(作者系中國工程院院士)
導讀:當前,美國之所以能在網絡空間確立“霸主”地位,無非靠的是軟硬兩手,“硬”核心是對芯片技術的控制,“軟”關鍵是對操作系統的壟斷。操作系統是網絡空間“國之重器”,豈可假手他人。我們要擺脫操作系統對美國的依賴,就必須抓住XP停止服務的有利時機,解決急需、立足長遠,樹立科學的發展思路。在這個過程中,我們必須認識到國家網絡安全威脅的自身脆弱性,在真實的對抗環境中,多法並舉、多元向心,聚合機制體制、政策法規、路徑選擇、科技創新的綜合效應。這其中,推進可信計算,實現全過程可信管理和主動免疫,是支撐國產操作系統發展的有效方法,是走出科技創新網絡強國路的重大選擇。
沸沸揚揚、舉世皆驚的“棱鏡門”事件,向人們道出了全球網絡空間安全正在面臨的不斷緊迫而嚴峻的復雜局勢,但這其實僅是冰山一角,美國在網絡空間的所作所為遠不止這些,斯諾登只是從一個方面揭穿了美國所謂“網絡自由”的假面具。美國對於網絡空間的掌控企圖是長遠謀劃、長期實施、舉國而為的,專門組建了網絡空間司令部,頒布了作戰策略,其戰略目標是“確立霸主、制定規則、謀求優勢、控制世界”。這其中,對於計算機操作系統的壟斷是美國實現全球網絡控制的戰略武器,對於我們國家總體安全危害之深、危害之遠,超乎想像。我們需要緊緊抓住XP停止服務帶來的重要發展契機,打造自主可控的國產操作系統,打破美國網絡空間的戰略壟斷,以自主可信的網絡安全防護舉措,從根本上保障國家網絡安全。
一、XP停止服務既給我國網絡帶來安全風險,也為國產操作系統的發展提供了契機
2014年4月8日,微軟公司正式停止對Windows XP的服務支持,且不提供針對該操作系統的系統安全補丁、升級以及其它相關服務,並已停止市場銷售,我國約2億台運行XP操作系統的終端面臨無人服務的局面,這既是對我國計算機網絡安全的一次嚴峻考驗,但若應對得當,也可轉化為國產操作系統的一次發展良機。
(一)XP停止服務使我國網絡面臨的攻擊威脅更加嚴峻
根據微軟“軟件產品生命周期”原則,Windows XP的“主流支持服務”截止2009年4月14日,Windows XP轉換成“擴展支持”,有效期限至2014年4月8日止。微軟官方解釋,主流支持服務是軟件產品生命周期的第一階段,包括免費支持、付費支持、安全升級支持、可要求非安全修補程序等服務,而擴展支持則隻包括付費支持、無需附加費用的安全升級支持、付費獲得非安全修補程序服務等。如果用戶在電腦上繼續使用停止服務的操作系統,則受到黑客、木馬等攻擊威脅的風險將明顯增大,造成信息泄露、系統癱瘓、財產損失的潛在風險將會顯著增加。因此,用戶若要繼續使用Windows XP操作系統,必須要採取新的防護措施。
(二)使用Windows 8系統的潛在危害將更甚於前
在停用Windows XP的同時,微軟宣稱,推薦用戶使用最新發布的Windows 8.1操作系統,將獲得更簡單、更直觀、更安全、更新鮮的全新現代操作體驗。然而真實情況是這樣的嗎?使用Windows 8系統真的更安全嗎?其實不然。一方面,Windows XP與Windows 8技術結構差異很大,原有XP的應用軟件和安全防護產品將不能使用,而且移植難度很大,會造成現有網絡安全防護手段的失能失效。另一方面,更大威脅的是Windows 8和Vista是同類架構,Windows 8與可信平台模塊綁定,對用戶控制能力還要超過Vista。Windows 8同時也捆綁了微軟的殺毒軟件,時刻在檢查用戶終端,隨時可以給用戶下載補丁,更容易為“棱鏡”項目等監控手段提供支撐。
(三)Windows XP停用形成的真空期為國產操作系統的應用提供了難得的機遇
機遇總是與風險共存。這次事件既是對我國網絡安全的重大挑戰,又是我國在自主操作系統領域取得突破的難得機遇。XP已是有十多年歷史的老技術,而且現在桌面的發展遠不如移動領域那麼活躍,在現存的所有操作系統中,XP相對來說較易替代,且又是微軟“主動”放棄其控制權,我們應當積極應對,正確引導,化不利為有利。2006年,當微軟推出了Vista操作系統時,專家評估確認Vista的架構會使用戶電腦被微軟高度掌控,用戶開發的軟件也需要得到微軟的授權后才能運行,不能自己改系統,改一個字節也會被發現。因此,我國政府採購目錄沒有將Vista列入其中,從現實情況來看,這個決策是完全正確的。當前我國處於另一個更加重要的選擇關頭,必須積極吸取處置Vista的經驗,防止Windows 8進入政府和重要行業。我國自主操作系統已有一定的基礎,XP停止服務事件給我國發展和應用推廣自主操作系統帶來選擇空間,加快發展我國自主操作系統已刻不容緩。
二、把握解決急需與立足長遠相統一,科學確立國產操作系統的發展戰略與目標
XP停止服務帶來的危險是現實緊迫的,而要徹底解決操作系統帶來的安全問題則是長期復雜的。因此,必須要把解決當前急需和長遠發展統一起來,確立科學的戰略發展思路,穩中有進,逐步有序地推動國產自主操作系統的研發與應用。首先任務是通過服務接管和安全加強解決目前的應急問題,使得現有XP系統不受惡意代碼感染,保護國家大量運行XP的業務系統不受安全威脅,在此基礎上,加快促進操作系統的國產化健康替代,採取可靠措施為國產化替代提供安全和服務支撐。
(一)近期目標是解決現有系統的安全加固問題
國內現有XP操作系統短期內還將繼續運行,解決其安全問題是近期主要目標。要加緊市場調研和設計驗証,盡快形成一批實用、管用的XP系統安全加固方案,整合市場上相關安全產品,全面具備針對各種應用的安全加固能力。在此基礎上,組織第三方權威機構對安全加固產品開展測評,並向社會公布進行推廣。評估安全加固產品是否可靠的核心指標是其能不能實現主動防御和自我免疫,確保現有系統的缺陷漏洞不能被輕易利用。與此同時,還要組織力量挖掘、搜集XP系統新漏洞,開發相應的補丁,通過建立權威機構組建的安全運維服務中心,提供補丁服務,及時發現XP系統受攻擊的情況並作出響應,切實保証使用現有操作系統的網絡安全。
(二)中期目標初步形成國外操作系統的替代產品
解決操作系統的安全問題,是一個長期的過程,在一定的時間階段內,我們既要擺脫對XP系統的使用依賴,但又還不具備可以真正能夠徹底取代XP系統的技術能力和市場效應。這就需要經歷一個逐步替代的時期,在部分領域和智能終端上先期進行國產化替代。通過集合國內網絡信息產業的優質資源,協同攻關,充分運用自主創新的可信計算技術,研發出滿足不同應用需求的國產操作系統以及相應的應用開發、測試等工具,初步具備對國外PC和移動終端操作系統的替代能力,努力在一個不長的時期內取得質的突破,形成適應個人計算機、手機、嵌入式終端等各種類型平台的1-2款成熟的國產操作系統,為發展世界先進操作系統打造發展基礎。
(三)長期目標是打造自主可控、世界領先的國產操作系統
要真正實現國產操作系統被市場廣泛接受,不僅操作系統功能要完善,還要具備一系列的配套措施和應用條件。要從國家層面頂層設計,整個信息網絡產業分工協作,從操作系統的設計、研制、應用、推廣和完善形成一個適應市場需求的發展機制。通過長期的部署與強力推動,最終研制出具有世界領先水平的操作系統產品,形成自主可控、安全可信的操作系統知名品牌,全面實現操作系統國產化,為構建我國網絡安全可信的積極防御體系提供強力支撐。
三、加快推進可信計算應用,積極應對XP停止服務
可信計算應用是解決國內操作系統安全問題的有效途徑,可以順利方便地把現有計算機設備升級為可信計算機系統,並且不用改動相關應用系統,十分便於推廣應用。經過大量的應用與實踐,已經証明可信計算對於國內多類計算機設備和操作系統來說,是完全可行的有效的網絡安全技術和管理措施。
(一)全過程可信管理是確保網絡安全的基本機理
當前,在計算機硬件上實現可信計算應用主要有三種措施,為專用主板上嵌入可信密碼模塊,為主板配插PCI可信密碼模塊和為主板配接USB可信密碼模塊,從而制造出可信免疫管理平台。其基本機理是通過可信免疫管理平台,首先對計算機上運行的軟硬件進行系統管理,識別確定可信的主客體,及時發現異常,以及環境的非法改變﹔然后通過制定可信主客體訪問規則,對這些軟硬件進行安全管理,對重要信息保障系統層進行透明加解密,確保數據的可信存儲,對網絡行為進行可信鑒別,防止非法、越權操作行為的訪問控制﹔然后進行審計管理,對主客體的訪問行為進行審計檢查,監控主客體運行時狀態,對危險進行及時報警和處理。在確定可信狀態后,即使系統還存在漏洞,實施攻擊也將是無效的,這樣就可以有效保証XP停止維護服務以后,系統能夠可靠地免受安全威脅的影響。
(二)建立主動免疫體系是實現主動有效防御的基本條件
在一定的規則下,基於可信計算研發制造一系列有關的可信軟硬件,組合應用、相互生效共同形成可信保障機制,從而構建出可信計算主動免疫體系。基於可信計算的主動免疫體系,能夠對典型利用漏洞進行滲透攻擊的行為實施有效防御,主要是採用動態度量機制,對利用漏洞注入病毒代碼的各種入侵控制行為進行驗証評估,並能夠實時攔截控制系統的行為,審計分析引擎,定位漏洞存在點,最終應用改造消除漏洞。這種體系化防護的突出優勢,是能夠免病毒查殺,免打補丁,不用修改應用軟件,用戶使用完全透明,支持異構環境,系統效率損耗不到3%,並且能夠適用於當前市場上運行的絕大多數操作系統。部署可信計算平台后,原有網絡安全防護體系(包括安全計算環境、安全邊界、安全通信網絡三部分)中的計算環境變成可信計算環境,建立體系化的主動防御安全防護體系,能夠從源頭上解決信息系統在啟動、運行過程中所面臨的安全風險。
(三)可信計算應用是解決現實網絡安全威脅和支撐國產操作系統長遠發展的戰略舉措
由於可信計算應用相對來說,便於實現和操作實施,其對於維護系統網絡安全的應用覆蓋面非常廣。同一可信計算架構,基於策略能夠實現不同的功能、不同的強度網絡安全應用,能夠解決不同的問題。既能應對XP停止維護帶來的安全威脅,更能解決國家重要系統的高等級防護問題。根據保護對象的不同,一般會採取兩種部署方式。一種是線下部署方式,重點針對高等級重要系統,部署於專網隔離系統,通過部署主動免疫系統軟件,打造安全管理平台。另一種是線上部署方式,針對中小型企業以及個人用戶,部署於與互聯網直接相連的系統,在互聯網上提供免疫平台管理服務,軟件下載服務,形成安全管理平台。從長遠發展看,可信計算應用支持國產化替代,能夠為國產化替代提供有效的安全和服務支撐,更能支持異構環境,保護國產操作系統,控制未知威脅,為操作系統的自主可控戰略保駕護航。
(來源:中國信息安全)
| 相關專題 |
| · 聚焦中國網絡空間戰略 |
