程彥博

相信讀者對(duì)于微軟官方將于2014年4月8日全面停止Windows XP的系統(tǒng)和補(bǔ)丁的更新，也不再提供技術(shù)支持的消息已經(jīng)不再陌生。同樣，相信仍然有相當(dāng)一部分家庭或者公司的PC仍然在使用Windows XP操作系統(tǒng)。

毫無疑問，Windows XP作為微軟截至目前最為成功的一款操作系統(tǒng)軟件，在其服役的13年中，積累了大量的用戶。有專家指出，如果按照微軟目前有14億Windows用戶數(shù)來算，那么中國(guó)市場(chǎng)就有近2億的Windows XP用戶。而停止Windows XP的系統(tǒng)和補(bǔ)丁的更新，給很多無法快速升級(jí)的用戶特別是企業(yè)級(jí)用戶帶來了操作系統(tǒng)層面的安全隱憂。

企業(yè)用戶進(jìn)退兩難

出于采購(gòu)成本和時(shí)間成本等方面的考慮，企業(yè)用戶不可能在一夜之間將所有的操作系統(tǒng)升級(jí)。而微軟官方不再提供XP內(nèi)核代碼的更新給企業(yè)所帶來的安全風(fēng)險(xiǎn)被無限放大。IDF互聯(lián)網(wǎng)情報(bào)威脅防御實(shí)驗(yàn)室的裴偉偉指出，可能會(huì)有蓄謀已久的黑客發(fā)現(xiàn)Windows XP系統(tǒng)的漏洞，等到4月8日之后再伺機(jī)發(fā)動(dòng)攻擊。如果那個(gè)時(shí)候Windows XP被發(fā)現(xiàn)存在遠(yuǎn)程觸發(fā)的溢出漏洞，攻擊者就可利用漏洞構(gòu)造攻擊指令，主動(dòng)攻擊用戶電腦，在用戶毫無知覺的情況下將病毒木馬安裝到用戶電腦中，從而控制或破壞用戶電腦。

“Windows XP的退出對(duì)于整個(gè)物流行業(yè)影響是巨大的。這不僅是采購(gòu)成本的問題，還有兼容性和安全的問題。這件事情將讓很多企業(yè)不得不重新思考自身的IT規(guī)劃?！?青島某國(guó)際物流公司CIO陳先生表示，他們正在尋找解決方案，然而該問題并非簡(jiǎn)單的系統(tǒng)升級(jí)就能解決的?！拔覀儽緛硎窍胫С鲆还P費(fèi)用來升級(jí)操作系統(tǒng)，但是后來我們發(fā)現(xiàn)公司常用的軟件在升級(jí)后并不能很好地運(yùn)行，也就是說兼容性不是很好，所以暫時(shí)擱置了Windows的升級(jí)計(jì)劃。”陳先生介紹，公司很多軟件都是針對(duì)Windows XP開發(fā)的，例如貨代系統(tǒng)、傳真系統(tǒng)，若操作系統(tǒng)升級(jí)后對(duì)這些軟件都不能很好地支持，那將嚴(yán)重影響公司的業(yè)務(wù)和效率。

“雖然我們認(rèn)為升級(jí)到新操作系統(tǒng)是大勢(shì)所趨，但是對(duì)于企業(yè)用戶而言，做出升級(jí)系統(tǒng)決策所需要考慮的因素顯然要更多，運(yùn)營(yíng)應(yīng)用平臺(tái)支持、服務(wù)器平臺(tái)升級(jí)周期較長(zhǎng)或成本原因都可能導(dǎo)致其無法及時(shí)升級(jí)到新操作系統(tǒng)。”趨勢(shì)科技中國(guó)區(qū)業(yè)務(wù)發(fā)展總監(jiān)童寧表示，如果企業(yè)陷入這種進(jìn)退兩難的境地，可以使用內(nèi)置了虛擬補(bǔ)丁技術(shù)（Virtual Patching）的趨勢(shì)科技服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security和防毒墻網(wǎng)絡(luò)版Office Scan，它們可以幫助企業(yè)用戶迅速修補(bǔ)漏洞，也符合它們的成本效益。

快速修補(bǔ)+定制

事實(shí)上，Windows XP停止服務(wù)給企業(yè)所帶來的安全隱憂，主要在于漏洞得不到及時(shí)修補(bǔ)所可能帶來的嚴(yán)重后果。WatchGuard 中國(guó)區(qū)市場(chǎng)總監(jiān)萬熠表示，國(guó)內(nèi)基于Windows XP的企業(yè)業(yè)務(wù)應(yīng)用十分廣泛，它在酒店、金融、中小企業(yè)中的用戶群體十分龐大。如果Windows XP停止服務(wù)之后，有嚴(yán)重的漏洞被黑客發(fā)現(xiàn)，又沒有補(bǔ)丁可以修補(bǔ)，用戶將面臨大范圍的木馬病毒感染、敏感信息泄露等信息安全風(fēng)險(xiǎn)。因此，在尚未升級(jí)到新一代操作系統(tǒng)之前，用戶最好的防范措施，是借助性能更強(qiáng)、管理更簡(jiǎn)單的安全網(wǎng)關(guān)、防毒網(wǎng)關(guān)，以及信譽(yù)評(píng)估技術(shù)，在惡意代碼進(jìn)入企業(yè)之前進(jìn)行攔截。

童寧告訴記者，漏洞修補(bǔ)時(shí)間的長(zhǎng)短是決定漏洞安全威脅大小的至關(guān)重要的因素。通常情況下從漏洞被發(fā)現(xiàn)到提供通過兼容性和穩(wěn)定性測(cè)試的補(bǔ)丁，需要一定的周期。而漏洞未修補(bǔ)前系統(tǒng)會(huì)面臨最嚴(yán)峻的威脅?！坝袡C(jī)構(gòu)統(tǒng)計(jì)，漏洞攻擊帶來的大多數(shù)損害發(fā)生在消息發(fā)布后的前15天內(nèi)，而80%的攻擊出現(xiàn)在60天內(nèi)。趨勢(shì)科技虛擬補(bǔ)丁解決方案則通過強(qiáng)化修補(bǔ)時(shí)間這個(gè)核心要素，可最快在2小時(shí)內(nèi)提供深度防護(hù)加固技術(shù)策略，防止安全威脅乘虛而入?！蓖瘜幷f。

事實(shí)上，對(duì)操作系統(tǒng)進(jìn)行漏洞挖掘和修復(fù)補(bǔ)丁的技術(shù)門檻很高，同時(shí)結(jié)合不同企業(yè)用戶的業(yè)務(wù)需求提供定制化的解決方案，也成為此次Windows XP停止服務(wù)事件中各個(gè)安全廠商角力的關(guān)鍵點(diǎn)。“除了漏洞挖掘和修復(fù)補(bǔ)丁技術(shù)，安全廠商的測(cè)試實(shí)力也非常重要。由于不同用戶具有不同的使用環(huán)境與業(yè)務(wù)環(huán)境，因此補(bǔ)丁防護(hù)方案的兼容性與穩(wěn)定性顯得尤為重要。針對(duì)這一點(diǎn)，瑞星制定了嚴(yán)格的產(chǎn)品質(zhì)量監(jiān)督標(biāo)準(zhǔn)和完整的測(cè)試流程，最大程度保證用戶的系統(tǒng)安全和業(yè)務(wù)穩(wěn)定性?！比鹦鞘袌?chǎng)總監(jiān)唐威告訴記者。

另辟蹊徑

顯然，企業(yè)所面臨的安全隱患遠(yuǎn)不止Windows XP停止服務(wù)所帶來的這些。企業(yè)所面臨的網(wǎng)絡(luò)威脅會(huì)融入到更高層面的攻擊中，構(gòu)成隱匿性更強(qiáng)、破壞力更大的威脅。所以，安全廠商希望另辟蹊徑來解決問題。萬熠告訴記者，WatchGuard提供的一體化安全解決方案最顯著的特點(diǎn)就是“輕結(jié)構(gòu)”，這也意味著企業(yè)可以享有更簡(jiǎn)單的部署和更低的TCO，接入網(wǎng)線即可開通上線。

針對(duì)安全管理的復(fù)雜性，WatchGuard提供了很多符合行業(yè)特點(diǎn)的安全策略模板，用戶只需要按照向?qū)⒂?，就可以解決網(wǎng)絡(luò)安全準(zhǔn)入、負(fù)載均衡帶寬管理、防病毒、反垃圾郵件、數(shù)據(jù)防泄露等諸多網(wǎng)絡(luò)層與應(yīng)用層的配置問題。

其實(shí)，另辟蹊徑的還有其他廠商。4月3日，中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司（CEC，下文簡(jiǎn)稱中國(guó)電子）旗下的中電長(zhǎng)城網(wǎng)際和北京可信華泰發(fā)布了基于可信計(jì)算技術(shù)的以系統(tǒng)自身免疫為特征的信息系統(tǒng)安全架構(gòu)，它被命名為“白細(xì)胞”操作系統(tǒng)免疫平臺(tái)。和傳統(tǒng)的依靠殺毒、打補(bǔ)丁等技術(shù)進(jìn)行被動(dòng)防御的做法不同，該平臺(tái)是我國(guó)自行研發(fā)構(gòu)建的一套統(tǒng)一的以系統(tǒng)自身免疫為特征的信息系統(tǒng)安全架構(gòu)，利用以密碼為基礎(chǔ)的信任鏈傳遞，使用可信計(jì)算技術(shù)的靜態(tài)度量、動(dòng)態(tài)度量、訪問控制等技術(shù)，實(shí)現(xiàn)計(jì)算機(jī)主動(dòng)識(shí)別“非己”的程序、數(shù)據(jù)等，從而排斥進(jìn)入計(jì)算機(jī)的病毒、木馬、惡意程序等，以維持計(jì)算機(jī)的健康。

“白細(xì)胞”操作系統(tǒng)免疫平臺(tái)完全不同于以殺毒為特征的傳統(tǒng)網(wǎng)絡(luò)安全機(jī)制，它通過為計(jì)算機(jī)系統(tǒng)建立自免疫系統(tǒng)實(shí)現(xiàn)了主動(dòng)防御的目標(biāo)。通過自主的可信計(jì)算體系，實(shí)現(xiàn)從硬件到軟件、從芯片到系統(tǒng)的逐級(jí)信任，從而排斥非信任的程序和攻擊行為，達(dá)到企業(yè)信息系統(tǒng)安全可控的目標(biāo)。

“可信計(jì)算是中國(guó)電子主要的攻堅(jiān)方向，中國(guó)電子也在可信計(jì)算領(lǐng)域具備很長(zhǎng)的產(chǎn)品鏈條和獨(dú)特的優(yōu)勢(shì)。‘白細(xì)胞操作系統(tǒng)免疫平臺(tái)就完全構(gòu)建在自主的、基于可信計(jì)算的IT架構(gòu)之中，同時(shí)它不僅可以為Windows XP提供安全防護(hù)，還可以為L(zhǎng)inux、安卓等各類操作系統(tǒng)提供安全防護(hù)?！笨尚湃A泰副總經(jīng)理孫瑜告訴記者。

顯然，可信計(jì)算成為中國(guó)安全廠商在應(yīng)對(duì)Windows XP停止服務(wù)事件中的另一條路。雖然它能從根本上解決很多不可控的安全風(fēng)險(xiǎn)，但是這條路要走起來卻相當(dāng)漫長(zhǎng)也相當(dāng)艱辛。這是因?yàn)?，可信?jì)算實(shí)際上是一個(gè)生態(tài)系統(tǒng)，需要產(chǎn)業(yè)的培育和各方的扶持。另外，構(gòu)建以自主可控為目標(biāo)的可信計(jì)算體系的構(gòu)建，與國(guó)外廠商抗衡，也需要相當(dāng)大的勇氣和投入。

另?yè)?jù)記者了解，由中國(guó)工程院院士沈昌祥提議發(fā)起的可信計(jì)算產(chǎn)業(yè)聯(lián)盟即將成立，該聯(lián)盟將匯集“產(chǎn)學(xué)研用”各界的力量。沈昌祥告訴記者，要破解我國(guó)當(dāng)前所面臨的信息安全問題，就要選準(zhǔn)突破點(diǎn)，加大自主研發(fā)力度，整合資源、協(xié)同創(chuàng)新，才能從根本上扭轉(zhuǎn)當(dāng)前受制于人的被動(dòng)局面，而可信計(jì)算正是這樣一個(gè)突破點(diǎn)。endprint