八年前，微軟公司發(fā)布了Vista操作系統(tǒng)，當(dāng)時政府相關(guān)部門根據(jù)專家評估，確認(rèn)其架構(gòu)會使用戶電腦被微軟公司高度掌控，使得Vista操作系統(tǒng)未能列入政府采購目錄。從一定程度上造成了Windows XP系統(tǒng)(以下簡稱XP)目前在政府企業(yè)用戶群中所抽樣的121萬臺電腦設(shè)備中裝有XP系統(tǒng)的所占比例高達(dá)72.6%的現(xiàn)狀。

　　2013年底微軟宣布將于2014年4月8日起，終止Windows XP支持服務(wù)。政府電腦系統(tǒng)再次面臨同類選擇，需要政府相關(guān)部門加以決策與引導(dǎo)。在這種情況下，我們應(yīng)該化被動為主動，化危機(jī)為機(jī)遇。主管部門應(yīng)該開一個三年的窗口期：三年后再考慮“XP”的升級，以便給國產(chǎn)操作系統(tǒng)一個上位競爭的機(jī)會；鼓勵國內(nèi)安全廠商加強(qiáng)對XP操作系統(tǒng)的安全保護(hù)，讓XP用戶能夠持續(xù)使用XP操作系統(tǒng)；政府出資建設(shè)、運(yùn)行“XP靶場”，只要靶場上有安全產(chǎn)品存在，網(wǎng)民就有信心繼續(xù)使用被保護(hù)的XP操作系統(tǒng)。

　　一、“XP”目前在政府企業(yè)系統(tǒng)的應(yīng)用現(xiàn)狀

　　Windows XP是微軟公司推出供個人電腦使用的操作系統(tǒng)。據(jù)CNCERT/CC報道，截止2014年3月底Windows XP擁有近2億中國用戶。2014年3月7日，國家計(jì)算機(jī)病毒應(yīng)急處理中心聯(lián)合北京北信源軟件股份有限公司發(fā)布《Windows XP系統(tǒng)安全狀況調(diào)研報告》。該報告顯示在政府企業(yè)用戶群中所抽樣的121萬臺電腦設(shè)備中，裝有XP系統(tǒng)的所占比例高達(dá)72.6%。據(jù)調(diào)查顯示，約44.4%的用戶表示在微軟停止XP支持服務(wù)后仍然會繼續(xù)使用XP系統(tǒng)。

　　該報告是基于2013年12月20日至2014年2月20日期間，在全國范圍內(nèi)組織開展的WindowsXP系統(tǒng)使用情況調(diào)研活動而完成。該次調(diào)研的目的，是為了全面了解政府及重點(diǎn)行業(yè)重要信息系統(tǒng)和重點(diǎn)支撐系統(tǒng)中的使用情況，及早啟動XP停止服務(wù)后的應(yīng)急措施，將安全風(fēng)險控制到最小范圍。

　　該次抽樣調(diào)查主要在政府企業(yè)中進(jìn)行，共調(diào)研了465家單位，涉及28個省、10個行業(yè)、1,212,319臺電腦。調(diào)研內(nèi)容包括計(jì)算機(jī)總數(shù)量、XP裝機(jī)數(shù)量、國產(chǎn)操作系統(tǒng)裝機(jī)數(shù)量、計(jì)算機(jī)中高等級風(fēng)險漏洞數(shù)量、XP停止服務(wù)后打算采取的措施以及XP停止服務(wù)帶來的影響等。結(jié)果顯示，裝有XP的機(jī)器880,123臺，占比72.6%。在各行業(yè)中，軍工行業(yè)的占比最高，達(dá)到93%，政府行業(yè)其次，達(dá)到86%。

　　需要特別值得關(guān)注的是，所調(diào)研用戶計(jì)算機(jī)中有高風(fēng)險漏洞546,312個、中等風(fēng)險漏洞324,342個。醫(yī)院、企業(yè)、石油、政府、軍工等行業(yè)需要重點(diǎn)解決系統(tǒng)漏洞，以應(yīng)對XP停止升級后所帶來的安全隱患。

　　在用戶認(rèn)知方面，不同行業(yè)對XP停止升級后所帶來的影響有明顯不同。軍工、電力、石油、金融等國家重要部門對XP停止升級所帶來的安全隱患表示深切關(guān)注，而醫(yī)院、事業(yè)、企業(yè)、政府等行業(yè)仍然對此關(guān)注度或認(rèn)識度不夠，而恰恰醫(yī)院、企業(yè)、政府的高中級安全漏洞比例處于前列。

　　在XP停止升級服務(wù)后應(yīng)對策略方面，44.4%的用戶則仍然繼續(xù)使用XP系統(tǒng)，43.3%的用戶計(jì)劃升級到Win7/Win8，12.4%的用戶采取其它措施，包括轉(zhuǎn)向使用國產(chǎn)操作系統(tǒng)等。繼續(xù)使用XP系統(tǒng)的主要原因有三個方面，首先是硬件比較低端不能升級到Windows高版本，或擔(dān)心升級后速度變慢；其次，部分應(yīng)用軟件系統(tǒng)不能升級到Windows高版本，在醫(yī)院行業(yè)最為典型；還有些則是需要等待行業(yè)主管或信息安全主管部門統(tǒng)一安排。

　　該報告同樣提到了多家國內(nèi)信息安全廠商發(fā)布了應(yīng)對性新產(chǎn)品和方案，行業(yè)和個人用戶應(yīng)該通過技術(shù)手段解決XP停止服務(wù)所帶來的安全問題，通過整體防御、主動防御、數(shù)據(jù)與系統(tǒng)雙重保護(hù)等技術(shù)手段，保護(hù)后XP時代計(jì)算機(jī)安全。

　　二、續(xù)用“XP”不比升級“Win7”或“Win8”更危險

　　從普通用戶的角度來看，“XP”的升級歸宿自然是“Win8”。但我們必須認(rèn)識到，“Win7”、“Win8”的強(qiáng)制性安全手段，客觀上是將電腦安全的命運(yùn)交在了微軟公司的手上。

　　從安全的角度來看，電腦安全包括“軟件后門”與“安全漏洞”兩種：軟件后門可以看作是軟件發(fā)布者的蓄意行為，其目的是善意或惡意地控制用戶電腦。善意者如遠(yuǎn)程升級，惡意者則是遠(yuǎn)程獲取用戶信息。安全漏洞則是在軟件編制過程中出現(xiàn)的質(zhì)量問題，這樣的問題通常軟件發(fā)布者也不掌握，一旦黑客先行發(fā)現(xiàn)則會威脅電腦用戶，這也是“零日漏洞”威脅之大的原因所在，因此軟件發(fā)布者也在全力防范安全漏洞。

　　就軟件后門而言，從境外網(wǎng)站可以看出，微軟2010年以前的各級版本“Office辦公軟件”在密碼保護(hù)方面具有廢除密碼保護(hù)文檔的后門。就是說，任何用于加密文檔的密碼都能夠被卸除，而不是像黑客那樣需要破解，使得在微軟看來任何加密文檔都如同明文一樣。

　　就安全漏洞而言，“Win7”、“Win8”不比“XP”安全多少。2012年共發(fā)現(xiàn)111個微軟操作系統(tǒng)的漏洞，涉及到“XP”、“Win7”、“Win8”分別為84、94、54個。由此可見，“Win7”的脆弱性比“XP”還弱；“Win8”因?yàn)槭褂脮r間不夠長、人們對之了解不夠而略好一些。同時也說明微軟的安全漏洞具有普適性，一個漏洞可能會同時影響“XP”、“Win7”、“Win8”三個操作系統(tǒng)。

　　三、圍繞國產(chǎn)操作系統(tǒng)營造強(qiáng)大的生態(tài)系統(tǒng)，逐步替換“XP”

　　我國已經(jīng)擁有“麒麟”高安全等級服務(wù)器操作系統(tǒng)等，而且目前我國“CCN開源軟件聯(lián)合創(chuàng)新實(shí)驗(yàn)室”參與了國際Ubuntu開源社區(qū)的開發(fā)，并且正在開發(fā)的UbuntuKylin可望作為國產(chǎn)終端操作系統(tǒng)的核心，具有用國產(chǎn)操作系統(tǒng)替換“XP”的實(shí)力。我國在可信計(jì)算方面有重大創(chuàng)新，從建立可信操作系統(tǒng)角度著手提高我國信息系統(tǒng)的本質(zhì)安全，是符合中國國情的。

　　隨著新一代信息技術(shù)的興起，云計(jì)算的發(fā)展，移動信息終端的大量使用，使與Windows兼容性的要求越來越低，這為國產(chǎn)操作系統(tǒng)的推廣掃除了重要障礙。另外，國家對網(wǎng)絡(luò)空間安全的重視越來越高，這些都為國產(chǎn)操作系統(tǒng)的推廣創(chuàng)造了有利條件。而且，國產(chǎn)操作系統(tǒng)都是基于開源軟件發(fā)展起來的，在服務(wù)器市場由于對信息安全要求高，國產(chǎn)操作系統(tǒng)還是有競爭力的，至少國內(nèi)推出的廠家了解這些操作系統(tǒng)在做些什么，而且法律制裁的威懾也使其不會惡意安裝后門。另外，移動領(lǐng)域比桌面的市場更大。當(dāng)務(wù)之急是打造自主可控的生態(tài)系統(tǒng)，在移動互聯(lián)網(wǎng)領(lǐng)域爭取一席之地，否則很可能會重蹈PC產(chǎn)業(yè)覆轍。

　　綜上所述，我們要吸取歷史上國產(chǎn)操作系統(tǒng)未能占領(lǐng)市場的教訓(xùn)，必須圍繞國產(chǎn)操作系統(tǒng)來營造強(qiáng)大的生態(tài)系統(tǒng)。為此，政府應(yīng)該將注意力放在營造國產(chǎn)操作系統(tǒng)生態(tài)上來，鼓勵將微軟操作系統(tǒng)上的應(yīng)用軟件移植到國產(chǎn)操作系統(tǒng)平臺上。例如，2010年底時任俄聯(lián)邦政府總理的普京簽署命令，批準(zhǔn)俄聯(lián)邦行政機(jī)構(gòu)在2011年至2015年期間將其信息系統(tǒng)轉(zhuǎn)用自由軟件(即俄羅斯基于開源軟件的國產(chǎn)操作系統(tǒng))的預(yù)算計(jì)劃，說明他們已在保障政府信息安全方面做出了明確計(jì)劃。我國也需要依靠軟件企業(yè)和軟件工作者來推動基于國產(chǎn)操作系統(tǒng)的應(yīng)用，以繁榮國產(chǎn)操作系統(tǒng)的生態(tài)系統(tǒng)。

　　構(gòu)建國產(chǎn)操作系統(tǒng)的生態(tài)系統(tǒng)，重點(diǎn)不是支持操作系統(tǒng)的研發(fā)，幾十年的研發(fā)經(jīng)歷也說明僅把視點(diǎn)放在操作系統(tǒng)的研發(fā)上是不夠的。現(xiàn)在應(yīng)該把重點(diǎn)放在鼓勵應(yīng)用軟件開發(fā)商將運(yùn)行在微軟平臺上的應(yīng)用軟件移植到國產(chǎn)操作系統(tǒng)平臺上。國家科研資金的投向應(yīng)該重點(diǎn)向這方面傾斜。有了應(yīng)用軟件的捧場，國產(chǎn)操作系統(tǒng)的生態(tài)才能建設(shè)起來。

　　四、通過“XP靶場”來驗(yàn)證XP第三方防護(hù)軟件的安全性

　　互聯(lián)網(wǎng)靶場就是針對網(wǎng)絡(luò)戰(zhàn)訓(xùn)練和網(wǎng)絡(luò)技術(shù)研發(fā)的虛擬環(huán)境，可模擬真實(shí)的目標(biāo)環(huán)境，并對數(shù)據(jù)進(jìn)行采集和對結(jié)果進(jìn)行評估?；ヂ?lián)網(wǎng)靶場因?yàn)榻⒃谡鎸?shí)的互聯(lián)網(wǎng)上，且向廣大網(wǎng)民開發(fā)，因此具有真實(shí)性、公平性和公正性等特點(diǎn)。美國、歐盟以及日本等國家對此高度重視，紛紛構(gòu)建自己的國家網(wǎng)絡(luò)靶場，對包括網(wǎng)絡(luò)戰(zhàn)武器在內(nèi)的互聯(lián)網(wǎng)攻防技術(shù)進(jìn)行評估和演訓(xùn)。

　　為繼續(xù)保障XP用戶的安全，必須采取第三方外殼式的保護(hù)方式來保證用戶不被外界攻擊。我國各大信息技術(shù)企業(yè)均設(shè)計(jì)開發(fā)了自主產(chǎn)權(quán)的安全防護(hù)工具提升XP安全防護(hù)能力。主要的廠家及產(chǎn)品包括：360XP盾甲、騰訊電腦管家XP專屬版本、金山毒霸XP防護(hù)盾、百度衛(wèi)士和北信源金甲防線等。但是，廣大用戶對于不是微軟自身而是來源于不同的第三方的防護(hù)能力表示了極大的擔(dān)心。

　　針對這一問題，國家應(yīng)該組織建立“XP靶場”，讓不同廠家的安全防護(hù)產(chǎn)品作為靶標(biāo)接受來自全網(wǎng)的真實(shí)攻擊，以對產(chǎn)品的防護(hù)能力進(jìn)行真實(shí)、公開的評測。同時通過“XP靶場”的不斷測試，安全防護(hù)廠商可不斷提升自己的產(chǎn)品能力。

　　XP靶場應(yīng)該由獨(dú)立第三方來搭建，并采用全網(wǎng)絡(luò)虛擬化技術(shù)，面向互聯(lián)網(wǎng)開放，為每個挑戰(zhàn)者提供隔離的攻擊環(huán)境。放在靶場上的靶標(biāo)必須是公眾所使用的系統(tǒng)，而不是安全廠商專門提供的產(chǎn)品。因此，作為靶標(biāo)的安全保護(hù)產(chǎn)品需要加以數(shù)字簽名并公布在互聯(lián)網(wǎng)上，讓公眾根據(jù)實(shí)際情況進(jìn)行版本檢驗(yàn)。

　　所有作為靶標(biāo)被攻垮的產(chǎn)品應(yīng)該從靶場上撤下來，由廠家針對安全漏洞防范不足的問題進(jìn)行升級，產(chǎn)品升級后再上線；新出現(xiàn)的XP防護(hù)產(chǎn)品也放在靶場上接受挑戰(zhàn)。那么，只要靶場上的產(chǎn)品存在，公眾就會對中國的操作系統(tǒng)安全防護(hù)有十足的信心！

　　五、設(shè)立一個“窗口期”，給國產(chǎn)操作系統(tǒng)一個上位機(jī)會

　　許可“XP”升級將面臨著軟件后門這類安全風(fēng)險；立即使用國產(chǎn)操作系統(tǒng)取代“XP”似乎尚未做好準(zhǔn)備。因此何去何從成為當(dāng)務(wù)之急。

　　國家應(yīng)該設(shè)立一個三年的“窗口期”，在這三年內(nèi)，不討論“XP”操作系統(tǒng)的升級問題。在此期間，政府應(yīng)設(shè)立“基于國產(chǎn)操作系統(tǒng)應(yīng)用軟件移植專項(xiàng)”，支持基于微軟操作系統(tǒng)的應(yīng)用軟件向國產(chǎn)操作系統(tǒng)的移植，但不是重新開發(fā)應(yīng)用軟件。因?yàn)橐浦渤杀竞艿?，且?yīng)用軟件已經(jīng)得到了微軟平臺的錘煉，但開發(fā)成本則很高，政府支持不起。

　　同時，政府應(yīng)該組織國內(nèi)安全企業(yè)成立“XP操作系統(tǒng)安全加固聯(lián)盟”(以下簡稱“聯(lián)盟”)，在國家財(cái)政的支持下，“聯(lián)盟”密切跟蹤“XP”出現(xiàn)的新安全漏洞；同時密切關(guān)注微軟公布的涉及“Win7”、“Win8”的安全漏洞，并評價其是否同時影響“XP”。“聯(lián)盟”針對安全漏洞提出安全加固解決方案，以便保障用戶的安全利益。

　　在資金方面，政府應(yīng)該利用核高基專項(xiàng)資金加快促進(jìn)國產(chǎn)操作系統(tǒng)的全面升級，以“XP”為參照標(biāo)準(zhǔn)，要求國產(chǎn)操作系統(tǒng)全面超越“XP”，以便在用戶替換“XP”時具有接受國產(chǎn)操作系統(tǒng)的承受力，保證使用得便捷性不低于曾經(jīng)的系統(tǒng)。同時要明確盡管國產(chǎn)操作系統(tǒng)的漏洞數(shù)量可能遠(yuǎn)超過微軟操作系統(tǒng)的漏洞，但至少國產(chǎn)操作系統(tǒng)不可能設(shè)置惡意的軟件后門。至于安全漏洞的問題，則完全取決于市場的廣泛使用，使用得越多，漏洞發(fā)現(xiàn)的就越早、越多，解決的機(jī)會越多，系統(tǒng)就越強(qiáng)壯，越有生命力。

　　如果三年的窗口期國產(chǎn)操作系統(tǒng)都無法取代XP，那中國操作系統(tǒng)廠商只能甘拜下風(fēng)，按照國際慣例，選擇性能價格比做好的操作系統(tǒng)，然后在外殼型防護(hù)方面加大力度，以“信息確保(information assurance)”的理念來保護(hù)我們的系統(tǒng)。