國產作業系統迎來最好時代

在國家強力政策推動及下游需求快速提升的雙重作用下，網路安全和自主可控領域正在迎來行業大爆發，能夠充分防範“永恆之藍”等外來病毒侵襲、各方面日臻成熟的國產作業系統的最好時代已經漸行漸近。

不久前，基於“永恆之藍”攻擊模組衍生出的“想哭”勒索病毒（WannacryRansomware）肆虐全球，讓全世界的Windows 裝置使用者深刻體驗了一回想哭的感受。紛擾過後，冷靜下來的各方開始冷靜思索：這次病毒大爆發的始作俑者——美國國家安全域性（NSA）洩漏的攻擊模組遠不止“永恆之藍”（ETERNALBLUE）一種，藉助已有攻擊框架二次開發病毒的難度之低難以想象。可以預見，一大波未知的病毒正在來襲的路上。這一點讓人細思極恐，我們究竟該如何應對？

眾所周知，中國資訊保安一直存在“三大黑洞”：晶片、作業系統和資料庫。在網路安全已經成為國家戰略的今天，這3 個層面的安全也就成了關鍵資訊基礎設施中的核心所在。今年6 月1 日，《中華人民共和國網路安全法》正式實施，其明確了對關鍵資訊基礎設施執行安全的要求。聯絡到去年12 月27日釋出的《國家網路空間安全戰略》，在國家強力政策推動及下游需求快速提升的雙重作用下，網路安全和自主可控領域正在迎來行業大爆發，能夠充分防範“永恆之藍”等外來病毒侵襲、各方面日臻成熟的國產作業系統的最好時代已經漸行漸近。

“網際網路行業的苦行僧”

十幾年前，曾是中國Linux 公社(Linux fans）早期發起人和重要參與者之一，MagicLinux 開源社群版本創始人的黃建忠做出了一個徹底改變他人生軌跡的選擇——投身中科紅旗，開發國產基礎作業系統，他參與或領導了863、核高基、長風聯盟等眾多作業系統的開發課題或專案，主持開發了符合國家標準的藏文、維哈柯文等民文Linux 作業系統。“誰把握了作業系統這個核心，誰就能贏得IT 產業的主動地位。”當時Windows 搶佔了世界90% 以上的電腦，國產作業系統的市場還是一片空白。

早在上世紀70年代，國內許多科研院所就已經參與到Unix自主作業系統的研發中。伴隨著上世紀90年代Linux 作業系統的誕生，其憑藉開源特徵得以迅速取代Unix 成為國產作業系統開發的主流，國家也逐漸意識到自主作業系統對網路安全的重要性，中軟Linux、中科紅旗等一系列國產作業系統廠商應運而生。“如果我比別人看得更遠，那是因為我站在巨人的肩膀上。”正是來自開源的優秀技術力量，使國產作業系統從一誕生就站在巨人的肩膀上。他們以Linux 為基礎二次開發的作業系統經過多年的發展，無論是在佈局還是操作方式上都和WindowsXP 所差無幾，在易用性等方面基本具備WindowsXP替代能力。然而，黃建忠真正走進市場才知道，“原本以為是藍海，其實是死海。國產作業系統研發被業內認為是IT 領域裡面的冷門偏門，很長時間以來都是這樣。”由於作業系統整體生態環境等原因，國產作業系統廠商開拓市場非常困難，一直舉步維艱，中科紅旗最後也黯然解散。

2008 年，中國電子資訊產業的國家隊——中國電子科技集團（CETC）整合集團優勢資源投資設立普華基礎軟體股份有限公司，黃建忠又一次義無反顧地投身其中，成為普華技術部副總經理、研發總監。中科紅旗的創業團隊也先後投奔過來，他們有人甚至放棄網際網路公司老總的職位，放棄成為上市公司股東的機會。

普華肩負提升國家基礎軟體產業核心競爭力的重要使命，2014 年初正式進軍國產作業系統領域。雄厚的資金支援加上富有經驗的團隊努力，當年9月普華作業系統3.0版本正式釋出。但走進市場，不被認可的冷酷現實又一次擺在面前，絕大多數人仍然只認Windows。“你們系統的驅動我們提供不了，我們只提供Windows 的”，這樣的話黃建忠不知道聽了多少遍。不被認可更不賺錢卻仍堅守在國產作業系統領域的黃建忠和他的夥伴們被稱為“網際網路行業的苦行僧”。為了提高知名度，黃建忠抓住一切機會推介中國普華，當起了推銷員……

從前些年“稜鏡門”事件的爆發到“想哭”病毒的肆虐，網路安全日益牽動著全世界敏感的神經。在網路安全上升到國家戰略的產業背景下，發展安全可靠的國產作業系統逐漸深入人心，國產作業系統的優勢日益顯現出來。“作業系統的自主可控是網路強國的關鍵基石。”帶領團隊完成了普華桌面、伺服器等作業系統系列產品研發的黃建忠對本刊記者說，近幾年來，具備網路安全優勢的國產作業系統憑藉自身的努力，不斷打磨產品並提升服務，逐漸得到業內外的普遍認同，逐步進入國家政府部門以及金融、能源等經濟社會執行的神經中樞。

完美抵禦“永恆之藍”

“為什麼說以Linux 為核心的國產作業系統能夠抵禦各種未知病毒入侵，這得從‘零日（0-day)漏洞’和病毒本身的設計流程說起。”普華基礎軟體首席架構師孟劍在接受本刊記者採訪時介紹說，Windows 系統積極地安全更新、安裝防毒軟體，雖然可以大幅降低感染病毒的機率，卻難以完全避免。“‘零日漏洞’是指被黑客發現後立刻用來發起攻擊的漏洞，這些漏洞尚未公開，使用者不知道，軟體廠商也不瞭解，應對時間為零。這類漏洞沒有檢測工具，沒有修復方法，傳統被動升級防禦、病毒特徵比對的方式毫無用處，一旦被用來發起攻擊，Windows 系統毫無招架能力。這次‘想哭’病毒就是基於美國國家安全域性洩漏的網路攻擊模組“永恆之藍”基礎上二次開發，針對漏洞植入惡意程式碼，從而加密使用者檔案和顯示勒索宣告，並不需要高深的編碼技巧或深厚的理論根基就可以達到非常惡劣的後果。”

孟劍進一步介紹說，美國國家安全域性（NSA）多年前為自身開發定製了一套強大的安全框架，這套框架後來通過開源組織進入Linux 作業系統的核心，這就是SELinux（Security EnhancedLinux），它具備主動防禦包括“零日漏洞”在內的多種攻擊的能力。SELinux 的安全機制是強制訪問控制，一切訪問計劃都要事先寫入安全策略，沒有明確策略允許的任何訪問都會被禁止，這使得一個系統級的安全漏洞對整個作業系統的影響被限制在非常小的範圍內。

“美國在資訊保安領域的強大實力不容置疑，但我國也很早就對資訊保安領域展開全面研究，目前國產作業系統已能提供遠高於普通SELinux的底層安全保護。”孟劍向記者介紹說，公安部的GB17859-1999 標準將計算機資訊保安系統由低到高劃分為5 個等級，在GB/T20272-2006 中更進一步對作業系統安全技術提出了具體要求。

據介紹，從國標安全3 級開始要求以Linux 為核心的國產作業系統提供強制訪問控制，除了要實現SELinux 中的各類安全模型架構外，還將普通作業系統中許可權不受控制的管理員根據職責分解為系統管理員、安全管理員、審計管理員3 個角色。3 個角色的許可權之間互相制約，從根本上避免了惡意入侵者通過獲取管理員許可權對作業系統的全面控制。同時，標準還對使用者資料的私密性、完整性提出了嚴格的保護要求，要求作業系統通過安全標籤保障使用者資料不被非法讀取和篡改。

國標安全4 級除了在訪問控制和資料保護上提出更為嚴格的要求之外，還要求設計者對作業系統的安全策略模型、安全功能模組進行形式化驗證，並進行隱蔽通道分析，對系統抵禦攻擊能力進行評估，這是目前已有作業系統能達到的最高安全等級，國內普華、凝思等國產作業系統廠商已經開發出符合國標安全4 級的作業系統，提供了遠高於普通SELinux 的底層安全保護。

作為所有上層應用的最底層軟體支撐，作業系統承載著一切上層軟體的安全機制。“脫離作業系統構建的安全體系如同沙灘上的城堡，即使再堅固也將最終失去根基，這就是現在大力推動國產作業系統發展的深意。”孟劍說。

國產作業系統走向成熟

近年來，以普華為代表的國產作業系統逐漸走向成熟，走入生活。時時離不開的智慧手機、去銀行取款，在超市買單，去網上購物，航空、高鐵、地鐵的執行……在中國人的日常生活中，國產作業系統的身影已無處不在。越來越多的企業執行關鍵性業務都離不開國產作業系統，它還為企業大資料、雲端計算等新興工作負載注入強大生命力。黃建忠對記者表示，目前國產作業系統成為我國提高資訊產業自主創新能力、轉變經濟增長方式的重要抓手和關鍵點，最好的時代已漸行漸近。

近年來，堅守Linux 作業系統領域的普華厚積薄發，在生態系統建設方面積聚了強大實力，並緊跟國家網路安全政策實現跨越趕超。普華與IBM、Oracle 等國際國內知名的IT廠商深入合作，擁有國內頂尖作業系統人才，不僅在研發水平上表現出眾，在服務能力和生態系統建設上也優勢明顯。憑藉在技術支援服務上持續不斷的投入，普華在服務體系覆蓋面、服務員工數量、服務渠道完善、服務響應時間和服務人員解決問題能力等方面已經排在業界前列。

在團隊的共同努力下，在賽迪釋出的2015 年IT 行業市場調查報告中，普華已經迅速成為中國Linux 作業系統細分市場的第三名。在去年的調研報告中，普華基礎軟體憑藉在政府、電信、能源等行業的突出表現，成為中國Linux 作業系統細分市場佔有率18.3% 的企業，躍居第二。對於2014 年才剛轉型定位作業系統方向的普華基礎軟體來說，短短3 年之內就取得了這樣的成就讓人矚目，彰顯了“普華速度”。

從中央網路安全和資訊化領導小組成立到《中華人民共和國網路安全法》的制定，再到《國家網路空間安全戰略》的釋出，一系列國家政策和法規的頒佈，通過政策的引導，完善了國產軟體的產業鏈，為國產基礎軟體的發展創造了一個良好的生態環境。

一直力主開發國家自主核心技術的中國工程院院士倪光南長期以來在各種場合為國產作業系統大聲疾呼，為普華打氣鼓勁，“中國國產作業系統要自己做，不能受制於人，雖然道路艱辛，但只要有信念，一定會成功。”

原文釋出時間為：2017年7月17日 

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。