倪光南：XP停止服務是重大信息安全事件

來源：人民網-IT頻道

·

針對微軟將於今年4月8日起停止爲Windows XP推送安全補丁及系統修復一事，中國工程院院士倪光南日前接受記者採訪時表示，對中國而言，XP停止服務是一個“重大的信息安全事件”，相關各方應該立即行動，採取果斷措施，提升國家信息安全的保障力度。

記者：XP停止服務的決定，將會給中國的信息安全帶來什麼樣的影響？

倪光南：微軟停止XP服務意味着它將不再對XP的安全問題負責，它將不再發布XP的漏洞和補丁，這顯然使XP用戶面臨很大的安全風險。看來，微軟此舉是希望XP用戶在這種壓力下能升級到“視窗8”。根據《2012年度中國軟件盜版率調查報告》的數據，在中國的PC中，XP的市場份額佔73.5%，即XP在用量約爲2億臺，其中84.2%用戶沒有升級到“視窗8”的計劃。也就是說，絕大多數中國XP的用戶都希望繼續使用XP，微軟的決定不符合他們的願望。由於微軟此舉涉及的電腦數量巨大，因此是一個重大的信息安全事件，對中國的信息安全不利，需要認真應對。

記者：中國將要爲此付出多大的成本？

倪光南：應對這一事件需要作長期打算，不僅是爲了減輕近期風險，而且還要大大增強長期的信息安全。爲此進行投入、付出代價都是值得的。現實情況是，中國在智能終端操作系統上完全受制於人。所謂智能終端，指的是各種信息終端，隨着雲計算的興起，這些就是各種接受雲服務的終端，包括桌面PC、智能手機、平板電腦、智能電視等家用智能終端、可穿戴設備、車載設備等等。這類智能終端使用的操作系統具有高度的壟斷性，現在全世界基本上只有三家——蘋果、谷歌和微軟的系統。中國儘管是世界上智能終端的最大製造國，可是我們製造的所有智能終端都是用的這三家系統，這種局面不改變，不僅我們智能終端製造業的利潤和發展受到制約，而且所有終端都運行外國操作系統，從大數據的角度看，我國用戶的數據都被人所掌握，信息安全沒有保障。由此可見，解決這個問題是刻不容緩的。

記者：在構建信息安全環境方面，中國還存在哪些不足？

倪光南：過去我們在信息安全方面的許多措施，例如在信息系統外圍設置防火牆、進行漏洞掃描，安裝殺毒、殺木馬軟件等等，不一定真正解決問題。例如2008年微軟對其認爲是使用盜版軟件的用戶電腦實行“黑屏”，當時有人問：我的電腦裝了殺毒軟件，爲什麼防不了“黑屏”？這是因爲操作系統是最基礎的軟件，是一切軟件運行的平臺，殺毒軟件也在操作系統之上運行，也受它的控制，當然不可能幹預操作系統，操作系統要電腦“黑屏”，其他軟件是無法阻止的。

應當指出，信息系統的核心軟硬件，尤其是操作系統和CPU芯片等與系統的安全關係極大，歷來我國政府和重要信息系統中，大量採用外國的操作系統和CPU等核心軟硬件，存在極大安全隱患，爲了從根本上增強信息安全，今後我們要對這些系統中使用的核心軟硬件以自主可控的國產軟硬件進行替代，由替代XP所引發的操作系統國產化替代就是重要的環節。

記者：微軟的行爲是否合理？

倪光南：據報道，我國版權局曾就微軟停止XP服務一事與微軟商議，希望微軟能考慮用戶的需求，延長支持，但微軟並未響應。我們認爲，不論此事是否合理，要真正解決問題，停留在議論上是沒有用的，必須立即採取果斷措施，應對此事帶來的安全風險。

記者：針對微軟的決定，中國政府、產業界等應該如何來應對？

倪光南：我認爲，爲長遠着想，首先應防止“視窗8”進入政府和重要行業。回顧2006年微軟發佈“視窗Vista”（“Vista”）時，當時有關機構根據專家評估，確認其架構會使用戶電腦被微軟高度掌控。其結果是“Vista”未列入政府採購目錄。現同類架構的“視窗8”的安全風險遠超過“Vista”，更不應被引入政府和重要行業，故不應將“視窗8”列入政府採購目錄。

同時，應在信息安全領域權威機構——中國國家信息安全漏洞庫的支撐下，集中我國信息安全領域的力量協同攻關，採用自主創新的可信計算技術進行安全加固，在微軟停止對“XP”支持後，推出有公信力的“安全雲服務”，接管我國2億臺XP電腦用戶的服務支撐。這樣，可防止在微軟中止支持XP後，繼續使用XP的電腦出現嚴重安全事件。

接着，中國“政產學研用”各界要共同努力，自主發展替代XP的國產操作系統及其生態環境。爲此，要發揚“兩彈一星”和載人航天精神，加大自主創新力度，學習“北鬥”、“TD”等產業聯盟的成功經驗，創新地組織面向智能終端操作系統的產業聯盟，發揮市場在資源配置中的決定性作用，整合全國資源，吸收社會資金，協調一致，避免內耗，儘快推出國產操作系統及其生態環境來替代XP，以此爲突破點，進而以點帶面，推進到替代其他桌面操作系統，然後再擴展到替代移動操作系統。最終，我們希望中國國產智能終端操作系統能成爲世界上繼蘋果、谷歌和微軟三家系統後的第四家系統。

記者：在信息安全領域，中國如何才能達到自主可控的目標？

倪光南：我們應當針對在信息安全領域的那些受制於人的關鍵核心技術，包括上述的智能終端操作系統、CPU和網絡架構等等，發展自主可控的國產技術和設備，推進若幹國產化替代工程，以便達到自主可控的目標。當然，自主可控只是一個先決條件，在這基礎上還要做到安全可信，最終使國家信息安全得到有力保障。