4月8日，微軟正式停止對(duì)中國用戶的Windows XP系統(tǒng)更新服務(wù)。同樣是這一天，本年度最嚴(yán)重的網(wǎng)絡(luò)安全漏洞曝光。連續(xù)兩次重量級(jí)網(wǎng)絡(luò)事件拷問行業(yè)——拿什么來維護(hù)賽博空間的正常秩序與用戶權(quán)益？

4月8日晚，Windows XP系統(tǒng)的用戶收到來自微軟的最后一次補(bǔ)丁，這款服役13年之久的操作系統(tǒng)正式退出歷史舞臺(tái)。由于中國XP用戶保有量達(dá)2億，可以說，中國網(wǎng)民的桌面呈現(xiàn)“漏洞”大開的局面。

恰恰在同一天，全球互聯(lián)網(wǎng)通行的安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的漏洞。利用該漏洞，黑客坐在自家的電腦前，就可以實(shí)時(shí)獲取到很多https開頭網(wǎng)址的用戶登錄賬號(hào)密碼，包括大批網(wǎng)銀、知名購物網(wǎng)站、電子郵件等。這個(gè)漏洞被黑客命名為“heartbleed”，意思是“心臟出血”——代表著最致命的內(nèi)傷。

XP“退役”引發(fā)中國安全產(chǎn)業(yè)反思

XP退服之后留下的信息安全隱患將是長期和大面積的。相關(guān)數(shù)據(jù)顯示，XP在全球范圍內(nèi)的市場(chǎng)份額約為25%，而我國XP市場(chǎng)份額更是高達(dá)70%，裝機(jī)量約2億臺(tái)。除了個(gè)人用戶外，由于大規(guī)模的國家和行業(yè)信息化建設(shè)始于十多年前的XP時(shí)代，所以目前在我國政府機(jī)構(gòu)、重點(diǎn)行業(yè)和企業(yè)中，XP系統(tǒng)的比例相當(dāng)高。互聯(lián)網(wǎng)消費(fèi)調(diào)研中心調(diào)查數(shù)據(jù)顯示，中國2億XP用戶中，仍有六成表示將堅(jiān)守XP系統(tǒng)。

盡管在網(wǎng)上強(qiáng)烈的呼聲和中國政府的關(guān)注下，微軟中國宣布與國內(nèi)互聯(lián)網(wǎng)安全及病毒廠商密切合作，繼續(xù)為中國XP用戶提供服務(wù)，在用戶升級(jí)到新一代操作系統(tǒng)之前繼續(xù)提供獨(dú)有的安全保護(hù)服務(wù)，然而，XP停服的前三天，一場(chǎng)由民間安全公司組織的“XP挑戰(zhàn)賽”顯示，一些公司的防護(hù)產(chǎn)品不到3分鐘就被攻破，這引發(fā)網(wǎng)民對(duì)于國產(chǎn)安全防護(hù)軟件的擔(dān)憂。

“XP停服，Win8不僅難用，對(duì)電腦配置要求還高，我們的網(wǎng)絡(luò)安全誰來保護(hù)？”一些網(wǎng)友在微博上抱怨。事實(shí)上，微軟停止XP安全服務(wù)后，從國家到個(gè)人都將面臨前所未有的挑戰(zhàn)。中國工程院院士倪光南表示：對(duì)中國而言，XP停止服務(wù)是一個(gè)“重大的信息安全事件”。互聯(lián)網(wǎng)實(shí)驗(yàn)室創(chuàng)始人方興東認(rèn)為，XP事件直接拷問中國網(wǎng)絡(luò)安全兩大核心基礎(chǔ)問題，即中國IT核心技術(shù)是否自主可控、關(guān)鍵基礎(chǔ)設(shè)施能否有效防御。

專家與媒體呼吁，我國急需成立一個(gè)由政府支持、企業(yè)團(tuán)結(jié)、行業(yè)響應(yīng)的全新聯(lián)盟，首要任務(wù)是拿出切實(shí)可行的方案，繼續(xù)保障XP用戶的安全。同時(shí)，應(yīng)針對(duì)我國在信息安全領(lǐng)域受制于人的關(guān)鍵核心技術(shù)，包括智能終端操作系統(tǒng)、CPU和網(wǎng)絡(luò)架構(gòu)等，發(fā)展自主可控的國產(chǎn)技術(shù)和設(shè)備，推進(jìn)若干國產(chǎn)化替代工程，從而實(shí)現(xiàn)自主可控、建設(shè)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)。

目前，全世界的操作系統(tǒng)市場(chǎng)基本被3家瓜分——蘋果、谷歌和微軟。中國盡管是世界上智能終端的最大制造國，可是幾乎所有智能終端都運(yùn)行著國外操作系統(tǒng)。當(dāng)前，已有一些國產(chǎn)操作系統(tǒng)廠商也在爭(zhēng)取抓住這次機(jī)會(huì)，力爭(zhēng)保護(hù)消費(fèi)者權(quán)益。據(jù)報(bào)道，國產(chǎn)安全操作系統(tǒng)有方德方舟國標(biāo)三級(jí)、四級(jí)系統(tǒng)，中標(biāo)麒麟國標(biāo)三級(jí)、四級(jí)系統(tǒng)，凝思磐石等都有達(dá)到四級(jí)的服務(wù)器和桌面操作系統(tǒng)，只要有用戶愿意使用，隨時(shí)都可以體驗(yàn)，在廣大用戶的使用過程中不斷發(fā)現(xiàn)問題、不斷完善，國產(chǎn)系統(tǒng)有望會(huì)越來越好。

中科院院士倪光南認(rèn)為，我國應(yīng)當(dāng)針對(duì)信息安全領(lǐng)域那些受制于人的關(guān)鍵核心技術(shù)，包括智能終端操作系統(tǒng)、CPU和網(wǎng)絡(luò)架構(gòu)等，發(fā)展自主可控的國產(chǎn)技術(shù)和設(shè)備，推進(jìn)若干國產(chǎn)化替代工程，以達(dá)到自主可控的目標(biāo)。當(dāng)然，自主可控只是一個(gè)先決條件，在此基礎(chǔ)上還要做到安全可信，最終使國家信息安全得到有效保障。

作為國家信息安全方面的戰(zhàn)略專家和信息安全頂層設(shè)計(jì)的參與者，中國工程院院士沈昌祥指出，XP即將停止服務(wù)這一事件涉及信息安全的根本控制權(quán)，“這對(duì)我們不僅是挑戰(zhàn)，更是機(jī)遇，對(duì)現(xiàn)有的操作系統(tǒng)，我們可以加固、替代，更可以借此機(jī)會(huì)打造自主的操作系統(tǒng)品牌。”

已有5年研發(fā)歷程，發(fā)布了超過12個(gè)Linux版本的國產(chǎn)Linux操作系統(tǒng)企業(yè)——武漢深之度董事長、總經(jīng)理劉文歡也表示，推進(jìn)操作系統(tǒng)國產(chǎn)化，將會(huì)利好國產(chǎn)廠商，如果能夠拿下中國2億的XP用戶，這無疑將會(huì)撼動(dòng)微軟在PC操作系統(tǒng)上的壟斷地位。

OpenSSL漏洞險(xiǎn)些一劍穿“心”

4月8日，一個(gè)代號(hào)“心臟出血”的重大互聯(lián)網(wǎng)安全漏洞被國外黑客曝光。這次發(fā)生漏洞的是國際著名安全協(xié)議OpenSSL，目前世界上大概有三分之二的網(wǎng)絡(luò)服務(wù)器正在使用，包括購物、網(wǎng)銀、社交、郵箱等。OpenSSL，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，有人將其形容為“互聯(lián)網(wǎng)上銷量最大的鎖”。這把鎖出問題了，整個(gè)互聯(lián)網(wǎng)可能都會(huì)坍塌掉。

隨后，黑客們和網(wǎng)絡(luò)安全漏洞的檢測(cè)者們都度過了一個(gè)不眠之夜。而截止到4月10日，在全國3萬多個(gè)存在漏洞的網(wǎng)站中，依然有近30%沒有采取任何措施。

據(jù)統(tǒng)計(jì)，在4月7日~8日兩天時(shí)間，共計(jì)約2億網(wǎng)民訪問了存在漏洞的網(wǎng)站。也就是說，他們登錄服務(wù)器時(shí)顯示的用戶名、密碼和信用卡等信息，很有可能會(huì)被人盜取。奇虎360副總裁兼首席隱私官譚曉生說：“我們對(duì)120萬個(gè)網(wǎng)站進(jìn)行掃描，這中間發(fā)現(xiàn)有一萬多個(gè)網(wǎng)站其實(shí)是會(huì)受到這件事情的影響。” 9日上午，360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測(cè)平臺(tái)發(fā)現(xiàn)，北京大學(xué)和清華大學(xué)某項(xiàng)網(wǎng)絡(luò)服務(wù)也存在OpenSSL安全協(xié)議漏洞，同時(shí)也監(jiān)測(cè)到了有來自北京聯(lián)通的一個(gè)IP針對(duì)這些服務(wù)進(jìn)行漏洞探測(cè)，360緊急通知清華大學(xué)和北京大學(xué)進(jìn)行修復(fù)。

CFCA技術(shù)專家龔喜杰稱，所幸的是，這次公布的漏洞對(duì)銀行U盾沒有影響，U盾完全可以放心使用。網(wǎng)民在這一重大網(wǎng)絡(luò)安全事件面前沒有太多處置的余地，唯一的有效措施就是及時(shí)修改登錄密碼，但前提是要確認(rèn)所登錄的網(wǎng)站已經(jīng)對(duì)此次漏洞進(jìn)行了修復(fù)。但是，大大小小的網(wǎng)站，包括京東、淘寶這樣的大網(wǎng)站，自始至終都沒有在網(wǎng)站中提及任何與漏洞相關(guān)的風(fēng)險(xiǎn)信息。

4月10日晚，在針對(duì)這一漏洞的《新聞1+1》專題新聞節(jié)目中，央視主持人白巖松發(fā)出了這樣的疑問， 互聯(lián)網(wǎng)快速走進(jìn)我們的生活，帶來新的巨大便利的同時(shí)，也帶來新的巨大不安全感，從國家的戰(zhàn)略和技術(shù)的層面上來說，怎樣去防范這種非常新型的不安全？

相關(guān)機(jī)構(gòu)發(fā)布的2013年網(wǎng)絡(luò)安全報(bào)告顯示，接近70%的網(wǎng)民對(duì)上網(wǎng)行為是否安全表示擔(dān)心，有71%的網(wǎng)民最擔(dān)心網(wǎng)銀的賬號(hào)一旦不安全就麻煩了，接下來是郵箱賬號(hào)。網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室主任杜躍進(jìn)表示，網(wǎng)絡(luò)安全本身是一個(gè)動(dòng)態(tài)調(diào)整的過程，沒有一招制敵的方案，也不是哪一方可以獨(dú)立解決的，最重要的是構(gòu)建一個(gè)網(wǎng)絡(luò)安全防范體系，包括體制機(jī)制設(shè)計(jì)、政策法律設(shè)計(jì)、技術(shù)能力、人員水平，等等。中國計(jì)算機(jī)學(xué)會(huì)信息安全專業(yè)委員會(huì)主任嚴(yán)明認(rèn)為，國家互聯(lián)網(wǎng)應(yīng)急中心等機(jī)構(gòu)有責(zé)任針對(duì)各種網(wǎng)絡(luò)安全漏洞及時(shí)發(fā)布信息，通知有關(guān)用戶來更新，同時(shí)提醒廣大民眾要注意這種威脅。

由于 OpenSSL軟件本身就是一款著名的開源軟件，OpenSSL漏洞也給了信息產(chǎn)業(yè)一個(gè)重要的警示，基于 Linux等開源項(xiàng)目開發(fā)的操作系統(tǒng)等國產(chǎn)軟件，一定不能單打獨(dú)斗，而是要加強(qiáng)協(xié)同，并盡量從機(jī)制上解決協(xié)同過程中的安全問題。正如ISC COO David Shearer所說，“開源軟件開發(fā)里協(xié)作性所帶來的安全問題是決定整個(gè)軟件生命周期的重要因素之一。”

上海來誼電子CEO徐海光告訴《人民郵電》報(bào)記者，這次漏洞事件之所以影響巨大，問題出在小長假剛過，很多網(wǎng)站的網(wǎng)管人員來不及做出升級(jí)系統(tǒng)的反應(yīng)，這給了黑客以可乘之機(jī)。而令人震驚的是，如果數(shù)以萬計(jì)的網(wǎng)站都做不到及時(shí)的軟件升級(jí)，這意味著我國互聯(lián)網(wǎng)產(chǎn)業(yè)的整體安全現(xiàn)狀是極其脆弱的。

徐海光表示，用戶在互聯(lián)網(wǎng)上享受著各種各樣的服務(wù)，而互聯(lián)網(wǎng)服務(wù)商由于技術(shù)、管理的不同，造成對(duì)漏洞響應(yīng)和分享是有時(shí)間延遲的。比如2013年Adobe公司的用戶信息泄露，造成超過290萬的客戶信息被盜，這些信息的披露延遲了兩個(gè)多月，逐漸地波及到金融和其他行業(yè)。

如何能快速有效地應(yīng)對(duì)身份信息的泄露風(fēng)險(xiǎn)？眾多專家認(rèn)為還是要著眼于技術(shù)的創(chuàng)新與進(jìn)步。徐海光指出，在不改變現(xiàn)有在線服務(wù)商(銀行、互聯(lián)網(wǎng)公司)的安全體系基礎(chǔ)上，附加第三方的雙通道安全認(rèn)證方式是可行的，比如目前OpenSLL漏洞造成的用戶信息泄露，如果有了用戶手上的設(shè)備作為第二把鑰匙的保護(hù)，黑客即使獲取了用戶賬號(hào)及密碼，也無法冒名頂替通過身份認(rèn)證。同時(shí)，第三方的服務(wù)方式，在技術(shù)反應(yīng)時(shí)間上可以提供高效的安全保障，不存在時(shí)間延遲風(fēng)險(xiǎn)。在服務(wù)商系統(tǒng)快速完成升級(jí)后，用戶再對(duì)賬戶密碼進(jìn)行修改，即可達(dá)到更高的安全水平。