4月9日,由工業和信息化部網絡安全產業發展中心、360集團聯合主辦的線上研討會順利召開,本次研討會以“應對Win7停服安全風險,信創產業打響護航戰”為主題,工業和信息化部網絡安全產業發展中心總工程師童曉民出席會議並致辭。
工業和信息化部網絡安全產業發展中心副處長李佳倫、360集團首席安全官杜躍進、統信軟件技術有限公司總經理劉聞歡、360集團Fellow兼安全工程研究院院長潘劍鋒四位專家從不同維度分別做了專題講解。
童曉民總工程師指出:
Win7停服事件已成為業內輿論焦點,國內學術界、產業界等多方積極應對,紛紛提出解決方案和策略,信創操作系統發展已步入不可錯失的黃金窗口期。
抓住機遇 推動信創生態建設
微軟宣佈Win7停服後,將帶來兩個問題:
新的應用沒有底層支持;隨著時間的推移,新軟件、新版本無法在Win7系統上良好運行。
李佳倫強調:
“這兩個問題需要我們做好存量Win7終端安全保障工作的同時,制定操作系統更替方案。”
一方面,需要政府和行業介入,替代微軟公司做好防護工作,包括加強對Win7系統漏洞、病毒的監控和研究;為黨政軍企甚至民間用戶提供後續非官方補丁和應急方案;優化系統安全配置,進行信息安全的裁剪、做好基線配置、安全加固等。
另一方面,要想解決根本問題,需要制定替代方案,逐步淘汰Win7系統。
主要包括兩項內容:
1、加快業務適配,使信創系統滿足更多行業和場景的業務需要,特別要對重點行業系統和重點領域系統進行適配,如金融、國防、交通、通信、能源行業等;
2、加大力度開展信創系統安全防護能力建設,需要構建安全標準,建立安全基線,開發信創系統配套的安全軟件,使得信創系統具備應對複雜安全挑戰的能力。
李佳倫認為:
以操作系統為核心的新技術創新生態建設已有十年時間,因此,要抓住當前Win7替代的歷史性機遇,進一步推動信創生態建設。
信創安全需要體系化設計
無論是2014年的WinXP停服,還是2020年的Win7停服,當供應商停止更新之後,大量用戶系統將暴露在巨大未知漏洞攻擊風險中。
例如,Win7停服的第二天,就發現了針對Win7 0Day漏洞的APT攻擊。
2014年,通過舉辦“XP挑戰賽”,邀請儘可能多的安全人員對能提供安全服務能力的產品進行攻擊測試,檢驗其防護能力。
這也是Win7停服可以借鑑的模式。
同時,隨著信創產業生態逐漸形成,操作系統、數據庫等關鍵信創產品開始大範圍推廣應用。
對於信創軟硬件產品來說,以眾測方式開展關鍵產品挑戰賽,儘可能發揮更多人的力量尋找產品安全問題,可以推動信創軟硬件產品的安全研究,使信創用戶的系統和應用安全得以保障。
但是,杜躍進認為:
關鍵產品挑戰賽只解決了信創部分產品安全性提升的某些問題。
隨著智能化、網絡化、數字化時代的到來,無處不在的軟件漏洞使得網絡空間的各個角度都變得異常脆弱。
同時,網絡空間對抗日益軍事化的國際形勢和處於重建初期的信創產業狀態,在我們對安全存在認識偏差、安全能力不足、缺乏實戰和積累的情況下,信創產業將面臨著前所未有的安全威脅。
僅有單點的防護能力提升遠遠不夠,信創安全需要體系化設計。
信創安全體系設計的核心目標是經得住實戰考驗,最基本的思想是:
攻防視角、整體思維、統一調度、開放運營和能力驅動。
信創體系包括底層的CPU、固件和主板等硬件,也包括操作系統、中間件、各種應用軟件、安全軟件等,還包括最後的用戶和用戶承擔的業務。由於軟硬件系統漏洞必然存在,攻擊一定會發生。
信創安全體系最終保護的是重要的數據、業務安全,對軟硬件產品的攻擊只是手段而不是最終目標。
因此,信創安全體系除了要解決軟硬件產品的可信、漏洞管理與安全防護,還需要解決軟硬件系統被攻擊之後,如何保障核心業務與重要數據不受影響或將影響降至最小的問題。
從整體、對抗的角度,信創安全體系包括可信、安全、可控、可對抗和可存活五個層次的目標,簡稱為“兩個減少、三個增強”。
其中,“可信”是指減少信創體系中各元素“作假”的可能;“安全”是指減少信創軟硬件產品的漏洞和安全缺陷;“可控”是指增強對安全攻擊事件的應對控制能力;“可對抗”是指增強安全威脅溯源、取證、懾阻的能力;“可存活”是指增強核心業務的存活能力。
拿回信息技術領域主導權最好的機會
Win7停服後從技術角度有三條路徑:繼續保留Win7方案、考慮使用Win10系統以及替換信創體系操作系統。
劉聞歡談到:其中替換信創操作系統的優勢包括
可長期服務,無斷供風險;系統安全自主控制;沒有流氓軟件和彈窗廣告,放心使用;支持利舊,現有設備仍可以使用,但也存在使用習慣有所變化,需要磨合以及通用應用領域生態存在差距等問題。
對用戶來說,進行Win7到信創操作系統的遷移,不僅僅是通用應用的遷移,還面臨業務系統的遷移。研討會上,劉聞歡重點介紹了兩種業務系統的遷移。
其一是目前大多數業務系統均採用的B/S架構,B/S架構業務遷移主要涉及B/S應用前端遷移,包括三個方面:頁面遷移開發,主要解決瀏覽器頁面兼容性問題;插件遷移開發,可能涉及到ActiveX控件問題;集成認證遷移開發,涉及USBKey登錄、域認證等問題。
其二是部分採用C/S架構的業務客戶端遷移,可先對原有應用程序開發技術分析,針對性制定遷移方案。比如支持跨平臺的CS架構、基於Java開發的、甚至進行.net進行開發的部分客戶端都可以在信創操作系統上重新編譯後生存。另外可以通過“deepin-wine”應用兼容層技術,直接讓Windows操作系統下的軟件運行起來。當然,該場景下的遷移通常需要原業務系統開發廠商配合進行。
劉聞歡談到,從微軟平臺向信創操作系統平臺遷移,過去兩年已有很多成功案例。現階段替換主要有六個步驟:
用戶使用評估、執行遷移計劃、進行技術準備、小範圍試點、大規模推廣、查缺補漏。
“長遠來看,如果我們在這個階段實現操作系統的替代,未來通過逐步淘汰方式,能夠將X86架構替換成為信創CPU硬件平臺的障礙將大大降低。”
他進一步解釋,儘管中國信息產業也希望能建設一套自己的軟硬件體系,但同時進行軟硬件體系的更換,實際是兩個生態的替換,難度非常大。
可以先從基礎軟件、操作系統這個生態開始做相應的替換,之後再替換硬件,過程就會平滑很多。
“Win7停服之後的替代,是我們拿回信息技術領域主導權最好的機會,錯過這個時間,我們可能還要再等10年。”
操作系統漏洞防護技術方案
操作系統漏洞是操作系統中最大的安全威脅,對0day漏洞攻擊的發現和防護是網絡空間安全戰場最重要的決勝點之一。
潘劍鋒在研討會上介紹了Windows操作系統中二進制漏洞及其利用攻擊的現狀,包括漏洞的類型、成因和利用方法的概述。
隨後分析了現代操作系統為解決這些漏洞問題所設計使用的多種防護技術,包括CPU硬件提供的安全特性和操作系統利用硬件特性實現漏洞防護功能的方法、微軟漏洞緩解機制EMET和WDEG的能力與缺失。
為解決停服後的Win7、最新win10在內的操作系統中的0day/nday漏洞威脅,潘劍鋒提出了一套新的漏洞防護機制——全視之眼0day雷達系統。
這套全新系統既可用於Windows,也可以應用於國產系統,這一產品在2019年世界互聯網大會上獲得領先科技成果。
這個產品的架構分為三大部分:
ZDR漏洞防禦的終端系統、多維沙箱、智能決策系統。它的設計理念是要分析各個階段漏洞利用的原理,包括漏洞的觸發、漏洞的利用,漏洞的掃尾,針對包括Win7在內的系統漏洞防禦極其有效。
無疑,Win7操作系統的停服會使國內用戶系統面臨更高的安全風險,但這既是機遇也是挑戰,面對困難和挑戰,我們更應該勇往直前,化困難為機遇,團結一致,支持信息技術應用創新。
