國產操作系統迎來最好時代

王哲

在國家強力政策推動及下游需求快速提升的雙重作用下，網絡安全和自主可控領域正在迎來行業大爆發，能夠充分防范“永恒之藍”等外來病毒侵襲、各方面日臻成熟的國產操作系統的最好時代已經漸行漸近。

不久前，基于“永恒之藍”攻擊模塊衍生出的“想哭”勒索病毒（WannacryRansomware）肆虐全球，讓全世界的Windows設備使用者深刻體驗了一回想哭的感受。紛擾過后，冷靜下來的各方開始冷靜思索：這次病毒大爆發的始作俑者——美國國家安全局（NSA）泄漏的攻擊模塊遠不止“永恒之藍”（ETERNALBLUE）一種，借助已有攻擊框架二次開發病毒的難度之低難以想象。可以預見，一大波未知的病毒正在來襲的路上。這一點讓人細思極恐，我們究竟該如何應對？

眾所周知，中國信息安全一直存在“三大黑洞”：芯片、操作系統和數據庫。在網絡安全已經成為國家戰略的今天，這3個層面的安全也就成了關鍵信息基礎設施中的核心所在。今年6月1日，《中華人民共和國網絡安全法》正式實施，其明確了對關鍵信息基礎設施運行安全的要求。聯系到去年12月27日發布的《國家網絡空間安全戰略》，在國家強力政策推動及下游需求快速提升的雙重作用下，網絡安全和自主可控領域正在迎來行業大爆發，能夠充分防范“永恒之藍”等外來病毒侵襲、各方面日臻成熟的國產操作系統的最好時代已經漸行漸近。

“互聯網行業的苦行僧”

十幾年前，曾是中國Linux公社（Linux fans）早期發起人和重要參與者之一，MagicLinux開源社區版本創始人的黃建忠做出了一個徹底改變他人生軌跡的選擇——投身中科紅旗，開發國產基礎操作系統，他參與或領導了863、核高基、長風聯盟等眾多操作系統的開發課題或項目，主持開發了符合國家標準的藏文、維哈柯文等民文Linux操作系統。“誰把握了操作系統這個核心，誰就能贏得IT產業的主動地位。”當時Windows搶占了世界90%以上的電腦，國產操作系統的市場還是一片空白。

早在上世紀70年代，國內許多科研院所就已經參與到Unix自主操作系統的研發中。伴隨著上世紀90年代Linux操作系統的誕生，其憑借開源特征得以迅速取代Unix成為國產操作系統開發的主流，國家也逐漸意識到自主操作系統對網絡安全的重要性，中軟Linux、中科紅旗等一系列國產操作系統廠商應運而生。“如果我比別人看得更遠，那是因為我站在巨人的肩膀上。”正是來自開源的優秀技術力量，使國產操作系統從一誕生就站在巨人的肩膀上。他們以Linux為基礎二次開發的操作系統經過多年的發展，無論是在布局還是操作方式上都和Windows XP所差無幾，在易用性等方面基本具備Windows XP替代能力。然而，黃建忠真正走進市場才知道，“原本以為是藍海，其實是死海。國產操作系統研發被業內認為是IT領域里面的冷門偏門，很長時間以來都是這樣。”由于操作系統整體生態環境等原因，國產操作系統廠商開拓市場非常困難，一直舉步維艱，中科紅旗最后也黯然解散。

2009年，中國電子信息產業的國家隊——中國電子科技集團（CETC）整合集團優勢資源投資設立普華基礎軟件股份有限公司，黃建忠又一次義無反顧地投身其中，成為普華技術部副總經理、研發總監。中科紅旗的創業團隊也先后投奔過來，他們有人甚至放棄互聯網公司老總的職位，放棄成為上市公司股東的機會。

普華肩負提升國家基礎軟件產業核心競爭力的重要使命，2014年初正式進軍國產操作系統領域。雄厚的資金支持加上富有經驗的團隊努力，當年9月普華操作系統3.0版本正式發布。但走進市場，不被認可的冷酷現實又一次擺在面前，絕大多數人仍然只認Windows。“你們系統的驅動我們提供不了，我們只提供Windows的”，這樣的話黃建忠不知道聽了多少遍。不被認可更不賺錢卻仍堅守在國產操作系統領域的黃建忠和他的伙伴們被稱為“互聯網行業的苦行僧”。為了提高知名度，黃建忠抓住一切機會推介中國普華，當起了推銷員……

從前些年“棱鏡門”事件的爆發到“想哭”病毒的肆虐，網絡安全日益牽動著全世界敏感的神經。在網絡安全上升到國家戰略的產業背景下，發展安全可靠的國產操作系統逐漸深入人心，國產操作系統的優勢日益顯現出來。“操作系統的自主可控是網絡強國的關鍵基石。”帶領團隊完成了普華桌面、服務器等操作系統系列產品研發的黃建忠對本刊記者說，近幾年來，具備網絡安全優勢的國產操作系統憑借自身的努力，不斷打磨產品并提升服務，逐漸得到業內外的普遍認同，逐步進入國家政府部門以及金融、能源等經濟社會運行的神經中樞。

完美抵御“永恒之藍”

“為什么說以Linux為內核的國產操作系統能夠抵御各種未知病毒入侵，這得從‘零日（0-day）漏洞和病毒本身的設計流程說起。”普華基礎軟件首席架構師孟劍在接受本刊記者采訪時介紹說，Windows系統積極地安全更新、安裝殺毒軟件，雖然可以大幅降低感染病毒的幾率，卻難以完全避免。“‘零日漏洞是指被黑客發現后立刻用來發起攻擊的漏洞，這些漏洞尚未公開，用戶不知道，軟件廠商也不了解，應對時間為零。這類漏洞沒有檢測工具，沒有修復方法，傳統被動升級防御、病毒特征比對的方式毫無用處，一旦被用來發起攻擊，Windows系統毫無招架能力。這次‘想哭病毒就是基于美國國家安全局泄漏的網絡攻擊模塊“永恒之藍”基礎上二次開發，針對漏洞植入惡意代碼，從而加密用戶文件和顯示勒索聲明，并不需要高深的編碼技巧或深厚的理論根基就可以達到非常惡劣的后果。”

孟劍進一步介紹說，美國國家安全局（NSA）多年前為自身開發定制了一套強大的安全框架，這套框架后來通過開源組織進入Linux操作系統的內核，這就是SELinux（Security Enhanced Linux），它具備主動防御包括“零日漏洞”在內的多種攻擊的能力。SELinux的安全機制是強制訪問控制，一切訪問計劃都要事先寫入安全策略，沒有明確策略允許的任何訪問都會被禁止，這使得一個系統級的安全漏洞對整個操作系統的影響被限制在非常小的范圍內。

“美國在信息安全領域的強大實力不容置疑，但我國也很早就對信息安全領域展開全面研究，目前國產操作系統已能提供遠高于普通SELinux的底層安全保護。”孟劍向記者介紹說，公安部的GB17859-1999標準將計算機信息安全系統由低到高劃分為5個等級，在GB/T20272-2006中更進一步對操作系統安全技術提出了具體要求。

據介紹，從國標安全3級開始要求以Linux為內核的國產操作系統提供強制訪問控制，除了要實現SELinux中的各類安全模型架構外，還將普通操作系統中權限不受控制的管理員根據職責分解為系統管理員、安全管理員、審計管理員3個角色。3個角色的權限之間互相制約，從根本上避免了惡意入侵者通過獲取管理員權限對操作系統的全面控制。同時，標準還對用戶數據的私密性、完整性提出了嚴格的保護要求，要求操作系統通過安全標簽保障用戶數據不被非法讀取和篡改。

國標安全4級除了在訪問控制和數據保護上提出更為嚴格的要求之外，還要求設計者對操作系統的安全策略模型、安全功能模塊進行形式化驗證，并進行隱蔽信道分析，對系統抵御攻擊能力進行評估，這是目前已有操作系統能達到的最高安全等級，國內普華、凝思等國產操作系統廠商已經開發出符合國標安全4級的操作系統，提供了遠高于普通SELinux的底層安全保護。

作為所有上層應用的最底層軟件支撐，操作系統承載著一切上層軟件的安全機制。“脫離操作系統構建的安全體系如同沙灘上的城堡，即使再堅固也將最終失去根基，這就是現在大力推動國產操作系統發展的深意。”孟劍說。

國產操作系統走向成熟

近年來，以普華為代表的國產操作系統逐漸走向成熟，走入生活。時時離不開的智能手機、去銀行取款，在超市買單，去網上購物，航空、高鐵、地鐵的運行……在中國人的日常生活中，國產操作系統的身影已無處不在。越來越多的企業運行關鍵性業務都離不開國產操作系統，它還為企業大數據、云計算等新興工作負載注入強大生命力。黃建忠對記者表示，目前國產操作系統成為我國提高信息產業自主創新能力、轉變經濟增長方式的重要抓手和關鍵點，最好的時代已漸行漸近。

近年來，堅守Linux操作系統領域的普華厚積薄發，在生態系統建設方面積聚了強大實力，并緊跟國家網絡安全政策實現跨越趕超。普華與IBM、Oracle等國際國內知名的IT廠商深入合作，擁有國內頂尖操作系統人才，不僅在研發水平上表現出眾，在服務能力和生態系統建設上也優勢明顯。憑借在技術支持服務上持續不斷的投入，普華在服務體系覆蓋面、服務員工數量、服務渠道完善、服務響應時間和服務人員解決問題能力等方面已經排在業界前列。

在團隊的共同努力下，在賽迪發布的2015年IT行業市場調研報告中，普華已經迅速成為中國Linux操作系統細分市場的第三名。在去年的調研報告中，普華基礎軟件憑借在政府、電信、能源等行業的突出表現，成為中國Linux操作系統細分市場占有率18.3%的企業，躍居第二。對于2014年才剛轉型定位操作系統方向的普華基礎軟件來說，短短3年之內就取得了這樣的成就讓人矚目，彰顯了“普華速度”。

從中央網絡安全和信息化領導小組成立到《中華人民共和國網絡安全法》的制定，再到《國家網絡空間安全戰略》的發布，一系列國家政策和法規的頒布，通過政策的引導，完善了國產軟件的產業鏈，為國產基礎軟件的發展創造了一個良好的生態環境。

一直力主開發國家自主核心技術的中國工程院院士倪光南長期以來在各種場合為國產操作系統大聲疾呼，為普華打氣鼓勁，“中國國產操作系統要自己做，不能受制于人，雖然道路艱辛，但只要有信念，一定會成功。”