應(yīng)對Win7停服安全風(fēng)險 信創(chuàng)產(chǎn)業(yè)打響護航戰(zhàn)

4月9日，由工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心、360集團聯(lián)合主辦的線上研討會順利召開，本次研討會以“應(yīng)對Win7停服安全風(fēng)險，信創(chuàng)產(chǎn)業(yè)打響護航戰(zhàn)”為主題，工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心總工程師童曉民出席會議并致辭。工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心副處長李佳倫、360集團首席安全官杜躍進、統(tǒng)信軟件技術(shù)有限公司總經(jīng)理劉聞歡、360集團Fellow兼安全工程研究院院長潘劍鋒四位專家從不同維度分別做了專題講解。

童曉民總工程師指出Win7停服事件已成為業(yè)內(nèi)輿論焦點，國內(nèi)學(xué)術(shù)界、產(chǎn)業(yè)界等多方積極應(yīng)對，紛紛提出解決方案和策略，信創(chuàng)操作系統(tǒng)發(fā)展已步入不可錯失的黃金窗口期。

抓住機遇 推動信創(chuàng)生態(tài)建設(shè)

微軟宣布Win7停服后，將帶來兩個問題：新的應(yīng)用沒有底層支持；隨著時間的推移，新軟件、新版本無法在Win7系統(tǒng)上良好運行。

李佳倫強調(diào)：“這兩個問題需要我們做好存量Win7終端安全保障工作的同時，制定操作系統(tǒng)更替方案。”

一方面，需要政府和行業(yè)介入，替代微軟公司做好防護工作，包括加強對Win7系統(tǒng)漏洞、病毒的監(jiān)控和研究；為黨政軍企甚至民間用戶提供后續(xù)非官方補丁和應(yīng)急方案；優(yōu)化系統(tǒng)安全配置，進行信息安全的裁剪、做好基線配置、安全加固等。

另一方面，要想解決根本問題，需要制定替代方案，逐步淘汰Win7系統(tǒng)。主要包括兩項內(nèi)容：

1、加快業(yè)務(wù)適配，使信創(chuàng)系統(tǒng)滿足更多行業(yè)和場景的業(yè)務(wù)需要，特別要對重點行業(yè)系統(tǒng)和重點領(lǐng)域系統(tǒng)進行適配，如金融、國防、交通、通信、能源行業(yè)等；

2、加大力度開展信創(chuàng)系統(tǒng)安全防護能力建設(shè)，需要構(gòu)建安全標準，建立安全基線，開發(fā)信創(chuàng)系統(tǒng)配套的安全軟件，使得信創(chuàng)系統(tǒng)具備應(yīng)對復(fù)雜安全挑戰(zhàn)的能力。

李佳倫認為，以操作系統(tǒng)為核心的新技術(shù)創(chuàng)新生態(tài)建設(shè)已有十年時間，因此，要抓住當前Win7替代的歷史性機遇，進一步推動信創(chuàng)生態(tài)建設(shè)。

信創(chuàng)安全需要體系化設(shè)計

無論是2014年的WinXP停服，還是2020年的Win7停服，當供應(yīng)商停止更新之后，大量用戶系統(tǒng)將暴露在巨大未知漏洞攻擊風(fēng)險中。例如，Win7停服的第二天，就發(fā)現(xiàn)了針對Win7 0Day漏洞的APT攻擊。

2014年，通過舉辦“XP挑戰(zhàn)賽”，邀請盡可能多的安全人員對能提供安全服務(wù)能力的產(chǎn)品進行攻擊測試，檢驗其防護能力。這也是Win7停服可以借鑒的模式。

同時，隨著信創(chuàng)產(chǎn)業(yè)生態(tài)逐漸形成，操作系統(tǒng)、數(shù)據(jù)庫等關(guān)鍵信創(chuàng)產(chǎn)品開始大范圍推廣應(yīng)用。對于信創(chuàng)軟硬件產(chǎn)品來說，以眾測方式開展關(guān)鍵產(chǎn)品挑戰(zhàn)賽，盡可能發(fā)揮更多人的力量尋找產(chǎn)品安全問題，可以推動信創(chuàng)軟硬件產(chǎn)品的安全研究，使信創(chuàng)用戶的系統(tǒng)和應(yīng)用安全得以保障。

但是，杜躍進認為關(guān)鍵產(chǎn)品挑戰(zhàn)賽只解決了信創(chuàng)部分產(chǎn)品安全性提升的某些問題。隨著智能化、網(wǎng)絡(luò)化、數(shù)字化時代的到來，無處不在的軟件漏洞使得網(wǎng)絡(luò)空間的各個角度都變得異常脆弱。同時，網(wǎng)絡(luò)空間對抗日益軍事化的國際形勢和處于重建初期的信創(chuàng)產(chǎn)業(yè)狀態(tài)，在我們對安全存在認識偏差、安全能力不足、缺乏實戰(zhàn)和積累的情況下，信創(chuàng)產(chǎn)業(yè)將面臨著前所未有的安全威脅。僅有單點的防護能力提升遠遠不夠，信創(chuàng)安全需要體系化設(shè)計。

信創(chuàng)安全體系設(shè)計的核心目標是經(jīng)得住實戰(zhàn)考驗，最基本的思想是：攻防視角、整體思維、統(tǒng)一調(diào)度、開放運營和能力驅(qū)動。

信創(chuàng)體系包括底層的CPU、固件和主板等硬件，也包括操作系統(tǒng)、中間件、各種應(yīng)用軟件、安全軟件等，還包括最后的用戶和用戶承擔的業(yè)務(wù)。由于軟硬件系統(tǒng)漏洞必然存在，攻擊一定會發(fā)生。信創(chuàng)安全體系最終保護的是重要的數(shù)據(jù)、業(yè)務(wù)安全，對軟硬件產(chǎn)品的攻擊只是手段而不是最終目標。因此，信創(chuàng)安全體系除了要解決軟硬件產(chǎn)品的可信、漏洞管理與安全防護，還需要解決軟硬件系統(tǒng)被攻擊之后，如何保障核心業(yè)務(wù)與重要數(shù)據(jù)不受影響或?qū)⒂绊懡抵磷钚〉膯栴}。

從整體、對抗的角度，信創(chuàng)安全體系包括可信、安全、可控、可對抗和可存活五個層次的目標，簡稱為“兩個減少、三個增強”。其中，“可信”是指減少信創(chuàng)體系中各元素“作假”的可能；“安全”是指減少信創(chuàng)軟硬件產(chǎn)品的漏洞和安全缺陷；“可控”是指增強對安全攻擊事件的應(yīng)對控制能力；“可對抗”是指增強安全威脅溯源、取證、懾阻的能力；“可存活”是指增強核心業(yè)務(wù)的存活能力。

拿回信息技術(shù)領(lǐng)域主導(dǎo)權(quán)最好的機會

Win7停服后從技術(shù)角度有三條路徑：繼續(xù)保留Win7方案、考慮使用Win10系統(tǒng)以及替換信創(chuàng)體系操作系統(tǒng)。   

劉聞歡談到，其中替換信創(chuàng)操作系統(tǒng)的優(yōu)勢包括可長期服務(wù)，無斷供風(fēng)險；系統(tǒng)安全自主控制；沒有流氓軟件和彈窗廣告，放心使用；支持利舊，現(xiàn)有設(shè)備仍可以使用，但也存在使用習(xí)慣有所變化，需要磨合以及通用應(yīng)用領(lǐng)域生態(tài)存在差距等問題。

對用戶來說，進行Win7到信創(chuàng)操作系統(tǒng)的遷移，不僅僅是通用應(yīng)用的遷移，還面臨業(yè)務(wù)系統(tǒng)的遷移。研討會上，劉聞歡重點介紹了兩種業(yè)務(wù)系統(tǒng)的遷移。

其一是目前大多數(shù)業(yè)務(wù)系統(tǒng)均采用的B/S架構(gòu)，B/S架構(gòu)業(yè)務(wù)遷移主要涉及B/S應(yīng)用前端遷移，包括三個方面：頁面遷移開發(fā)，主要解決瀏覽器頁面兼容性問題；插件遷移開發(fā)，可能涉及到ActiveX控件問題；集成認證遷移開發(fā)，涉及USBKey登錄、域認證等問題。

其二是部分采用C/S架構(gòu)的業(yè)務(wù)客戶端遷移，可先對原有應(yīng)用程序開發(fā)技術(shù)分析，針對性制定遷移方案。比如支持跨平臺的CS架構(gòu)、基于Java開發(fā)的、甚至進行.net進行開發(fā)的部分客戶端都可以在信創(chuàng)操作系統(tǒng)上重新編譯后生存。另外可以通過“deepin-wine”應(yīng)用兼容層技術(shù)，直接讓W(xué)indows操作系統(tǒng)下的軟件運行起來。當然，該場景下的遷移通常需要原業(yè)務(wù)系統(tǒng)開發(fā)廠商配合進行。

劉聞歡談到，從微軟平臺向信創(chuàng)操作系統(tǒng)平臺遷移，過去兩年已有很多成功案例。現(xiàn)階段替換主要有六個步驟：用戶使用評估、執(zhí)行遷移計劃、進行技術(shù)準備、小范圍試點、大規(guī)模推廣、查缺補漏。

“長遠來看，如果我們在這個階段實現(xiàn)操作系統(tǒng)的替代，未來通過逐步淘汰方式，能夠?qū)86架構(gòu)替換成為信創(chuàng)CPU硬件平臺的障礙將大大降低。”

他進一步解釋，盡管中國信息產(chǎn)業(yè)也希望能建設(shè)一套自己的軟硬件體系，但同時進行軟硬件體系的更換，實際是兩個生態(tài)的替換，難度非常大。可以先從基礎(chǔ)軟件、操作系統(tǒng)這個生態(tài)開始做相應(yīng)的替換，之后再替換硬件，過程就會平滑很多。

“Win7停服之后的替代，是我們拿回信息技術(shù)領(lǐng)域主導(dǎo)權(quán)最好的機會，錯過這個時間，我們可能還要再等10年。”

操作系統(tǒng)漏洞防護技術(shù)方案

操作系統(tǒng)漏洞是操作系統(tǒng)中最大的安全威脅，對0day漏洞攻擊的發(fā)現(xiàn)和防護是網(wǎng)絡(luò)空間安全戰(zhàn)場最重要的決勝點之一。

潘劍鋒在研討會上介紹了Windows操作系統(tǒng)中二進制漏洞及其利用攻擊的現(xiàn)狀，包括漏洞的類型、成因和利用方法的概述。隨后分析了現(xiàn)代操作系統(tǒng)為解決這些漏洞問題所設(shè)計使用的多種防護技術(shù)，包括CPU硬件提供的安全特性和操作系統(tǒng)利用硬件特性實現(xiàn)漏洞防護功能的方法、微軟漏洞緩解機制EMET和WDEG的能力與缺失。

為解決停服后的Win7、最新win10在內(nèi)的操作系統(tǒng)中的0day/nday漏洞威脅，潘劍鋒提出了一套新的漏洞防護機制——全視之眼0day雷達系統(tǒng)， 這套全新系統(tǒng)既可用于Windows，也可以應(yīng)用于國產(chǎn)系統(tǒng)，這一產(chǎn)品在2019年世界互聯(lián)網(wǎng)大會上獲得領(lǐng)先科技成果。

這個產(chǎn)品的架構(gòu)分為三大部分：ZDR漏洞防御的終端系統(tǒng)、多維沙箱、智能決策系統(tǒng)。它的設(shè)計理念是要分析各個階段漏洞利用的原理，包括漏洞的觸發(fā)、漏洞的利用，漏洞的掃尾，針對包括Win7在內(nèi)的系統(tǒng)漏洞防御極其有效。

無疑，Win7操作系統(tǒng)的停服會使國內(nèi)用戶系統(tǒng)面臨更高的安全風(fēng)險，但這既是機遇也是挑戰(zhàn)，面對困難和挑戰(zhàn)，我們更應(yīng)該勇往直前，化困難為機遇，團結(jié)一致，支持信息技術(shù)應(yīng)用創(chuàng)新。

   

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。