摘要：2025 年 4 月，微软发布 “安全未来计划”（Secure Future Initiative, SFI）第二份进展报告，披露这项史上最大规模网络安全工程的阶段性成果。由安全执行副总裁查理・贝尔领导的 SFI 计划，累计投入相当于 3.4 万名工程师全职工

2025 年 4 月，微软发布 “安全未来计划”（Secure Future Initiative, SFI）第二份进展报告，披露这项史上最大规模网络安全工程的阶段性成果。由安全执行副总裁查理・贝尔领导的 SFI 计划，累计投入相当于 3.4 万名工程师全职工作 11 个月的研发资源，以 “全员安全文化、产品安全创新、威胁防御强化、企业级风险管理” 四大支柱为核心，构建覆盖自身、客户及行业的立体防护体系。

一、全员安全文化：从意识革新到能力升级

SFI 计划将 “安全核心优先事项” 纳入全体员工绩效考核，推动 99% 员工完成《安全基础与可信代码》必修课，并依托微软安全学院（Microsoft Security Academy）为超 5 万名员工提供技能提升课程。这种 “安全优先” 的文化转型，旨在让每个员工成为客户安全的第一道防线。正如贝尔所言：“当安全成为所有业务决策的默认选项，防护能力将渗透到产品与服务的每个细节。”

二、产品安全创新：嵌入全流程的防护基因

微软工程团队以 “设计安全、默认安全、运营安全” 为原则，推出 “安全设计用户体验工具包”（Secure by Design UX Toolkit），将漏洞识别、风险评估等最佳实践嵌入 20 个产品团队的开发流程，目前已部署给 2.2 万名员工并对外开放。在核心产品线中，Azure、Microsoft 365 等新增 11 项默认安全功能，覆盖身份验证、数据加密等场景。针对生成式 AI 风险，新成立的 “生成式人工智能安全与保障组织” 实施全生命周期安全审查，相关实践已拦截价值 40 亿美元的欺诈企图。

三、威胁防御强化：构建主动式防护网络

在身份安全领域，微软针对 2023 年 Storm-0558 攻击暴露的风险，将 Entra ID 和微软账户令牌签名密钥迁移至硬件安全模块（HSM）和 Azure 机密虚拟机，实现密钥自动轮换与纵深防御。目前，90% 以上的应用程序身份令牌采用强化版开发工具包，92% 员工账户启用防钓鱼多因素认证。在基础设施层面，通过迁移 88% 资源至 Azure 资源管理器、清理 630 万个闲置租户等措施，显著降低横向移动风险；99% 资产完成安全清点，新增网络安全边界（NSP）和 DNS 安全扩展等防护能力。威胁检测方面，新增 200 余项针对主流攻击手法的检测规则，97% 生产资产实现集中追踪，“零日探索” 计划主动发现 180 个云和 AI 系统漏洞并推动修复。

四、企业级风险管理：统一框架下的战略协同

为打破安全治理壁垒，微软新设业务应用副首席信息安全官（Deputy CISO）职位，整合 Microsoft 365 等部门的安监职能。14 位副 CISO 梳理风险清单，形成覆盖全组织的安全优先级视图。在 SFI 的 28 项目标中，5 项接近完成，11 项取得重大进展，推动平台整体安全性能提升 30% 以上。

浙江望安科技有限公司是以“形式化验证”和“安全认证”为核心的安全服务及产品提供商。公司致力于为国家重大项目、关键系统及行业企业提供安全保障。业务覆盖航空航天、国防、轨道交通、区块链、物联网、工业控制、芯片设计、操作系统、数据库等重大行业。

来源：望安科技