4月8日,微软正式停止对中国用户的Windows XP系统更新服务。同样是这一天,本年度最严重的网络安全漏洞曝光。连续两次重量级网络事件拷问行业——拿什么来维护赛博空间的正常秩序与用户权益?
4月8日晚,Windows XP系统的用户收到来自微软的最后一次补丁,这款服役13年之久的操作系统正式退出历史舞台。由于中国XP用户保有量达2亿,可以说,中国网民的桌面呈现“漏洞”大开的局面。
恰恰在同一天,全球互联网通行的安全协议OpenSSL爆出本年度最严重的漏洞。利用该漏洞,黑客坐在自家的电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。这个漏洞被黑客命名为“heartbleed”,意思是“心脏出血”——代表着最致命的内伤。
XP“退役”引发中国安全产业反思
XP退服之后留下的信息安全隐患将是长期和大面积的。相关数据显示,XP在全球范围内的市场份额约为25%,而我国XP市场份额更是高达70%,装机量约2亿台。除了个人用户外,由于大规模的国家和行业信息化建设始于十多年前的XP时代,所以目前在我国政府机构、重点行业和企业中,XP系统的比例相当高。互联网消费调研中心调查数据显示,中国2亿XP用户中,仍有六成表示将坚守XP系统。
尽管在网上强烈的呼声和中国政府的关注下,微软中国宣布与国内互联网安全及病毒厂商密切合作,继续为中国XP用户提供服务,在用户升级到新一代操作系统之前继续提供独有的安全保护服务,然而,XP停服的前三天,一场由民间安全公司组织的“XP挑战赛”显示,一些公司的防护产品不到3分钟就被攻破,这引发网民对于国产安全防护软件的担忧。
“XP停服,Win8不仅难用,对电脑配置要求还高,我们的网络安全谁来保护?”一些网友在微博上抱怨。事实上,微软停止XP安全服务后,从国家到个人都将面临前所未有的挑战。中国工程院院士倪光南表示:对中国而言,XP停止服务是一个“重大的信息安全事件”。互联网实验室创始人方兴东认为,XP事件直接拷问中国网络安全两大核心基础问题,即中国IT核心技术是否自主可控、关键基础设施能否有效防御。
专家与媒体呼吁,我国急需成立一个由政府支持、企业团结、行业响应的全新联盟,首要任务是拿出切实可行的方案,继续保障XP用户的安全。同时,应针对我国在信息安全领域受制于人的关键核心技术,包括智能终端操作系统、CPU和网络架构等,发展自主可控的国产技术和设备,推进若干国产化替代工程,从而实现自主可控、建设网络强国的目标。
目前,全世界的操作系统市场基本被3家瓜分——苹果、谷歌和微软。中国尽管是世界上智能终端的最大制造国,可是几乎所有智能终端都运行着国外操作系统。当前,已有一些国产操作系统厂商也在争取抓住这次机会,力争保护消费者权益。据报道,国产安全操作系统有方德方舟国标三级、四级系统,中标麒麟国标三级、四级系统,凝思磐石等都有达到四级的服务器和桌面操作系统,只要有用户愿意使用,随时都可以体验,在广大用户的使用过程中不断发现问题、不断完善,国产系统有望会越来越好。
中科院院士倪光南认为,我国应当针对信息安全领域那些受制于人的关键核心技术,包括智能终端操作系统、CPU和网络架构等,发展自主可控的国产技术和设备,推进若干国产化替代工程,以达到自主可控的目标。当然,自主可控只是一个先决条件,在此基础上还要做到安全可信,最终使国家信息安全得到有效保障。
作为国家信息安全方面的战略专家和信息安全顶层设计的参与者,中国工程院院士沈昌祥指出,XP即将停止服务这一事件涉及信息安全的根本控制权,“这对我们不仅是挑战,更是机遇,对现有的操作系统,我们可以加固、替代,更可以借此机会打造自主的操作系统品牌。”
已有5年研发历程,发布了超过12个Linux版本的国产Linux操作系统企业——武汉深之度董事长、总经理刘文欢也表示,推进操作系统国产化,将会利好国产厂商,如果能够拿下中国2亿的XP用户,这无疑将会撼动微软在PC操作系统上的垄断地位。
OpenSSL漏洞险些一剑穿“心”
4月8日,一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。这次发生漏洞的是国际著名安全协议OpenSSL,目前世界上大概有三分之二的网络服务器正在使用,包括购物、网银、社交、邮箱等。OpenSSL,是为网络通信提供安全及数据完整性的一种安全协议,有人将其形容为“互联网上销量最大的锁”。这把锁出问题了,整个互联网可能都会坍塌掉。
随后,黑客们和网络安全漏洞的检测者们都度过了一个不眠之夜。而截止到4月10日,在全国3万多个存在漏洞的网站中,依然有近30%没有采取任何措施。
据统计,在4月7日~8日两天时间,共计约2亿网民访问了存在漏洞的网站。也就是说,他们登录服务器时显示的用户名、密码和信用卡等信息,很有可能会被人盗取。奇虎360副总裁兼首席隐私官谭晓生说:“我们对120万个网站进行扫描,这中间发现有一万多个网站其实是会受到这件事情的影响。” 9日上午,360网站卫士的OpenSSL漏洞检测平台发现,北京大学和清华大学某项网络服务也存在OpenSSL安全协议漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测,360紧急通知清华大学和北京大学进行修复。
CFCA技术专家龚喜杰称,所幸的是,这次公布的漏洞对银行U盾没有影响,U盾完全可以放心使用。网民在这一重大网络安全事件面前没有太多处置的余地,唯一的有效措施就是及时修改登录密码,但前提是要确认所登录的网站已经对此次漏洞进行了修复。但是,大大小小的网站,包括京东(滚动资讯)、淘宝这样的大网站,自始至终都没有在网站中提及任何与漏洞相关的风险信息。
4月10日晚,在针对这一漏洞的《新闻1+1》专题新闻节目中,央视主持人白岩松发出了这样的疑问, 互联网快速走进我们的生活,带来新的巨大便利的同时,也带来新的巨大不安全感,从国家的战略和技术的层面上来说,怎样去防范这种非常新型的不安全?
相关机构发布的2013年网络安全报告显示,接近70%的网民对上网行为是否安全表示担心,有71%的网民最担心网银的账号一旦不安全就麻烦了,接下来是邮箱账号。网络安全应急技术国家工程实验室主任杜跃进表示,网络安全本身是一个动态调整的过程,没有一招制敌的方案,也不是哪一方可以独立解决的,最重要的是构建一个网络安全防范体系,包括体制机制设计、政策法律设计、技术能力、人员水平,等等。中国计算机学会信息安全专业委员会主任严明认为,国家互联网应急中心等机构有责任针对各种网络安全漏洞及时发布信息,通知有关用户来更新,同时提醒广大民众要注意这种威胁。
由于 OpenSSL软件本身就是一款著名的开源软件,OpenSSL漏洞也给了信息产业一个重要的警示,基于 Linux等开源项目开发的操作系统等国产软件,一定不能单打独斗,而是要加强协同,并尽量从机制上解决协同过程中的安全问题。正如ISC COO David Shearer所说,“开源软件开发里协作性所带来的安全问题是决定整个软件生命周期的重要因素之一。”
上海来谊电子CEO徐海光告诉《人民邮电》报记者,这次漏洞事件之所以影响巨大,问题出在小长假刚过,很多网站的网管人员来不及做出升级系统的反应,这给了黑客以可乘之机。而令人震惊的是,如果数以万计的网站都做不到及时的软件升级,这意味着我国互联网产业的整体安全现状是极其脆弱的。
徐海光表示,用户在互联网上享受着各种各样的服务,而互联网服务商由于技术、管理的不同,造成对漏洞响应和分享是有时间延迟的。比如2013年Adobe公司的用户信息泄露,造成超过290万的客户信息被盗,这些信息的披露延迟了两个多月,逐渐地波及到金融和其他行业。
如何能快速有效地应对身份信息的泄露风险?众多专家认为还是要着眼于技术的创新与进步。徐海光指出,在不改变现有在线服务商(银行、互联网公司)的安全体系基础上,附加第三方的双通道安全认证方式是可行的,比如目前OpenSLL漏洞造成的用户信息泄露,如果有了用户手上的设备作为第二把钥匙的保护,黑客即使获取了用户账号及密码,也无法冒名顶替通过身份认证。同时,第三方的服务方式,在技术反应时间上可以提供高效的安全保障,不存在时间延迟风险。在服务商系统快速完成升级后,用户再对账户密码进行修改,即可达到更高的安全水平。