3月18日,一場由中國工程院倪光南院士等專家參加的「亮劍出招,權威基礎軟硬體共同應對Win 7停服」高端論壇在線上舉行。
Win 7停服線上高端論壇
之前1月19日,CCF YOCSEF舉辦了特別技術論壇,主題就是「Win 7停服,中國該怎麼辦?」
2020年1月14日,微軟宣布停止對Windows 7 (Win 7)作業系統提供支持,除付費政企客戶外,不再提供安全補丁、更新服務或技術支持。
當天,我國網絡安全技術人員監測到有黑客組織利用Win 7系統漏洞對用戶進行攻擊,在用戶毫無防備的情況下,在其電腦中植入勒索病毒,如果不加處理,電腦則可被黑客監聽監控,執行竊取敏感信息等任意操作。
面對Win 7停服,數以億計的中國用戶的安全如何保障?升級Win 10後業務系統的兼容性、穩定性如何保證?中國基礎軟體能否頂得上呢?
上億Win 7用戶何去何從?
或許人們沒有忘記Win XP於2014年停止服務後用戶面臨的安全威脅。2017年5月,Win XP系統停止更新服務三年後,利用Windows系統SMB漏洞席捲全球的WannaCry勒索病毒,橫掃了150國家政府、學校、醫院、金融、航班等各領域。而及時更新了系統的用戶,則不會收到攻擊,沒有更新的Win XP用戶首當其衝。
不願具名的亞信安全專家告訴中國軟體網,從安全角度,停止安全補丁修復將讓Win 7在後續的使用中面臨巨大的安全問題。
在製造業、金融、醫療等行業,Win 7用戶佔有率依然很高。亞信安全專家認為,停服的主要影響包括無法應對基於Win 7的漏洞,面臨惡意攻擊、勒索軟體、數據竊取等安全風險,以及盲目升級到Win 10代理的企業業務應用的穩定性、兼容性等問題,同時增加採購成本和運維成本等。
對於用戶安全運維而言,較為棘手的就是漏洞管理問題。
傳統方式中,利用漏洞掃描發現漏洞,更新補丁堵住漏洞,不能解決接踵而來的新問題;而目前面對老舊系統無補丁更新、補丁更新導致業務中斷、傳統更新技術更新率不足、更新周期過長導致維護成本增加等問題亟待解決。
江民科技副總經理曹述瑋告訴中國軟體網,Win 7停服對政企用戶安全的影響遠遠大於對個人用戶安全的影響。停服可能帶來的威脅,主要是零日漏洞的危害,比如2017年發生的「永恆之藍」等一系列病毒勒索和攻擊就利用了Win XP停服後的零日漏洞。而安全公司、用戶都不知道,但已被潛在攻擊者掌握了漏洞,也就是所謂在野漏洞,影響尤其嚴重。
現在包括江民等企業會在漏洞被發現後,會推出查殺工具和服務,幫助用戶彌補安全漏洞。但是這些都是事後的。
奇安信安全專家接受中國軟體記者的採訪時認為,對於個人用戶,按照微軟的建議,還是儘快升級到最新版本作業系統,避免遭遇未知威脅的攻擊,畢竟微軟是最懂自己系統的。
對於政企客戶所面臨的風險,除了系統、攻擊風險、國家政策、單位業務、技術支撐、落地實施等方面外,在升級及切換系統的時候,還可能面臨硬體方面的問題,比如硬體與作業系統與應用的兼容性,原來系統上跑的應用,特別是業務應用,在升級或切換到新的系統後,可能用不了,或者出現各種問題。
奇安信安全專家認為,Win 7停服看起來只是個系統技術問題,但對關鍵信息基礎設施相關領域的客戶來說,需要考慮方方面面的情況。可能需要相當長一段時間,才能進行有效處置,應對隨時可能到來的攻擊。
中國工程院倪光南院士在研討會上表示,相比2014年微軟停服Win XP對中國用戶的影響而言,Win 7對中國用戶的影響要小。近幾年來,中國在基礎軟硬體、網絡安全等方面的巨大進步,完全有能力應對這種影響。
應對停服,什麼措施最有效?
中國信息安全研究院副院長左曉棟說,2019年徵求意見的《網絡安全審查辦法》指出,網絡安全審查重點關注的方面之一是因政治、外交、貿易等非技術因素導致產品和服務供應中斷的可能性,Win 7停服顯然不屬於這種情況。
Win 7停服在法治社會、市場經濟環境下,是正常的商業行為。停服所體現的微軟對於計算機業態的判斷,這可能是其業務重心由PC向移動和雲生態轉移的重大節點。
但是Win 7停服的安全問題絕對不能等閒視之。微軟早在一年前就宣稱,到2020年1月將結束對Win7的技術支持(「停服」),旨在迫使用戶採用Win 10。微軟建議,仍然使用服務終止軟體的客戶最好儘快升級到最新的內部部署或雲版本,這樣可以保持其系統安全。
而面對Win 7停服,對於用戶而言,所能開出的「藥方」包括:
第一,升級到Win 10,這對個人用戶而言相對簡單,但對於政府機關、特別是工業控制場景有些困難。
第二,尋求第三方安全服務商支持,這是相對科學的過渡方案。
第三,尋找替代方案,如採用國產作業系統軟體。
另外,政府主管部門在遇到安全問題時及時發布預警信息,用戶在出現安全事件時採取必要應對措施,只能是事後的應對舉措了。
國外採用Win 7系統的企業與教育用戶在停服後仍可以付費獲得延長的系統安全更新。在國內,對安全企業而言,這也是一個機會,把握好危機中的商機,可以帶動安全服務產生可觀效益。
奇安信立足Win 7客戶升級、過渡、切換三大應對場景和安全運營的長效機制,在停服前就已提供了系統性的綜合解決方案,幫助客戶升級、過渡和平穩切換。
在升級場景下,奇安信融合了具備集中管理、補丁分發等功能的天擎一體化安全治理框架,從業務、應用、數據、身份、行為5個維度,為客戶提供安全升級保障;
在過渡場景下,奇安信天擎終端安全管理系統提供Win 7系統加固模塊,該模塊基於「天狗」引擎,可以對最先進的惡意軟體實施降維打擊;
在切換場景下,奇安信提供了網神終端安全管理系統(信創版),目前已實現對飛騰、龍芯、兆芯、申威、海光等平臺以及銀河麒麟、中標麒麟、中科方德、深度等主流國產作業系統的全面兼容適配。
奇安信安全專家說,天狗引擎已經在天擎平臺上得到了實現,客戶可以聯繫奇安信服務人員,進行升級,就可以免費獲得這個能力。對於穩定性、安全性要求比較高的生產環境,客戶往往需要進行測試、評估,然後才能制定妥善的處置方案,在這方面奇安信已經做好了準備。
亞信安全專家則認為,面對Win 7停服,大量安全企業提供的補丁分發方案變得毫無價值。針對這些挑戰,虛擬補丁技術能夠很好的滿足用戶的需求。
虛擬補丁技術是亞信安全特有技術,並被用戶應用多年。該技術能在不中斷應用程式和業務運營的情況下,建立一個安全策略實施層,在惡意軟體危及易受攻擊目標之前,高效地修正有可能會攻擊漏洞的應用程式輸入流,也能夠針對漏洞攻擊行為做到有效地發現和攔截。
亞信安全虛擬補丁的技術目前在亞信安全的端點防護解決中得到了應用。從終端到伺服器端,虛擬補丁結合亞信安全OfficeScan和DeepSecurity能夠提供及時的端點防護,並有效抵禦高級威脅等問題。
對於系統漏洞的防護以漏洞為關注點,該技術通過對CVE的識別來提供防護能力,不依附任何作業系統,對於Win 7、XP、2003等系統都有保護能力。在惡意軟體危及易受攻擊的目標之前,在不中斷應用程式和業務運營的情況下,高效地修正或阻止有可能會攻擊漏洞的應用程式輸入流。
不同的安全企業都退出相關的方案、技術與服務。關鍵是用戶要有防範的意識,及時更新防護措施。
國產化替代機會來了嗎?
中國計算機學會計算機安全專委委員、公安部第一研究所原所長嚴明研究員認為,解決Win7停服帶來的安全問題最根本的方案是加快國產化替代。
CCF YOCSEF舉辦特別技術論壇
首先,一代一代的Windows作業系統不斷推出並能成功獲得用戶的核心是生態,藉助生態的力量,Win 7在國內市場佔有率依然很高。
在微軟的桌面作業系統中,更新換代是一種技術策略,更是一種商業市場策略,生態是每一代系統成功的核心。
當Win7推出時,Windows XP(Win XP)的市場佔有率一直居高不下。為了幫助Win 7進階,微軟採取了停服Win XP的策略。
雖然用戶對Win XP依依不捨,但是停服讓Win XP退出了歷史舞臺,Win 7繼承了Win XP用戶和生態。
中國軟體網認為,Win 7在我國市場份額高的主要有三個原因:
第一,易用性比較突出,受到用戶喜愛,特別是Win XP之後,Win 7成為用戶採用最多的作業系統。
第二,穩定性高,Win 7是在工業控制領域應用較多,不易更換。工業控制系統一般是不能隨便停下來給系統打補丁或者更新的,如化工的工業控制系統,把反應停下來,給作業系統升級是難以想像的。
第三,微軟之後推出的Win 8和Win 10沒有進入中國政府的採購列表。
Win 7中國的市場佔有率
資料來源:百度流量研究院
後來推出的Windows 8就並沒有這樣幸運,基本上就是一個過客,很快就迎來了Win 10。
Win 10的改變是明顯的,包括記者在內的很多人都不太習慣,但是微軟依然把它作為重點來推,甚至不惜停服名星產品Win 7。
在2019年中,Win 10繼承了Win 7部分用戶和生態,終於坐穩了「桌面第一作業系統」的寶座。市場分析公司NetMarketShare的數據顯示,Win 10在2019年結束時以54.62%市場佔有率穩居桌面作業系統市場第一位。
因此,微軟停服Win 7、推高Win 10的商業策略是成功的。
其次,國產作業系統如統信UOS完全可以填補Win 7停服出現的空缺。
統信軟體總經理劉聞歡則認為,UOS將Win 7替換為國產作業系統是一個較好的應對安全風險的方案。優勢包括:可以長期服務,無斷供風險;支持國產CPU和國產固件的安全啟動,系統安全自主可控等。
而面臨的問題則是用戶的使用習慣可能要改變,需要磨合。通用應用領域的生態需要完善。
他認為,作業系統最難的是構建生態,但是成功的核心也是生態。在解決Win 7停服的過程中,積極推廣中國的國產作業系統,實現生態的引爆點,不是不可能。
UOS與Win7的對比
再次,國產化基礎軟硬體的替代之路重在基礎軟硬體生態的不斷完善。
倪光南院士則表示,國產作業系統已經從可用發展到好用。在今後一個相當長的時期裡,國產化替代將成為我國網信領域的新常態。
目前,國產化替代在不同領域正在加速推進,包括國產桌面計算機技術體系對Wintel體系的替代。國產桌面計算機技術架構是「1+3」:國產Linux作業系統+3種國產CPU(申威/飛騰/龍芯),替代WinTel架構:Windows作業系統+Intel架構CPU。
在國產化替代中,倪光南院士提出幾條建議。
目前「穿馬甲」情況嚴重,也就是將不能自主可控的外國技術,假冒國產自主可控技術,混入政府採購和重要領域,可能成為特洛伊木馬。因此,倪光南建議我國亟需制訂自主可控測評評估標準,並由專門機構實施,形成制度保障。
倪光南院士說,在國家相關部門的支持下,有關的第三方正計劃推出國產自主可控的測評,這是國產化替代和自主可控技術發展的一個重要舉措。
自主可控測評還需要適應形勢的發展。例如根據美國法律,如果根源在美國的技術,就會被計入屬地比重,範圍包括IP與相關核心技術,若美國技術成分佔比超過25%,就會受到美國法律的管轄。倪光南說,應該在自主可控測評中加入受美國技術管控的風險的測評。
倪光南院士的另一條建議是中國企業應該增加在全球的開源軟體基金會中的話語權。開放原始碼軟體在世界的發展證明了這種模式不僅是商業模式,也是研發模式、推廣模式、產業化的模式,是很成功的。
開源軟體的發展有利於我們實現引進、消化再創新,國產作業系統基本上基於開源軟體的作業系統。但是,最近我們發現開源軟體也可能受到貿易摩擦、貿易制裁的影響。對於開源軟體發展,中國大企業的貢獻越多,我們在開源社區就有更多話語權,甚至某些主導權,這是我們努力的方向。
第四條建議是在中國設立開源軟體代碼託管平臺。美國認為開源也要受到出口法律的管制。比如Github更改了用戶協議,開原始碼平臺上上傳下載、代碼上傳下載也要受到美國出口法律的管制,如何規避這種風險,我們也要對策。
談作業系統,不能不涉及國產CPU。如果說過去十年是模式創新的時代,那麼,未來將是硬技術創新的時代,也是核心技術的時代。
倪光南表示,從世界的角度來看,兩類架構的CPU已經佔據市場。第一代是X86,英特爾和AMD兩家公司掌握,在PC、伺服器等領域佔有壟斷地位;第二個是ARM,在移動領域有壟斷的地位。
作為中國開放指令生態(RISC-V)聯盟(CRVA)理事長,倪光南表示要加強聯盟的工作,避免碎片化,形成良性循環。「我們要迅速的培養基於RISC-V的新型開放生態,不要做歷史包袱很重的ARM和x86。」
倪光南指出,晶片產業最大的問題就是設計門檻很高,希望借鑑開源軟體的經驗,能用很短的時間,很小的投入,開發出一個晶片,把開源軟體模式的成功經驗借鑑過來。
龍芯中科技術有限公司CEO胡偉武說,改革開放以來,發展核心技術主要有兩條路線:市場換技術,通過合資的方式把中國市場給予國外企業,希望在此過程中得到先進技術;市場帶技術,通過體制內市場引導,帶動技術進步,再參與體制外的市場競爭。
而龍芯走的是「市場帶技術」的道路,注重性能的提高和生態的完善,並在市場應用中不斷試錯。核心技術產業只能在試錯中發展,高複雜系統只能在試錯中演進。走「市場帶技術」和「市場帶產業」的道路,通過自主研發掌握CPU的核心技術,建立自主創新的信息技術體系,那麼我們失去的只有鎖鏈,得到的將是整個世界。
中國軟體網認為,以CPU和作業系統為代表的自主基礎軟硬體從不成熟到成熟,自主基礎軟硬體產業鏈從組合發散到組合收斂,基於自主基礎軟硬體的應用系統從基本可用、到可用、到好用,為構建獨立於WinTel體系和ARM+Android體系外的自主技術體系打下堅實的基礎。
而對於Win 7用戶特別是行業用戶而言,用國產系統軟體替換,或者採用網絡安全企業的服務,是一種可行的途徑。