“如果把用户的操作系统比作一道围墙,那么操作系统的安全漏洞就是围墙上的‘洞’,当Windows XP系统停止更新后,围墙上的‘洞’便再也得不到补丁的‘保护’,网络入侵者很容易发现这些‘洞’,这让他们的入侵行为有了更多的可乘之机。”奇虎360副总裁谭晓生作出一个生动的比喻,他强调说,Windows XP系统停止更新所带来的网络安全问题并不是危言耸听,而是已经迫在眉睫,用户应当尽快采取应对措施,以保护自己的数字资产免遭损失。
缺乏修缮的“围墙”
将引发灾难性后果
为什么说Windows XP系统停止更新后,网络安全是首当其冲的问题?对此,谭晓生解释道:“微软公司停止对该系统提供补丁更新,这类补丁分为两类,一类是功能性的补丁,他们对用户的使用并无太大的影响,而另一类是安全补丁,这类补丁和用户的网络安全息息相关。”他进一步介绍说,此前,当操作系统安全漏洞被发现后,微软将采用补丁的方式对这座“围墙”进行加固,而停止更新后,操作系统将得不到补丁的“帮助”,当越来越多的漏洞暴露在黑客眼里时,“围墙”也就形同虚设了。
一旦“围墙”缺乏修缮,那么,墙内的数字财产便将很容易被盗取。“在没有补丁的情况下,用户一个最简单、最平常的操作,都可能引发安全问题。”谭晓生举例,比如用户访问一个网站或者接收一封邮件,就可能让计算机被“挂马”,而攻击者借此拿下这台电脑的控制权后,一方面可能借此窃取国家、企业、个人的网络资产;另一方面,以这台电脑作为“肉机”,对别的电脑进行攻击。
谭晓生解释道,在这种风险下,Windows XP用户将暴露于各种潜在漏洞的威胁下,成为主要受攻击目标;党政机关、重要信息系统、企业用户面临敏感信息被窃取风险;企业重要业务、生产系统有可能因漏洞攻击而不能正常运行;政府、企业、个人的计算机可能成为被境外控制的僵尸主机。
据CNZZ的最新统计,我国仍有高达59%的用户在使用Windows XP系统,而由于诸多信息系统应用均是基于Windows XP环境下开发完成的,在政府机构和大型企业中Windows XP系统的应用比例更是超过60%。微软的停止服务将导致Windows XP系统暴露在各种网络威胁之中,机密信息、应用软件的正常运行都将受到严重威胁,一旦攻击发生将产生难以估量的灾难性后果。
几根“立柱”
不足以保卫整个“围墙”
对此,除了微软公司提出的把系统升级到Windows 7、Windows 8的建议之外,奇虎360、腾讯、金山、百度、瑞星、北信源等安全厂商先后表示将推出Windows XP系统的安全解决方案,谭晓生把目前企业推出的解决方案归纳为三类。
第一类是以“扎篱笆计划”为代表的安全加固类方案。这种办法通过打补丁、修改安全配置、增加安全机制等方法对原有系统进行加固。对于此类方案,谭晓生表示:“相当于发现‘围墙’有漏洞之后,加了几根‘柱子’用以支撑,虽然能在一定程度上提高操作系统的安全性,但并没有为整个‘围墙’做好防护。”此外,Windows XP本身脆弱的防护能力也一直备受诟病,数据显示,从2012年至今,微软发布的136个补丁中,99个是针对Windows XP操作系统的,其补丁数量占比达到了72.8%,因此,在原有系统上进行安全加固并不是最优的解决办法。
第二类解决方案是可信计算。这种方案借助在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。谭晓生表示,这种方式的前提是要确保硬件与操作系统每“走”一步时,上一步都是安全可信的。但是,目前来看,可信链条并不完整,需要专门内置符合可信赖平台标准的模块,这种方式更适合一些专业化的用户,更为“小众”,对于中小企业、普通用户而言,成本、信任依赖仍是他们需要面对的问题。
第三类是360采用四层综合加固立体防护解决方案。这套“组合拳”在Windows XP系统之上由内到外采用了四层防护手段,包含加固、修复、隔离、安全策略自动化等多项举措。
以“组合拳”
守护Windows XP安全
在这套“组合拳”中,系统加固是核心手段。由于系统加固方案技术难度非常大,需要充足的攻防对抗安全积累才能做到。因此,即使是微软也只是在最新的Windows平台中实现部分加固功能,360在微软已有成果之上,将所掌握的14种加固技术全部实现。
热补丁修复方案是在系统底层对XP漏洞实施精确的“外科手术”,彻底根除漏洞病灶。对于用户而言,热补丁修复技术无须重启系统,可以在系统持续运行的状态下实施“手术”,正因如此,这种修复方式需要对XP系统底层架构和代码有非常深刻的了解,否则极易造成系统的崩溃而影响业务正常运行。谭晓生介绍,360公司20次先于微软制作、发布热补丁,并在超过4亿终端上稳定运行,研发了自动化漏洞挖掘技术,仅2014年1月就挖掘出近60个微软IE浏览器漏洞,有足够丰富的“临床经验”去实施“手术”。
对于隔离手段,谭晓生表示,通过长期跟踪发现,漏洞级安全威胁主要集中在少数应用之上,因此对这些危险应用的监控是解决漏洞安全问题的重要一环。他介绍,360采用安全沙箱的技术手段对这些危险应用的使用进行隔离,保证在这些应用遭受攻击的情况下不会对用户的XP系统产生安全威胁。
对于“非白即黑”的安全策略,谭晓生介绍说,360建立高纯度文件白名单库,仅允许白名单库中的文件在系统中运行,而所有未在白名单库中的文件均被禁止在XP系统上加载、运行,这就能在理论上保证所有通过XP系统漏洞渗透进来的恶意代码均无法在XP系统上实现攻击。
谭晓生坦言,这套“组合拳”是解决Windows XP安全问题的“过渡方案”,却并非“标本兼治”的终极解决办法。他表示,这套方案在3~5年的时间内能够当好Windows XP的“守护者”,当有安全威胁发生时,能够快速将这些“不速之客”拦截在“洞”外。但Windows XP终将退出历史舞台,最根本的解决办法还是需要国产化操作系统的勇担重任。他最后强调,面对国家间网络战的日益升级,以及网络安全空间的变幻莫测,Windows XP停止更新事件也为我国的网络安全敲响警钟,让政府、企业、用户更加重视网络安全问题。
|
