XP停止服務對軍工單位信息系統的影響及對策

□ 黃次輝

微軟公司4月8日停止Windows XP操作系統服務，由于軍工單位大量使用XP操作系統，因此應積極采取措施，應對軍工單位信息化建設及信息安全保密面臨的安全風險

事件背景

微軟公司將于2014年4月8日停止Windows XP操作系統服務,包括不再開發補丁包，不再提供定期推送的安全保護服務，同時停止已有的補丁包下載服務。微軟中國官方微博表示，已與騰迅等國內互聯網安全及防毒廠商合作，為中國使用XP的用戶繼續提供獨有的安全保護。

據國內外信息安全界分析，微軟停止XP操作系統服務將對信息安全帶來重大影響：XP停止服務后，安全風險將明顯提高，有些顧客可能囤積XP的零日漏洞，在4月8日后使用。

大型軟件在設計過程中存在很多缺陷，會在使用過程中逐步被發現，軟件開發商發布補丁程序來彌補這些缺陷。在缺陷發現以后、補丁程序發布以前，這些缺陷被稱為零日漏洞，因為沒有補丁包，攻擊者或惡意程序利用這些缺陷可輕易地達到攻擊目的。為了逃避補丁包的圍堵，最大限度地利用零日漏洞，掌握零日漏洞的個人或組織會等到4月8日以后再使用。由于微軟不再開發補丁包，對于XP而言，4月8日以后被發現的漏洞將是永遠的零日漏洞。

英國政府網站于2月4日公布XP終止服務風險控制指南。美國也有安全公司專門為政府提供該類服務。

趨勢科技對XP停止服務的影響進行了大量分析，在最近公布的關于2014年安全形勢預測報告中，認為XP終止服務是2014年的一項重要安全風險，并推出解決方案。

聯想發布技術白皮書，認為XP終止服務帶來的技術風險、可靠性與兼容性問題及潛在的財務負擔，是企業的一場惡夢。

國家計算機病毒應急處理中心聯合北京北信源軟件股份有限公司發布《Windows XP系統安全狀況調研報告》。報告顯示，在政府企業用戶群中所抽樣的121萬臺電腦設備中，XP系統所占比例高達72.6%，44.4%的用戶表示在微軟停止XP支持服務后仍然會繼續使用XP系統。

微軟與騰訊、聯想合作，推出“扎籬笆計劃”，在微軟終止XP服務后，由騰訊、聯想提供支持服務。北信源也推出一款終端防護產品作為解決方案。

對軍工單位信息系統的影響

長期以來，XP系統廣泛應用于國防科技工業信息系統和科研生產活動，微軟公司停止XP操作系統安全服務將對軍工單位信息化建設及信息安全保密帶來一定的安全風險，主要表現在：

一是使用XP的計算機變得更脆弱。由于沒有補丁更新和微軟的安全服務，容易受到病毒、木馬及其他惡意程序的攻擊。防毒軟件不足以保護系統的安全，有研究表明，殺毒軟件對新病毒的發現概率在5%以下。

二是缺少軟、硬件應用廠商對XP的支持。一方面，商家將逐步停止已運行在XP上的應用；另一方面，新開發的軟硬件不再支持XP。

三是XP終止服務后對信息系統的改造、防護任務艱巨。有的XP操作系統不得不繼續長期使用，繼續使用的安全防護是一個難點；有的不得不放棄并進行改造，改造過程慢長、艱苦、昂貴，但也是軍工單位信息化改造的一個良好機會。

對策建議

1.短期以內，建議軍工單位采取以下防范措施：

第一，對于涉密信息系統，認真落實輸入輸出控制及病毒與惡意代碼防護要求。嚴格檢查來自互聯網的輸入信息，嚴格控制可執行程序輸入涉密信息系統。

第二，用于連接互聯網的設備，應盡早更換操作系統或采取加固措施。如果在4月8日后尚未采取措施，應使用國內與微軟合作廠家所提供的安全服務或斷開與互聯網的連接。

第三，做好重要信息系統的備份與應急工作。對于企業組織管理、科研生產具有重要意義的數據和系統，應做好備份，做好應急響應預案，避免病毒、惡意程序、網絡攻擊等突發事件造成的損失。同時，加強系統監控審計，及時發現信息系統中存在的異常事件，避免攻擊或惡意程序進一步擴散。

第四，最小化XP設備功能與權限。可以采取的措施包括：加強XP安全配置，如限制管理員權限、關閉不必要的端口與服務、禁止介質的自動運行等；將對郵件、Web 瀏覽、文件共享等數據源的訪問最小化；采用可執行程序白名單控制。

第五，嚴格網絡區域分隔與邊界控制措施。可利用交換機、防火墻、應用網關、入侵檢測等設備，做好網絡區域分隔，防止惡意代碼與攻擊行為擴散。

2.XP用量大、使用方式復雜的單位，建議制訂改造計劃，對改造方案進行深入的風險分析，可能的改造方案包括：

繼續使用XP系統，加強防護；

升級或更換操作系統，如使用國產操作系統；

采用瘦客戶端、虛擬化、云計算等技術，結合信息系統升級改造，加強集中管理，減少對客戶端操作系統的依賴程度。

每個方案都有各自的優缺點，需要在長期的使用中不斷維護和完善。當前有的解決方案尚在論證、實驗過程中，有關管理要求和技術標準也還有不明確之處，建議關注各方面動態，及時吸納有關經驗。改造方案及改造過程中的安全保密存在一系列不可回避的難題，因此對涉密信息系統的改造一定要按分級保護要求進行管理。

3.深入研究XP停止服務對策措施。如：繼續使用XP系統的設備與涉密網絡的保護，作為XP潛在替代方案的Windows 7和Windows 8.1與現有軟硬件應用的兼容性、安全隱患與應對措施，國產操作系統在軍工行業的應用，瘦客戶端和桌面虛擬化技術應用于涉密信息系統的可行性、安全隱患與應對措施，企業私有云的可行性與安全保密管理，后XP時代及新形勢下的軍工信息安全保密等問題。

4.與國內提供XP安全保護的廠商加強合作。

結合保密資格要求和分級保護要求，開發針對國防科技工業涉密信息系統的XP加固技術手段，組織核心技術服務團隊，為軍工行業快速有效加固XP系統及網絡提供支持，優先保障涉密信息系統與重要設備的安全。