張德棟，周澤巖，姚洪磊

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

技術(shù)前沿

后XP時(shí)代我國(guó)信息安全防護(hù)措施研究

張德棟，周澤巖，姚洪磊

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

2014年4月8日，微軟公司宣布XP操作系統(tǒng)正式退役，這對(duì)運(yùn)行在XP操作系統(tǒng)下的信息系統(tǒng)安全防護(hù)提出了新要求。本文對(duì)后XP時(shí)代信息安全面臨的隱患進(jìn)行了分析，提出了后XP時(shí)代信息安全防護(hù)措施及我國(guó)信息安全建設(shè)建議。

后XP時(shí)代；安全防護(hù)；自主可控

隨著信息技術(shù)的發(fā)展，我國(guó)信息化水平達(dá)到了前所未有的高度，對(duì)信息系統(tǒng)的安全防護(hù)也提出新的要求。作為信息系統(tǒng)主要載體的主機(jī)操作系統(tǒng)安全顯得至關(guān)重要。2014年4月8日，微軟公司宣布XP操作系統(tǒng)正式退役。因此，在后XP時(shí)代，我國(guó)信息系統(tǒng)安全如何防護(hù)已成為我國(guó)信息化建設(shè)面臨的重要課題。本文對(duì)后XP時(shí)代信息安全面臨的隱患進(jìn)行分析，提出防護(hù)措施及我國(guó)信息安全建設(shè)建議。

1 后XP時(shí)代的背景和特點(diǎn)

2014年4 月8日，微軟正式停止對(duì)Windows XP的技術(shù)支持，不再提供XP更新升級(jí)和打補(bǔ)丁服務(wù)，使全球數(shù)億XP用戶(hù)的電腦失去了官方的保護(hù)。如果用戶(hù)繼續(xù)在電腦上使用停止服務(wù)的XP操作系統(tǒng)，則受到黑客、木馬等攻擊威脅的風(fēng)險(xiǎn)將增大，造成信息泄露、系統(tǒng)癱瘓、財(cái)產(chǎn)損失的潛在風(fēng)險(xiǎn)將會(huì)顯著增加。根據(jù)《2012年度中國(guó)軟件盜版率調(diào)查報(bào)告》數(shù)據(jù)顯示，在我國(guó)XP系統(tǒng)的市場(chǎng)份額高達(dá)73.5%。微軟對(duì)XP的服務(wù)已經(jīng)停止，但據(jù)某知名調(diào)研公司針對(duì)40 000個(gè)網(wǎng)站每月1.6億獨(dú)立訪客的研究發(fā)現(xiàn)，XP操作系統(tǒng)的市場(chǎng)份額依然堅(jiān)挺。國(guó)內(nèi)著名信息安全公司針對(duì)XP操作系統(tǒng)安全狀況進(jìn)行調(diào)研，調(diào)研結(jié)果顯示63.6%的用戶(hù)認(rèn)為XP停止升級(jí)對(duì)其有一定影響或影響很大，但仍有44.4%的用戶(hù)選擇繼續(xù)使用XP系統(tǒng)。在被調(diào)查的終端中，使用XP系統(tǒng)的占比達(dá)到72.6%，而在軍工行業(yè)中的比例達(dá)到93%，在政府行業(yè)達(dá)到86%。如：在鐵路行業(yè)里絕大部分客票售票終端、TVM售票終端采用了XP操作系統(tǒng)。2014年5月8日，在第15屆中國(guó)信息安全大會(huì)上，中國(guó)工程院院士沈昌祥指出全國(guó)約有2億臺(tái)運(yùn)行XP操作系統(tǒng)的終端將面臨無(wú)人服務(wù)的局面。由此可見(jiàn)，雖然微軟對(duì)XP操作系統(tǒng)停止了技術(shù)支持，但對(duì)XP的使用卻沒(méi)有停止。對(duì)于個(gè)人用戶(hù)而言，使用新的操作如Windows 7或更高版本可能是應(yīng)對(duì)XP終止服務(wù)的不錯(cuò)選擇。但對(duì)于政府、企事業(yè)單位而言，由于大量運(yùn)行Windows XP的計(jì)算機(jī)在硬件配置上無(wú)法支持系統(tǒng)升級(jí)，或者由于預(yù)算等原因，不能全面終止或者替換XP系統(tǒng)。因此，在將來(lái)的一段時(shí)間內(nèi)仍然有大量的用戶(hù)使用XP操作系統(tǒng)。在繼續(xù)使用XP操作系統(tǒng)的時(shí)間里，加強(qiáng)計(jì)算機(jī)操作系統(tǒng)的安全，有效降低安全風(fēng)險(xiǎn)，是目前迫切需要解決的問(wèn)題。

2 后XP時(shí)代信息安全隱患分析

對(duì)于之前版本的Office只發(fā)補(bǔ)丁，卻不會(huì)同步最新的安全機(jī)制。這樣基于封頂環(huán)境的IE、Office軟件的APT攻擊將成為XP停止服務(wù)后的又一安全威脅。

2.1 漏洞威脅

XP停止服務(wù)帶來(lái)的威脅首先就是系統(tǒng)漏洞得不到官方修補(bǔ)。XP漏洞數(shù)量近幾年呈現(xiàn)逐年增加的趨勢(shì)，這與微軟操作系統(tǒng)的演進(jìn)過(guò)程密切相關(guān)。從早期的Windows 到Win XP、Vista、Win7等一直都沿用了NT架構(gòu)，長(zhǎng)期的持續(xù)迭代開(kāi)發(fā)過(guò)程和大量復(fù)用的代碼，形成了漏洞的關(guān)聯(lián)關(guān)系，也就造成了漏洞的大面積重疊。Windows XP停止服務(wù)后，國(guó)內(nèi)不少殺毒軟件廠商承諾將繼續(xù)為Windows XP用戶(hù)提供安全升級(jí)補(bǔ)丁以及相關(guān)產(chǎn)品的解決方案。然而，業(yè)內(nèi)專(zhuān)家認(rèn)為，第三方軟件雖然可以彌補(bǔ)一些漏洞，但是并不能夠做到面面俱到，這對(duì)解決病毒、木馬攻擊的行為有一定的作用，但對(duì)漏洞、后門(mén)、遠(yuǎn)程執(zhí)行代碼、遠(yuǎn)程攻擊等能夠起到的作用是有限的。Windows XP停止官方支持后，諸如后門(mén)、遠(yuǎn)程執(zhí)行代碼等網(wǎng)絡(luò)威脅一旦攻向終端，僅依靠終端殺毒軟件一層防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。

2.2 病毒及木馬攻擊的威脅

計(jì)算機(jī)病毒、木馬威脅是日常網(wǎng)絡(luò)安全防護(hù)中最普遍的網(wǎng)絡(luò)威脅，后XP時(shí)代，快速識(shí)別并防御利用新病毒、新木馬發(fā)起的攻擊行為，難度進(jìn)一步增加。采用威脅特征碼匹配識(shí)別攻擊行為的傳統(tǒng)安全設(shè)備和安全手段暴露出極大的弊端。攻擊行為識(shí)別的準(zhǔn)確率受限于本地特征庫(kù)容量和更新延時(shí)的問(wèn)題，對(duì)于新的病毒、木馬并不能做到全面、快速的防護(hù)。代碼特征的檢測(cè)技術(shù)對(duì)于新漏洞引發(fā)的未知威脅則束手無(wú)策。由于XP停止服務(wù)，木馬、病毒利用新的安全漏洞產(chǎn)生的攻擊行為將對(duì)XP用戶(hù)造成巨大損失。

2.3 軟件環(huán)境封頂造成APT攻擊的威脅

XP系統(tǒng)停止服務(wù)后，給一些軟件帶來(lái)新的問(wèn)題。如在XP停止服務(wù)后，IE8未來(lái)也不會(huì)再得到相應(yīng)的系統(tǒng)補(bǔ)丁更新。這樣，攻擊者就可以基于XP上封頂版本的IE瀏覽器進(jìn)行集中攻擊。關(guān)于Office版本的封頂問(wèn)題，XP最高支持到Office 2010，雖然微軟一直在改善其主要應(yīng)用程序內(nèi)建的安全機(jī)制，對(duì)于2013版以后的版本，會(huì)持續(xù)的改善其安全機(jī)制，但

3 后XP時(shí)代信息安全防護(hù)

3.1 加強(qiáng)政府引導(dǎo)

加強(qiáng)政府引導(dǎo)，防止Windows 8系統(tǒng)進(jìn)入我國(guó)政府和重要行業(yè)。

微軟停止對(duì)XP系統(tǒng)的支持目的之一就是要力推Windows 8系統(tǒng)，然而回顧2006年微軟發(fā)布Vista操作系統(tǒng)時(shí)，當(dāng)時(shí)國(guó)內(nèi)有關(guān)專(zhuān)家對(duì)其進(jìn)行評(píng)估，確認(rèn)Vista的架構(gòu)會(huì)使用戶(hù)電腦被微軟高度掌控。用戶(hù)開(kāi)發(fā)的軟件需得到微軟的授權(quán)后才能運(yùn)行，不能自己更改系統(tǒng)。即使改一個(gè)字節(jié)也會(huì)被發(fā)現(xiàn)，其結(jié)果是Vista沒(méi)有進(jìn)入我國(guó)政府采購(gòu)目錄。Windows 8和Vista是同類(lèi)架構(gòu)，Windows 8與可信平臺(tái)模塊（TPM2.0）綁定，對(duì)用戶(hù)控制能力超過(guò)Vista。Windows 8還捆綁了微軟的殺毒軟件，時(shí)刻在檢查用戶(hù)終端，隨時(shí)可以給用戶(hù)電腦下載補(bǔ)丁，更容易為“棱鏡”項(xiàng)目等監(jiān)控手段提供支持。如果讓W(xué)indows 8系統(tǒng)進(jìn)入我國(guó)政府及重要行業(yè)，我國(guó)的信息安全建設(shè)將更加被動(dòng)。

3.2 建立第三方漏洞修復(fù)和補(bǔ)丁分發(fā)體系

建立第三方漏洞修復(fù)和補(bǔ)丁分發(fā)體系，保證XP系統(tǒng)短期安全過(guò)渡。

在我國(guó)國(guó)家信息安全漏洞庫(kù)的支撐下，以國(guó)內(nèi)信息安全企業(yè)為依托，加大漏洞分析資金投入和Windows XP 安全漏洞的收集力度，建立漏洞信息共享機(jī)制，建立Windows XP 第三方安全補(bǔ)丁研發(fā)體系，形成一批XP系統(tǒng)的安全加固方案和針對(duì)各種應(yīng)用的安全加固能力。同時(shí)，以國(guó)家信息安全測(cè)評(píng)中心為主導(dǎo)，集結(jié)各信息安全企業(yè)的力量對(duì)第三方開(kāi)發(fā)Windows XP 補(bǔ)丁可能存在穩(wěn)定性、兼容性和性能等多方面問(wèn)題進(jìn)行測(cè)試，保證第三方開(kāi)發(fā)的Windows XP補(bǔ)丁的實(shí)用性和時(shí)效性。利用已有補(bǔ)丁分發(fā)機(jī)制，向社會(huì)公布推廣，通過(guò)數(shù)字簽名等技術(shù)保證補(bǔ)丁分發(fā)過(guò)程中的安全性和完整性。

3.3 加大XP系統(tǒng)防護(hù)技術(shù)的研發(fā)力度加大XP系統(tǒng)防護(hù)技術(shù)的研發(fā)力度，保證XP系統(tǒng)一段時(shí)間內(nèi)安全運(yùn)行。

發(fā)展自主可控的國(guó)產(chǎn)化操作系統(tǒng)一直是我們努力的目標(biāo)，國(guó)產(chǎn)操作系統(tǒng)完全取代國(guó)外操作系統(tǒng)還有很長(zhǎng)的路要走。在一段時(shí)間內(nèi)，Windows XP系統(tǒng)還將繼續(xù)使用。因此，應(yīng)通過(guò)構(gòu)建產(chǎn)業(yè)聯(lián)盟，整合國(guó)內(nèi)信息安全優(yōu)質(zhì)資源，研究Windows XP系統(tǒng)的安全防護(hù)技術(shù)。研究利用可信計(jì)算、主動(dòng)防御、安全云服務(wù)、云殺毒、黑白名單等技術(shù)，實(shí)現(xiàn)對(duì)XP系統(tǒng)的漏洞修復(fù)、實(shí)時(shí)殺毒等操作。

3.4 加強(qiáng)自主可控的核心軟硬件建設(shè)

加強(qiáng)自主可控的核心軟硬件建設(shè)，實(shí)現(xiàn)國(guó)產(chǎn)化產(chǎn)品的健康替代。

XP系統(tǒng)停止服務(wù)，給我國(guó)帶來(lái)嚴(yán)峻挑戰(zhàn)的同時(shí)也帶來(lái)機(jī)遇。國(guó)家應(yīng)加強(qiáng)政策引導(dǎo)，發(fā)揮市場(chǎng)在資源配置中的作用，建立健全信息安全產(chǎn)業(yè)生態(tài)環(huán)境，通過(guò)協(xié)同攻關(guān)，到2020年形成PC終端、手機(jī)、嵌入式每種類(lèi)型1~2款成熟的國(guó)產(chǎn)操作系統(tǒng)，充分運(yùn)用自主創(chuàng)新的可信計(jì)算技術(shù)，研發(fā)滿(mǎn)足不同應(yīng)用需求的國(guó)產(chǎn)操作系統(tǒng)以及相應(yīng)的應(yīng)用開(kāi)發(fā)、測(cè)試等工具，具備對(duì)國(guó)外PC和移動(dòng)終端操作系統(tǒng)的替代能力。

3.5 加大創(chuàng)新力度

加大創(chuàng)新力度，研制世界領(lǐng)先水平的操作系統(tǒng)產(chǎn)品。

以Windows XP 停止服務(wù)事件為契機(jī)，加大技術(shù)創(chuàng)新力度，形成完全自主可控、安全可信、具有世界領(lǐng)先水平的操作系統(tǒng)品牌，構(gòu)建安全可信的信息安全防御體系。

4 結(jié)束語(yǔ)

XP停止服務(wù)后，XP操作系統(tǒng)還將在國(guó)內(nèi)持續(xù)使用一段時(shí)間，如何防御XP使用期間安全威脅，降低安全風(fēng)險(xiǎn)是目前要解決的問(wèn)題。棱鏡門(mén)事件和Windows XP 停止服務(wù)事件為我國(guó)信息安全敲響了警鐘。正如中國(guó)工程院院士倪光南所說(shuō)，應(yīng)對(duì)Windows XP 停止服務(wù)這一時(shí)間需要作長(zhǎng)期打算，不僅是為了減輕近期風(fēng)險(xiǎn)，而且還要大大增強(qiáng)長(zhǎng)期的信息安全，既要立足眼前，更要著眼未來(lái)。

[1] 惠志斌，王瀅波. 后XP時(shí)代中國(guó)信息安全何去何從[J].社會(huì)觀察，2014（3）：37-38.

[2] 吳勇毅. “后XP時(shí)代”，企業(yè)信息網(wǎng)絡(luò)安全市場(chǎng)的挑戰(zhàn)與機(jī)遇[J] . CAD/CAM與制造業(yè)信息化，2014（6）.

[3] 周 昊. 跨越Windows XP時(shí)代[J].中國(guó)計(jì)算機(jī)報(bào)，2008（6）.

[4] 許麗萍.后XP時(shí)代，中國(guó)信息安全再度敲響警鐘[J]. IT時(shí)代周刊，2014（9）.

[5] 胡建斌. 構(gòu)建后XP時(shí)代的“金甲防線”[J].中國(guó)信息安全，2014（3）.

責(zé)任編輯 陳 蓉

Measures to defend our information security after XP era

ZHANG Dedong, ZHOU Zeyan, YAO Honglei
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

On April 8, 2014, Microsoft announced that windows XP service off i cially retired, which put new demands on security for Information System running on Windows XP Operating System. The paper analyzed the threats of information security after the XP era, and given some security measures and suggestions for information security protection.

after XP era; security protection; independently controllable

U29-39

A

1005-8451（2015）02-0069-03

2014-10-08

張 彥，研究員；張德棟，助理研究員。