要做出与 IT 安全相关的明智决策,需要得到符合业务目标的清晰实时的信息。然而近期一份调查显示,技术人员在这方面有很大的提升空间。IT 人员给出的安全度量往往更注重安全性能,而管理人员则更重视成本和业务目标。此外,很多 IT 人员仅在发生安全事故时才和管理人员沟通,缺乏日常交流也成为影响沟通效率的重要因素。微软安全情报报告(Security Intelligence Report)通过数据、图表等直观的方式展现了当前安全威胁形势,可以有效提高管理者的安全意识。对于考虑云服务的企业,微软 Cloud Security Readiness Tool 可以帮助对用户现有的 IT 环境进行评估,给出最佳实践方案。希望这些工具能使企业管理者与技术人员间的双向沟通变得更为高效。

 

微软致信检察长请求信息公开

2013 7 16

clip_image002

 

作为对近日一些媒体不实报道的回应,微软已致信(PDF)美国总检察长(the Attorney General),请求就微软如何处理国家安全部门要求的用户数据问题公开更完整的信息。尽管近年来安全部门对于用户信息的请求有所增加,但不论是 Outlook, SkyDrive, Skype 记录还是企业信息,微软从不会向任何政务或机构提供任何直接获取用户数据的途径,更不会向政府部门提供解密密钥。即使在必须遵循合法的搜查令或法令提供用户数据的情况下,我们也只响应针对特殊帐户和身份的请求,并且仔细审核以确保每一项请求都符合法令范围,然后将已经解密的信息移交有关部门。微软从未向政府部门直接提供过任何企业信息,除非收到企业客户的批准。微软一直致力于在遵守各国法律的前提下保护用户隐私。一旦获得许可,我们将立即公开有关事件的更多信息。

 

 

感谢您的关注!    

微软大中华区安全团队    

Microsoft GCR Security Team

Comments (0)

Skip to main content