2020年初,微软宣告对 Win7 系统停止官方技术支持、软件更新和安全问题修复。在当下中国政府、企业和个人用户大量使用Win7的情况下,微软停止对Win7的维护,影响可谓深远。铁流认为,要在相关单位和企业进行Win7替换,必须结合实际情况循序渐进。不宜搞行政指令强推,或搞大干快上。而应当以是否具备实现安全可控的能力为基准,在确定一定门槛的基础上,让用户和市场去选择。国产操作系统的发展必须尊重客观规律,相关部门宜基于市场的现实状况制定游戏规则。
微软停止对Win7技术支持 安全隐患与日俱增
在2015年,微软推出了Win8,不知是Win7太过成功,还是用户已经习惯了XP和Win7,使Win8在问世之后遭遇了滑铁卢。如今,Win10遭遇了Win8相同的问题,在发布Win10的时候,微软定了一个小目标,3年达到10亿用户。然而,Win10如今的用户数为7亿人,虽然成为继Win7之后第二大操作系统,但与微软的期待仍有差距。软件是有生命周期的,也是在不停升级换代的,从软件版本管理角度,也不可能无限维护某个旧版本。因此,微软停止对Win7技术支持有利于促使客户把Win7升级到Win10,并降低软件维护成本。
一直以来,Win7 被认为是安全的,主要是因为相关单位审查了Win7 的源代码后,没有发现严重的后门和安全隐患。之后Win7 被列入政府采购名录,并在政府、国企、事业单位中大批量应用。不过,在微软放弃对Win7的技术支持之后,Win7的安全隐患与日俱增。
就在微软刚刚宣布放弃对Win7的技术支持后,安全研究人员就发现了0day漏洞,此次捕捉到的0day漏洞洞可以分别利用IE、火狐等浏览器进行攻击,植入病毒或对目标进行监控。目前,这个漏洞已经被反馈给了微软,但微软对此无动于衷,未针对IE做出更新,相比之下,火狐浏览器已经针对这一漏洞进行了修复。微软之所以对新漏洞无动于衷,究其原因还是基于商业逻辑,通过各种方式“逼迫”用户放弃Win7,选择Win10。
当下,政府和国企大量装载Win7,其中关键信息基础设施Win7占有率达到了60%以上,部分行业甚至可以达到70%。在微软停止对Win7进行技术支持情况下,攻击者可以利用Win7的漏洞危害中国政府和企业的信息安全。
2017年,永恒之蓝就在全球大规模爆发,近年来,利用Win7系统漏洞正频繁出现。由于Win7市场份额巨大,在微软放弃技术支持后,必然被全球黑客戳的千疮百孔,随着时间的推移,Win7的安全隐将患与日俱增。
Win7、Win10、Linux三个选择利弊分析
当下,我们有三个选择,一是继续延用Win7,甚至是老版本Win XP;二是把系统升级到Win10;三是把系统从Win切换到Linux。铁流认为,三个选择各有利弊。
首先是继续使用Win7。这是成本最低的方案,因为软件和硬件都不用变,用户也不需要改变自己的使用习惯。但安全风险会随着时间推移越来越大,对于个人用户而言,继续使用Win7是最具性价比和可行性的选择,但对于政府和国企而言,替换Win7势在必行,时间拖得越久,风险越大。
其次是使用Win10。好处是既可以替换掉Win7,又不会像切换到Linux那样付出高额平台迁移成本。不足之处为Win10是由微软开发的,如何吃透Win10的技术,掌握Win10技术细节是一大难题。
三是切换到Linux上。这个做法好处是可以彻底和微软做切割,但不足也非常明显,那就是国产Linux操作系统不成熟,用户体验达不到Windows的水平,且缺乏软件生态,平台迁移的资金成本和时间成本非常高。另外,Linux虽然开源,但开源未必等于安全可控。Linux在安全方面相对于Windows的并无多少优势。
国产Linux本质上是“舶来品”
当下,有一种观点认为,国产Linux操作系统基于Linux发行版进行修改是自主研发,铁流认为,这种观点是值得商榷的。
从本质上看,Linux是“舶来品”。虽然Linux是开源的,但国内公司贡献的代码相对有限,国内诸多Linux操作系统公司实力有限,所做的工作并非是自建内核,或从内核搭建的系统,而是修改别人的发行版(Fedora、Debian),也就是不少网友调侃的“换皮”。
国产Linux操作系统必须紧跟国外Linux开发者和英特尔、IBM/红帽等公司。国产Linux是从国际社区获得源代码,然后基于这些源代码略作修改开发的操作系统,虽称其为“国产”,但谈不上有多“自主”。
当下,国产Linux操作系统做大的问题是开发能力弱,不要说像红帽那样自己搞一个Fedora,即便是在Linux内核更新和OS版本号更新上,能够与上游保持同步都非常吃力。真正的自主操作系统,如果可能的话,自然是从内核从零开始自己写,退而求其次,那么则是学苹果或红帽那样,基于BSD、Linux内核开发自己的操作系统。对于基于Linux发行版再做修改的OS,只能冠以国产,不适合标榜自主可控。如对此有异议,铁流只问一句,国内哪家Linux操作系统厂商敢保证,已经吃透Linux所有技术细节,自己的产品不存在后门呢?
开源不等于安全 安全可控的关键在于技术和能力
诚然,由于Linux开源状态下,全球安全研究人员都可以进行审查,使其“相对透明”,“相对安全”,但Linux连续不断被发现存在漏洞,也说明开源软件并不等于无懈可击。
由于Linux的代码大部分都是洋人写的,且代码审核的权限绝大部分不在中国人手里,以及即便将Linux内核视为“无懈可击”,这种“换皮”的做法依然存在一定风险了,因为从内核变成系统的过程中有太多风险,很多东西可以混进去。
另外,目前,Intel、红帽等美国科技公司拥有较高的代码贡献率,而西方科技公司一贯有配合美国情报部门的传统——这一点,斯诺登已经在棱镜事件中披露了。
因此,不排除西方科技公司在贡献Linux代码的时候,事先就植入了后门(这些后门被发现后就称为漏洞)。甚至,不排除一些Linux代码贡献者本身就是CIA、FBI的特工。
这就导致即便Linux开源,也无法保证国产Linux操作系统的代码中不存在西方科技公司事先埋入后门的可能性。
如果Linux在相关单位的应用量不断扩大,那么,无疑会失去所谓“Linux 不能跑 Windows 恶意软件”的“天然屏障”,专门针对桌面 Linux 环境的安全风险也将不断被制造出来。正如当下存在海量针对安卓系统的恶意软件。
可以说,是否开源并非安全可控的关键,是否具备足够强的代码审核能力和开发能力,才是问题的关键所在。只有国内企业能够把开源代码彻底吃透,并且能够依赖自己的能力自我迭代,即便将来川普制裁,国内厂商也能摆脱国外技术支持自己走下去,实现“青出于蓝而胜于蓝”,这才是真正的安全可控。
由市场去选择 让用户来决定
当下,关键信息基础设施Win7占有率达到了60%以上,部分行业甚至可以达到70%,并且大量业务应用基于Win7或IE浏览器开发,短期内迁移到其他系统的难度极大。对于政府、国企等对信息安全性和可靠性非常敏感的用户,即便在行政指令下切换到Linux,也必须有一个循序渐进的过程,不可能一蹴而就。
因此,替换Win7是一个系统性工程,不可能通过一个红头文件就能在短时间实现。
然而,当下一些企业已经将OS替换作为其在资本市场呼风唤雨的契机,各路资本寡头也蠢蠢欲动,俨然一副国家投资,大家分肉的架势,这并不利于相关单位实现信息安全可控。
目前,国产Linux厂商并不团结,为了获得市场优势过度宣传,恶性竞争,不利于促进国产Linux协调发展。
长远来看,只有能够实现技术自我迭代,自我发展才是正道,而遵从市场规律,由市场引导,让用户来选择,循序渐进,“打鸡血”式的行政指令和过度干预只会引来秃鹫和鬣狗,无助于行业的健康成长和进步。
还没有评论,来说两句吧...