编者按:2014年4月8日,微软停止对Windows XP的技术支持服务。作为有史以来服务时间最长的操作系统,其终结留给我们的不仅是回忆,更促使我们从战略层面思考自主可控的国产之路。“XP停服”事件直接推动了当前国家对桌面操作系统的替代进程,间接推动了IT软硬件产品国产化,而且也将信息安全推到了前所未有的关注高度,成为中国从网络大国走向网络强国的初次考验。
“棱镜门”事件在曝光美国进行大规模监控的同时,也揭露了信息技术不可控的风险,后续影响一直处于持续发酵但尚未爆发的状态。“XP”停服事件则成了引爆的导火索,将对信息技术可控性的关注提高到了战略层面,而且已经推动国家与社会走向自主可控的信息化道路。
就“XP”停服事件本身来看,确实存在Windows XP操作系统“超长期服役”的事实,其自身的安全防护能力已难以应对日益严峻的威胁环境,在功能、性能与硬件支持能力等方面也难以跟上信息技术发展趋势。但是由于各种复杂的原因,XP系统依然在各个领域有难以忽视的占有率,在自助提款机(ATM)等较为封闭的领域具有主导性的占有率。微软公司也确实多次延长对XP系统的服务支持,因此此次停止XP系统服务支持的行为也符合商业惯例,而其借机推动Win8操作系统的动机也是大家早有预期的。
但是将“XP”停服事件放到深受“棱镜门”事件所影响的大环境中来看,软件巨头微软的这一商业行为就变得不那么简单了。首先,由于美国IT巨头在“棱镜门”事件中被揭露与美国情报机关长期合谋,我国用户对微软等软件公司操控市场行为的疑虑,已经从产业层面提升到国家安全层面,此时微软公司强行停止对XP系统的所有服务支持并强制要求升级,事实上印证了软件巨头利用占有率操控市场而我们缺少反制能力。其次,由于“棱镜门”事件曝光了一系列流行软硬件产品可能存在植入后门,我国用户对于软硬件产品的安全可控性高度关注,微软公司以“XP停服”的方式强制要求我国用户升级到可控性更不平衡的Win8操作系统,自然会引起我国用户的高度警惕。
同时,随着我国信息化水平的快速提升,推动我国信息技术产业发展已成为重要的战略议题。而我国信息技术产业长期“重应用、轻基础”的发展模式,导致我国不得不在缺少可替代方案的情况下长期依赖国外巨头的IT产品。虽然我国信息技术产业界一直致力于国产化的IT产品研发与推广,但是由于与国际主流IT产品存在客观的能力差距,以及由于缺少对于可控能力的关注,国产化IT产品难以真正成熟并缺少广泛应用的空间。“棱镜门”事件将对IT产品不可控风险的关注度提升到前所未有的高度,此时发生的“XP停服”事件一方面为致力于推动国产化的产业界提供了重要的事实依据,另一方面也因为微软的举措而在桌面操作系统领域创造了取代替换的机遇。
诚然,站在国家安全以及信息技术产业发展的角度来看,在信息技术的各个领域都必须具有可控的替代方案。从近年我国信息技术产业发展的情况来看,虽然国家与产业层面对于国产化工作高度重视,但是实际效果却不容乐观。桌面操作系统一直是信息技术国产化的关注重点,而“XP停服”事件恰恰“引爆”了这个“火药桶”,特别是推动我国从国家到产业的各个层面开始重新审视信息技术领域的现状、重新评估国产化替代的必要性与可行性。“棱镜门”事件所揭示的一系列不可控风险威胁,使提升我国信息化所依赖的信息技术产品安全性与可控性变得刻不容缓。
随着开源软件的快速崛起,国内外互联网巨头在开源软件的基础上取得了不容忽视的成果,特别是在服务器软件、云计算与大数据等领域已出现超越传统商业软件的趋势。随着移动互联网的崛起,基于FreeBSD与Linux开源操作系统平台的Apple iOS与Google Android操作系统已成为智能手机与平板系统领域的主流选择,更是打破了多年延续下来“只有Windows操作系统才能满足用户体验”的神话。从这些成功经验来看,以开源软件为基础发展替代方案,从而打破对国外商业软件的过度依赖局面,不失为一条可行的道路。另一方面,“棱镜门”事件揭露了“黑盒子模式”的主流商业软硬件产品确实存在被植入后门并用于破坏我国国家安全的情况。而且随着信息安全技术的快速发展,大家也逐步意识到如果缺少可控性保障作为前提,信息安全防护难以真正奏效。我国作为一个网络大国,如果缺少有效地安全防护能力,快速发展将难以得到保障。所以随着对网络安全关注度的提升,如何提高信息技术的可控性保障能力已成为不可回避的战略问题。
因此,发生在我国信息化发展重要阶段的“XP停服”事件具有重大的意义。
“XP停服”事件直接推动了对桌面操作系统的替代进程,间接推动了对IT软硬件产品的替代进程,而且也将信息安全推到了前所未有的关注高度。在“XP停服”事件发生之后,强调信息安全的信息技术产品国产化替代进程快速启动,在2014年一年时间内得到产业界的普通认同,并成为“十三五”信息技术与信息安全规划的重要内容。
与以往的信息技术产品国产化尝试不同,由于“棱镜门”事件与“XP停服”事件的影响,这一次国产化替代进程将信息安全与自主可控作为核心目标,国产操作系统的开发与推广成为备受各方关注的焦点工程。但是萦绕多年的“全国产化”期望值,可能对安全可控的现实目标,以及基于开源软件实现自主可控的可行道路,带来较沉重的负担。从信息安全角度来看,片面强调“全国产化”而割裂软硬件产品与开源软件生态圈的联系,不仅不能提高可控保障,反而可能带来更多的安全风险,从而客观上导致安全可控能力下降。因此在操作系统国产化工程快速推进的同时,如何平衡好供应链、技术能力与安全防护等方面的可控目标并确定现实可行的发展模式,已成为可能影响国产操作系统成败的关键因素。同时,如何全面分析所依托基础开源软件做到真正可控,如何采取积极措施切实保障自主可控替换产品的安全性,成为必须努力推动的重要工作。
“XP停服”事件也使得国家与社会各层面日益关注重要信息系统所依赖基础软件的安全与可控性。国内外互联网企业利用开源软件实现了内容分享、社交网络和电子商务等多样化的互联网服务,其服务规模与技术先进性远远超越传统信息技术应用。因此信息技术产业界出现了“去IOE”的呼声。结合各方面形势与现状情况,我们可以理解“去IOE”并不是简单针对某几个软硬件巨头,而是意味着以开源软件等可控性更高的技术开展信息技术应用革新,打破传统信息技术应用对国际软硬件巨头产品盲目依赖的局面,同时尝试提升国产化程度与安全防护能力。但是在2014年内,“去IOE”的呼声也确实对产业界与用户造成了一定程度的困惑,包括在某些特定领域是否存在可替换性的争议,以及对于在替换产品自身能力存在差距时是否必须“教条”替换的疑虑。可以预期在走向基础软硬件产品自主可控的道路上,我们需要扎实提升自主可控软硬件产品自身的技术水平与能力,在功能、性能、稳定性与可靠性等方面赶超国际主流商业产品。
“XP停服”事件后,媒体的跟踪报道也将WIFI无线网络和智能终端等领域的安全问题带进了公众视野。在大量安全问题被曝光后导致的恐慌影响下,政府与企事业单位在信息安全管理方面变得空前谨慎,特别是对于智能手机这一类功能强大但可控性低的移动终端在工作中的应用产生了疑虑,甚至出现了禁止公务人员使用智能手机的呼声。同时,当前智能移动终端广泛应用前景与较低安全可控性的矛盾,推动了安全智能移动操作系统和终端设备的研发与推广。
值得一提的是,在“XP停服”事件带动国产化自主可控替代进程的大环境下,在2014年下半年部分国际信息技术产业巨头采取了开放源码、技术转移与合作投资等形式,尝试与我国信息技术产业界合作,从而应对可能丢失市场占有率的风险。因此在国产化自主可控替代的大形势下,如何通过合作切实提升信息技术的安全可控能力,对于我国信息技术产业界是重要的机遇、挑战与考验。
同时,信息系统安全可控,不仅要依靠自身各个环节的安全能力增强,更要建立纵深防御的层次和屏障,这就需要有强有力的网络安全厂商提供安全产品和服务。而核心信息技术产品安全可控之路将非常漫长,其全程也都需要安全产品提供的能力保障,可以说信息技术自主可控之路,首先应该确保安全产品和安全技术的自主可控。从2013年初安天获得AV-TEST年度移动安全奖项,到国内多个安全厂商全年都在各种反病毒等国际测试中有上佳表现,以及国内多个厂商在心脏出血、破壳等漏洞的快速响应来看,国内正在形成包括国家队、大型互联网安全厂商、信息安全上市企业、新锐安全创新企业在内初具层次和规模的信息安全产业格局。“XP停服”也是他们正在直面的诸多风险之一。
总体来看,“XP停服”是我国信息技术发展历程中一个具有转折意义的事件,推动我国信息技术走向一条必须成功的自主可控发展道路。为了确保走向成功,我们需要理顺“国产化”与“开源技术自主可控应用”的关系,明确安全可控的目标,摸清自身信息系统和产品的真实家底,实现供应链的透明化,治理“假国产、真贴牌”等问题,切实提升基础软硬件产品的技术水平与能力,并且采取积极措施保障自主可控软硬件产品的安全性。
(作者单位:中油瑞飞)
(文章来源:中国信息安全)
| 相关专题 |
| · 专题报道 |
