抓住機遇 推動信創(chuàng)生態(tài)建設
微軟宣布Win7停服后,將帶來兩個問題:新的應用沒有底層支持;隨著時間的推移,新軟件、新版本無法在Win7系統(tǒng)上良好運行。
李佳倫強調(diào):“這兩個問題需要我們做好存量Win7終端安全保障工作的同時,制定操作系統(tǒng)更替方案。”
一方面,需要政府和行業(yè)介入,替代微軟公司做好防護工作,包括加強對Win7系統(tǒng)漏洞、病毒的監(jiān)控和研究;為黨政軍企甚至民間用戶提供后續(xù)非官方補丁和應急方案;優(yōu)化系統(tǒng)安全配置,進行信息安全的裁剪、做好基線配置、安全加固等。
另一方面,要想解決根本問題,需要制定替代方案,逐步淘汰Win7系統(tǒng)。主要包括兩項內(nèi)容:
1、加快業(yè)務適配,使信創(chuàng)系統(tǒng)滿足更多行業(yè)和場景的業(yè)務需要,特別要對重點行業(yè)系統(tǒng)和重點領(lǐng)域系統(tǒng)進行適配,如金融、國防、交通、通信、能源行業(yè)等;
2、加大力度開展信創(chuàng)系統(tǒng)安全防護能力建設,需要構(gòu)建安全標準,建立安全基線,開發(fā)信創(chuàng)系統(tǒng)配套的安全軟件,使得信創(chuàng)系統(tǒng)具備應對復雜安全挑戰(zhàn)的能力。
李佳倫認為,以操作系統(tǒng)為核心的新技術(shù)創(chuàng)新生態(tài)建設已有十年時間,因此,要抓住當前Win7替代的歷史性機遇,進一步推動信創(chuàng)生態(tài)建設。
信創(chuàng)安全需要體系化設計
無論是2014年的WinXP停服,還是2020年的Win7停服,當供應商停止更新之后,大量用戶系統(tǒng)將暴露在巨大未知漏洞攻擊風險中。例如,Win7停服的第二天,就發(fā)現(xiàn)了針對Win70Day漏洞的APT攻擊。
2014年,通過舉辦“XP挑戰(zhàn)賽”,邀請盡可能多的安全人員對能提供安全服務能力的產(chǎn)品進行攻擊測試,檢驗其防護能力。這也是Win7停服可以借鑒的模式。
同時,隨著信創(chuàng)產(chǎn)業(yè)生態(tài)逐漸形成,操作系統(tǒng)、數(shù)據(jù)庫等關(guān)鍵信創(chuàng)產(chǎn)品開始大范圍推廣應用。對于信創(chuàng)軟硬件產(chǎn)品來說,以眾測方式開展關(guān)鍵產(chǎn)品挑戰(zhàn)賽,盡可能發(fā)揮更多人的力量尋找產(chǎn)品安全問題,可以推動信創(chuàng)軟硬件產(chǎn)品的安全研究,使信創(chuàng)用戶的系統(tǒng)和應用安全得以保障。
但是,杜躍進認為關(guān)鍵產(chǎn)品挑戰(zhàn)賽只解決了信創(chuàng)部分產(chǎn)品安全性提升的某些問題。隨著智能化、網(wǎng)絡化、數(shù)字化時代的到來,無處不在的軟件漏洞使得網(wǎng)絡空間的各個角度都變得異常脆弱。同時,網(wǎng)絡空間對抗日益軍事化的國際形勢和處于重建初期的信創(chuàng)產(chǎn)業(yè)狀態(tài),在我們對安全存在認識偏差、安全能力不足、缺乏實戰(zhàn)和積累的情況下,信創(chuàng)產(chǎn)業(yè)將面臨著前所未有的安全威脅。僅有單點的防護能力提升遠遠不夠,信創(chuàng)安全需要體系化設計。
信創(chuàng)安全體系設計的核心目標是經(jīng)得住實戰(zhàn)考驗,最基本的思想是:攻防視角、整體思維、統(tǒng)一調(diào)度、開放運營和能力驅(qū)動。
信創(chuàng)體系包括底層的CPU、固件和主板等硬件,也包括操作系統(tǒng)、中間件、各種應用軟件、安全軟件等,還包括最后的用戶和用戶承擔的業(yè)務。由于軟硬件系統(tǒng)漏洞必然存在,攻擊一定會發(fā)生。信創(chuàng)安全體系最終保護的是重要的數(shù)據(jù)、業(yè)務安全,對軟硬件產(chǎn)品的攻擊只是手段而不是最終目標。因此,信創(chuàng)安全體系除了要解決軟硬件產(chǎn)品的可信、漏洞管理與安全防護,還需要解決軟硬件系統(tǒng)被攻擊之后,如何保障核心業(yè)務與重要數(shù)據(jù)不受影響或?qū)⒂绊懡抵磷钚〉膯栴}。
從整體、對抗的角度,信創(chuàng)安全體系包括可信、安全、可控、可對抗和可存活五個層次的目標,簡稱為“兩個減少、三個增強”。其中,“可信”是指減少信創(chuàng)體系中各元素“作假”的可能;“安全”是指減少信創(chuàng)軟硬件產(chǎn)品的漏洞和安全缺陷;“可控”是指增強對安全攻擊事件的應對控制能力;“可對抗”是指增強安全威脅溯源、取證、懾阻的能力;“可存活”是指增強核心業(yè)務的存活能力。
拿回信息技術(shù)領(lǐng)域主導權(quán)最好的機會
Win7停服后從技術(shù)角度有三條路徑:繼續(xù)保留Win7方案、考慮使用Win10系統(tǒng)以及替換信創(chuàng)體系操作系統(tǒng)。
劉聞歡談到,其中替換信創(chuàng)操作系統(tǒng)的優(yōu)勢包括可長期服務,無斷供風險;系統(tǒng)安全自主控制;沒有流氓軟件和彈窗廣告,放心使用;支持利舊,現(xiàn)有設備仍可以使用,但也存在使用習慣有所變化,需要磨合以及通用應用領(lǐng)域生態(tài)存在差距等問題。
對用戶來說,進行Win7到信創(chuàng)操作系統(tǒng)的遷移,不僅僅是通用應用的遷移,還面臨業(yè)務系統(tǒng)的遷移。研討會上,劉聞歡重點介紹了兩種業(yè)務系統(tǒng)的遷移。
其一是目前大多數(shù)業(yè)務系統(tǒng)均采用的B/S架構(gòu),B/S架構(gòu)業(yè)務遷移主要涉及B/S應用前端遷移,包括三個方面:頁面遷移開發(fā),主要解決瀏覽器頁面兼容性問題;插件遷移開發(fā),可能涉及到ActiveX控件問題;集成認證遷移開發(fā),涉及USBKey登錄、域認證等問題。
其二是部分采用C/S架構(gòu)的業(yè)務客戶端遷移,可先對原有應用程序開發(fā)技術(shù)分析,針對性制定遷移方案。比如支持跨平臺的CS架構(gòu)、基于Java開發(fā)的、甚至進行.net進行開發(fā)的部分客戶端都可以在信創(chuàng)操作系統(tǒng)上重新編譯后生存。另外可以通過“deepin-wine”應用兼容層技術(shù),直接讓Windows操作系統(tǒng)下的軟件運行起來。當然,該場景下的遷移通常需要原業(yè)務系統(tǒng)開發(fā)廠商配合進行。
劉聞歡談到,從微軟平臺向信創(chuàng)操作系統(tǒng)平臺遷移,過去兩年已有很多成功案例。現(xiàn)階段替換主要有六個步驟:用戶使用評估、執(zhí)行遷移計劃、進行技術(shù)準備、小范圍試點、大規(guī)模推廣、查缺補漏。
“長遠來看,如果我們在這個階段實現(xiàn)操作系統(tǒng)的替代,未來通過逐步淘汰方式,能夠?qū)86架構(gòu)替換成為信創(chuàng)CPU硬件平臺的障礙將大大降低。”
他進一步解釋,盡管中國信息產(chǎn)業(yè)也希望能建設一套自己的軟硬件體系,但同時進行軟硬件體系的更換,實際是兩個生態(tài)的替換,難度非常大。可以先從基礎軟件、操作系統(tǒng)這個生態(tài)開始做相應的替換,之后再替換硬件,過程就會平滑很多。
“Win7停服之后的替代,是我們拿回信息技術(shù)領(lǐng)域主導權(quán)最好的機會,錯過這個時間,我們可能還要再等10年。”
操作系統(tǒng)漏洞防護技術(shù)方案
操作系統(tǒng)漏洞是操作系統(tǒng)中最大的安全威脅,對0day漏洞攻擊的發(fā)現(xiàn)和防護是網(wǎng)絡空間安全戰(zhàn)場最重要的決勝點之一。
潘劍鋒在研討會上介紹了Windows操作系統(tǒng)中二進制漏洞及其利用攻擊的現(xiàn)狀,包括漏洞的類型、成因和利用方法的概述。隨后分析了現(xiàn)代操作系統(tǒng)為解決這些漏洞問題所設計使用的多種防護技術(shù),包括CPU硬件提供的安全特性和操作系統(tǒng)利用硬件特性實現(xiàn)漏洞防護功能的方法、微軟漏洞緩解機制EMET和WDEG的能力與缺失。
為解決停服后的Win7、最新win10在內(nèi)的操作系統(tǒng)中的0day/nday漏洞威脅,潘劍鋒提出了一套新的漏洞防護機制——全視之眼0day雷達系統(tǒng),這套全新系統(tǒng)既可用于Windows,也可以應用于國產(chǎn)系統(tǒng),這一產(chǎn)品在2019年世界互聯(lián)網(wǎng)大會上獲得領(lǐng)先科技成果。
這個產(chǎn)品的架構(gòu)分為三大部分:ZDR漏洞防御的終端系統(tǒng)、多維沙箱、智能決策系統(tǒng)。它的設計理念是要分析各個階段漏洞利用的原理,包括漏洞的觸發(fā)、漏洞的利用,漏洞的掃尾,針對包括Win7在內(nèi)的系統(tǒng)漏洞防御極其有效。
無疑,Win7操作系統(tǒng)的停服會使國內(nèi)用戶系統(tǒng)面臨更高的安全風險,但這既是機遇也是挑戰(zhàn),面對困難和挑戰(zhàn),我們更應該勇往直前,化困難為機遇,團結(jié)一致,支持信息技術(shù)應用創(chuàng)新。
京公網(wǎng)安備 11010502049343號