編者按:2014年4月8日,微軟停止對Windows XP的技術支持服務。作為有史以來服務時間最長的操作系統,其終結留給我們的不僅是回憶,更促使我們從戰略層面思考自主可控的國產之路。“XP停服”事件直接推動了當前國家對桌面操作系統的替代進程,間接推動了IT軟硬件產品國產化,而且也將信息安全推到了前所未有的關注高度,成為中國從網絡大國走向網絡強國的初次考驗。
“棱鏡門”事件在曝光美國進行大規模監控的同時,也揭露了信息技術不可控的風險,后續影響一直處於持續發酵但尚未爆發的狀態。“XP”停服事件則成了引爆的導火索,將對信息技術可控性的關注提高到了戰略層面,而且已經推動國家與社會走向自主可控的信息化道路。
就“XP”停服事件本身來看,確實存在Windows XP操作系統“超長期服役”的事實,其自身的安全防護能力已難以應對日益嚴峻的威脅環境,在功能、性能與硬件支持能力等方面也難以跟上信息技術發展趨勢。但是由於各種復雜的原因,XP系統依然在各個領域有難以忽視的佔有率,在自助提款機(ATM)等較為封閉的領域具有主導性的佔有率。微軟公司也確實多次延長對XP系統的服務支持,因此此次停止XP系統服務支持的行為也符合商業慣例,而其借機推動Win8操作系統的動機也是大家早有預期的。
但是將“XP”停服事件放到深受“棱鏡門”事件所影響的大環境中來看,軟件巨頭微軟的這一商業行為就變得不那麼簡單了。首先,由於美國IT巨頭在“棱鏡門”事件中被揭露與美國情報機關長期合謀,我國用戶對微軟等軟件公司操控市場行為的疑慮,已經從產業層面提升到國家安全層面,此時微軟公司強行停止對XP系統的所有服務支持並強制要求升級,事實上印証了軟件巨頭利用佔有率操控市場而我們缺少反制能力。其次,由於“棱鏡門”事件曝光了一系列流行軟硬件產品可能存在植入后門,我國用戶對於軟硬件產品的安全可控性高度關注,微軟公司以“XP停服”的方式強制要求我國用戶升級到可控性更不平衡的Win8操作系統,自然會引起我國用戶的高度警惕。
同時,隨著我國信息化水平的快速提升,推動我國信息技術產業發展已成為重要的戰略議題。而我國信息技術產業長期“重應用、輕基礎”的發展模式,導致我國不得不在缺少可替代方案的情況下長期依賴國外巨頭的IT產品。雖然我國信息技術產業界一直致力於國產化的IT產品研發與推廣,但是由於與國際主流IT產品存在客觀的能力差距,以及由於缺少對於可控能力的關注,國產化IT產品難以真正成熟並缺少廣泛應用的空間。“棱鏡門”事件將對IT產品不可控風險的關注度提升到前所未有的高度,此時發生的“XP停服”事件一方面為致力於推動國產化的產業界提供了重要的事實依據,另一方面也因為微軟的舉措而在桌面操作系統領域創造了取代替換的機遇。
誠然,站在國家安全以及信息技術產業發展的角度來看,在信息技術的各個領域都必須具有可控的替代方案。從近年我國信息技術產業發展的情況來看,雖然國家與產業層面對於國產化工作高度重視,但是實際效果卻不容樂觀。桌面操作系統一直是信息技術國產化的關注重點,而“XP停服”事件恰恰“引爆”了這個“火藥桶”,特別是推動我國從國家到產業的各個層面開始重新審視信息技術領域的現狀、重新評估國產化替代的必要性與可行性。“棱鏡門”事件所揭示的一系列不可控風險威脅,使提升我國信息化所依賴的信息技術產品安全性與可控性變得刻不容緩。
隨著開源軟件的快速崛起,國內外互聯網巨頭在開源軟件的基礎上取得了不容忽視的成果,特別是在服務器軟件、雲計算與大數據等領域已出現超越傳統商業軟件的趨勢。隨著移動互聯網的崛起,基於FreeBSD與Linux開源操作系統平台的Apple iOS與Google Android操作系統已成為智能手機與平板系統領域的主流選擇,更是打破了多年延續下來“隻有Windows操作系統才能滿足用戶體驗”的神話。從這些成功經驗來看,以開源軟件為基礎發展替代方案,從而打破對國外商業軟件的過度依賴局面,不失為一條可行的道路。另一方面,“棱鏡門”事件揭露了“黑盒子模式”的主流商業軟硬件產品確實存在被植入后門並用於破壞我國國家安全的情況。而且隨著信息安全技術的快速發展,大家也逐步意識到如果缺少可控性保障作為前提,信息安全防護難以真正奏效。我國作為一個網絡大國,如果缺少有效地安全防護能力,快速發展將難以得到保障。所以隨著對網絡安全關注度的提升,如何提高信息技術的可控性保障能力已成為不可回避的戰略問題。
因此,發生在我國信息化發展重要階段的“XP停服”事件具有重大的意義。
“XP停服”事件直接推動了對桌面操作系統的替代進程,間接推動了對IT軟硬件產品的替代進程,而且也將信息安全推到了前所未有的關注高度。在“XP停服”事件發生之后,強調信息安全的信息技術產品國產化替代進程快速啟動,在2014年一年時間內得到產業界的普通認同,並成為“十三五”信息技術與信息安全規劃的重要內容。
與以往的信息技術產品國產化嘗試不同,由於“棱鏡門”事件與“XP停服”事件的影響,這一次國產化替代進程將信息安全與自主可控作為核心目標,國產操作系統的開發與推廣成為備受各方關注的焦點工程。但是縈繞多年的“全國產化”期望值,可能對安全可控的現實目標,以及基於開源軟件實現自主可控的可行道路,帶來較沉重的負擔。從信息安全角度來看,片面強調“全國產化”而割裂軟硬件產品與開源軟件生態圈的聯系,不僅不能提高可控保障,反而可能帶來更多的安全風險,從而客觀上導致安全可控能力下降。因此在操作系統國產化工程快速推進的同時,如何平衡好供應鏈、技術能力與安全防護等方面的可控目標並確定現實可行的發展模式,已成為可能影響國產操作系統成敗的關鍵因素。同時,如何全面分析所依托基礎開源軟件做到真正可控,如何採取積極措施切實保障自主可控替換產品的安全性,成為必須努力推動的重要工作。
“XP停服”事件也使得國家與社會各層面日益關注重要信息系統所依賴基礎軟件的安全與可控性。國內外互聯網企業利用開源軟件實現了內容分享、社交網絡和電子商務等多樣化的互聯網服務,其服務規模與技術先進性遠遠超越傳統信息技術應用。因此信息技術產業界出現了“去IOE”的呼聲。結合各方面形勢與現狀情況,我們可以理解“去IOE”並不是簡單針對某幾個軟硬件巨頭,而是意味著以開源軟件等可控性更高的技術開展信息技術應用革新,打破傳統信息技術應用對國際軟硬件巨頭產品盲目依賴的局面,同時嘗試提升國產化程度與安全防護能力。但是在2014年內,“去IOE”的呼聲也確實對產業界與用戶造成了一定程度的困惑,包括在某些特定領域是否存在可替換性的爭議,以及對於在替換產品自身能力存在差距時是否必須“教條”替換的疑慮。可以預期在走向基礎軟硬件產品自主可控的道路上,我們需要扎實提升自主可控軟硬件產品自身的技術水平與能力,在功能、性能、穩定性與可靠性等方面趕超國際主流商業產品。
“XP停服”事件后,媒體的跟蹤報道也將WIFI無線網絡和智能終端等領域的安全問題帶進了公眾視野。在大量安全問題被曝光后導致的恐慌影響下,政府與企事業單位在信息安全管理方面變得空前謹慎,特別是對於智能手機這一類功能強大但可控性低的移動終端在工作中的應用產生了疑慮,甚至出現了禁止公務人員使用智能手機的呼聲。同時,當前智能移動終端廣泛應用前景與較低安全可控性的矛盾,推動了安全智能移動操作系統和終端設備的研發與推廣。
值得一提的是,在“XP停服”事件帶動國產化自主可控替代進程的大環境下,在2014年下半年部分國際信息技術產業巨頭採取了開放源碼、技術轉移與合作投資等形式,嘗試與我國信息技術產業界合作,從而應對可能丟失市場佔有率的風險。因此在國產化自主可控替代的大形勢下,如何通過合作切實提升信息技術的安全可控能力,對於我國信息技術產業界是重要的機遇、挑戰與考驗。
同時,信息系統安全可控,不僅要依靠自身各個環節的安全能力增強,更要建立縱深防御的層次和屏障,這就需要有強有力的網絡安全廠商提供安全產品和服務。而核心信息技術產品安全可控之路將非常漫長,其全程也都需要安全產品提供的能力保障,可以說信息技術自主可控之路,首先應該確保安全產品和安全技術的自主可控。從2013年初安天獲得AV-TEST年度移動安全獎項,到國內多個安全廠商全年都在各種反病毒等國際測試中有上佳表現,以及國內多個廠商在心臟出血、破殼等漏洞的快速響應來看,國內正在形成包括國家隊、大型互聯網安全廠商、信息安全上市企業、新銳安全創新企業在內初具層次和規模的信息安全產業格局。“XP停服”也是他們正在直面的諸多風險之一。
總體來看,“XP停服”是我國信息技術發展歷程中一個具有轉折意義的事件,推動我國信息技術走向一條必須成功的自主可控發展道路。為了確保走向成功,我們需要理順“國產化”與“開源技術自主可控應用”的關系,明確安全可控的目標,摸清自身信息系統和產品的真實家底,實現供應鏈的透明化,治理“假國產、真貼牌”等問題,切實提升基礎軟硬件產品的技術水平與能力,並且採取積極措施保障自主可控軟硬件產品的安全性。
(作者單位:中油瑞飛)
(文章來源:中國信息安全)
| 相關專題 |
| · 專題報道 |
