計紅梅
1月14日,微軟官方宣布正式停止支持Windows 7(簡稱Win7),除付費政企用戶外,後續運行Win7的電腦將無法獲取軟體更新和技術支持,這將使此類電腦承受更多的安全威脅。消息一經發布,引起公眾擔心,停服後Win7用戶「後院」的安全如何保證?今後能否一勞永逸地解決此類事件帶來的安全問題?
為此,1月18日,中國計算機學會青年計算機科技論壇(CCF YOCSEF)以「Win 7停服,中國該怎麼辦?」為主題組織業內專家展開討論。
停服意味著什麼
「Win7停服:我們將失去什麼?」360集團首席安全技術官鄭文彬表示,Win7停服意味著微軟不再針對Win7施行漏洞修復和縱深防禦策略,也不再提供安全防禦機制。在他看來,Win7停服之後,最嚴重的就是國內Win7用戶面臨「零日漏洞」威脅。例如,2017年發生的「永恆之藍」等一系列病毒勒索和攻擊就是利用了Windows XP(簡稱XP)停服後的零日漏洞。而安全公司、用戶都不知道,但已被潛在攻擊者掌握的漏洞,也就是所謂「在野漏洞」,影響尤其嚴重。
2014年XP停服後,儘管微軟中國聯合騰訊、聯想發起XP支持行動——「扎籬笆計劃」為中國XP用戶保駕護航,但此後曝出的重大安全漏洞仍讓「扎籬笆的小夥伴們」驚慌失措。因此,雖然當時已經停服,但微軟依然提供了修復補丁。
「此次停服後是否還會出現重大安全漏洞?微軟是否會提供補丁?我們不得而知。」鄭文彬說。
數據顯示,截至2019年12月,全球範圍內Windows10系統(以下簡稱Win10)市場份額占比達到54.62%,Win7位居第二,為26.64%。而在我國,Win7使用人群尤其龐大,截至2019年10月,依然有超過57%的用戶在使用Win7,用戶體量達兩三個億。
中國計算機學會計算機安全專業委員會委員、公安部第一研究所原所長嚴明提示,國內Win7用戶中有大量政府用戶。此前,政府採購清單所列的Windows作業系統只包括Win7,Win8、Win10等均未被列入政府採購清單,因此Win7的使用率在政務系統中的比例比較高。
此次,微軟發布的停服聲明中有一個重要信息,此次停服的對象不包括付費政企用戶。
這是否意味著付費政企用戶可以高枕無憂?專家們認為,微軟對付費政企用戶的定義以及後續將對該類用戶提供怎樣的技術支持尚未公布,政企用戶還應謹慎對待此次停服事件。
重大安全事件還是正常商業行為
微軟這項涉及數億人的決定激起無數漣漪,不少網友將停服與重大安全事件聯繫在一起。「Win7不是只對中國停服,而是面向全球的。」嚴明說。
他補充說,威脅國家安全的主要風險包括,是否對關鍵信息基礎設施安全穩定運行造成了影響,導致大量個人信息和重要數據泄露、丟失、毀損、出境等;產品和服務因為政治、外交、貿易等非技術因素而供應中斷;對國防軍工、關鍵信息基礎設施相關技術和產業的影響等。
由此可見,微軟此次停服的舉動更像是一個正常的商業行為。
從微軟視角,此次停服「可能是其業務重心由PC端向移動端和雲生態轉移的重大節點」。中國信息安全研究院副院長左曉棟認為,「業態發生變化於行業發展而言是正常情況。Win7停服的確是一個意義深遠的事件,但與XP停服不同,這次停服我們更從容,在政策和技術方面準備也更充分。」
左曉棟特彆強調,要基於商業背景探討停服事件,尊重正常的商業行為。
問題是,停服後,微軟的退出是否意味著用戶與Win7之間的橋樑斷了?用戶發現漏洞向誰反映?
「我國關於計算機安全漏洞的通報、預警有明確的機制,並設有專業漏洞庫。」左曉棟此話一出,給了廣大用戶吃了一顆定心丸。
不過,嚴明提醒,用戶發現漏洞後應按法律程序上報,不能隨意發布作業系統漏洞信息。通常補丁發布前,漏洞信息不能向公眾透露,以防止大面積的惡意攻擊。
後續安全如何保障
記者獲悉,目前微軟也向堅守Win7的用戶拋出了「橄欖枝」,建議用戶最好儘快支付139美元完成Win7到Win10的升級。
業內專家表示,升級到Win10後,微軟後續是否還將收費不得而知。
更令人憂心的是,在工業控制方面使用Win7系統的製造企業將何去何從?
嚴明解釋說,製造企業的生產線往往要爭分奪秒,想讓Win7系統停下來很難。例如,化工企業的工業控制系統,把反應停下來給作業系統升級是難以想像的。晶片生產企業也同樣存在這一問題。
鄭文彬表示,在Win7系統上打補丁的方式並不適用於製造企業,因為這種方式往往需要重啟計算機。此外,驗證補丁是否發揮了作用也很困難。
不想升級的Win7用戶還有其他解決辦法嗎?
鄭文彬介紹了360所提供的五大服務內容,分別是漏洞補丁分析、漏洞緩和、作業系統/應用程式加固、威脅情報+微補丁、隔離和虛擬化。
不過,這些服務並不能完全替代微軟的措施。「漏洞是一個不斷被發現的過程,嚴格意義上說目前這些產品或服務還不能完全替代微軟此前提供的支持,但能夠應對核心漏洞產生的安全危機。」鄭文彬說。
左曉棟認為,以前都是作業系統廠商從境外遠程為國內用戶安裝補丁,這是一種不安全的方式。應當在境內設置專門的升級伺服器,並對所有補丁進行獨立安全評估,「政府可以在這方面發揮作用」。
在嚴明看來,「Win7停服是壞事也是好事」。應對停服帶來的安全影響,最根本的方案還是加快國產化替代。截至目前,我國在這方面已經取得了一定進展。
不過,他也指出,研發一款作業系統並不難,關鍵是有沒有適宜該作業系統使用的生態環境。更重要的是,即使研發出國產作業系統,目前也沒有挖掘漏洞的團隊提供技術支持。不能提供系統化解決方案的國產作業系統,未來可能面臨重大安全漏洞。
此番Win7停服,北京交通大學工業網際網路安全研究中心主任陶耀東認為是一個機會。「Win7停服後,此前對停服的預案和安排是否充分、是否需要再制訂一個『扎籬笆計劃』、是否應該對我國乃至全球的安全投入重新進行研判等,都是業界應該思考的。」
責編:黎曉珊