XP停止服务对军工单位信息系统的影响及对策
2014-01-10黄次辉
□ 黄次辉
微软公司4月8日停止Windows XP操作系统服务,由于军工单位大量使用XP操作系统,因此应积极采取措施,应对军工单位信息化建设及信息安全保密面临的安全风险
事件背景
微软公司将于2014年4月8日停止Windows XP操作系统服务,包括不再开发补丁包,不再提供定期推送的安全保护服务,同时停止已有的补丁包下载服务。微软中国官方微博表示,已与腾迅等国内互联网安全及防毒厂商合作,为中国使用XP的用户继续提供独有的安全保护。
据国内外信息安全界分析,微软停止XP操作系统服务将对信息安全带来重大影响:XP停止服务后,安全风险将明显提高,有些顾客可能囤积XP的零日漏洞,在4月8日后使用。
大型软件在设计过程中存在很多缺陷,会在使用过程中逐步被发现,软件开发商发布补丁程序来弥补这些缺陷。在缺陷发现以后、补丁程序发布以前,这些缺陷被称为零日漏洞,因为没有补丁包,攻击者或恶意程序利用这些缺陷可轻易地达到攻击目的。为了逃避补丁包的围堵,最大限度地利用零日漏洞,掌握零日漏洞的个人或组织会等到4月8日以后再使用。由于微软不再开发补丁包,对于XP而言,4月8日以后被发现的漏洞将是永远的零日漏洞。
英国政府网站于2月4日公布XP终止服务风险控制指南。美国也有安全公司专门为政府提供该类服务。
趋势科技对XP停止服务的影响进行了大量分析,在最近公布的关于2014年安全形势预测报告中,认为XP终止服务是2014年的一项重要安全风险,并推出解决方案。
联想发布技术白皮书,认为XP终止服务带来的技术风险、可靠性与兼容性问题及潜在的财务负担,是企业的一场恶梦。
国家计算机病毒应急处理中心联合北京北信源软件股份有限公司发布《Windows XP系统安全状况调研报告》。报告显示,在政府企业用户群中所抽样的121万台电脑设备中,XP系统所占比例高达72.6%,44.4%的用户表示在微软停止XP支持服务后仍然会继续使用XP系统。
微软与腾讯、联想合作,推出“扎篱笆计划”,在微软终止XP服务后,由腾讯、联想提供支持服务。北信源也推出一款终端防护产品作为解决方案。
对军工单位信息系统的影响
长期以来,XP系统广泛应用于国防科技工业信息系统和科研生产活动,微软公司停止XP操作系统安全服务将对军工单位信息化建设及信息安全保密带来一定的安全风险,主要表现在:
一是使用XP的计算机变得更脆弱。由于没有补丁更新和微软的安全服务,容易受到病毒、木马及其他恶意程序的攻击。防毒软件不足以保护系统的安全,有研究表明,杀毒软件对新病毒的发现概率在5%以下。
二是缺少软、硬件应用厂商对XP的支持。一方面,商家将逐步停止已运行在XP上的应用;另一方面,新开发的软硬件不再支持XP。
三是XP终止服务后对信息系统的改造、防护任务艰巨。有的XP操作系统不得不继续长期使用,继续使用的安全防护是一个难点;有的不得不放弃并进行改造,改造过程慢长、艰苦、昂贵,但也是军工单位信息化改造的一个良好机会。
对策建议
1.短期以内,建议军工单位采取以下防范措施:
第一,对于涉密信息系统,认真落实输入输出控制及病毒与恶意代码防护要求。严格检查来自互联网的输入信息,严格控制可执行程序输入涉密信息系统。
第二,用于连接互联网的设备,应尽早更换操作系统或采取加固措施。如果在4月8日后尚未采取措施,应使用国内与微软合作厂家所提供的安全服务或断开与互联网的连接。
第三,做好重要信息系统的备份与应急工作。对于企业组织管理、科研生产具有重要意义的数据和系统,应做好备份,做好应急响应预案,避免病毒、恶意程序、网络攻击等突发事件造成的损失。同时,加强系统监控审计,及时发现信息系统中存在的异常事件,避免攻击或恶意程序进一步扩散。
第四,最小化XP设备功能与权限。可以采取的措施包括:加强XP安全配置,如限制管理员权限、关闭不必要的端口与服务、禁止介质的自动运行等;将对邮件、Web 浏览、文件共享等数据源的访问最小化;采用可执行程序白名单控制。
第五,严格网络区域分隔与边界控制措施。可利用交换机、防火墙、应用网关、入侵检测等设备,做好网络区域分隔,防止恶意代码与攻击行为扩散。
2.XP用量大、使用方式复杂的单位,建议制订改造计划,对改造方案进行深入的风险分析,可能的改造方案包括:
继续使用XP系统,加强防护;
升级或更换操作系统,如使用国产操作系统;
采用瘦客户端、虚拟化、云计算等技术,结合信息系统升级改造,加强集中管理,减少对客户端操作系统的依赖程度。
每个方案都有各自的优缺点,需要在长期的使用中不断维护和完善。当前有的解决方案尚在论证、实验过程中,有关管理要求和技术标准也还有不明确之处,建议关注各方面动态,及时吸纳有关经验。改造方案及改造过程中的安全保密存在一系列不可回避的难题,因此对涉密信息系统的改造一定要按分级保护要求进行管理。
3.深入研究XP停止服务对策措施。如:继续使用XP系统的设备与涉密网络的保护,作为XP潜在替代方案的Windows 7和Windows 8.1与现有软硬件应用的兼容性、安全隐患与应对措施,国产操作系统在军工行业的应用,瘦客户端和桌面虚拟化技术应用于涉密信息系统的可行性、安全隐患与应对措施,企业私有云的可行性与安全保密管理,后XP时代及新形势下的军工信息安全保密等问题。
4.与国内提供XP安全保护的厂商加强合作。
结合保密资格要求和分级保护要求,开发针对国防科技工业涉密信息系统的XP加固技术手段,组织核心技术服务团队,为军工行业快速有效加固XP系统及网络提供支持,优先保障涉密信息系统与重要设备的安全。
