Win7停服,引发国产操作系统“蝴蝶效应”

[摘要]3月18日,一场由中国工程院倪光南院士等专家参加的“亮剑出招,权威基础软硬件共同应对Win 7停服”高端论坛在线上举行。

3月18日,一场由中国工程院倪光南院士等专家参加的“亮剑出招,权威基础软硬件共同应对Win 7停服”高端论坛在线上举行。

Win 7停服线上高端论坛

之前1月19日,CCF YOCSEF举办了特别技术论坛,主题就是“Win 7停服,中国该怎么办?”

2020年1月14日,微软宣布停止对Windows 7 (Win 7)操作系统提供支持,除付费政企客户外,不再提供安全补丁、更新服务或技术支持。

当天,我国网络安全技术人员监测到有黑客组织利用Win 7系统漏洞对用户进行攻击,在用户毫无防备的情况下,在其电脑中植入勒索病毒,如果不加处理,电脑则可被黑客监听监控,执行窃取敏感信息等任意操作。

面对Win 7停服,数以亿计的中国用户的安全如何保障?升级Win 10后业务系统的兼容性、稳定性如何保证?中国基础软件能否顶得上呢?

上亿Win 7用户何去何从?

或许人们没有忘记Win XP于2014年停止服务后用户面临的安全威胁。2017年5月,Win XP系统停止更新服务三年后,利用Windows系统SMB漏洞席卷全球的WannaCry勒索病毒,横扫了150国家政府、学校、医院、金融、航班等各领域。而及时更新了系统的用户,则不会收到攻击,没有更新的Win XP用户首当其冲。

不愿具名的亚信安全专家告诉中国软件网,从安全角度,停止安全补丁修复将让Win 7在后续的使用中面临巨大的安全问题。

在制造业、金融、医疗等行业,Win 7用户占有率依然很高。亚信安全专家认为,停服的主要影响包括无法应对基于Win 7的漏洞,面临恶意攻击、勒索软件、数据窃取等安全风险,以及盲目升级到Win 10代理的企业业务应用的稳定性、兼容性等问题,同时增加采购成本和运维成本等。

对于用户安全运维而言,较为棘手的就是漏洞管理问题。

传统方式中,利用漏洞扫描发现漏洞,更新补丁堵住漏洞,不能解决接踵而来的新问题;而目前面对老旧系统无补丁更新、补丁更新导致业务中断、传统更新技术更新率不足、更新周期过长导致维护成本增加等问题亟待解决。

江民科技副总经理曹述玮告诉中国软件网,Win 7停服对政企用户安全的影响远远大于对个人用户安全的影响。停服可能带来的威胁,主要是零日漏洞的危害,比如2017年发生的“永恒之蓝”等一系列病毒勒索和攻击就利用了Win XP停服后的零日漏洞。而安全公司、用户都不知道,但已被潜在攻击者掌握了漏洞,也就是所谓在野漏洞,影响尤其严重。

现在包括江民等企业会在漏洞被发现后,会推出查杀工具和服务,帮助用户弥补安全漏洞。但是这些都是事后的。

奇安信安全专家接受中国软件记者的采访时认为,对于个人用户,按照微软的建议,还是尽快升级到最新版本操作系统,避免遭遇未知威胁的攻击,毕竟微软是最懂自己系统的。

对于政企客户所面临的风险,除了系统、攻击风险、国家政策、单位业务、技术支撑、落地实施等方面外,在升级及切换系统的时候,还可能面临硬件方面的问题,比如硬件与操作系统与应用的兼容性,原来系统上跑的应用,特别是业务应用,在升级或切换到新的系统后,可能用不了,或者出现各种问题。

奇安信安全专家认为,Win 7停服看起来只是个系统技术问题,但对关键信息基础设施相关领域的客户来说,需要考虑方方面面的情况。可能需要相当长一段时间,才能进行有效处置,应对随时可能到来的攻击。

中国工程院倪光南院士在研讨会上表示,相比2014年微软停服Win XP对中国用户的影响而言,Win 7对中国用户的影响要小。近几年来,中国在基础软硬件、网络安全等方面的巨大进步,完全有能力应对这种影响。

应对停服,什么措施最有效?

中国信息安全研究院副院长左晓栋说,2019年征求意见的《网络安全审查办法》指出,网络安全审查重点关注的方面之一是因政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性,Win 7停服显然不属于这种情况。

Win 7停服在法治社会、市场经济环境下,是正常的商业行为。停服所体现的微软对于计算机业态的判断,这可能是其业务重心由PC向移动和云生态转移的重大节点。

但是Win 7停服的安全问题绝对不能等闲视之。微软早在一年前就宣称,到2020年1月将结束对Win7的技术支持(“停服”),旨在迫使用户采用Win 10。微软建议,仍然使用服务终止软件的客户最好尽快升级到最新的内部部署或云版本,这样可以保持其系统安全。

而面对Win 7停服,对于用户而言,所能开出的“药方”包括:

第一,升级到Win 10,这对个人用户而言相对简单,但对于政府机关、特别是工业控制场景有些困难。

第二,寻求第三方安全服务商支持,这是相对科学的过渡方案。

第三,寻找替代方案,如采用国产操作系统软件。

另外,政府主管部门在遇到安全问题时及时发布预警信息,用户在出现安全事件时采取必要应对措施,只能是事后的应对举措了。

国外采用Win 7系统的企业与教育用户在停服后仍可以付费获得延长的系统安全更新。在国内,对安全企业而言,这也是一个机会,把握好危机中的商机,可以带动安全服务产生可观效益。

奇安信立足Win 7客户升级、过渡、切换三大应对场景和安全运营的长效机制,在停服前就已提供了系统性的综合解决方案,帮助客户升级、过渡和平稳切换。

在升级场景下,奇安信融合了具备集中管理、补丁分发等功能的天擎一体化安全治理框架,从业务、应用、数据、身份、行为5个维度,为客户提供安全升级保障;

在过渡场景下,奇安信天擎终端安全管理系统提供Win 7系统加固模块,该模块基于“天狗”引擎,可以对最先进的恶意软件实施降维打击;

在切换场景下,奇安信提供了网神终端安全管理系统(信创版),目前已实现对飞腾、龙芯、兆芯、申威、海光等平台以及银河麒麟、中标麒麟、中科方德、深度等主流国产操作系统的全面兼容适配。

奇安信安全专家说,天狗引擎已经在天擎平台上得到了实现,客户可以联系奇安信服务人员,进行升级,就可以免费获得这个能力。对于稳定性、安全性要求比较高的生产环境,客户往往需要进行测试、评估,然后才能制定妥善的处置方案,在这方面奇安信已经做好了准备。

亚信安全专家则认为,面对Win 7停服,大量安全企业提供的补丁分发方案变得毫无价值。针对这些挑战,虚拟补丁技术能够很好的满足用户的需求。

虚拟补丁技术是亚信安全特有技术,并被用户应用多年。该技术能在不中断应用程序和业务运营的情况下,建立一个安全策略实施层,在恶意软件危及易受攻击目标之前,高效地修正有可能会攻击漏洞的应用程序输入流,也能够针对漏洞攻击行为做到有效地发现和拦截。

亚信安全虚拟补丁的技术目前在亚信安全的端点防护解决中得到了应用。从终端到服务器端,虚拟补丁结合亚信安全OfficeScan和DeepSecurity能够提供及时的端点防护,并有效抵御高级威胁等问题。

对于系统漏洞的防护以漏洞为关注点,该技术通过对CVE的识别来提供防护能力,不依附任何操作系统,对于Win 7、XP、2003等系统都有保护能力。在恶意软件危及易受攻击的目标之前,在不中断应用程序和业务运营的情况下,高效地修正或阻止有可能会攻击漏洞的应用程序输入流。

不同的安全企业都退出相关的方案、技术与服务。关键是用户要有防范的意识,及时更新防护措施。

国产化替代机会来了吗?

中国计算机学会计算机安全专委委员、公安部第一研究所原所长严明研究员认为,解决Win7停服带来的安全问题最根本的方案是加快国产化替代。

CCF YOCSEF举办特别技术论坛

首先,一代一代的Windows操作系统不断推出并能成功获得用户的核心是生态,借助生态的力量,Win 7在国内市场占有率依然很高。

在微软的桌面操作系统中,更新换代是一种技术策略,更是一种商业市场策略,生态是每一代系统成功的核心。

当Win7推出时,Windows XP(Win XP)的市场占有率一直居高不下。为了帮助Win 7进阶,微软采取了停服Win XP的策略。

虽然用户对Win XP依依不舍,但是停服让Win XP退出了历史舞台,Win 7继承了Win XP用户和生态。

中国软件网认为,Win 7在我国市场份额高的主要有三个原因:

第一,易用性比较突出,受到用户喜爱,特别是Win XP之后,Win 7成为用户采用最多的操作系统。

第二,稳定性高,Win 7是在工业控制领域应用较多,不易更换。工业控制系统一般是不能随便停下来给系统打补丁或者更新的,如化工的工业控制系统,把反应停下来,给操作系统升级是难以想象的。

第三,微软之后推出的Win 8和Win 10没有进入中国政府的采购列表。

Win 7中国的市场占有率

资料来源:百度流量研究院

后来推出的Windows 8就并没有这样幸运,基本上就是一个过客,很快就迎来了Win 10。

Win 10的改变是明显的,包括记者在内的很多人都不太习惯,但是微软依然把它作为重点来推,甚至不惜停服名星产品Win 7。

在2019年中,Win 10继承了Win 7部分用户和生态,终于坐稳了“桌面第一操作系统”的宝座。市场分析公司NetMarketShare的数据显示,Win 10在2019年结束时以54.62%市场占有率稳居桌面操作系统市场第一位。

因此,微软停服Win 7、推高Win 10的商业策略是成功的。

其次,国产操作系统如统信UOS完全可以填补Win 7停服出现的空缺。

统信软件总经理刘闻欢则认为,UOS将Win 7替换为国产操作系统是一个较好的应对安全风险的方案。优势包括:可以长期服务,无断供风险;支持国产CPU和国产固件的安全启动,系统安全自主可控等。

而面临的问题则是用户的使用习惯可能要改变,需要磨合。通用应用领域的生态需要完善。

他认为,操作系统最难的是构建生态,但是成功的核心也是生态。在解决Win 7停服的过程中,积极推广中国的国产操作系统,实现生态的引爆点,不是不可能。

UOS与Win7的对比

再次,国产化基础软硬件的替代之路重在基础软硬件生态的不断完善。

倪光南院士则表示,国产操作系统已经从可用发展到好用。在今后一个相当长的时期里,国产化替代将成为我国网信领域的新常态。

目前,国产化替代在不同领域正在加速推进,包括国产桌面计算机技术体系对Wintel体系的替代。国产桌面计算机技术架构是“1+3”:国产Linux操作系统+3种国产CPU(申威/飞腾/龙芯),替代WinTel架构:Windows操作系统+Intel架构CPU。

在国产化替代中,倪光南院士提出几条建议。

目前“穿马甲”情况严重,也就是将不能自主可控的外国技术,假冒国产自主可控技术,混入政府采购和重要领域,可能成为特洛伊木马。因此,倪光南建议我国亟需制订自主可控测评评估标准,并由专门机构实施,形成制度保障。

倪光南院士说,在国家相关部门的支持下,有关的第三方正计划推出国产自主可控的测评,这是国产化替代和自主可控技术发展的一个重要举措。

自主可控测评还需要适应形势的发展。例如根据美国法律,如果根源在美国的技术,就会被计入属地比重,范围包括IP与相关核心技术,若美国技术成分占比超过25%,就会受到美国法律的管辖。倪光南说,应该在自主可控测评中加入受美国技术管控的风险的测评。

倪光南院士的另一条建议是中国企业应该增加在全球的开源软件基金会中的话语权。开放源代码软件在世界的发展证明了这种模式不仅是商业模式,也是研发模式、推广模式、产业化的模式,是很成功的。

开源软件的发展有利于我们实现引进、消化再创新,国产操作系统基本上基于开源软件的操作系统。但是,最近我们发现开源软件也可能受到贸易摩擦、贸易制裁的影响。对于开源软件发展,中国大企业的贡献越多,我们在开源社区就有更多话语权,甚至某些主导权,这是我们努力的方向。

第四条建议是在中国设立开源软件代码托管平台。美国认为开源也要受到出口法律的管制。比如Github更改了用户协议,开源代码平台上上传下载、代码上传下载也要受到美国出口法律的管制,如何规避这种风险,我们也要对策。

谈操作系统,不能不涉及国产CPU。如果说过去十年是模式创新的时代,那么,未来将是硬技术创新的时代,也是核心技术的时代。

倪光南表示,从世界的角度来看,两类架构的CPU已经占据市场。第一代是X86,英特尔和AMD两家公司掌握,在PC、服务器等领域占有垄断地位;第二个是ARM,在移动领域有垄断的地位。

作为中国开放指令生态(RISC-V)联盟(CRVA)理事长,倪光南表示要加强联盟的工作,避免碎片化,形成良性循环。“我们要迅速的培养基于RISC-V的新型开放生态,不要做历史包袱很重的ARM和x86。”

倪光南指出,芯片产业最大的问题就是设计门槛很高,希望借鉴开源软件的经验,能用很短的时间,很小的投入,开发出一个芯片,把开源软件模式的成功经验借鉴过来。

龙芯中科技术有限公司CEO胡伟武说,改革开放以来,发展核心技术主要有两条路线:市场换技术,通过合资的方式把中国市场给予国外企业,希望在此过程中得到先进技术;市场带技术,通过体制内市场引导,带动技术进步,再参与体制外的市场竞争。

而龙芯走的是“市场带技术”的道路,注重性能的提高和生态的完善,并在市场应用中不断试错。核心技术产业只能在试错中发展,高复杂系统只能在试错中演进。走“市场带技术”和“市场带产业”的道路,通过自主研发掌握CPU的核心技术,建立自主创新的信息技术体系,那么我们失去的只有锁链,得到的将是整个世界。

中国软件网认为,以CPU和操作系统为代表的自主基础软硬件从不成熟到成熟,自主基础软硬件产业链从组合发散到组合收敛,基于自主基础软硬件的应用系统从基本可用、到可用、到好用,为构建独立于WinTel体系和ARM+Android体系外的自主技术体系打下坚实的基础。

而对于Win 7用户特别是行业用户而言,用国产系统软件替换,或者采用网络安全企业的服务,是一种可行的途径。




版权声明:

凡本网注明”来源:中国软件网(http://www.soft6.com)”的所有作品,版权均属于中国软件网或昆仑海比(北京)信息技术有限公司,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。

任何行业、传播媒体转载、摘编中国软件网(http://www.soft6.com)刊登、发布的产品信息及新闻文章,必须按有关规定向本网站载明的相应著作权人支付报酬并在其网站上注明真实作者和真实出处,且转载、摘编不得超过本网站刊登、转载该信息的范围;未经本网站的明确书面许可,任何人不得复制或在非本网站所属的服务器上做镜像。

本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,昆仑海比(北京)信息技术有限公司将追究其相关法律责任。