□ 黃次輝

微軟公司4月8日停止Windows XP操作系統(tǒng)服務，由于軍工單位大量使用XP操作系統(tǒng)，因此應積極采取措施，應對軍工單位信息化建設及信息安全保密面臨的安全風險

事件背景

微軟公司將于2014年4月8日停止Windows XP操作系統(tǒng)服務,包括不再開發(fā)補丁包，不再提供定期推送的安全保護服務，同時停止已有的補丁包下載服務。微軟中國官方微博表示，已與騰迅等國內(nèi)互聯(lián)網(wǎng)安全及防毒廠商合作，為中國使用XP的用戶繼續(xù)提供獨有的安全保護。

據(jù)國內(nèi)外信息安全界分析，微軟停止XP操作系統(tǒng)服務將對信息安全帶來重大影響：XP停止服務后，安全風險將明顯提高，有些顧客可能囤積XP的零日漏洞，在4月8日后使用。

大型軟件在設計過程中存在很多缺陷，會在使用過程中逐步被發(fā)現(xiàn)，軟件開發(fā)商發(fā)布補丁程序來彌補這些缺陷。在缺陷發(fā)現(xiàn)以后、補丁程序發(fā)布以前，這些缺陷被稱為零日漏洞，因為沒有補丁包，攻擊者或惡意程序利用這些缺陷可輕易地達到攻擊目的。為了逃避補丁包的圍堵，最大限度地利用零日漏洞，掌握零日漏洞的個人或組織會等到4月8日以后再使用。由于微軟不再開發(fā)補丁包，對于XP而言，4月8日以后被發(fā)現(xiàn)的漏洞將是永遠的零日漏洞。

英國政府網(wǎng)站于2月4日公布XP終止服務風險控制指南。美國也有安全公司專門為政府提供該類服務。

趨勢科技對XP停止服務的影響進行了大量分析，在最近公布的關于2014年安全形勢預測報告中，認為XP終止服務是2014年的一項重要安全風險，并推出解決方案。

聯(lián)想發(fā)布技術(shù)白皮書，認為XP終止服務帶來的技術(shù)風險、可靠性與兼容性問題及潛在的財務負擔，是企業(yè)的一場惡夢。

國家計算機病毒應急處理中心聯(lián)合北京北信源軟件股份有限公司發(fā)布《Windows XP系統(tǒng)安全狀況調(diào)研報告》。報告顯示，在政府企業(yè)用戶群中所抽樣的121萬臺電腦設備中，XP系統(tǒng)所占比例高達72.6%，44.4%的用戶表示在微軟停止XP支持服務后仍然會繼續(xù)使用XP系統(tǒng)。

微軟與騰訊、聯(lián)想合作，推出“扎籬笆計劃”，在微軟終止XP服務后，由騰訊、聯(lián)想提供支持服務。北信源也推出一款終端防護產(chǎn)品作為解決方案。

對軍工單位信息系統(tǒng)的影響

長期以來，XP系統(tǒng)廣泛應用于國防科技工業(yè)信息系統(tǒng)和科研生產(chǎn)活動，微軟公司停止XP操作系統(tǒng)安全服務將對軍工單位信息化建設及信息安全保密帶來一定的安全風險，主要表現(xiàn)在：

一是使用XP的計算機變得更脆弱。由于沒有補丁更新和微軟的安全服務，容易受到病毒、木馬及其他惡意程序的攻擊。防毒軟件不足以保護系統(tǒng)的安全，有研究表明，殺毒軟件對新病毒的發(fā)現(xiàn)概率在5%以下。

二是缺少軟、硬件應用廠商對XP的支持。一方面，商家將逐步停止已運行在XP上的應用；另一方面，新開發(fā)的軟硬件不再支持XP。

三是XP終止服務后對信息系統(tǒng)的改造、防護任務艱巨。有的XP操作系統(tǒng)不得不繼續(xù)長期使用，繼續(xù)使用的安全防護是一個難點；有的不得不放棄并進行改造，改造過程慢長、艱苦、昂貴，但也是軍工單位信息化改造的一個良好機會。

對策建議

1.短期以內(nèi)，建議軍工單位采取以下防范措施：

第一，對于涉密信息系統(tǒng)，認真落實輸入輸出控制及病毒與惡意代碼防護要求。嚴格檢查來自互聯(lián)網(wǎng)的輸入信息，嚴格控制可執(zhí)行程序輸入涉密信息系統(tǒng)。

第二，用于連接互聯(lián)網(wǎng)的設備，應盡早更換操作系統(tǒng)或采取加固措施。如果在4月8日后尚未采取措施，應使用國內(nèi)與微軟合作廠家所提供的安全服務或斷開與互聯(lián)網(wǎng)的連接。

第三，做好重要信息系統(tǒng)的備份與應急工作。對于企業(yè)組織管理、科研生產(chǎn)具有重要意義的數(shù)據(jù)和系統(tǒng)，應做好備份，做好應急響應預案，避免病毒、惡意程序、網(wǎng)絡攻擊等突發(fā)事件造成的損失。同時，加強系統(tǒng)監(jiān)控審計，及時發(fā)現(xiàn)信息系統(tǒng)中存在的異常事件，避免攻擊或惡意程序進一步擴散。

第四，最小化XP設備功能與權(quán)限?？梢圆扇〉拇胧┌ǎ杭訌奨P安全配置，如限制管理員權(quán)限、關閉不必要的端口與服務、禁止介質(zhì)的自動運行等；將對郵件、Web 瀏覽、文件共享等數(shù)據(jù)源的訪問最小化；采用可執(zhí)行程序白名單控制。

第五，嚴格網(wǎng)絡區(qū)域分隔與邊界控制措施。可利用交換機、防火墻、應用網(wǎng)關、入侵檢測等設備，做好網(wǎng)絡區(qū)域分隔，防止惡意代碼與攻擊行為擴散。

2.XP用量大、使用方式復雜的單位，建議制訂改造計劃，對改造方案進行深入的風險分析，可能的改造方案包括：

繼續(xù)使用XP系統(tǒng)，加強防護；

升級或更換操作系統(tǒng)，如使用國產(chǎn)操作系統(tǒng)；

采用瘦客戶端、虛擬化、云計算等技術(shù)，結(jié)合信息系統(tǒng)升級改造，加強集中管理，減少對客戶端操作系統(tǒng)的依賴程度。

每個方案都有各自的優(yōu)缺點，需要在長期的使用中不斷維護和完善。當前有的解決方案尚在論證、實驗過程中，有關管理要求和技術(shù)標準也還有不明確之處，建議關注各方面動態(tài)，及時吸納有關經(jīng)驗。改造方案及改造過程中的安全保密存在一系列不可回避的難題，因此對涉密信息系統(tǒng)的改造一定要按分級保護要求進行管理。

3.深入研究XP停止服務對策措施。如：繼續(xù)使用XP系統(tǒng)的設備與涉密網(wǎng)絡的保護，作為XP潛在替代方案的Windows 7和Windows 8.1與現(xiàn)有軟硬件應用的兼容性、安全隱患與應對措施，國產(chǎn)操作系統(tǒng)在軍工行業(yè)的應用，瘦客戶端和桌面虛擬化技術(shù)應用于涉密信息系統(tǒng)的可行性、安全隱患與應對措施，企業(yè)私有云的可行性與安全保密管理，后XP時代及新形勢下的軍工信息安全保密等問題。

4.與國內(nèi)提供XP安全保護的廠商加強合作。

結(jié)合保密資格要求和分級保護要求，開發(fā)針對國防科技工業(yè)涉密信息系統(tǒng)的XP加固技術(shù)手段，組織核心技術(shù)服務團隊，為軍工行業(yè)快速有效加固XP系統(tǒng)及網(wǎng)絡提供支持，優(yōu)先保障涉密信息系統(tǒng)與重要設備的安全。