Иллюстрированный самоучитель по настройке Office 2003

Обеспечение безопасности пакета Office 2003

Чтобы сделать Office 2003 наиболее защищенным набором приложений по работе с информацией из когда-либо созданных корпорацией Microsoft, при его разработке учитывался опыт обеспечения безопасности в предыдущих версиях Office. Например, в Office XP корпорация Microsoft сделала огромный шаг в обеспечении защищенности, включив в этот пакет улучшенную защиту от макросов, возможности подписывания кода и другие возможности (такие как обработка вложений в Outlook), специально разработанные в ответ на новые и появляющиеся угрозы. Разработка Office XP представляла собой грандиозную на тот момент работу по обеспечению безопасности, и полученные уроки помогли разработчикам создать новые защитные механизмы, улучшить существующие, и усовершенствовать модель развертывания для пакета Office 2003.

Office 2003 не просто "более защищен" по сравнению с Office XP. Результатом цикла разработки первой версии пакета Office, основанного на концепции Trustworthy Computing, стало достижение более высокого уровня безопасности, чем когда-либо ранее. Это произошло потому, что корпорация Microsoft улучшила создание процессов и методологий внедрения защиты в процесс разработки. На стадии начальной разработки, еще до создания спецификаций, команда разработчиков осуществила моделирование угроз. Результатом этих плановых мероприятий стало выявление и понимание всевозможных угроз, что позволило создать спецификации с тщательной проработкой вопросов защиты. В основу каждой функции была положена безопасность.

Корпорация Microsoft также создала межгрупповую команду, названную командой Office Trustworthy Computing. Эта команда, состоящая из ключевых разработчиков, отвечала за достижение нескольких важных целей:

  • Обеспечить принятие новых процессов и методов построения защищенной информационной среды.
  • Определять общую концепцию безопасности для всех разработчиков Office. Например, выполняя оценку реализации функциональных возможностей на этапах анализа, тестирования и интеграции, эта виртуальная команда должна была представить свое крупномасштабное видение дальнейшего развития и выдать соответствующие рекомендации. Например, были случаи, когда команда Office Trustworthy Computing видела, что две разные группы разработчиков работают над разными функциями, в которых предполагалось использование аналогичных процедур безопасности, и направляла обе команды к общему решению.
  • Обеспечить обучение и наставничество на всех уровнях групп разработчиков вне зависимости от их специализации.
  • Установить средства разработки и тестирования и наблюдать за их использованием. Например, команда использовала средство автоматизированного обзора кода Office (Office Automated Code Review, OACR) – систему всестороннего анализа кода, основанную на инструментарии Prefast, разработанную для обеспечения соответствия всего кода стандартам Trustworthy Computing. В соответствии с OACR весь код должен пройти все тесты безопасности, прежде чем он будет допущен к проверке.
  • Наблюдать за соответствием политики конфиденциальности Office, включая проверку соответствия Office требованиям законодательства о защите частной информации.

В контексте концепции Trustworthy Computing команда Office Trustworthy Computing совершила успешный прорыв в разработке пакета Office 2003. Члены этой команды имели полезный опыт работы над безопасностью в предыдущих версиях Office и знакомство с достижениями команды Windows® Server™ 2003 по внедрению принципов Trustworthy Computing. У них также был опыт участия в соответствующих командах разработчиков, где они были персонально ответственны за продукт, создаваемый командой. Другими словами, это видение и основа разработки, вдохновленные концепцией Trustworthy Computing, позволили корпорации Microsoft создать изначально более защищенную версию Office, более надежную по конструкции и более безопасную в развертывании, чем предыдущие версии Office.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.