“XP停服”拷问中国网络安全

2014年4月8日如期而至，这一天，微软停止对XP系统的支持，这意味着微软历史上服役时间最长的一款产品进入了“裸奔时代”。说它裸奔是因为没有了微软的官方补丁，“漏洞百出”的XP系统要直面全球黑客们的攻击。另一方面，传统的杀毒软件失灵——杀毒软件杀的是木马、病毒，对操作系统的漏洞，防护能力几乎是零。

但即便如此，仍然有众多人不愿意舍弃那一份“蓝天白云”。第三方的数据显示，全球范围内XP的市场份额约占25%，而中国XP市场份额高达70%以上，目前中国有超过2亿台电脑仍然在使用XP系统。此外，还有众多的政府机构以及企事业单位因为各种各样的原因留守XP。

倪光南不止一次地呼吁，XP停止服务是一个重大的信息安全事件，需要认真应对。“特别是对中国而言，应集中我国信息安全领域的力量协同攻关，采用自主创新的可信计算技术进行安全加固。” 倪光南认为，在微软停止对XP支持后，中国应推出有公信力的安全云服务，接管国内XP电脑用户的服务支撑，以此可防止在微软停止支持XP后，继续使用XP的电脑出现严重安全事件。

微软把善后工作甩给了第三方安全厂商，而这对于已经甚嚣尘上的中国安全产业来说，无疑“火上浇油”。

XP曲终人不散，真正的大戏刚刚开演。

中国网络安全的分水岭

“XP停服”是一场有明确时间表的“阵地战”。微软早早地发布公告称2014年4月8日是最后期限，几轮广而告之下来的结果是，用户以及黑客们都清楚地明白4月8日这个时间节点。

“这就好像当年孟良崮战役，敌我双方都很清楚对方的实力。”一位不愿意透露姓名的安全圈人士这样分析：“敌，就是全球的黑客。我，就是微软以及安全公司们。”当然，在4月8日之后，微软已经完成了交接棒的工作，将防护XP系统安全的工作交接给了安全公司。

4月9日，微软通过其全球官网，向留守XP的用户推荐了24款安全防护产品。令人遗憾的是在这24款安全防护产品中，只有360一家中国大陆的安全厂商。

微软的谨慎和苛刻是有道理的。正如倪光南预言的那样，XP停服是“一个重大的信息安全事件”，波及范围广，用户数多，第三方统计的2亿用户只是保守的估计，其中或许没有包括众多的盗版用户。

除了普通消费者外，众多政府机构、企事业单位在使用XP。XP系统在中国上市一周年时，媒体公开披露的信息显示，包括中国海关、江苏省国家税务局、广东省财政厅、昆山市政府等在内的诸多机构都采用了。

而且，政府和大企业用户有很多专属应用系统，早年间都是基于Windows XP环境下开发的，升级到Vista、Windows 8后无法运行，需要付出二次开发成本。这些因素决定了政府和大企业用户短期内无法迁移或升级系统。

以教育领域为例，全国41万多所学校中，机房和IT平台安装使用的大多是XP系统。有业内人士预言，校园很可能因此成为黑客攻击的重灾区。据教育部公布的相关数据，全国初等教育（小学）学校数量超过32万所，中学和高校数量也分别达到近9万所和2000余所。在教育办公自动化建设中，很多办公软件是基于XP系统开发，短期内无法支持Win7和Win8系统。

当然还有众多大型企业的ERP系统几乎都基于XP系统开发。以国内最大的管理软件厂商用友为例，2002年其旗舰产品U8管理软件就通过了微软Windows XP兼容性测试。根据用友公司的统计，U8已经累计拥有60万家用户，涵盖多个行业以及领域。

媒体的公开报道显示如八方达公交集团这样的公司，拥有运营车辆6525部，总资产169亿元。该集团使用用友U8软件，涉及财务管理、人力资源、资产管理几大模块，共涉及分公司12家，分布站点580点，每日在线运行资源200点左右。这样的企业级用户要进行系统级迁移，无疑要耗费大量的时间以及人力成本，并非一蹴而就。

此前，甚至有传言称 “4月8日后到ATM机存取现金有风险！” 尽管这在安全专家看来，不过是市井传说与危言耸听，但XP停服之后复杂的网络安全环境却不容小觑。

原因在于常规的杀毒软件查杀的是病毒和木马，不是防御系统级的漏洞。“系统有漏洞，就像一个房间的墙壁损坏，小偷可以随便出入。”中国国家信息安全漏洞库特聘专家、360漏洞实验室主任袁仁广说：“以往安全软件只能防木马病毒，对漏洞缺乏抵抗力。在冲击波蠕虫爆发、伊朗核设施被Stuxnet（震网）破坏、谷歌公司遭遇极光攻击等安全事件中，黑客攻击都是通过漏洞发起，安全软件基本形同虚设。”

安全公司深知，必须推出针对XP的专版防护产品，但知易行难。事实上，针对XP停服，中国网络安全产业只推出了三款专版产品，分别是360 安全卫士XP盾甲、腾讯电脑管家（XP专属版本）、金山毒霸（XP防护盾）。但是，最终入选微软全球推荐名录的只有360的安全产品。

老牌的瑞星、江民等传统杀毒软件厂商似乎没能跟上，没有开发出针对XP停服的专版产品，而安全新军百度杀毒不过雷声大、雨点小。

“XP停服是客观事实，与其怨天尤人，不如自己创新。” 360公司总裁齐向东说：“360的产品是我们给用户的一个交代，希望用户能看到中国本土厂商的实力。”他认为，相信腾讯、金山、百度等等能慢慢成长起来，中国本土的安全厂商还是有希望的。(责任编辑：韩杰)