安全視角:洞察XP停止服務(wù)之后的事情

責(zé)任編輯:editor004

2014-04-29 11:33:52

摘自:新浪新聞

八年前,微軟公司發(fā)布了Vista操作系統(tǒng),當(dāng)時(shí)政府相關(guān)部門根據(jù)專家評(píng)估,確認(rèn)其架構(gòu)會(huì)使用戶電腦被微軟公司高度掌控,使得Vista操作系統(tǒng)未能列入政府采購目錄。從安全的角度來看,電腦安全包括“軟件后門”與“安全漏洞”兩種:軟件后門可以看作是軟件發(fā)布者的蓄意行為

八年前,微軟公司發(fā)布了Vista操作系統(tǒng),當(dāng)時(shí)政府相關(guān)部門根據(jù)專家評(píng)估,確認(rèn)其架構(gòu)會(huì)使用戶電腦被微軟公司高度掌控,使得Vista操作系統(tǒng)未能列入政府采購目錄。從一定程度上造成了Windows XP系統(tǒng)(以下簡(jiǎn)稱XP)目前在政府企業(yè)用戶群中所抽樣的121萬臺(tái)電腦設(shè)備中裝有XP系統(tǒng)的所占比例高達(dá)72.6%的現(xiàn)狀。

2013年底微軟宣布將于2014年4月8日起,終止Windows XP支持服務(wù)。政府電腦系統(tǒng)再次面臨同類選擇,需要政府相關(guān)部門加以決策與引導(dǎo)。在這種情況下,我們應(yīng)該化被動(dòng)為主動(dòng),化危機(jī)為機(jī)遇。主管部門應(yīng)該開一個(gè)三年的窗口期:三年后再考慮“XP”的升級(jí),以便給國產(chǎn)操作系統(tǒng)一個(gè)上位競(jìng)爭(zhēng)的機(jī)會(huì);鼓勵(lì)國內(nèi)安全廠商加強(qiáng)對(duì)XP操作系統(tǒng)的安全保護(hù),讓XP用戶能夠持續(xù)使用XP操作系統(tǒng);政府出資建設(shè)、運(yùn)行“XP靶場(chǎng)”,只要靶場(chǎng)上有安全產(chǎn)品存在,網(wǎng)民就有信心繼續(xù)使用被保護(hù)的XP操作系統(tǒng)。

一、“XP”目前在政府企業(yè)系統(tǒng)的應(yīng)用現(xiàn)狀

Windows XP是微軟公司推出供個(gè)人電腦使用的操作系統(tǒng)。據(jù)CNCERT/CC報(bào)道,截止2014年3月底Windows XP擁有近2億中國用戶。2014年3月7日,國家計(jì)算機(jī)病毒應(yīng)急處理中心聯(lián)合北京北信源軟件股份有限公司發(fā)布《Windows XP系統(tǒng)安全狀況調(diào)研報(bào)告》。該報(bào)告顯示在政府企業(yè)用戶群中所抽樣的121萬臺(tái)電腦設(shè)備中,裝有XP系統(tǒng)的所占比例高達(dá)72.6%。據(jù)調(diào)查顯示,約44.4%的用戶表示在微軟停止XP支持服務(wù)后仍然會(huì)繼續(xù)使用XP系統(tǒng)。

該報(bào)告是基于2013年12月20日至2014年2月20日期間,在全國范圍內(nèi)組織開展的WindowsXP系統(tǒng)使用情況調(diào)研活動(dòng)而完成。該次調(diào)研的目的,是為了全面了解政府及重點(diǎn)行業(yè)重要信息系統(tǒng)和重點(diǎn)支撐系統(tǒng)中的使用情況,及早啟動(dòng)XP停止服務(wù)后的應(yīng)急措施,將安全風(fēng)險(xiǎn)控制到最小范圍。

該次抽樣調(diào)查主要在政府企業(yè)中進(jìn)行,共調(diào)研了465家單位,涉及28個(gè)省、10個(gè)行業(yè)、1,212,319臺(tái)電腦。調(diào)研內(nèi)容包括計(jì)算機(jī)總數(shù)量、XP裝機(jī)數(shù)量、國產(chǎn)操作系統(tǒng)裝機(jī)數(shù)量、計(jì)算機(jī)中高等級(jí)風(fēng)險(xiǎn)漏洞數(shù)量、XP停止服務(wù)后打算采取的措施以及XP停止服務(wù)帶來的影響等。結(jié)果顯示,裝有XP的機(jī)器880,123臺(tái),占比72.6%。在各行業(yè)中,軍工行業(yè)的占比最高,達(dá)到93%,政府行業(yè)其次,達(dá)到86%。

需要特別值得關(guān)注的是,所調(diào)研用戶計(jì)算機(jī)中有高風(fēng)險(xiǎn)漏洞546,312個(gè)、中等風(fēng)險(xiǎn)漏洞324,342個(gè)。醫(yī)院、企業(yè)、石油、政府、軍工等行業(yè)需要重點(diǎn)解決系統(tǒng)漏洞,以應(yīng)對(duì)XP停止升級(jí)后所帶來的安全隱患。

在用戶認(rèn)知方面,不同行業(yè)對(duì)XP停止升級(jí)后所帶來的影響有明顯不同。軍工、電力、石油、金融等國家重要部門對(duì)XP停止升級(jí)所帶來的安全隱患表示深切關(guān)注,而醫(yī)院、事業(yè)、企業(yè)、政府等行業(yè)仍然對(duì)此關(guān)注度或認(rèn)識(shí)度不夠,而恰恰醫(yī)院、企業(yè)、政府的高中級(jí)安全漏洞比例處于前列。

在XP停止升級(jí)服務(wù)后應(yīng)對(duì)策略方面,44.4%的用戶則仍然繼續(xù)使用XP系統(tǒng),43.3%的用戶計(jì)劃升級(jí)到Win7/Win8,12.4%的用戶采取其它措施,包括轉(zhuǎn)向使用國產(chǎn)操作系統(tǒng)等。繼續(xù)使用XP系統(tǒng)的主要原因有三個(gè)方面,首先是硬件比較低端不能升級(jí)到Windows高版本,或擔(dān)心升級(jí)后速度變慢;其次,部分應(yīng)用軟件系統(tǒng)不能升級(jí)到Windows高版本,在醫(yī)院行業(yè)最為典型;還有些則是需要等待行業(yè)主管或信息安全主管部門統(tǒng)一安排。

該報(bào)告同樣提到了多家國內(nèi)信息安全廠商發(fā)布了應(yīng)對(duì)性新產(chǎn)品和方案,行業(yè)和個(gè)人用戶應(yīng)該通過技術(shù)手段解決XP停止服務(wù)所帶來的安全問題,通過整體防御、主動(dòng)防御、數(shù)據(jù)與系統(tǒng)雙重保護(hù)等技術(shù)手段,保護(hù)后XP時(shí)代計(jì)算機(jī)安全。

二、續(xù)用“XP”不比升級(jí)“Win7”或“Win8”更危險(xiǎn)

從普通用戶的角度來看,“XP”的升級(jí)歸宿自然是“Win8”。但我們必須認(rèn)識(shí)到,“Win7”、“Win8”的強(qiáng)制性安全手段,客觀上是將電腦安全的命運(yùn)交在了微軟公司的手上。

從安全的角度來看,電腦安全包括“軟件后門”與“安全漏洞”兩種:軟件后門可以看作是軟件發(fā)布者的蓄意行為,其目的是善意或惡意地控制用戶電腦。善意者如遠(yuǎn)程升級(jí),惡意者則是遠(yuǎn)程獲取用戶信息。安全漏洞則是在軟件編制過程中出現(xiàn)的質(zhì)量問題,這樣的問題通常軟件發(fā)布者也不掌握,一旦黑客先行發(fā)現(xiàn)則會(huì)威脅電腦用戶,這也是“零日漏洞”威脅之大的原因所在,因此軟件發(fā)布者也在全力防范安全漏洞。

就軟件后門而言,從境外網(wǎng)站可以看出,微軟2010年以前的各級(jí)版本“Office辦公軟件”在密碼保護(hù)方面具有廢除密碼保護(hù)文檔的后門。就是說,任何用于加密文檔的密碼都能夠被卸除,而不是像黑客那樣需要破解,使得在微軟看來任何加密文檔都如同明文一樣。

就安全漏洞而言,“Win7”、“Win8”不比“XP”安全多少。2012年共發(fā)現(xiàn)111個(gè)微軟操作系統(tǒng)的漏洞,涉及到“XP”、“Win7”、“Win8”分別為84、94、54個(gè)。由此可見,“Win7”的脆弱性比“XP”還弱;“Win8”因?yàn)槭褂脮r(shí)間不夠長、人們對(duì)之了解不夠而略好一些。同時(shí)也說明微軟的安全漏洞具有普適性,一個(gè)漏洞可能會(huì)同時(shí)影響“XP”、“Win7”、“Win8”三個(gè)操作系統(tǒng)。

三、圍繞國產(chǎn)操作系統(tǒng)營造強(qiáng)大的生態(tài)系統(tǒng),逐步替換“XP”

我國已經(jīng)擁有“麒麟”高安全等級(jí)服務(wù)器操作系統(tǒng)等,而且目前我國“CCN開源軟件聯(lián)合創(chuàng)新實(shí)驗(yàn)室”參與了國際Ubuntu開源社區(qū)的開發(fā),并且正在開發(fā)的UbuntuKylin可望作為國產(chǎn)終端操作系統(tǒng)的核心,具有用國產(chǎn)操作系統(tǒng)替換“XP”的實(shí)力。我國在可信計(jì)算方面有重大創(chuàng)新,從建立可信操作系統(tǒng)角度著手提高我國信息系統(tǒng)的本質(zhì)安全,是符合中國國情的。

隨著新一代信息技術(shù)的興起,云計(jì)算的發(fā)展,移動(dòng)信息終端的大量使用,使與Windows兼容性的要求越來越低,這為國產(chǎn)操作系統(tǒng)的推廣掃除了重要障礙。另外,國家對(duì)網(wǎng)絡(luò)空間安全的重視越來越高,這些都為國產(chǎn)操作系統(tǒng)的推廣創(chuàng)造了有利條件。而且,國產(chǎn)操作系統(tǒng)都是基于開源軟件發(fā)展起來的,在服務(wù)器市場(chǎng)由于對(duì)信息安全要求高,國產(chǎn)操作系統(tǒng)還是有競(jìng)爭(zhēng)力的,至少國內(nèi)推出的廠家了解這些操作系統(tǒng)在做些什么,而且法律制裁的威懾也使其不會(huì)惡意安裝后門。另外,移動(dòng)領(lǐng)域比桌面的市場(chǎng)更大。當(dāng)務(wù)之急是打造自主可控的生態(tài)系統(tǒng),在移動(dòng)互聯(lián)網(wǎng)領(lǐng)域爭(zhēng)取一席之地,否則很可能會(huì)重蹈PC產(chǎn)業(yè)覆轍。

綜上所述,我們要吸取歷史上國產(chǎn)操作系統(tǒng)未能占領(lǐng)市場(chǎng)的教訓(xùn),必須圍繞國產(chǎn)操作系統(tǒng)來營造強(qiáng)大的生態(tài)系統(tǒng)。為此,政府應(yīng)該將注意力放在營造國產(chǎn)操作系統(tǒng)生態(tài)上來,鼓勵(lì)將微軟操作系統(tǒng)上的應(yīng)用軟件移植到國產(chǎn)操作系統(tǒng)平臺(tái)上。例如,2010年底時(shí)任俄聯(lián)邦政府總理的普京簽署命令,批準(zhǔn)俄聯(lián)邦行政機(jī)構(gòu)在2011年至2015年期間將其信息系統(tǒng)轉(zhuǎn)用自由軟件(即俄羅斯基于開源軟件的國產(chǎn)操作系統(tǒng))的預(yù)算計(jì)劃,說明他們已在保障政府信息安全方面做出了明確計(jì)劃。我國也需要依靠軟件企業(yè)和軟件工作者來推動(dòng)基于國產(chǎn)操作系統(tǒng)的應(yīng)用,以繁榮國產(chǎn)操作系統(tǒng)的生態(tài)系統(tǒng)。

構(gòu)建國產(chǎn)操作系統(tǒng)的生態(tài)系統(tǒng),重點(diǎn)不是支持操作系統(tǒng)的研發(fā),幾十年的研發(fā)經(jīng)歷也說明僅把視點(diǎn)放在操作系統(tǒng)的研發(fā)上是不夠的?,F(xiàn)在應(yīng)該把重點(diǎn)放在鼓勵(lì)應(yīng)用軟件開發(fā)商將運(yùn)行在微軟平臺(tái)上的應(yīng)用軟件移植到國產(chǎn)操作系統(tǒng)平臺(tái)上。國家科研資金的投向應(yīng)該重點(diǎn)向這方面傾斜。有了應(yīng)用軟件的捧場(chǎng),國產(chǎn)操作系統(tǒng)的生態(tài)才能建設(shè)起來。

四、通過“XP靶場(chǎng)”來驗(yàn)證XP第三方防護(hù)軟件的安全性

互聯(lián)網(wǎng)靶場(chǎng)就是針對(duì)網(wǎng)絡(luò)戰(zhàn)訓(xùn)練和網(wǎng)絡(luò)技術(shù)研發(fā)的虛擬環(huán)境,可模擬真實(shí)的目標(biāo)環(huán)境,并對(duì)數(shù)據(jù)進(jìn)行采集和對(duì)結(jié)果進(jìn)行評(píng)估?;ヂ?lián)網(wǎng)靶場(chǎng)因?yàn)榻⒃谡鎸?shí)的互聯(lián)網(wǎng)上,且向廣大網(wǎng)民開發(fā),因此具有真實(shí)性、公平性和公正性等特點(diǎn)。美國、歐盟以及日本等國家對(duì)此高度重視,紛紛構(gòu)建自己的國家網(wǎng)絡(luò)靶場(chǎng),對(duì)包括網(wǎng)絡(luò)戰(zhàn)武器在內(nèi)的互聯(lián)網(wǎng)攻防技術(shù)進(jìn)行評(píng)估和演訓(xùn)。

為繼續(xù)保障XP用戶的安全,必須采取第三方外殼式的保護(hù)方式來保證用戶不被外界攻擊。我國各大信息技術(shù)企業(yè)均設(shè)計(jì)開發(fā)了自主產(chǎn)權(quán)的安全防護(hù)工具提升XP安全防護(hù)能力。主要的廠家及產(chǎn)品包括:360XP盾甲、騰訊電腦管家XP專屬版本、金山毒霸XP防護(hù)盾、百度衛(wèi)士和北信源金甲防線等。但是,廣大用戶對(duì)于不是微軟自身而是來源于不同的第三方的防護(hù)能力表示了極大的擔(dān)心。

針對(duì)這一問題,國家應(yīng)該組織建立“XP靶場(chǎng)”,讓不同廠家的安全防護(hù)產(chǎn)品作為靶標(biāo)接受來自全網(wǎng)的真實(shí)攻擊,以對(duì)產(chǎn)品的防護(hù)能力進(jìn)行真實(shí)、公開的評(píng)測(cè)。同時(shí)通過“XP靶場(chǎng)”的不斷測(cè)試,安全防護(hù)廠商可不斷提升自己的產(chǎn)品能力。

XP靶場(chǎng)應(yīng)該由獨(dú)立第三方來搭建,并采用全網(wǎng)絡(luò)虛擬化技術(shù),面向互聯(lián)網(wǎng)開放,為每個(gè)挑戰(zhàn)者提供隔離的攻擊環(huán)境。放在靶場(chǎng)上的靶標(biāo)必須是公眾所使用的系統(tǒng),而不是安全廠商專門提供的產(chǎn)品。因此,作為靶標(biāo)的安全保護(hù)產(chǎn)品需要加以數(shù)字簽名并公布在互聯(lián)網(wǎng)上,讓公眾根據(jù)實(shí)際情況進(jìn)行版本檢驗(yàn)。

所有作為靶標(biāo)被攻垮的產(chǎn)品應(yīng)該從靶場(chǎng)上撤下來,由廠家針對(duì)安全漏洞防范不足的問題進(jìn)行升級(jí),產(chǎn)品升級(jí)后再上線;新出現(xiàn)的XP防護(hù)產(chǎn)品也放在靶場(chǎng)上接受挑戰(zhàn)。那么,只要靶場(chǎng)上的產(chǎn)品存在,公眾就會(huì)對(duì)中國的操作系統(tǒng)安全防護(hù)有十足的信心!

五、設(shè)立一個(gè)“窗口期”,給國產(chǎn)操作系統(tǒng)一個(gè)上位機(jī)會(huì)

許可“XP”升級(jí)將面臨著軟件后門這類安全風(fēng)險(xiǎn);立即使用國產(chǎn)操作系統(tǒng)取代“XP”似乎尚未做好準(zhǔn)備。因此何去何從成為當(dāng)務(wù)之急。

國家應(yīng)該設(shè)立一個(gè)三年的“窗口期”,在這三年內(nèi),不討論“XP”操作系統(tǒng)的升級(jí)問題。在此期間,政府應(yīng)設(shè)立“基于國產(chǎn)操作系統(tǒng)應(yīng)用軟件移植專項(xiàng)”,支持基于微軟操作系統(tǒng)的應(yīng)用軟件向國產(chǎn)操作系統(tǒng)的移植,但不是重新開發(fā)應(yīng)用軟件。因?yàn)橐浦渤杀竞艿停覒?yīng)用軟件已經(jīng)得到了微軟平臺(tái)的錘煉,但開發(fā)成本則很高,政府支持不起。

同時(shí),政府應(yīng)該組織國內(nèi)安全企業(yè)成立“XP操作系統(tǒng)安全加固聯(lián)盟”(以下簡(jiǎn)稱“聯(lián)盟”),在國家財(cái)政的支持下,“聯(lián)盟”密切跟蹤“XP”出現(xiàn)的新安全漏洞;同時(shí)密切關(guān)注微軟公布的涉及“Win7”、“Win8”的安全漏洞,并評(píng)價(jià)其是否同時(shí)影響“XP”。“聯(lián)盟”針對(duì)安全漏洞提出安全加固解決方案,以便保障用戶的安全利益。

在資金方面,政府應(yīng)該利用核高基專項(xiàng)資金加快促進(jìn)國產(chǎn)操作系統(tǒng)的全面升級(jí),以“XP”為參照標(biāo)準(zhǔn),要求國產(chǎn)操作系統(tǒng)全面超越“XP”,以便在用戶替換“XP”時(shí)具有接受國產(chǎn)操作系統(tǒng)的承受力,保證使用得便捷性不低于曾經(jīng)的系統(tǒng)。同時(shí)要明確盡管國產(chǎn)操作系統(tǒng)的漏洞數(shù)量可能遠(yuǎn)超過微軟操作系統(tǒng)的漏洞,但至少國產(chǎn)操作系統(tǒng)不可能設(shè)置惡意的軟件后門。至于安全漏洞的問題,則完全取決于市場(chǎng)的廣泛使用,使用得越多,漏洞發(fā)現(xiàn)的就越早、越多,解決的機(jī)會(huì)越多,系統(tǒng)就越強(qiáng)壯,越有生命力。

如果三年的窗口期國產(chǎn)操作系統(tǒng)都無法取代XP,那中國操作系統(tǒng)廠商只能甘拜下風(fēng),按照國際慣例,選擇性能價(jià)格比做好的操作系統(tǒng),然后在外殼型防護(hù)方面加大力度,以“信息確保(information assurance)”的理念來保護(hù)我們的系統(tǒng)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)