2020年1月14日,我國網絡安全技術人員監測到有黑客組織利用Windows 7系統漏洞對用戶進行攻擊,在用戶毫無防備的情況下,在其電腦中植入勒索病毒,如果不加處理,則可被黑客監聽監控,執行竊取敏感信息等任意操作。
當天,微軟宣佈停止對Windows 7 (Win 7)操作系統提供支持,除付費政企客戶外,不再提供安全補丁、更新服務或技術支持。
據統計,截至2019年12月底,Win 7操作系統在我國仍佔有近六成的市場份額。這意味著單在國內就有數以億計的電腦運行Win7系統。
停服後的Win7系統用戶,將完全暴露在網絡威脅下,隨時可能成為被攻擊的目標。特別是在國內的製造業、金融、醫療等行業,Win7系統佔比更高,面臨惡意攻擊、勒索軟件、數據竊取等安全風險,以及盲目升級到Windows 10系統時企業業務應用的穩定性、兼容性等問題。
Win 7停服的帶來的連鎖反應也得到政府、企業、用戶、研究機構等重視。
Win 7停服線上高端論壇
3月18日,一場由中國工程院倪光南院士等專家參加的“亮劍出招,權威基礎軟硬件共同應對Win7停服”高端論壇在線上舉行。
之前1月19日,CCF YOCSEF舉辦了特別技術論壇,主題就是“Win 7停服,中國該怎麼辦?”
面對Win 7停服,中國用戶的安全如何保障?升級Win 10後業務系統的兼容性、穩定性如何保證?中國基礎軟件能否頂得上呢?
上億的Win7用戶何去何從
在微軟的桌面操作系統中,更新換代是一種技術策略,更是一種商業市場策略。因此,一代一代的Windows操作系統不斷推出。
當Win7推出時,Windows XP(Win XP)的市場佔有率一直居高不下。為了幫助Win 7進階,微軟採取了停服Win XP的策略。
雖然用戶對Win XP依依不捨,但是停服讓Win XP退出了歷史舞臺,成就了Win7。
後來推出的Windows 8就並沒有這樣幸運,基本上就是一個過客,很快就迎來了Win 10。
Win 10的改變是明顯的,包括記者在內的很多人都不太習慣,但是微軟依然把它作為重點來推,甚至不惜停服名星產品Win 7。
在2019年中,Win 10終於坐穩了“桌面第一操作系統”的寶座。
根據市場分析公司NetMarketShare提供的統計數據,在過去的2019年中雖然偶爾出現一些小波動,但Win 10系統呈現穩定上升的趨勢,並在2020年結束之前以54.62%的成績交出了一份滿意的答卷。
因此,微軟停服Win 7、推高Win 10的商業策略是成功的。
中國人是戀舊的,Win 7在中國的市場佔有率還是蠻高的。
中國軟件網認為,Win 7在我國市場份額高的主要有三個原因:
第一,易用性比較突出,受到用戶喜愛,特別是Win XP之後,Win 7成為用戶採用最多的操作系統。
第二,穩定性高,Win 7是在工業控制領域應用較多,不易更換。工業控制系統一般是不能隨便停下來給系統打補丁或者更新的,如化工的工業控制系統,把反應停下來,給操作系統升級是難以想象的。
第三,Win 8和Win 10之前沒有進入中國政府的採購列表。
中國信息安全研究院副院長左曉棟說,2019年徵求意見的《網絡安全審查辦法》指出,網絡安全審查重點關注的方面之一是因政治、外交、貿易等非技術因素導致產品和服務供應中斷的可能性,Win 7停服顯然不屬於這種情況。Win7停服在法治社會、市場經濟環境下,是正常的商業行為。停服所體現的微軟對於計算機業態的判斷,這可能是其業務重心由PC向移動和雲生態轉移的重大節點。
或許人們沒有忘記Win XP於2014年停止服務後用戶面臨的安全威脅。2017年5月,Win XP系統停止更新服務三年後,利用Windows系統SMB漏洞席捲全球的WannaCry勒索病毒,橫掃150國家政府、學校、醫院、金融、航班等各領域。而及時更新了系統的用戶,則不會收到攻擊,沒有更新的Win XP用戶首當其衝。
但是Win7停服的安全問題絕對不能等閒視之。微軟早在一年前就宣稱,到2020年1月將結束對Win 7的技術支持(“停服”),旨在迫使用戶採用Win 10。微軟建議,仍然使用服務終止軟件的客戶最好儘快升級到最新的內部部署或雲版本,這樣可以保持其系統安全。
而面對Win 7停服,對於用戶而言,所能開出的“藥方”包括:
第一,升級到Win 10,這對個人用戶而言相對簡單,但對於政府機關、特別是工業控制場景有些困難。
第二,尋求第三方安全服務商支持,這是相對科學的過渡方案。
第三,尋找替代方案,如採用國產操作系統軟件。
另外,政府主管部門在遇到安全問題時及時發佈預警信息,用戶在出現安全事件時採取必要應對措施,只能是事後的應對舉措了。
中國工程院倪光南院士在研討會上表示,相比2014年微軟停服Win XP對中國用戶的影響而言,Win7對中國用戶的影響要小。近幾年來,中國在基礎軟硬件、網絡安全等方面的巨大進步,完全有能力應對這種影響。
應對安全漏洞,什麼措施最有效?
不願具名的亞信安全專家告訴中國軟件網,從安全角度,停止安全補丁修復將讓Win 7在後續的使用中面臨巨大的安全問題。
在製造業、金融、醫療等行業,Win 7用戶佔有率依然很高。亞信安全專家認為,停服的主要影響包括無法應對基於Win7的漏洞, 面臨惡意攻擊、勒索軟件、數據竊取等安全風險, 以及盲目升級到Win10代理的企業業務應用的穩定性、兼容性等問題,同時增加採購成本和運維成本等。
對於用戶安全運維而言,較為棘手的就是漏洞管理問題。傳統方式中,利用漏洞掃描發現漏洞,更新補丁堵住漏洞,不能解決接踵而來的新問題;而目前面對老舊系統無補丁更新、補丁更新導致業務中斷、傳統更新技術更新率不足、更新週期過長導致維護成本增加等問題亟待解決。
江民科技副總經理曹述瑋告訴中國軟件網,Win 7停服對政企用戶安全的影響遠遠大於對個人用戶安全的影響。停服可能帶來的威脅,主要是零日漏洞的危害,比如2017年發生的“永恆之藍”等一系列病毒勒索和攻擊就利用了Win XP停服後的零日漏洞。而安全公司、用戶都不知道,但已被潛在攻擊者掌握了漏洞,也就是所謂在野漏洞,影響尤其嚴重。
現在包括江民等企業會在漏洞被發現後,會推出查殺工具和服務,幫助用戶彌補安全漏洞。但是這些都是事後的。
奇安信安全專家接受中國軟件記者的採訪時認為,對於個人用戶,按照微軟的建議,還是儘快升級到最新版本操作系統,避免遭遇未知威脅的攻擊,畢竟微軟是最懂自己系統的。
對於政企客戶所面臨的風險,除了系統、攻擊風險、國家政策、單位業務、技術支撐、落地實施等方面外,在升級及切換系統的時候,還可能面臨硬件方面的問題,比如硬件與操作系統與應用的兼容性,原來系統上跑的應用,特別是業務應用,在升級或切換到新的系統後,可能用不了,或者出現各種問題。
奇安信安全認為,Win7停服看起來只是個系統技術問題,但對關鍵信息基礎設施相關領域的客戶來說,需要考慮方方面面的情況。可能需要相當長一段時間,才能進行有效處置,應對隨時可能到來的攻擊。
國外採用Win7系統的企業與教育用戶在停服後仍可以付費獲得延長的系統安全更新。在國內,對安全企業而言,這也是一個機會,把握好危機中的商機,可以帶動安全服務產生可觀效益。
奇安信立足Win 7客戶升級、過渡、切換三大應對場景和安全運營的長效機制,在停服前就已提供了系統性的綜合解決方案,幫助客戶升級、過渡和平穩切換。
在升級場景下,奇安信融合了具備集中管理、補丁分發等功能的天擎一體化安全治理框架,從業務、應用、數據、身份、行為5個維度,為客戶提供安全升級保障;在過渡場景下,奇安信天擎終端安全管理系統提供Win7系統加固模塊,該模塊基於“天狗”引擎,可以對最先進的惡意軟件實施降維打擊;在切換場景下,奇安信提供了網神終端安全管理系統(信創版),目前已實現對飛騰、龍芯、兆芯、申威、海光等平臺以及銀河麒麟、中標麒麟、中科方德、深度等主流國產操作系統的全面兼容適配。
奇安信安全說,天狗引擎已經在天擎平臺上得到了實現,客戶可以聯繫奇安信服務人員,進行升級,就可以免費獲得這個能力。對於穩定性、安全性要求比較高的生產環境,客戶往往需要進行測試、評估,然後才能制定妥善的處置方案,在這方面奇安信已經做好了準備。
亞信安全專家則認為,面對Win 7停服,大量安全企業提供的補丁分發方案變得毫無價值。針對這些挑戰,虛擬補丁技術能夠很好的滿足用戶的需求。
虛擬補丁技術是亞信安全特有技術,並被用戶應用多年。該技術能在不中斷應用程序和業務運營的情況下,建立一個安全策略實施層,在惡意軟件危及易受攻擊目標之前,高效地修正有可能會攻擊漏洞的應用程序輸入流,也能夠針對漏洞攻擊行為做到有效地發現和攔截。
亞信安全虛擬補丁的技術目前在亞信安全的端點防護解決中得到了應用。從終端到服務器端,虛擬補丁結合亞信安全OfficeScan和Deep Security能夠提供及時的端點防護,並有效抵禦高級威脅等問題。對於系統漏洞的防護以漏洞為關注點,該技術通過對CVE的識別來提供防護能力,不依附任何操作系統,對於Win7、XP、2003等系統都有保護能力。在惡意軟件危及易受攻擊的目標之前,在不中斷應用程序和業務運營的情況下,高效地修正或阻止有可能會攻擊漏洞的應用程序輸入流。
不同的安全企業都退出相關的方案、技術與服務。關鍵是用戶要有防範的意識,及時更新防護措施。
3.國產化替代機會來了嗎?
中國計算機學會計算機安全專委委員、公安部第一研究所原所長嚴明研究員認為,解決Win 7停服帶來的安全問題最根本的方案是加快國產化替代。
CCF YOCSEF舉辦特別技術論壇
倪光南院士則表示,國產操作系統已經從可用發展到好用。在今後一個相當長的時期裡,國產化替代將成為我國網信領域的新常態。
國產化替代在不同領域正在加速推進,包括國產桌面計算機技術體系對Wintel體系的替代。國產桌面計算機技術架構是“1+3”:國產Linux操作系統+ 3種國產CPU(申威/飛騰/龍芯),替代WinTel架構:Windows操作系統+Intel架構CPU。
在國產化替代中,倪光南院士提出幾條建議。
目前“穿馬甲”情況嚴重,也就是將不能自主可控的外國技術,假冒國產自主可控技術,混入政府採購和重要領域,可能成為特洛伊木馬。因此,倪光南建議我國亟需制訂自主可控測評評估標準,並由專門機構實施,形成制度保障。
倪光南院士說,在國家相關部門的支持下,有關的第三方正計劃推出國產自主可控的測評,這是國產化替代和自主可控技術發展的一個重要舉措。
自主可控測評還需要適應形勢的發展。例如根據美國法律,如果根源在美國的技術,就會被計入屬地比重,範圍包括IP與相關核心技術,若美國技術成分佔比超過25%,就會受到美國法律的管轄。倪光南說,應該在自主可控測評中加入受美國技術管控的風險的測評。
倪光南院士的另一條建議是中國企業應該增加在全球的開源軟件基金會中的話語權。開放源代碼軟件在世界的發展證明了這種模式不僅是商業模式,也是研發模式、推廣模式、產業化的模式,是很成功的。
開源軟件的發展有利於我們實現引進、消化再創新,國產操作系統基本上基於開源軟件的操作系統。但是,最近我們發現開源軟件也可能受到貿易摩擦、貿易制裁的影響。對於開源軟件發展,中國大企業的貢獻越多,我們在開源社區就有更多話語權,甚至某些主導權,這是我們努力的方向。
第四條建議是在中國設立開源軟件代碼託管平臺。美國認為開源也要受到出口法律的管制。比如Github更改了用戶協議,開源代碼平臺上上傳下載、代碼上傳下載也要受到美國出口法律的管制,如何規避這種風險,我們也要對策。
統信軟件總經理劉欣聞則認為,將Win7替換為國產操作系統是一個較好的應對安全風險的方案。優勢包括:可以長期服務,無斷供風險;支持國產CPU和國產固件的安全啟動,系統安全自主可控等。
而面臨的問題則是用戶的使用習慣可能要改變,需要磨合。通用應用領域的生態需要完善。
他認為,操作系統最難的是構建生態,但是成功的核心也是生態。在解決Win 7停服的過程中,積極推廣中國的國產操作系統,實現生態的引爆點,不是不可能。
UOS與Win7的對比
談操作系統,不能不涉及國產CPU。如果說過去十年是模式創新的時代,那麼,未來將是硬技術創新的時代,也是核心技術的時代。
倪光南表示,從世界的角度來看,兩類架構的CPU已經佔據市場。第一代是X86,英特爾和AMD兩家公司掌握,在PC、服務器等領域佔有壟斷地位;第二個是ARM,在移動領域有壟斷的地位。
作為中國開放指令生態(RISC-V)聯盟(CRVA)理事長,倪光南表示要加強聯盟的工作,避免碎片化,形成良性循環。“我們要迅速的培養基於RISC-V的新型開放生態,不要做歷史包袱很重的ARM和x86。”
倪光南指出,芯片產業最大的問題就是設計門檻很高,希望借鑑開源軟件的經驗,能用很短的時間,很小的投入,開發出一個芯片,把開源軟件模式的成功經驗借鑑過來。
龍芯中科技術有限公司CEO胡偉武說,改革開放以來,發展核心技術主要有兩條路線:市場換技術,通過合資的方式把中國市場給予國外企業,希望在此過程中得到先進技術;市場帶技術,通過體制內市場引導,帶動技術進步,再參與體制外的市場競爭。
而龍芯走的是“市場帶技術”的道路,注重性能的提高和生態的完善,並在市場應用中不斷試錯。核心技術產業只能在試錯中發展,高複雜系統只能在試錯中演進。走“市場帶技術”和“市場帶產業”的道路,通過自主研發掌握CPU的核心技術,建立自主創新的信息技術體系,那麼我們失去的只有鎖鏈,得到的將是整個世界。
中國軟件網認為,以CPU和操作系統為代表的自主基礎軟硬件從不成熟到成熟,自主基礎軟硬件產業鏈從組合發散到組合收斂,基於自主基礎軟硬件的應用系統從基本可用、到可用、到好用,為構建獨立於WinTel體系和ARM+Android體系外的自主技術體系打下堅實的基礎。
而對於Win 7用戶特別是行業用戶而言,用國產系統軟件替換,或者採用網絡安全企業的服務,是一種可行的途徑。
閱讀更多 流星雨看雨 的文章
