八年前，微軟公司發布了Vista操作(zuò)系統，當時(shí)政府相關部門(mén)根據專家(jiā)評估，确認其架構會(huì)使用戶電(diàn)腦(nǎo)被微軟公司高(gāo)度掌控，使得(de)Vista操作(zuò)系統未能列入政府采購目錄。從一定程度上(shàng)造成了Windows XP系統(以下簡稱XP)目前在政府企業用戶群中所抽樣的121萬台電(diàn)腦(nǎo)設備中裝有(yǒu)XP系統的所占比例高(gāo)達72.6%的現狀。

　　2013年底微軟宣布将于2014年4月8日起，終止Windows XP支持服務。政府電(diàn)腦(nǎo)系統再次面臨同類選擇，需要政府相關部門(mén)加以決策與引導。在這種情況下，我們應該化被動為(wèi)主動，化危機為(wèi)機遇。主管部門(mén)應該開(kāi)一個(gè)三年的窗口期：三年後再考慮“XP”的升級，以便給國産操作(zuò)系統一個(gè)上(shàng)位競争的機會(huì)；鼓勵國內(nèi)安全廠商加強對XP操作(zuò)系統的安全保護，讓XP用戶能夠持續使用XP操作(zuò)系統；政府出資建設、運行(xíng)“XP靶場(chǎng)”，隻要靶場(chǎng)上(shàng)有(yǒu)安全産品存在，網民就有(yǒu)信心繼續使用被保護的XP操作(zuò)系統。

　　一、“XP”目前在政府企業系統的應用現狀

　　Windows XP是微軟公司推出供個(gè)人(rén)電(diàn)腦(nǎo)使用的操作(zuò)系統。據CNCERT/CC報道(dào)，截止2014年3月底Windows XP擁有(yǒu)近2億中國用戶。2014年3月7日，國家(jiā)計(jì)算(suàn)機病毒應急處理(lǐ)中心聯合北京北信源軟件股份有(yǒu)限公司發布《Windows XP系統安全狀況調研報告》。該報告顯示在政府企業用戶群中所抽樣的121萬台電(diàn)腦(nǎo)設備中，裝有(yǒu)XP系統的所占比例高(gāo)達72.6%。據調查顯示，約44.4%的用戶表示在微軟停止XP支持服務後仍然會(huì)繼續使用XP系統。

　　該報告是基于2013年12月20日至2014年2月20日期間(jiān)，在全國範圍內(nèi)組織開(kāi)展的WindowsXP系統使用情況調研活動而完成。該次調研的目的，是為(wèi)了全面了解政府及重點行(xíng)業重要信息系統和(hé)重點支撐系統中的使用情況，及早啓動XP停止服務後的應急措施，将安全風險控制(zhì)到最小(xiǎo)範圍。

　　該次抽樣調查主要在政府企業中進行(xíng)，共調研了465家(jiā)單位，涉及28個(gè)省、10個(gè)行(xíng)業、1,212,319台電(diàn)腦(nǎo)。調研內(nèi)容包括計(jì)算(suàn)機總數(shù)量、XP裝機數(shù)量、國産操作(zuò)系統裝機數(shù)量、計(jì)算(suàn)機中高(gāo)等級風險漏洞數(shù)量、XP停止服務後打算(suàn)采取的措施以及XP停止服務帶來(lái)的影(yǐng)響等。結果顯示，裝有(yǒu)XP的機器(qì)880,123台，占比72.6%。在各行(xíng)業中，軍工行(xíng)業的占比最高(gāo)，達到93%，政府行(xíng)業其次，達到86%。

　　需要特别值得(de)關注的是，所調研用戶計(jì)算(suàn)機中有(yǒu)高(gāo)風險漏洞546,312個(gè)、中等風險漏洞324,342個(gè)。醫(yī)院、企業、石油、政府、軍工等行(xíng)業需要重點解決系統漏洞，以應對XP停止升級後所帶來(lái)的安全隐患。

　　在用戶認知方面，不同行(xíng)業對XP停止升級後所帶來(lái)的影(yǐng)響有(yǒu)明(míng)顯不同。軍工、電(diàn)力、石油、金融等國家(jiā)重要部門(mén)對XP停止升級所帶來(lái)的安全隐患表示深切關注，而醫(yī)院、事業、企業、政府等行(xíng)業仍然對此關注度或認識度不夠，而恰恰醫(yī)院、企業、政府的高(gāo)中級安全漏洞比例處于前列。

　　在XP停止升級服務後應對策略方面，44.4%的用戶則仍然繼續使用XP系統，43.3%的用戶計(jì)劃升級到Win7/Win8，12.4%的用戶采取其它措施，包括轉向使用國産操作(zuò)系統等。繼續使用XP系統的主要原因有(yǒu)三個(gè)方面，首先是硬件比較低(dī)端不能升級到Windows高(gāo)版本，或擔心升級後速度變慢；其次，部分應用軟件系統不能升級到Windows高(gāo)版本，在醫(yī)院行(xíng)業最為(wèi)典型；還(hái)有(yǒu)些(xiē)則是需要等待行(xíng)業主管或信息安全主管部門(mén)統一安排。

　　該報告同樣提到了多(duō)家(jiā)國內(nèi)信息安全廠商發布了應對性新産品和(hé)方案，行(xíng)業和(hé)個(gè)人(rén)用戶應該通(tōng)過技(jì)術(shù)手段解決XP停止服務所帶來(lái)的安全問題，通(tōng)過整體(tǐ)防禦、主動防禦、數(shù)據與系統雙重保護等技(jì)術(shù)手段，保護後XP時(shí)代計(jì)算(suàn)機安全。

　　二、續用“XP”不比升級“Win7”或“Win8”更危險

　　從普通(tōng)用戶的角度來(lái)看，“XP”的升級歸宿自然是“Win8”。但(dàn)我們必須認識到，“Win7”、“Win8”的強制(zhì)性安全手段，客觀上(shàng)是将電(diàn)腦(nǎo)安全的命運交在了微軟公司的手上(shàng)。

　　從安全的角度來(lái)看，電(diàn)腦(nǎo)安全包括“軟件後門(mén)”與“安全漏洞”兩種：軟件後門(mén)可(kě)以看作(zuò)是軟件發布者的蓄意行(xíng)為(wèi)，其目的是善意或惡意地控制(zhì)用戶電(diàn)腦(nǎo)。善意者如遠程升級，惡意者則是遠程獲取用戶信息。安全漏洞則是在軟件編制(zhì)過程中出現的質量問題，這樣的問題通(tōng)常軟件發布者也不掌握，一旦黑(hēi)客先行(xíng)發現則會(huì)威脅電(diàn)腦(nǎo)用戶，這也是“零日漏洞”威脅之大(dà)的原因所在，因此軟件發布者也在全力防範安全漏洞。

　　就軟件後門(mén)而言，從境外網站(zhàn)可(kě)以看出，微軟2010年以前的各級版本“Office辦公軟件”在密碼保護方面具有(yǒu)廢除密碼保護文檔的後門(mén)。就是說，任何用于加密文檔的密碼都能夠被卸除，而不是像黑(hēi)客那(nà)樣需要破解，使得(de)在微軟看來(lái)任何加密文檔都如同明(míng)文一樣。

　　就安全漏洞而言，“Win7”、“Win8”不比“XP”安全多(duō)少(shǎo)。2012年共發現111個(gè)微軟操作(zuò)系統的漏洞，涉及到“XP”、“Win7”、“Win8”分别為(wèi)84、94、54個(gè)。由此可(kě)見，“Win7”的脆弱性比“XP”還(hái)弱；“Win8”因為(wèi)使用時(shí)間(jiān)不夠長、人(rén)們對之了解不夠而略好一些(xiē)。同時(shí)也說明(míng)微軟的安全漏洞具有(yǒu)普适性，一個(gè)漏洞可(kě)能會(huì)同時(shí)影(yǐng)響“XP”、“Win7”、“Win8”三個(gè)操作(zuò)系統。

　　三、圍繞國産操作(zuò)系統營造強大(dà)的生(shēng)态系統，逐步替換“XP”

　　我國已經擁有(yǒu)“麒麟”高(gāo)安全等級服務器(qì)操作(zuò)系統等，而且目前我國“CCN開(kāi)源軟件聯合創新實驗室”參與了國際Ubuntu開(kāi)源社區(qū)的開(kāi)發，并且正在開(kāi)發的UbuntuKylin可(kě)望作(zuò)為(wèi)國産終端操作(zuò)系統的核心，具有(yǒu)用國産操作(zuò)系統替換“XP”的實力。我國在可(kě)信計(jì)算(suàn)方面有(yǒu)重大(dà)創新，從建立可(kě)信操作(zuò)系統角度着手提高(gāo)我國信息系統的本質安全，是符合中國國情的。

　　随着新一代信息技(jì)術(shù)的興起，雲計(jì)算(suàn)的發展，移動信息終端的大(dà)量使用，使與Windows兼容性的要求越來(lái)越低(dī)，這為(wèi)國産操作(zuò)系統的推廣掃除了重要障礙。另外，國家(jiā)對網絡空(kōng)間(jiān)安全的重視(shì)越來(lái)越高(gāo)，這些(xiē)都為(wèi)國産操作(zuò)系統的推廣創造了有(yǒu)利條件。而且，國産操作(zuò)系統都是基于開(kāi)源軟件發展起來(lái)的，在服務器(qì)市場(chǎng)由于對信息安全要求高(gāo)，國産操作(zuò)系統還(hái)是有(yǒu)競争力的，至少(shǎo)國內(nèi)推出的廠家(jiā)了解這些(xiē)操作(zuò)系統在做(zuò)些(xiē)什麽，而且法律制(zhì)裁的威懾也使其不會(huì)惡意安裝後門(mén)。另外，移動領域比桌面的市場(chǎng)更大(dà)。當務之急是打造自主可(kě)控的生(shēng)态系統，在移動互聯網領域争取一席之地，否則很(hěn)可(kě)能會(huì)重蹈PC産業覆轍。

　　綜上(shàng)所述，我們要吸取曆史上(shàng)國産操作(zuò)系統未能占領市場(chǎng)的教訓，必須圍繞國産操作(zuò)系統來(lái)營造強大(dà)的生(shēng)态系統。為(wèi)此，政府應該将注意力放在營造國産操作(zuò)系統生(shēng)态上(shàng)來(lái)，鼓勵将微軟操作(zuò)系統上(shàng)的應用軟件移植到國産操作(zuò)系統平台上(shàng)。例如，2010年底時(shí)任俄聯邦政府總理(lǐ)的普京簽署命令，批準俄聯邦行(xíng)政機構在2011年至2015年期間(jiān)将其信息系統轉用自由軟件(即俄羅斯基于開(kāi)源軟件的國産操作(zuò)系統)的預算(suàn)計(jì)劃，說明(míng)他們已在保障政府信息安全方面做(zuò)出了明(míng)确計(jì)劃。我國也需要依靠軟件企業和(hé)軟件工作(zuò)者來(lái)推動基于國産操作(zuò)系統的應用，以繁榮國産操作(zuò)系統的生(shēng)态系統。

　　構建國産操作(zuò)系統的生(shēng)态系統，重點不是支持操作(zuò)系統的研發，幾十年的研發經曆也說明(míng)僅把視(shì)點放在操作(zuò)系統的研發上(shàng)是不夠的。現在應該把重點放在鼓勵應用軟件開(kāi)發商将運行(xíng)在微軟平台上(shàng)的應用軟件移植到國産操作(zuò)系統平台上(shàng)。國家(jiā)科研資金的投向應該重點向這方面傾斜。有(yǒu)了應用軟件的捧場(chǎng)，國産操作(zuò)系統的生(shēng)态才能建設起來(lái)。

　　四、通(tōng)過“XP靶場(chǎng)”來(lái)驗證XP第三方防護軟件的安全性

　　互聯網靶場(chǎng)就是針對網絡戰訓練和(hé)網絡技(jì)術(shù)研發的虛拟環境，可(kě)模拟真實的目标環境，并對數(shù)據進行(xíng)采集和(hé)對結果進行(xíng)評估。互聯網靶場(chǎng)因為(wèi)建立在真實的互聯網上(shàng)，且向廣大(dà)網民開(kāi)發，因此具有(yǒu)真實性、公平性和(hé)公正性等特點。美國、歐盟以及日本等國家(jiā)對此高(gāo)度重視(shì)，紛紛構建自己的國家(jiā)網絡靶場(chǎng)，對包括網絡戰武器(qì)在內(nèi)的互聯網攻防技(jì)術(shù)進行(xíng)評估和(hé)演訓。

　　為(wèi)繼續保障XP用戶的安全，必須采取第三方外殼式的保護方式來(lái)保證用戶不被外界攻擊。我國各大(dà)信息技(jì)術(shù)企業均設計(jì)開(kāi)發了自主産權的安全防護工具提升XP安全防護能力。主要的廠家(jiā)及産品包括：360XP盾甲、騰訊電(diàn)腦(nǎo)管家(jiā)XP專屬版本、金山(shān)毒霸XP防護盾、百度衛士和(hé)北信源金甲防線等。但(dàn)是，廣大(dà)用戶對于不是微軟自身而是來(lái)源于不同的第三方的防護能力表示了極大(dà)的擔心。

　　針對這一問題，國家(jiā)應該組織建立“XP靶場(chǎng)”，讓不同廠家(jiā)的安全防護産品作(zuò)為(wèi)靶标接受來(lái)自全網的真實攻擊，以對産品的防護能力進行(xíng)真實、公開(kāi)的評測。同時(shí)通(tōng)過“XP靶場(chǎng)”的不斷測試，安全防護廠商可(kě)不斷提升自己的産品能力。

　　XP靶場(chǎng)應該由獨立第三方來(lái)搭建，并采用全網絡虛拟化技(jì)術(shù)，面向互聯網開(kāi)放，為(wèi)每個(gè)挑戰者提供隔離的攻擊環境。放在靶場(chǎng)上(shàng)的靶标必須是公衆所使用的系統，而不是安全廠商專門(mén)提供的産品。因此，作(zuò)為(wèi)靶标的安全保護産品需要加以數(shù)字簽名并公布在互聯網上(shàng)，讓公衆根據實際情況進行(xíng)版本檢驗。

　　所有(yǒu)作(zuò)為(wèi)靶标被攻垮的産品應該從靶場(chǎng)上(shàng)撤下來(lái)，由廠家(jiā)針對安全漏洞防範不足的問題進行(xíng)升級，産品升級後再上(shàng)線；新出現的XP防護産品也放在靶場(chǎng)上(shàng)接受挑戰。那(nà)麽，隻要靶場(chǎng)上(shàng)的産品存在，公衆就會(huì)對中國的操作(zuò)系統安全防護有(yǒu)十足的信心！

　　五、設立一個(gè)“窗口期”，給國産操作(zuò)系統一個(gè)上(shàng)位機會(huì)

　　許可(kě)“XP”升級将面臨着軟件後門(mén)這類安全風險；立即使用國産操作(zuò)系統取代“XP”似乎尚未做(zuò)好準備。因此何去何從成為(wèi)當務之急。

　　國家(jiā)應該設立一個(gè)三年的“窗口期”，在這三年內(nèi)，不討(tǎo)論“XP”操作(zuò)系統的升級問題。在此期間(jiān)，政府應設立“基于國産操作(zuò)系統應用軟件移植專項”，支持基于微軟操作(zuò)系統的應用軟件向國産操作(zuò)系統的移植，但(dàn)不是重新開(kāi)發應用軟件。因為(wèi)移植成本很(hěn)低(dī)，且應用軟件已經得(de)到了微軟平台的錘煉，但(dàn)開(kāi)發成本則很(hěn)高(gāo)，政府支持不起。

　　同時(shí)，政府應該組織國內(nèi)安全企業成立“XP操作(zuò)系統安全加固聯盟”(以下簡稱“聯盟”)，在國家(jiā)财政的支持下，“聯盟”密切跟蹤“XP”出現的新安全漏洞；同時(shí)密切關注微軟公布的涉及“Win7”、“Win8”的安全漏洞，并評價其是否同時(shí)影(yǐng)響“XP”。“聯盟”針對安全漏洞提出安全加固解決方案，以便保障用戶的安全利益。

　　在資金方面，政府應該利用核高(gāo)基專項資金加快促進國産操作(zuò)系統的全面升級，以“XP”為(wèi)參照标準，要求國産操作(zuò)系統全面超越“XP”，以便在用戶替換“XP”時(shí)具有(yǒu)接受國産操作(zuò)系統的承受力，保證使用得(de)便捷性不低(dī)于曾經的系統。同時(shí)要明(míng)确盡管國産操作(zuò)系統的漏洞數(shù)量可(kě)能遠超過微軟操作(zuò)系統的漏洞，但(dàn)至少(shǎo)國産操作(zuò)系統不可(kě)能設置惡意的軟件後門(mén)。至于安全漏洞的問題，則完全取決于市場(chǎng)的廣泛使用，使用得(de)越多(duō)，漏洞發現的就越早、越多(duō)，解決的機會(huì)越多(duō)，系統就越強壯，越有(yǒu)生(shēng)命力。

　　如果三年的窗口期國産操作(zuò)系統都無法取代XP，那(nà)中國操作(zuò)系統廠商隻能甘拜下風，按照國際慣例，選擇性能價格比做(zuò)好的操作(zuò)系統，然後在外殼型防護方面加大(dà)力度，以“信息确保(information assurance)”的理(lǐ)念來(lái)保護我們的系統。