微软首席信息安全官谈网络安全的关键原则

至顶网安全频道 04月02日 编译：微软每天都有超过6.5万亿种不同的安全信号进入其生态系统。因此，微软对于确保客户数据安全还是了解不少的，那么在微软看来，在当今不断发展的技术领域，具有指导性的关键安全原则是什么？

微软副总裁、首席信息安全官Bret Arsenault

“有些事情已经发生了变化，”微软副总裁、首席信息安全官Bret Arsenault这样表示。“在边界内，你通过网络管理一切，以前这个想法是很棒的。但是今天，这个客户端到云端的世界中，移动设备、云服务和物联网快速发展，这种模式已经不再适用了。”

那什么方法奏效呢？近日Arsenault在接受采访时，讨论了安全的发展情况、关键原则以及与取得客户信任。

从头开始构建安全性

据Arsenault称，微软曾经确实有过一个单独的安全部门，但微软改变了策略，决定从零开始将安全性融入每个产品中，确保一切都是以安全为中心的。事实上，安全本就应该完全嵌入到产品中，表面上看就像安全组件消失了一样。

Arsenault说：“我们认为，更好的方式是将安全融入到我们所做的所有产品中。一切都内嵌了安全性。所以我们后退一步，改变我们看待安全的方式，让开发人员、最终用户和管理员更容易实现安全性，而这只是整体体验的一个组成部分。”

让安全成为企业文化环境的一部分，成为产品的一部分，有助于简化数据保护的流程，还提供了创新的方法。Arsenault举例说，抛弃密码从长远来说实际上是一种更安全的方式，特别是当人们使用生物识别安全模式（例如语音和指纹识别）作为密码的时候。

“用户使用生物识别模式时的体验要好得多。在生物识别模式中，无序状态的难度更大，这使得被入侵的难度也更大了。更重要的是，这种方式是在本地绑定到设备的，别人无法从其他地方操作。我认为这是人们对生物识别技术产生误解的很重要的一点，只有放在本地，才能让这种方法真正发挥作用。”

确保安全是随着客户的实践和问题不断变化而发展的，这一点也很重要。数据的自动化和多样化对于帮助理解客户及其行为来说至关重要。Arsenault指出，例如认证数据应该映射到电子邮件数据，再映射到端点数据，然后映射到服务数据等等。

“例如，我们每个月要更新12亿台设备，每个月都会进行6300亿次身份验证。因此，关联动态事物的能力，让我们具备了一系列洞察力，以前所未有的方式提供保护。”

安全性很重要，但同时与客户建立信任也是必不可少的——而且想要真正取得客户信任并不容易。Arsenault解释说，透明度可以帮助客户了解他们的数据使用情况或者闲置情况，这是帮助他们保护数据的关键。建立高度信任，有助于保持客户的信心，即使是在安全性出问题的时候。

“积少成多，这就是建立信任的方式。在这方面，你应该确保你有严格的操作和流程。”