针对微软将于今年4月8日起停止为Windows XP推送安全补丁及系统修复一事,中国工程院院士倪光南日前接受人民网记者采访时表示,对中国而言,XP停止服务是一个“重大的信息安全事件”,相关各方应该立即行动,采取果断措施,提升国家信息安全的保障力度。
Q:XP停止服务的决定,将会给中国的信息安全带来什么样的影响?
倪光南:微软停止XP服务意味着它将不再对XP的安全问题负责,它将不再发布XP的漏洞和补丁,这显然使XP用户面临很大的安全风险。看来,微软此举是希望XP用户在这种压力下能升级到“视窗8”。根据《2012年度中国软件盗版率调查报告》的数据,在中国的PC中,XP的市场份额占73.5%,即XP在用量约为2亿台,其中84.2%用户没有升级到“视窗8”的计划。也就是说,绝大多数中国XP的用户都希望继续使用XP,微软的决定不符合他们的愿望。由于微软此举涉及的电脑数量巨大,因此是一个重大的信息安全事件,对中国的信息安全不利,需要认真应对。
Q:中国将要为此付出多大的成本?
倪光南:应对这一事件需要作长期打算,不仅是为了减轻近期风险,而且还要大大增强长期的信息安全。为此进行投入、付出代价都是值得的。现实情况是,中国在智能终端操作系统上完全受制于人。所谓智能终端,指的是各种信息终端,随着云计算的兴起,这些就是各种接受云服务的终端,包括桌面PC、智能手机、平板电脑、智能电视等家用智能终端、可穿戴设备、车载设备等等。这类智能终端使用的操作系统具有高度的垄断性,现在全世界基本上只有三家——苹果、谷歌和微软的系统。中国尽管是世界上智能终端的最大制造国,可是我们制造的所有智能终端都是用的这三家系统,这种局面不改变,不仅我们智能终端制造业的利润和发展受到制约,而且所有终端都运行外国操作系统,从大数据的角度看,我国用户的数据都被人所掌握,信息安全没有保障。由此可见,解决这个问题是刻不容缓的。
Q:在构建信息安全环境方面,中国还存在哪些不足?
倪光南:过去我们在信息安全方面的许多措施,例如在信息系统外围设置防火墙、进行漏洞扫描,安装杀毒、杀木马软件等等,不一定真正解决问题。例如2008年微软对其认为是使用盗版软件的用户电脑实行“黑屏”,当时有人问:我的电脑装了杀毒软件,为什么防不了“黑屏”?这是因为操作系统是最基础的软件,是一切软件运行的平台,杀毒软件也在操作系统之上运行,也受它的控制,当然不可能干预操作系统,操作系统要电脑“黑屏”,其他软件是无法阻止的。
应当指出,信息系统的核心软硬件,尤其是操作系统和CPU芯片等与系统的安全关系极大,历来我国政府和重要信息系统中,大量采用外国的操作系统和CPU等核心软硬件,存在极大安全隐患,为了从根本上增强信息安全,今后我们要对这些系统中使用的核心软硬件以自主可控的国产软硬件进行替代,由替代XP所引发的操作系统国产化替代就是重要的环节。
Q:微软的行为是否合理?
倪光南:据报道,我国版权局曾就微软停止XP服务一事与微软商议,希望微软能考虑用户的需求,延长支持,但微软并未响应。我们认为,不论此事是否合理,要真正解决问题,停留在议论上是没有用的,必须立即采取果断措施,应对此事带来的安全风险。
Q:针对微软的决定,中国政府、产业界等应该如何来应对?
倪光南:我认为,为长远着想,首先应防止“视窗8”进入政府和重要行业。回顾2006年微软发布“视窗Vista”(“Vista”)时,当时有关机构根据专家评估,确认其架构会使用户电脑被微软高度掌控。其结果是“Vista”未列入政府采购目录。现同类架构的“视窗8”的安全风险远超过“Vista”,更不应被引入政府和重要行业,故不应将“视窗8”列入政府采购目录。
同时,应在信息安全领域权威机构——中国国家信息安全漏洞库的支撑下,集中我国信息安全领域的力量协同攻关,采用自主创新的可信计算技术进行安全加固,在微软停止对“XP”支持后,推出有公信力的“安全云服务”,接管我国2亿台XP电脑用户的服务支撑。这样,可防止在微软中止支持XP后,继续使用XP的电脑出现严重安全事件。
接着,中国“政产学研用”各界要共同努力,自主发展替代XP的国产操作系统及其生态环境。为此,要发扬“两弹一星”和载人航天精神,加大自主创新力度,学习“北斗”、“TD”等产业联盟的成功经验,创新地组织面向智能终端操作系统的产业联盟,发挥市场在资源配置中的决定性作用,整合全国资源,吸收社会资金,协调一致,避免内耗,尽快推出国产操作系统及其生态环境来替代XP,以此为突破点,进而以点带面,推进到替代其他桌面操作系统,然后再扩展到替代移动操作系统。最终,我们希望中国国产智能终端操作系统能成为世界上继苹果、谷歌和微软三家系统后的第四家系统。
Q:在信息安全领域,中国如何才能达到自主可控的目标?
倪光南:我们应当针对在信息安全领域的那些受制于人的关键核心技术,包括上述的智能终端操作系统、CPU和网络架构等等,发展自主可控的国产技术和设备,推进若干国产化替代工程,以便达到自主可控的目标。当然,自主可控只是一个先决条件,在这基础上还要做到安全可信,最终使国家信息安全得到有力保障。