编者按：微软在哪里都是危险的竞争对手，但安全市场是个例外，它必须小心翼翼地藏起锐利的牙齿。

　　微软公司（Microsoft，下称微软）进入任何一个市场，对处于这个市场的既有厂商而言，都是危险的。最近，微软在安全软件市场的牛刀小试再次证明了这一点。

　　美国调研机构NPD集团（NPD Group）八月最新统计显示，推出不到半年的微软Windows Live OneCare已经占据美国安全软件零售市场第二的位置。Windows Live OneCare集中了防病毒、防火墙、数据备份、反间谍和磁盘清理等众多安全功能于一身，而每年只收取49.95美元的服务费，其低价优势已经十分明显了。

　　今年初，在RSA信息安全国际会议上，赛门铁克公司（Symantec Corp.，下称赛门铁克）的首席执行官（CEO）约翰·汤普森(John Thompson)曾经赞扬微软在安全领域的努力。他在演讲时说：“由于防火墙、杀毒软件以及入侵检测软件的广泛应用，微软在确保他们的操作系统安全方面取得了巨大进步。”然而，他的友好之举却引起会场上的哄堂大笑。因为微软进入安全软件市场，该市场的老大赛门铁克将首当其冲感受到压力，汤普森的此番言论显然有言不由衷之嫌。

　　但事实上，微软绝不想轻易得罪安全市场的传统巨头们。这些安全界的大佬可是微软安全战略不可或缺的合作伙伴。同样在这次会议上，比尔·盖茨（Bill Gates）明确提出了微软解决安全问题的四个策略，其中第一次系统提出了“可信的生态系统”这一理念，这也表明微软的安全战略发生了新的变化，由以往单纯注重通过自身技术手段的提高加强安全，转而更加重视安全生态链的建设，由微软一贯的单兵作战，变为微软引导整个安全产业链集体作战。

　　但是，既要响应用户越来越高的安全呼声，不断推出新的安全解决方案，又要避免因此裂化与合作伙伴的良好关系，微软的新安全战略之路并不好走。

可信的生态系统

　　微软的安全信任危机由来已久。长期以来，微软的安全战略基本采取应急反应模式，即遇到安全威胁时被动解决。自从2002年初盖茨提出可信赖计算（Trustworthy Computing）以来，微软开始强调源代码设计的安全性，并连续推出安全开发生命周期（Security Development Lifecycle，SDL）项目，以及政府源代码协议（GSP）计划，2004年微软推出增强了系统安全性的Windows XP SP2，使安全漏洞大幅降低。但是，这些举措并没有从根本上改变微软安全防御的被动局面。

　　两个月之后，微软的下一代操作系统Vista就将正式发布。人们像期待“超人归来”一样，期待Vista带给用户全新的体验，当然，如果没有安全漏洞就更好了。

　　但是，奇迹几乎不可能出现。如同电影《超人特攻队》里的中年超人，Vista系统的身材过于臃肿， 5,000万行程序代码的“容量”，比Windows XP足足多出40%。虽然微软的安全漏洞报告显示，其频次近几年一直呈下降趋势，但即使微软的技术人员也不得不承认，有如此庞大的软件程序，Vista系统的安全漏洞肯定存在，打补丁难以避免。微软（中国）有限公司（下称微软中国）首席技术官（CTO）李志霄坦言：“补丁是软件必备的流程。目前还没有一套商业软件是没有补丁的。”

　　微软也意识到安全生态链的重要性。六月在北京召开的微软信息安全峰会上，微软提出“打造可信的互联世界，构建可信的生态系统”理念，这正是盖茨年初提出的安全策略的继承与延续。

　　“我们需要生态环境，从供应商一直到执法单位，到公众认知到用户，构成完整的生态链。” 李志霄说。这位微软中国的技术专家一再强调，安全是IT整体解决方案的一部分，而不能纯粹搞信息安全。他们强调说：“这需要方方面面的努力。”