程彦博

相信读者对于微软官方将于2014年4月8日全面停止Windows XP的系统和补丁的更新，也不再提供技术支持的消息已经不再陌生。同样，相信仍然有相当一部分家庭或者公司的PC仍然在使用Windows XP操作系统。

毫无疑问，Windows XP作为微软截至目前最为成功的一款操作系统软件，在其服役的13年中，积累了大量的用户。有专家指出，如果按照微软目前有14亿Windows用户数来算，那么中国市场就有近2亿的Windows XP用户。而停止Windows XP的系统和补丁的更新，给很多无法快速升级的用户特别是企业级用户带来了操作系统层面的安全隐忧。

企业用户进退两难

出于采购成本和时间成本等方面的考虑，企业用户不可能在一夜之间将所有的操作系统升级。而微软官方不再提供XP内核代码的更新给企业所带来的安全风险被无限放大。IDF互联网情报威胁防御实验室的裴伟伟指出，可能会有蓄谋已久的黑客发现Windows XP系统的漏洞，等到4月8日之后再伺机发动攻击。如果那个时候Windows XP被发现存在远程触发的溢出漏洞，攻击者就可利用漏洞构造攻击指令，主动攻击用户电脑，在用户毫无知觉的情况下将病毒木马安装到用户电脑中，从而控制或破坏用户电脑。

“Windows XP的退出对于整个物流行业影响是巨大的。这不仅是采购成本的问题，还有兼容性和安全的问题。这件事情将让很多企业不得不重新思考自身的IT规划。” 青岛某国际物流公司CIO陈先生表示，他们正在寻找解决方案，然而该问题并非简单的系统升级就能解决的。“我们本来是想支出一笔费用来升级操作系统，但是后来我们发现公司常用的软件在升级后并不能很好地运行，也就是说兼容性不是很好，所以暂时搁置了Windows的升级计划。”陈先生介绍，公司很多软件都是针对Windows XP开发的，例如货代系统、传真系统，若操作系统升级后对这些软件都不能很好地支持，那将严重影响公司的业务和效率。

“虽然我们认为升级到新操作系统是大势所趋，但是对于企业用户而言，做出升级系统决策所需要考虑的因素显然要更多，运营应用平台支持、服务器平台升级周期较长或成本原因都可能导致其无法及时升级到新操作系统。”趋势科技中国区业务发展总监童宁表示，如果企业陷入这种进退两难的境地，可以使用内置了虚拟补丁技术（Virtual Patching）的趋势科技服务器深度安全防护系统Deep Security和防毒墙网络版Office Scan，它们可以帮助企业用户迅速修补漏洞，也符合它们的成本效益。

快速修补+定制

事实上，Windows XP停止服务给企业所带来的安全隐忧，主要在于漏洞得不到及时修补所可能带来的严重后果。WatchGuard 中国区市场总监万熠表示，国内基于Windows XP的企业业务应用十分广泛，它在酒店、金融、中小企业中的用户群体十分庞大。如果Windows XP停止服务之后，有严重的漏洞被黑客发现，又没有补丁可以修补，用户将面临大范围的木马病毒感染、敏感信息泄露等信息安全风险。因此，在尚未升级到新一代操作系统之前，用户最好的防范措施，是借助性能更强、管理更简单的安全网关、防毒网关，以及信誉评估技术，在恶意代码进入企业之前进行拦截。

童宁告诉记者，漏洞修补时间的长短是决定漏洞安全威胁大小的至关重要的因素。通常情况下从漏洞被发现到提供通过兼容性和稳定性测试的补丁，需要一定的周期。而漏洞未修补前系统会面临最严峻的威胁。“有机构统计，漏洞攻击带来的大多数损害发生在消息发布后的前15天内，而80%的攻击出现在60天内。趋势科技虚拟补丁解决方案则通过强化修补时间这个核心要素，可最快在2小时内提供深度防护加固技术策略，防止安全威胁乘虚而入。”童宁说。

事实上，对操作系统进行漏洞挖掘和修复补丁的技术门槛很高，同时结合不同企业用户的业务需求提供定制化的解决方案，也成为此次Windows XP停止服务事件中各个安全厂商角力的关键点。“除了漏洞挖掘和修复补丁技术，安全厂商的测试实力也非常重要。由于不同用户具有不同的使用环境与业务环境，因此补丁防护方案的兼容性与稳定性显得尤为重要。针对这一点，瑞星制定了严格的产品质量监督标准和完整的测试流程，最大程度保证用户的系统安全和业务稳定性。”瑞星市场总监唐威告诉记者。

另辟蹊径

显然，企业所面临的安全隐患远不止Windows XP停止服务所带来的这些。企业所面临的网络威胁会融入到更高层面的攻击中，构成隐匿性更强、破坏力更大的威胁。所以，安全厂商希望另辟蹊径来解决问题。万熠告诉记者，WatchGuard提供的一体化安全解决方案最显著的特点就是“轻结构”，这也意味着企业可以享有更简单的部署和更低的TCO，接入网线即可开通上线。

针对安全管理的复杂性，WatchGuard提供了很多符合行业特点的安全策略模板，用户只需要按照向导启用，就可以解决网络安全准入、负载均衡带宽管理、防病毒、反垃圾邮件、数据防泄露等诸多网络层与应用层的配置问题。

其实，另辟蹊径的还有其他厂商。4月3日，中国电子信息产业集团有限公司（CEC，下文简称中国电子）旗下的中电长城网际和北京可信华泰发布了基于可信计算技术的以系统自身免疫为特征的信息系统安全架构，它被命名为“白细胞”操作系统免疫平台。和传统的依靠杀毒、打补丁等技术进行被动防御的做法不同，该平台是我国自行研发构建的一套统一的以系统自身免疫为特征的信息系统安全架构，利用以密码为基础的信任链传递，使用可信计算技术的静态度量、动态度量、访问控制等技术，实现计算机主动识别“非己”的程序、数据等，从而排斥进入计算机的病毒、木马、恶意程序等，以维持计算机的健康。

“白细胞”操作系统免疫平台完全不同于以杀毒为特征的传统网络安全机制，它通过为计算机系统建立自免疫系统实现了主动防御的目标。通过自主的可信计算体系，实现从硬件到软件、从芯片到系统的逐级信任，从而排斥非信任的程序和攻击行为，达到企业信息系统安全可控的目标。

“可信计算是中国电子主要的攻坚方向，中国电子也在可信计算领域具备很长的产品链条和独特的优势。‘白细胞操作系统免疫平台就完全构建在自主的、基于可信计算的IT架构之中，同时它不仅可以为Windows XP提供安全防护，还可以为Linux、安卓等各类操作系统提供安全防护。”可信华泰副总经理孙瑜告诉记者。

显然，可信计算成为中国安全厂商在应对Windows XP停止服务事件中的另一条路。虽然它能从根本上解决很多不可控的安全风险，但是这条路要走起来却相当漫长也相当艰辛。这是因为，可信计算实际上是一个生态系统，需要产业的培育和各方的扶持。另外，构建以自主可控为目标的可信计算体系的构建，与国外厂商抗衡，也需要相当大的勇气和投入。

另据记者了解，由中国工程院院士沈昌祥提议发起的可信计算产业联盟即将成立，该联盟将汇集“产学研用”各界的力量。沈昌祥告诉记者，要破解我国当前所面临的信息安全问题，就要选准突破点，加大自主研发力度，整合资源、协同创新，才能从根本上扭转当前受制于人的被动局面，而可信计算正是这样一个突破点。endprint