后XP時代我國信息安全防護措施研究

張德棟，周澤巖，姚洪磊

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

技術前沿

后XP時代我國信息安全防護措施研究

張德棟，周澤巖，姚洪磊

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

2014年4月8日，微軟公司宣布XP操作系統正式退役，這對運行在XP操作系統下的信息系統安全防護提出了新要求。本文對后XP時代信息安全面臨的隱患進行了分析，提出了后XP時代信息安全防護措施及我國信息安全建設建議。

后XP時代；安全防護；自主可控

隨著信息技術的發展，我國信息化水平達到了前所未有的高度，對信息系統的安全防護也提出新的要求。作為信息系統主要載體的主機操作系統安全顯得至關重要。2014年4月8日，微軟公司宣布XP操作系統正式退役。因此，在后XP時代，我國信息系統安全如何防護已成為我國信息化建設面臨的重要課題。本文對后XP時代信息安全面臨的隱患進行分析，提出防護措施及我國信息安全建設建議。

1 后XP時代的背景和特點

2014年4 月8日，微軟正式停止對Windows XP的技術支持，不再提供XP更新升級和打補丁服務，使全球數億XP用戶的電腦失去了官方的保護。如果用戶繼續在電腦上使用停止服務的XP操作系統，則受到黑客、木馬等攻擊威脅的風險將增大，造成信息泄露、系統癱瘓、財產損失的潛在風險將會顯著增加。根據《2012年度中國軟件盜版率調查報告》數據顯示，在我國XP系統的市場份額高達73.5%。微軟對XP的服務已經停止，但據某知名調研公司針對40 000個網站每月1.6億獨立訪客的研究發現，XP操作系統的市場份額依然堅挺。國內著名信息安全公司針對XP操作系統安全狀況進行調研，調研結果顯示63.6%的用戶認為XP停止升級對其有一定影響或影響很大，但仍有44.4%的用戶選擇繼續使用XP系統。在被調查的終端中，使用XP系統的占比達到72.6%，而在軍工行業中的比例達到93%，在政府行業達到86%。如：在鐵路行業里絕大部分客票售票終端、TVM售票終端采用了XP操作系統。2014年5月8日，在第15屆中國信息安全大會上，中國工程院院士沈昌祥指出全國約有2億臺運行XP操作系統的終端將面臨無人服務的局面。由此可見，雖然微軟對XP操作系統停止了技術支持，但對XP的使用卻沒有停止。對于個人用戶而言，使用新的操作如Windows 7或更高版本可能是應對XP終止服務的不錯選擇。但對于政府、企事業單位而言，由于大量運行Windows XP的計算機在硬件配置上無法支持系統升級，或者由于預算等原因，不能全面終止或者替換XP系統。因此，在將來的一段時間內仍然有大量的用戶使用XP操作系統。在繼續使用XP操作系統的時間里，加強計算機操作系統的安全，有效降低安全風險，是目前迫切需要解決的問題。

2 后XP時代信息安全隱患分析

對于之前版本的Office只發補丁，卻不會同步最新的安全機制。這樣基于封頂環境的IE、Office軟件的APT攻擊將成為XP停止服務后的又一安全威脅。

2.1 漏洞威脅

XP停止服務帶來的威脅首先就是系統漏洞得不到官方修補。XP漏洞數量近幾年呈現逐年增加的趨勢，這與微軟操作系統的演進過程密切相關。從早期的Windows 到Win XP、Vista、Win7等一直都沿用了NT架構，長期的持續迭代開發過程和大量復用的代碼，形成了漏洞的關聯關系，也就造成了漏洞的大面積重疊。Windows XP停止服務后，國內不少殺毒軟件廠商承諾將繼續為Windows XP用戶提供安全升級補丁以及相關產品的解決方案。然而，業內專家認為，第三方軟件雖然可以彌補一些漏洞，但是并不能夠做到面面俱到，這對解決病毒、木馬攻擊的行為有一定的作用，但對漏洞、后門、遠程執行代碼、遠程攻擊等能夠起到的作用是有限的。Windows XP停止官方支持后，諸如后門、遠程執行代碼等網絡威脅一旦攻向終端，僅依靠終端殺毒軟件一層防護是遠遠不夠的。

2.2 病毒及木馬攻擊的威脅

計算機病毒、木馬威脅是日常網絡安全防護中最普遍的網絡威脅，后XP時代，快速識別并防御利用新病毒、新木馬發起的攻擊行為，難度進一步增加。采用威脅特征碼匹配識別攻擊行為的傳統安全設備和安全手段暴露出極大的弊端。攻擊行為識別的準確率受限于本地特征庫容量和更新延時的問題，對于新的病毒、木馬并不能做到全面、快速的防護。代碼特征的檢測技術對于新漏洞引發的未知威脅則束手無策。由于XP停止服務，木馬、病毒利用新的安全漏洞產生的攻擊行為將對XP用戶造成巨大損失。

2.3 軟件環境封頂造成APT攻擊的威脅

XP系統停止服務后，給一些軟件帶來新的問題。如在XP停止服務后，IE8未來也不會再得到相應的系統補丁更新。這樣，攻擊者就可以基于XP上封頂版本的IE瀏覽器進行集中攻擊。關于Office版本的封頂問題，XP最高支持到Office 2010，雖然微軟一直在改善其主要應用程序內建的安全機制，對于2013版以后的版本，會持續的改善其安全機制，但

3 后XP時代信息安全防護

3.1 加強政府引導

加強政府引導，防止Windows 8系統進入我國政府和重要行業。

微軟停止對XP系統的支持目的之一就是要力推Windows 8系統，然而回顧2006年微軟發布Vista操作系統時，當時國內有關專家對其進行評估，確認Vista的架構會使用戶電腦被微軟高度掌控。用戶開發的軟件需得到微軟的授權后才能運行，不能自己更改系統。即使改一個字節也會被發現，其結果是Vista沒有進入我國政府采購目錄。Windows 8和Vista是同類架構，Windows 8與可信平臺模塊（TPM2.0）綁定，對用戶控制能力超過Vista。Windows 8還捆綁了微軟的殺毒軟件，時刻在檢查用戶終端，隨時可以給用戶電腦下載補丁，更容易為“棱鏡”項目等監控手段提供支持。如果讓Windows 8系統進入我國政府及重要行業，我國的信息安全建設將更加被動。

3.2 建立第三方漏洞修復和補丁分發體系

建立第三方漏洞修復和補丁分發體系，保證XP系統短期安全過渡。

在我國國家信息安全漏洞庫的支撐下，以國內信息安全企業為依托，加大漏洞分析資金投入和Windows XP 安全漏洞的收集力度，建立漏洞信息共享機制，建立Windows XP 第三方安全補丁研發體系，形成一批XP系統的安全加固方案和針對各種應用的安全加固能力。同時，以國家信息安全測評中心為主導，集結各信息安全企業的力量對第三方開發Windows XP 補丁可能存在穩定性、兼容性和性能等多方面問題進行測試，保證第三方開發的Windows XP補丁的實用性和時效性。利用已有補丁分發機制，向社會公布推廣，通過數字簽名等技術保證補丁分發過程中的安全性和完整性。

3.3 加大XP系統防護技術的研發力度加大XP系統防護技術的研發力度，保證XP系統一段時間內安全運行。

發展自主可控的國產化操作系統一直是我們努力的目標，國產操作系統完全取代國外操作系統還有很長的路要走。在一段時間內，Windows XP系統還將繼續使用。因此，應通過構建產業聯盟，整合國內信息安全優質資源，研究Windows XP系統的安全防護技術。研究利用可信計算、主動防御、安全云服務、云殺毒、黑白名單等技術，實現對XP系統的漏洞修復、實時殺毒等操作。

3.4 加強自主可控的核心軟硬件建設

加強自主可控的核心軟硬件建設，實現國產化產品的健康替代。

XP系統停止服務，給我國帶來嚴峻挑戰的同時也帶來機遇。國家應加強政策引導，發揮市場在資源配置中的作用，建立健全信息安全產業生態環境，通過協同攻關，到2020年形成PC終端、手機、嵌入式每種類型1~2款成熟的國產操作系統，充分運用自主創新的可信計算技術，研發滿足不同應用需求的國產操作系統以及相應的應用開發、測試等工具，具備對國外PC和移動終端操作系統的替代能力。

3.5 加大創新力度

加大創新力度，研制世界領先水平的操作系統產品。

以Windows XP 停止服務事件為契機，加大技術創新力度，形成完全自主可控、安全可信、具有世界領先水平的操作系統品牌，構建安全可信的信息安全防御體系。

4 結束語

XP停止服務后，XP操作系統還將在國內持續使用一段時間，如何防御XP使用期間安全威脅，降低安全風險是目前要解決的問題。棱鏡門事件和Windows XP 停止服務事件為我國信息安全敲響了警鐘。正如中國工程院院士倪光南所說，應對Windows XP 停止服務這一時間需要作長期打算，不僅是為了減輕近期風險，而且還要大大增強長期的信息安全，既要立足眼前，更要著眼未來。

[1] 惠志斌，王瀅波. 后XP時代中國信息安全何去何從[J].社會觀察，2014（3）：37-38.

[2] 吳勇毅. “后XP時代”，企業信息網絡安全市場的挑戰與機遇[J] . CAD/CAM與制造業信息化，2014（6）.

[3] 周 昊. 跨越Windows XP時代[J].中國計算機報，2008（6）.

[4] 許麗萍.后XP時代，中國信息安全再度敲響警鐘[J]. IT時代周刊，2014（9）.

[5] 胡建斌. 構建后XP時代的“金甲防線”[J].中國信息安全，2014（3）.

責任編輯 陳 蓉

Measures to defend our information security after XP era

ZHANG Dedong, ZHOU Zeyan, YAO Honglei
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

On April 8, 2014, Microsoft announced that windows XP service off i cially retired, which put new demands on security for Information System running on Windows XP Operating System. The paper analyzed the threats of information security after the XP era, and given some security measures and suggestions for information security protection.

after XP era; security protection; independently controllable

U29-39

A

1005-8451（2015）02-0069-03

2014-10-08

張 彥，研究員；張德棟，助理研究員。