中國工程院院士 方濱興
  八年前,微軟公司發佈了Vista操作系統,當時政府相關部門根據專家評估,確認其架構會使用戶電腦被微軟公司高度掌控,使得Vista操作系統未能列入政府採購目錄。從一定程度上造成了Windows XP系統(以下簡稱XP)目前在政府企業用戶群中所抽樣的121萬臺電腦設備中裝有XP系統的所占比例高達72.6%的現狀。
  2013年底微軟宣佈將於2014年4月8日起,終止Windows XP支持服務。政府電腦系統再次面臨同類選擇,需要政府相關部門加以決策與引導。在這種情況下,我們應該化被動為主動,化危機為機遇。主管部門應該開一個三年的窗口期:三年後再考慮“XP”的升級,以便給國產操作系統一個上位競爭的機會;鼓勵國內安全廠商加強對XP操作系統的安全保護,讓XP用戶能夠持續使用XP操作系統;政府出資建設、運行“XP靶場”,只要靶場上有安全產品存在,網民就有信心繼續使用被保護的XP操作系統。
  一、“XP”目前在政府企業系統的應用現狀
  Windows XP是微軟公司推出供個人電腦使用的操作系統。據CNCERT/CC報道,截止2014年3月底Windows XP擁有近2億中國用戶。2014年3月7日,國家計算機病毒應急處理中心聯合北京北信源軟件股份有限公司發佈《Windows XP系統安全狀況調研報告》。該報告顯示在政府企業用戶群中所抽樣的121萬臺電腦設備中,裝有XP系統的所占比例高達72.6%。據調查顯示,約44.4%的用戶表示在微軟停止XP支持服務後仍然會繼續使用XP系統。
  該報告是基於2013年12月20日至2014年2月20日期間,在全國範圍內組織開展的WindowsXP系統使用情況調研活動而完成。該次調研的目的,是為了全面瞭解政府及重點行業重要信息系統和重點支撐系統中的使用情況,及早啟動XP停止服務後的應急措施,將安全風險控制到最小範圍。
  該次抽樣調查主要在政府企業中進行,共調研了465家單位,涉及28個省、10個行業、1,212,319臺電腦。調研內容包括計算機總數量、XP裝機數量、國產操作系統裝機數量、計算機中高等級風險漏洞數量、XP停止服務後打算採取的措施以及XP停止服務帶來的影響等。結果顯示,裝有XP的機器880,123台,占比72.6%。在各行業中,軍工行業的占比最高,達到93%,政府行業其次,達到86%。
  需要特別值得關註的是,所調研用戶計算機中有高風險漏洞546,312個、中等風險漏洞324,342個。醫院、企業、石油、政府、軍工等行業需要重點解決系統漏洞,以應對XP停止升級後所帶來的安全隱患。
  在用戶認知方面,不同行業對XP停止升級後所帶來的影響有明顯不同。軍工、電力、石油、金融等國家重要部門對XP停止升級所帶來的安全隱患表示深切關註,而醫院、事業、企業、政府等行業仍然對此關註度或認識度不夠,而恰恰醫院、企業、政府的高中級安全漏洞比例處於前列。
  在XP停止升級服務後應對策略方面,44.4%的用戶則仍然繼續使用XP系統,43.3%的用戶計劃升級到Win7/Win8,12.4%的用戶採取其它措施,包括轉向使用國產操作系統等。繼續使用XP系統的主要原因有三個方面,首先是硬件比較低端不能升級到Windows高版本,或擔心升級後速度變慢;其次,部分應用軟件系統不能升級到Windows高版本,在醫院行業最為典型;還有些則是需要等待行業主管或信息安全主管部門統一安排。
  該報告同樣提到了多家國內信息安全廠商發佈了應對性新產品和方案,行業和個人用戶應該通過技術手段解決XP停止服務所帶來的安全問題,通過整體防禦、主動防禦、數據與系統雙重保護等技術手段,保護後XP時代計算機安全。
  二、續用“XP”不比升級“Win7”或“Win8”更危險
  從普通用戶的角度來看,“XP”的升級歸宿自然是“Win8”。但我們必須認識到,“Win7”、“Win8”的強制性安全手段,客觀上是將電腦安全的命運交在了微軟公司的手上。
  從安全的角度來看,電腦安全包括“軟件後門”與“安全漏洞”兩種:軟件後門可以看作是軟件發佈者的蓄意行為,其目的是善意或惡意地控制用戶電腦。善意者如遠程升級,惡意者則是遠程獲取用戶信息。安全漏洞則是在軟件編製過程中出現的質量問題,這樣的問題通常軟件發佈者也不掌握,一旦黑客先行發現則會威脅電腦用戶,這也是“零日漏洞”威脅之大的原因所在,因此軟件發佈者也在全力防範安全漏洞。
  就軟件後門而言,從境外網站可以看出,微軟2010年以前的各級版本“Office辦公軟件”在密碼保護方面具有廢除密碼保護文檔的後門。就是說,任何用於加密文檔的密碼都能夠被卸除,而不是像黑客那樣需要破解,使得在微軟看來任何加密文檔都如同明文一樣。
  就安全漏洞而言,“Win7”、“Win8”不比“XP”安全多少。2012年共發現111個微軟操作系統的漏洞,涉及到“XP”、“Win7”、“Win8”分別為84、94、54個。由此可見,“Win7”的脆弱性比“XP”還弱;“Win8”因為使用時間不夠長、人們對之瞭解不夠而略好一些。同時也說明微軟的安全漏洞具有普適性,一個漏洞可能會同時影響“XP”、“Win7”、“Win8”三個操作系統。
  三、圍繞國產操作系統營造強大的生態系統,逐步替換“XP”
  我國已經擁有“麒麟”高安全等級服務器操作系統等,而且目前我國“CCN開源軟件聯合創新實驗室”參與了國際Ubuntu開源社區的開發,並且正在開發的UbuntuKylin可望作為國產終端操作系統的核心,具有用國產操作系統替換“XP”的實力。我國在可信計算方面有重大創新,從建立可信操作系統角度著手提高我國信息系統的本質安全,是符合中國國情的。
  隨著新一代信息技術的興起,雲計算的發展,移動信息終端的大量使用,使與Windows兼容性的要求越來越低,這為國產操作系統的推廣掃除了重要障礙。另外,國家對網絡空間安全的重視越來越高,這些都為國產操作系統的推廣創造了有利條件。而且,國產操作系統都是基於開源軟件發展起來的,在服務器市場由於對信息安全要求高,國產操作系統還是有競爭力的,至少國內推出的廠家瞭解這些操作系統在做些什麼,而且法律製裁的威懾也使其不會惡意安裝後門。另外,移動領域比桌面的市場更大。當務之急是打造自主可控的生態系統,在移動互聯網領域爭取一席之地,否則很可能會重蹈PC產業覆轍。
  綜上所述,我們要吸取歷史上國產操作系統未能占領市場的教訓,必須圍繞國產操作系統來營造強大的生態系統。為此,政府應該將註意力放在營造國產操作系統生態上來,鼓勵將微軟操作系統上的應用軟件移植到國產操作系統平臺上。例如,2010年底時任俄聯邦政府總理的普京簽署命令,批准俄聯邦行政機構在2011年至2015年期間將其信息系統轉用自由軟件(即俄羅斯基於開源軟件的國產操作系統)的預算計劃,說明他們已在保障政府信息安全方面做出了明確計劃。我國也需要依靠軟件企業和軟件工作者來推動基於國產操作系統的應用,以繁榮國產操作系統的生態系統。
  構建國產操作系統的生態系統,重點不是支持操作系統的研發,幾十年的研發經歷也說明僅把視點放在操作系統的研發上是不夠的。現在應該把重點放在鼓勵應用軟件開發商將運行在微軟平臺上的應用軟件移植到國產操作系統平臺上。國家科研資金的投嚮應該重點向這方面傾斜。有了應用軟件的捧場,國產操作系統的生態才能建設起來。
  四、通過“XP靶場”來驗證XP第三方防護軟件的安全性
  互聯網靶場就是針對網絡戰訓練和網絡技術研發的虛擬環境,可模擬真實的目標環境,並對數據進行採集和對結果進行評估。互聯網靶場因為建立在真實的互聯網上,且向廣大網民開發,因此具有真實性、公平性和公正性等特點。美國、歐盟以及日本等國家對此高度重視,紛紛構建自己的國家網絡靶場,對包括網絡戰武器在內的互聯網攻防技術進行評估和演訓。
  為繼續保障XP用戶的安全,必須採取第三方外殼式的保護方式來保證用戶不被外界攻擊。我國各大信息技術企業均設計開發了自主產權的安全防護工具提升XP安全防護能力。主要的廠家及產品包括:360XP盾甲、騰訊電腦管家XP專屬版本、金山毒霸XP防護盾、百度衛士和北信源金甲防線等。但是,廣大用戶對於不是微軟自身而是來源於不同的第三方的防護能力表示了極大的擔心。
  針對這一問題,國家應該組織建立“XP靶場”,讓不同廠家的安全防護產品作為靶標接受來自全網的真實攻擊,以對產品的防護能力進行真實、公開的評測。同時通過“XP靶場”的不斷測試,安全防護廠商可不斷提升自己的產品能力。
  XP靶場應該由獨立第三方來搭建,並採用全網絡虛擬化技術,面向互聯網開放,為每個挑戰者提供隔離的攻擊環境。放在靶場上的靶標必須是公眾所使用的系統,而不是安全廠商專門提供的產品。因此,作為靶標的安全保護產品需要加以數字簽名並公佈在互聯網上,讓公眾根據實際情況進行版本檢驗。
  所有作為靶標被攻垮的產品應該從靶場上撤下來,由廠家針對安全漏洞防範不足的問題進行升級,產品升級後再上線;新出現的XP防護產品也放在靶場上接受挑戰。那麼,只要靶場上的產品存在,公眾就會對中國的操作系統安全防護有十足的信心!
  五、設立一個“窗口期”,給國產操作系統一個上位機會
  許可“XP”升級將面臨著軟件後門這類安全風險;立即使用國產操作系統取代“XP”似乎尚未做好準備。因此何去何從成為當務之急。
  國家應該設立一個三年的“窗口期”,在這三年內,不討論“XP”操作系統的升級問題。在此期間,政府應設立“基於國產操作系統應用軟件移植專項”,支持基於微軟操作系統的應用軟件向國產操作系統的移植,但不是重新開發應用軟件。因為移植成本很低,且應用軟件已經得到了微軟平臺的錘煉,但開發成本則很高,政府支持不起。
  同時,政府應該組織國內安全企業成立“XP操作系統安全加固聯盟”(以下簡稱“聯盟”),在國家財政的支持下,“聯盟”密切跟蹤“XP”出現的新安全漏洞;同時密切關註微軟公佈的涉及“Win7”、“Win8”的安全漏洞,並評價其是否同時影響“XP”。“聯盟”針對安全漏洞提出安全加固解決方案,以便保障用戶的安全利益。
  在資金方面,政府應該利用核高基專項資金加快促進國產操作系統的全面升級,以“XP”為參照標準,要求國產操作系統全面超越“XP”,以便在用戶替換“XP”時具有接受國產操作系統的承受力,保證使用得便捷性不低於曾經的系統。同時要明確儘管國產操作系統的漏洞數量可能遠超過微軟操作系統的漏洞,但至少國產操作系統不可能設置惡意的軟件後門。至於安全漏洞的問題,則完全取決於市場的廣泛使用,使用得越多,漏洞發現的就越早、越多,解決的機會越多,系統就越強壯,越有生命力。
  如果三年的窗口期國產操作系統都無法取代XP,那中國操作系統廠商只能甘拜下風,按照國際慣例,選擇性能價格比做好的操作系統,然後在外殼型防護方面加大力度,以“信息確保(information assurance)”的理念來保護我們的系統。
創作者介紹

jcoewqgxuwvyyh 發表在 痞客邦 PIXNET 留言(0) 人氣()