倪光南:XP停止服務影響巨大 中國要早做打算
針對微軟將於今年4月8日起停止為Windows XP推送安全補丁及系統修復一事,中國工程院院士倪光南日前接受人民網記者採訪時表示,對中國而言,XP停止服務是一個“重大的資訊保安事件”,相關各方應該立即行動,採取果斷措施,提升國家資訊保安的保障力度。
記者:XP停止服務的決定,將會給中國的資訊保安帶來什麼樣的影響?
倪光南:微軟停止XP服務意味著它將不再對XP的安全問題負責,它將不再發布XP的漏洞和補丁,這顯然使XP使用者面臨很大的安全風險。看來,微軟此舉是希望XP使用者在這種壓力下能升級到“視窗8”。根據《2012年度中國軟體盜版率調查報告》的資料,在中國的PC中,XP的市場份額佔73.5%,即XP在用量約為2億臺,其中84.2%使用者沒有升級到“視窗8”的計劃。也就是說,絕大多數中國XP的使用者都希望繼續使用XP,微軟的決定不符合他們的願望。由於微軟此舉涉及的電腦數量巨大,因此是一個重大的資訊保安事件,對中國的資訊保安不利,需要認真應對。
記者:中國將要為此付出多大的成本?
倪光南:應對這一事件需要作長期打算,不僅是為了減輕近期風險,而且還要大大增強長期的資訊保安。為此進行投入、付出代價都是值得的。現實情況是,中國在智慧終端作業系統上完全受制於人。所謂智慧終端,指的是各種資訊終端,隨著雲端計算的興起,這些就是各種接受雲服務的終端,包括桌面PC、智慧手機、平板電腦、智慧電視等家用智慧終端、可穿戴裝置、車載裝置等等。這類智慧終端使用的作業系統具有高度的壟斷性,現在全世界基本上只有三家——蘋果、谷歌(微博)和微軟的系統。中國儘管是世界上智慧終端的最大製造國,可是我們製造的所有智慧終端都是用的這三家系統,這種局面不改變,不僅我們智慧終端製造業的利潤和發展受到制約,而且所有終端都執行外國作業系統,從大資料的角度看,我國使用者的資料都被人所掌握,資訊保安沒有保障。由此可見,解決這個問題是刻不容緩的。
記者:在構建資訊保安環境方面,中國還存在哪些不足?
倪光南:過去我們在資訊保安方面的許多措施,例如在資訊系統外圍設定防火牆、進行漏洞掃描,安裝防毒、殺木馬軟體等等,不一定真正解決問題。例如2008年微軟對其認為是使用盜版軟體的使用者電腦實行“黑屏”,當時有人問:我的電腦裝了防毒軟體,為什麼防不了“黑屏”?這是因為作業系統是最基礎的軟體,是一切軟體執行的平臺,防毒軟體也在作業系統之上執行,也受它的控制,當然不可能干預作業系統,作業系統要電腦“黑屏”,其他軟體是無法阻止的。
應當指出,資訊系統的核心軟硬體,尤其是作業系統和CPU晶片等與系統的安全關係極大,歷來我國政府和重要資訊系統中,大量採用外國的作業系統和CPU等核心軟硬體,存在極大安全隱患,為了從根本上增強資訊保安,今後我們要對這些系統中使用的核心軟硬體以自主可控的國產軟硬體進行替代,由替代XP所引發的作業系統國產化替代就是重要的環節。
記者:微軟的行為是否合理?
倪光南:據報道,我國版權局曾就微軟停止XP服務一事與微軟商議,希望微軟能考慮使用者的需求,延長支援,但微軟並未響應。我們認為,不論此事是否合理,要真正解決問題,停留在議論上是沒有用的,必須立即採取果斷措施,應對此事帶來的安全風險。
記者:針對微軟的決定,中國政府、產業界等應該如何來應對?
倪光南:我認為,為長遠著想,首先應防止“視窗8”進入政府和重要行業。回顧2006年微軟釋出“視窗Vista”(“Vista”)時,當時有關機構根據專家評估,確認其架構會使使用者電腦被微軟高度掌控。其結果是“Vista”未列入政府採購目錄。現同類架構的“視窗8”的安全風險遠超過“Vista”,更不應被引入政府和重要行業,故不應將“視窗8”列入政府採購目錄。
同時,應在資訊保安領域權威機構——中國國家資訊保安漏洞庫的支撐下,集中我國資訊保安領域的力量協同攻關,採用自主創新的可信計算技術進行安全加固,在微軟停止對“XP”支援後,推出有公信力的“安全雲服務”,接管我國2億臺XP電腦使用者的服務支撐。這樣,可防止在微軟中止支援XP後,繼續使用XP的電腦出現嚴重安全事件。
接著,中國“政產學研用”各界要共同努力,自主發展替代XP的國產作業系統及其生態環境。為此,要發揚“兩彈一星”和載人航天精神,加大自主創新力度,學習“北斗”、“TD”等產業聯盟的成功經驗,創新地組織面向智慧終端作業系統的產業聯盟,發揮市場在資源配置中的決定性作用,整合全國資源,吸收社會資金,協調一致,避免內耗,儘快推出國產作業系統及其生態環境來替代XP,以此為突破點,進而以點帶面,推進到替代其他桌面作業系統,然後再擴充套件到替代移動作業系統。最終,我們希望中國國產智慧終端作業系統能成為世界上繼蘋果、谷歌和微軟三家系統後的第四家系統。
記者:在資訊保安領域,中國如何才能達到自主可控的目標?
倪光南:我們應當針對在資訊保安領域的那些受制於人的關鍵核心技術,包括上述的智慧終端作業系統、CPU和網路架構等等,發展自主可控的國產技術和裝置,推進若干國產化替代工程,以便達到自主可控的目標。當然,自主可控只是一個先決條件,在這基礎上還要做到安全可信,最終使國家資訊保安得到有力保障。