计红梅
1月14日,微软官方宣布正式停止支持Windows 7(简称Win7),除付费政企用户外,后续运行Win7的电脑将无法获取软件更新和技术支持,这将使此类电脑承受更多的安全威胁。消息一经发布,引起公众担心,停服后Win7用户“后院”的安全如何保证?今后能否一劳永逸地解决此类事件带来的安全问题?
为此,1月18日,中国计算机学会青年计算机科技论坛(CCF YOCSEF)以“Win 7停服,中国该怎么办?”为主题组织业内专家展开讨论。
停服意味着什么
“Win7停服:我们将失去什么?”360集团首席安全技术官郑文彬表示,Win7停服意味着微软不再针对Win7施行漏洞修复和纵深防御策略,也不再提供安全防御机制。在他看来,Win7停服之后,最严重的就是国内Win7用户面临“零日漏洞”威胁。例如,2017年发生的“永恒之蓝”等一系列病毒勒索和攻击就是利用了Windows XP(简称XP)停服后的零日漏洞。而安全公司、用户都不知道,但已被潜在攻击者掌握的漏洞,也就是所谓“在野漏洞”,影响尤其严重。
2014年XP停服后,尽管微软中国联合腾讯、联想发起XP支持行动——“扎篱笆计划”为中国XP用户保驾护航,但此后曝出的重大安全漏洞仍让“扎篱笆的小伙伴们”惊慌失措。因此,虽然当时已经停服,但微软依然提供了修复补丁。
“此次停服后是否还会出现重大安全漏洞?微软是否会提供补丁?我们不得而知。”郑文彬说。
数据显示,截至2019年12月,全球范围内Windows10系统(以下简称Win10)市场份额占比达到54.62%,Win7位居第二,为26.64%。而在我国,Win7使用人群尤其庞大,截至2019年10月,依然有超过57%的用户在使用Win7,用户体量达两三个亿。
中国计算机学会计算机安全专业委员会委员、公安部第一研究所原所长严明提示,国内Win7用户中有大量政府用户。此前,政府采购清单所列的Windows操作系统只包括Win7,Win8、Win10等均未被列入政府采购清单,因此Win7的使用率在政务系统中的比例比较高。
此次,微软发布的停服声明中有一个重要信息,此次停服的对象不包括付费政企用户。
这是否意味着付费政企用户可以高枕无忧?专家们认为,微软对付费政企用户的定义以及后续将对该类用户提供怎样的技术支持尚未公布,政企用户还应谨慎对待此次停服事件。
重大安全事件还是正常商业行为
微软这项涉及数亿人的决定激起无数涟漪,不少网友将停服与重大安全事件联系在一起。“Win7不是只对中国停服,而是面向全球的。”严明说。
他补充说,威胁国家安全的主要风险包括,是否对关键信息基础设施安全稳定运行造成了影响,导致大量个人信息和重要数据泄露、丢失、毁损、出境等;产品和服务因为政治、外交、贸易等非技术因素而供应中断;对国防军工、关键信息基础设施相关技术和产业的影响等。
由此可见,微软此次停服的举动更像是一个正常的商业行为。
从微软视角,此次停服“可能是其业务重心由PC端向移动端和云生态转移的重大节点”。中国信息安全研究院副院长左晓栋认为,“业态发生变化于行业发展而言是正常情况。Win7停服的确是一个意义深远的事件,但与XP停服不同,这次停服我们更从容,在政策和技术方面准备也更充分。”
左晓栋特别强调,要基于商业背景探讨停服事件,尊重正常的商业行为。
问题是,停服后,微软的退出是否意味着用户与Win7之间的桥梁断了?用户发现漏洞向谁反映?
“我国关于计算机安全漏洞的通报、预警有明确的机制,并设有专业漏洞库。”左晓栋此话一出,给了广大用户吃了一颗定心丸。
不过,严明提醒,用户发现漏洞后应按法律程序上报,不能随意发布操作系统漏洞信息。通常补丁发布前,漏洞信息不能向公众透露,以防止大面积的恶意攻击。
后续安全如何保障
记者获悉,目前微软也向坚守Win7的用户抛出了“橄榄枝”,建议用户最好尽快支付139美元完成Win7到Win10的升级。
业内专家表示,升级到Win10后,微软后续是否还将收费不得而知。
更令人忧心的是,在工业控制方面使用Win7系统的制造企业将何去何从?
严明解释说,制造企业的生产线往往要争分夺秒,想让Win7系统停下来很难。例如,化工企业的工业控制系统,把反应停下来给操作系统升级是难以想象的。芯片生产企业也同样存在这一问题。
郑文彬表示,在Win7系统上打补丁的方式并不适用于制造企业,因为这种方式往往需要重启计算机。此外,验证补丁是否发挥了作用也很困难。
不想升级的Win7用户还有其他解决办法吗?
郑文彬介绍了360所提供的五大服务内容,分别是漏洞补丁分析、漏洞缓和、操作系统/应用程序加固、威胁情报+微补丁、隔离和虚拟化。
不过,这些服务并不能完全替代微软的措施。“漏洞是一个不断被发现的过程,严格意义上说目前这些产品或服务还不能完全替代微软此前提供的支持,但能够应对核心漏洞产生的安全危机。”郑文彬说。
左晓栋认为,以前都是操作系统厂商从境外远程为国内用户安装补丁,这是一种不安全的方式。应当在境内设置专门的升级服务器,并对所有补丁进行独立安全评估,“政府可以在这方面发挥作用”。
在严明看来,“Win7停服是坏事也是好事”。应对停服带来的安全影响,最根本的方案还是加快国产化替代。截至目前,我国在这方面已经取得了一定进展。
不过,他也指出,研发一款操作系统并不难,关键是有没有适宜该操作系统使用的生态环境。更重要的是,即使研发出国产操作系统,目前也没有挖掘漏洞的团队提供技术支持。不能提供系统化解决方案的国产操作系统,未来可能面临重大安全漏洞。
此番Win7停服,北京交通大学工业互联网安全研究中心主任陶耀东认为是一个机会。“Win7停服后,此前对停服的预案和安排是否充分、是否需要再制订一个‘扎篱笆计划’、是否应该对我国乃至全球的安全投入重新进行研判等,都是业界应该思考的。”
责编:黎晓珊
