4月9日,由工業和資訊化部網路安全產業發展中心、360集團聯合主辦的線上研討會順利召開,本次研討會以“應對Win7停服安全風險,信創產業打響護航戰”為主題,工業和資訊化部網路安全產業發展中心總工程師童曉民出席會議並致辭。工業和資訊化部網路安全產業發展中心副處長李佳倫、360集團首席安全官杜躍進、統信軟體技術有限公司總經理劉聞歡、360集團Fellow兼安全工程研究院院長潘劍鋒四位專家從不同維度分別做了專題講解。
抓住機遇 推動信創生態建設
微軟宣佈Win7停服後,將帶來兩個問題:新的應用沒有底層支援;隨著時間的推移,新軟體、新版本無法在Win7系統上良好執行。
李佳倫強調:“這兩個問題需要我們做好存量Win7終端安全保障工作的同時,制定作業系統更替方案。”
一方面,需要政府和行業介入,替代微軟公司做好防護工作,包括加強對Win7系統漏洞、病毒的監控和研究;為黨政軍企甚至民間使用者提供後續非官方補丁和應急方案;最佳化系統安全配置,進行資訊保安的裁剪、做好基線配置、安全加固等。
另一方面,要想解決根本問題,需要制定替代方案,逐步淘汰Win7系統。主要包括兩項內容:
1、加快業務適配,使信創系統滿足更多行業和場景的業務需要,特別要對重點行業系統和重點領域系統進行適配,如金融、國防、交通、通訊、能源行業等;
2、加大力度開展信創系統安全防護能力建設,需要構建安全標準,建立安全基線,開發信創系統配套的安全軟體,使得信創系統具備應對複雜安全挑戰的能力。
李佳倫認為,以作業系統為核心的新技術創新生態建設已有十年時間,因此,要抓住當前Win7替代的歷史性機遇,進一步推動信創生態建設。
信創安全需要體系化設計
無論是2014年的WinXP停服,還是2020年的Win7停服,當供應商停止更新之後,大量使用者系統將暴露在巨大未知漏洞攻擊風險中。例如,Win7停服的第二天,就發現了針對Win7 0Day漏洞的APT攻擊。
2014年,透過舉辦“XP挑戰賽”,邀請儘可能多的安全人員對能提供安全服務能力的產品進行攻擊測試,檢驗其防護能力。這也是Win7停服可以借鑑的模式。
同時,隨著信創產業生態逐漸形成,作業系統、資料庫等關鍵信創產品開始大範圍推廣應用。對於信創軟硬體產品來說,以眾測方式開展關鍵產品挑戰賽,儘可能發揮更多人的力量尋找產品安全問題,可以推動信創軟硬體產品的安全研究,使信創使用者的系統和應用安全得以保障。
但是,杜躍進認為關鍵產品挑戰賽只解決了信創部分產品安全性提升的某些問題。隨著智慧化、網路化、數字化時代的到來,無處不在的軟體漏洞使得網路空間的各個角度都變得異常脆弱。同時,網路空間對抗日益軍事化的國際形勢和處於重建初期的信創產業狀態,在我們對安全存在認識偏差、安全能力不足、缺乏實戰和積累的情況下,信創產業將面臨著前所未有的安全威脅。僅有單點的防護能力提升遠遠不夠,信創安全需要體系化設計。
信創安全體系設計的核心目標是經得住實戰考驗,最基本的思想是:攻防視角、整體思維、統一排程、開放運營和能力驅動。
信創體系包括底層的CPU、韌體和主機板等硬體,也包括作業系統、中介軟體、各種應用軟體、安全軟體等,還包括最後的使用者和使用者承擔的業務。由於軟硬體系統漏洞必然存在,攻擊一定會發生。信創安全體系最終保護的是重要的資料、業務安全,對軟硬體產品的攻擊只是手段而不是最終目標。因此,信創安全體系除了要解決軟硬體產品的可信、漏洞管理與安全防護,還需要解決軟硬體系統被攻擊之後,如何保障核心業務與重要資料不受影響或將影響降至最小的問題。
從整體、對抗的角度,信創安全體系包括可信、安全、可控、可對抗和可存活五個層次的目標,簡稱為“兩個減少、三個增強”。其中,“可信”是指減少信創體系中各元素“作假”的可能;“安全”是指減少信創軟硬體產品的漏洞和安全缺陷;“可控”是指增強對安全攻擊事件的應對控制能力;“可對抗”是指增強安全威脅溯源、取證、懾阻的能力;“可存活”是指增強核心業務的存活能力。
拿回資訊科技領域主導權最好的機會
Win7停服後從技術角度有三條路徑:繼續保留Win7方案、考慮使用Win10系統以及替換信創體系作業系統。
劉聞歡談到,其中替換信創作業系統的優勢包括可長期服務,無斷供風險;系統安全自主控制;沒有流氓軟體和彈窗廣告,放心使用;支援利舊,現有裝置仍可以使用,但也存在使用習慣有所變化,需要磨合以及通用應用領域生態存在差距等問題。
對使用者來說,進行Win7到信創作業系統的遷移,不僅僅是通用應用的遷移,還面臨業務系統的遷移。研討會上,劉聞歡重點介紹了兩種業務系統的遷移。
其一是目前大多數業務系統均採用的B/S架構,B/S架構業務遷移主要涉及B/S應用前端遷移,包括三個方面:頁面遷移開發,主要解決瀏覽器頁面相容性問題;外掛遷移開發,可能涉及到ActiveX控制元件問題;整合認證遷移開發,涉及USBKey登入、域認證等問題。
其二是部分採用C/S架構的業務客戶端遷移,可先對原有應用程式開發技術分析,針對性制定遷移方案。比如支援跨平臺的CS架構、基於Java開發的、甚至進行.net進行開發的部分客戶端都可以在信創作業系統上重新編譯後生存。另外可以透過“deepin-wine”應用相容層技術,直接讓Windows作業系統下的軟體執行起來。當然,該場景下的遷移通常需要原業務系統開發廠商配合進行。
劉聞歡談到,從微軟平臺向信創作業系統平臺遷移,過去兩年已有很多成功案例。現階段替換主要有六個步驟:使用者使用評估、執行遷移計劃、進行技術準備、小範圍試點、大規模推廣、查缺補漏。
“長遠來看,如果我們在這個階段實現作業系統的替代,未來透過逐步淘汰方式,能夠將X86架構替換成為信創CPU硬體平臺的障礙將大大降低。”
他進一步解釋,儘管中國資訊產業也希望能建設一套自己的軟硬體體系,但同時進行軟硬體體系的更換,實際是兩個生態的替換,難度非常大。可以先從基礎軟體、作業系統這個生態開始做相應的替換,之後再替換硬體,過程就會平滑很多。
“Win7停服之後的替代,是我們拿回資訊科技領域主導權最好的機會,錯過這個時間,我們可能還要再等10年。”
作業系統漏洞防護技術方案
作業系統漏洞是作業系統中最大的安全威脅,對0day漏洞攻擊的發現和防護是網路空間安全戰場最重要的決勝點之一。
潘劍鋒在研討會上介紹了Windows作業系統中二進位制漏洞及其利用攻擊的現狀,包括漏洞的型別、成因和利用方法的概述。隨後分析了現代作業系統為解決這些漏洞問題所設計使用的多種防護技術,包括CPU硬體提供的安全特性和作業系統利用硬體特性實現漏洞防護功能的方法、微軟漏洞緩解機制EMET和WDEG的能力與缺失。
為解決停服後的Win7、最新win10在內的作業系統中的0day/nday漏洞威脅,潘劍鋒提出了一套新的漏洞防護機制——全視之眼0day雷達系統, 這套全新系統既可用於Windows,也可以應用於國產系統,這一產品在2019年世界網際網路大會上獲得領先科技成果。
這個產品的架構分為三大部分:ZDR漏洞防禦的終端系統、多維沙箱、智慧決策系統。它的設計理念是要分析各個階段漏洞利用的原理,包括漏洞的觸發、漏洞的利用,漏洞的掃尾,針對包括Win7在內的系統漏洞防禦極其有效。
無疑,Win7作業系統的停服會使國內使用者系統面臨更高的安全風險,但這既是機遇也是挑戰,面對困難和挑戰,我們更應該勇往直前,化困難為機遇,團結一致,支援資訊科技應用創新。