后XP時代我國信息安全防護措施研究

張德棟，周澤巖，姚洪磊

（中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

技術(shù)前沿

后XP時代我國信息安全防護措施研究

張德棟，周澤巖，姚洪磊

（中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

2014年4月8日，微軟公司宣布XP操作系統(tǒng)正式退役，這對運行在XP操作系統(tǒng)下的信息系統(tǒng)安全防護提出了新要求。本文對后XP時代信息安全面臨的隱患進行了分析，提出了后XP時代信息安全防護措施及我國信息安全建設建議。

后XP時代；安全防護；自主可控

隨著信息技術(shù)的發(fā)展，我國信息化水平達到了前所未有的高度，對信息系統(tǒng)的安全防護也提出新的要求。作為信息系統(tǒng)主要載體的主機操作系統(tǒng)安全顯得至關(guān)重要。2014年4月8日，微軟公司宣布XP操作系統(tǒng)正式退役。因此，在后XP時代，我國信息系統(tǒng)安全如何防護已成為我國信息化建設面臨的重要課題。本文對后XP時代信息安全面臨的隱患進行分析，提出防護措施及我國信息安全建設建議。

1 后XP時代的背景和特點

2014年4 月8日，微軟正式停止對Windows XP的技術(shù)支持，不再提供XP更新升級和打補丁服務，使全球數(shù)億XP用戶的電腦失去了官方的保護。如果用戶繼續(xù)在電腦上使用停止服務的XP操作系統(tǒng)，則受到黑客、木馬等攻擊威脅的風險將增大，造成信息泄露、系統(tǒng)癱瘓、財產(chǎn)損失的潛在風險將會顯著增加。根據(jù)《2012年度中國軟件盜版率調(diào)查報告》數(shù)據(jù)顯示，在我國XP系統(tǒng)的市場份額高達73.5%。微軟對XP的服務已經(jīng)停止，但據(jù)某知名調(diào)研公司針對40 000個網(wǎng)站每月1.6億獨立訪客的研究發(fā)現(xiàn)，XP操作系統(tǒng)的市場份額依然堅挺。國內(nèi)著名信息安全公司針對XP操作系統(tǒng)安全狀況進行調(diào)研，調(diào)研結(jié)果顯示63.6%的用戶認為XP停止升級對其有一定影響或影響很大，但仍有44.4%的用戶選擇繼續(xù)使用XP系統(tǒng)。在被調(diào)查的終端中，使用XP系統(tǒng)的占比達到72.6%，而在軍工行業(yè)中的比例達到93%，在政府行業(yè)達到86%。如：在鐵路行業(yè)里絕大部分客票售票終端、TVM售票終端采用了XP操作系統(tǒng)。2014年5月8日，在第15屆中國信息安全大會上，中國工程院院士沈昌祥指出全國約有2億臺運行XP操作系統(tǒng)的終端將面臨無人服務的局面。由此可見，雖然微軟對XP操作系統(tǒng)停止了技術(shù)支持，但對XP的使用卻沒有停止。對于個人用戶而言，使用新的操作如Windows 7或更高版本可能是應對XP終止服務的不錯選擇。但對于政府、企事業(yè)單位而言，由于大量運行Windows XP的計算機在硬件配置上無法支持系統(tǒng)升級，或者由于預算等原因，不能全面終止或者替換XP系統(tǒng)。因此，在將來的一段時間內(nèi)仍然有大量的用戶使用XP操作系統(tǒng)。在繼續(xù)使用XP操作系統(tǒng)的時間里，加強計算機操作系統(tǒng)的安全，有效降低安全風險，是目前迫切需要解決的問題。

2 后XP時代信息安全隱患分析

對于之前版本的Office只發(fā)補丁，卻不會同步最新的安全機制。這樣基于封頂環(huán)境的IE、Office軟件的APT攻擊將成為XP停止服務后的又一安全威脅。

2.1 漏洞威脅

XP停止服務帶來的威脅首先就是系統(tǒng)漏洞得不到官方修補。XP漏洞數(shù)量近幾年呈現(xiàn)逐年增加的趨勢，這與微軟操作系統(tǒng)的演進過程密切相關(guān)。從早期的Windows 到Win XP、Vista、Win7等一直都沿用了NT架構(gòu)，長期的持續(xù)迭代開發(fā)過程和大量復用的代碼，形成了漏洞的關(guān)聯(lián)關(guān)系，也就造成了漏洞的大面積重疊。Windows XP停止服務后，國內(nèi)不少殺毒軟件廠商承諾將繼續(xù)為Windows XP用戶提供安全升級補丁以及相關(guān)產(chǎn)品的解決方案。然而，業(yè)內(nèi)專家認為，第三方軟件雖然可以彌補一些漏洞，但是并不能夠做到面面俱到，這對解決病毒、木馬攻擊的行為有一定的作用，但對漏洞、后門、遠程執(zhí)行代碼、遠程攻擊等能夠起到的作用是有限的。Windows XP停止官方支持后，諸如后門、遠程執(zhí)行代碼等網(wǎng)絡威脅一旦攻向終端，僅依靠終端殺毒軟件一層防護是遠遠不夠的。

2.2 病毒及木馬攻擊的威脅

計算機病毒、木馬威脅是日常網(wǎng)絡安全防護中最普遍的網(wǎng)絡威脅，后XP時代，快速識別并防御利用新病毒、新木馬發(fā)起的攻擊行為，難度進一步增加。采用威脅特征碼匹配識別攻擊行為的傳統(tǒng)安全設備和安全手段暴露出極大的弊端。攻擊行為識別的準確率受限于本地特征庫容量和更新延時的問題，對于新的病毒、木馬并不能做到全面、快速的防護。代碼特征的檢測技術(shù)對于新漏洞引發(fā)的未知威脅則束手無策。由于XP停止服務，木馬、病毒利用新的安全漏洞產(chǎn)生的攻擊行為將對XP用戶造成巨大損失。

2.3 軟件環(huán)境封頂造成APT攻擊的威脅

XP系統(tǒng)停止服務后，給一些軟件帶來新的問題。如在XP停止服務后，IE8未來也不會再得到相應的系統(tǒng)補丁更新。這樣，攻擊者就可以基于XP上封頂版本的IE瀏覽器進行集中攻擊。關(guān)于Office版本的封頂問題，XP最高支持到Office 2010，雖然微軟一直在改善其主要應用程序內(nèi)建的安全機制，對于2013版以后的版本，會持續(xù)的改善其安全機制，但

3 后XP時代信息安全防護

3.1 加強政府引導

加強政府引導，防止Windows 8系統(tǒng)進入我國政府和重要行業(yè)。

微軟停止對XP系統(tǒng)的支持目的之一就是要力推Windows 8系統(tǒng)，然而回顧2006年微軟發(fā)布Vista操作系統(tǒng)時，當時國內(nèi)有關(guān)專家對其進行評估，確認Vista的架構(gòu)會使用戶電腦被微軟高度掌控。用戶開發(fā)的軟件需得到微軟的授權(quán)后才能運行，不能自己更改系統(tǒng)。即使改一個字節(jié)也會被發(fā)現(xiàn)，其結(jié)果是Vista沒有進入我國政府采購目錄。Windows 8和Vista是同類架構(gòu)，Windows 8與可信平臺模塊（TPM2.0）綁定，對用戶控制能力超過Vista。Windows 8還捆綁了微軟的殺毒軟件，時刻在檢查用戶終端，隨時可以給用戶電腦下載補丁，更容易為“棱鏡”項目等監(jiān)控手段提供支持。如果讓Windows 8系統(tǒng)進入我國政府及重要行業(yè)，我國的信息安全建設將更加被動。

3.2 建立第三方漏洞修復和補丁分發(fā)體系

建立第三方漏洞修復和補丁分發(fā)體系，保證XP系統(tǒng)短期安全過渡。

在我國國家信息安全漏洞庫的支撐下，以國內(nèi)信息安全企業(yè)為依托，加大漏洞分析資金投入和Windows XP 安全漏洞的收集力度，建立漏洞信息共享機制，建立Windows XP 第三方安全補丁研發(fā)體系，形成一批XP系統(tǒng)的安全加固方案和針對各種應用的安全加固能力。同時，以國家信息安全測評中心為主導，集結(jié)各信息安全企業(yè)的力量對第三方開發(fā)Windows XP 補丁可能存在穩(wěn)定性、兼容性和性能等多方面問題進行測試，保證第三方開發(fā)的Windows XP補丁的實用性和時效性。利用已有補丁分發(fā)機制，向社會公布推廣，通過數(shù)字簽名等技術(shù)保證補丁分發(fā)過程中的安全性和完整性。

3.3 加大XP系統(tǒng)防護技術(shù)的研發(fā)力度加大XP系統(tǒng)防護技術(shù)的研發(fā)力度，保證XP系統(tǒng)一段時間內(nèi)安全運行。

發(fā)展自主可控的國產(chǎn)化操作系統(tǒng)一直是我們努力的目標，國產(chǎn)操作系統(tǒng)完全取代國外操作系統(tǒng)還有很長的路要走。在一段時間內(nèi)，Windows XP系統(tǒng)還將繼續(xù)使用。因此，應通過構(gòu)建產(chǎn)業(yè)聯(lián)盟，整合國內(nèi)信息安全優(yōu)質(zhì)資源，研究Windows XP系統(tǒng)的安全防護技術(shù)。研究利用可信計算、主動防御、安全云服務、云殺毒、黑白名單等技術(shù)，實現(xiàn)對XP系統(tǒng)的漏洞修復、實時殺毒等操作。

3.4 加強自主可控的核心軟硬件建設

加強自主可控的核心軟硬件建設，實現(xiàn)國產(chǎn)化產(chǎn)品的健康替代。

XP系統(tǒng)停止服務，給我國帶來嚴峻挑戰(zhàn)的同時也帶來機遇。國家應加強政策引導，發(fā)揮市場在資源配置中的作用，建立健全信息安全產(chǎn)業(yè)生態(tài)環(huán)境，通過協(xié)同攻關(guān)，到2020年形成PC終端、手機、嵌入式每種類型1~2款成熟的國產(chǎn)操作系統(tǒng)，充分運用自主創(chuàng)新的可信計算技術(shù)，研發(fā)滿足不同應用需求的國產(chǎn)操作系統(tǒng)以及相應的應用開發(fā)、測試等工具，具備對國外PC和移動終端操作系統(tǒng)的替代能力。

3.5 加大創(chuàng)新力度

加大創(chuàng)新力度，研制世界領(lǐng)先水平的操作系統(tǒng)產(chǎn)品。

以Windows XP 停止服務事件為契機，加大技術(shù)創(chuàng)新力度，形成完全自主可控、安全可信、具有世界領(lǐng)先水平的操作系統(tǒng)品牌，構(gòu)建安全可信的信息安全防御體系。

4 結(jié)束語

XP停止服務后，XP操作系統(tǒng)還將在國內(nèi)持續(xù)使用一段時間，如何防御XP使用期間安全威脅，降低安全風險是目前要解決的問題。棱鏡門事件和Windows XP 停止服務事件為我國信息安全敲響了警鐘。正如中國工程院院士倪光南所說，應對Windows XP 停止服務這一時間需要作長期打算，不僅是為了減輕近期風險，而且還要大大增強長期的信息安全，既要立足眼前，更要著眼未來。

[1] 惠志斌，王瀅波. 后XP時代中國信息安全何去何從[J].社會觀察，2014（3）：37-38.

[2] 吳勇毅. “后XP時代”，企業(yè)信息網(wǎng)絡安全市場的挑戰(zhàn)與機遇[J] . CAD/CAM與制造業(yè)信息化，2014（6）.

[3] 周 昊. 跨越Windows XP時代[J].中國計算機報，2008（6）.

[4] 許麗萍.后XP時代，中國信息安全再度敲響警鐘[J]. IT時代周刊，2014（9）.

[5] 胡建斌. 構(gòu)建后XP時代的“金甲防線”[J].中國信息安全，2014（3）.

責任編輯 陳 蓉

Measures to defend our information security after XP era

ZHANG Dedong, ZHOU Zeyan, YAO Honglei
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

On April 8, 2014, Microsoft announced that windows XP service off i cially retired, which put new demands on security for Information System running on Windows XP Operating System. The paper analyzed the threats of information security after the XP era, and given some security measures and suggestions for information security protection.

after XP era; security protection; independently controllable

U29-39

A

1005-8451（2015）02-0069-03

2014-10-08

張 彥，研究員；張德棟，助理研究員。