1. 背景分析
随着计算机网络技术的飞速发展与应用,各行业信息化办公已经得到普及。各单位经过多年的信息化建设,单位内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备,但是由于业务运行保密性需求越来越高,边界防御产品无法对员工的个人行为进行管制,网络中的终端PC的安全运行无法得到保障,使得单位内部网络想日常运营存在重大的安全隐患,内部网络中的大量敏感信息也受到严重威胁。来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题。
2014年4月8日,微软公司将正式停止对Windows XP的服务支持,且不再提供针对该操作系统的系统安全补丁、升级以及其它相关服务。SP3是Windows XP最后一个服务包,其支持期限截止到2014年4月8日。不过作为微软最长寿的一款成功产品,迄今为止,Windows XP依旧在全球的不少地区占有不小的市场份额。不过,2014年4月8日之后,你依然可以正常使用Windows XP,微软官方仅停止对其的支持服务。尽管如此,Windows XP支持的停止就是一个炸弹,届时,所有潜在的兼容问题和安全问题将让企业用户无处可躲。
目前国内重要企业中(各大央企、涉密单位等)还存在着大量的Windows XP终端,且由于应用以及安全软件等的原因短期内无法更换Windows XP。而且由于斯诺登事件揭秘的微软高版本如Vista,win 7/8内部植有NSA的秘密后门的事实,XP系统尽管过时,但是也许在留有特殊后门方面对于我国来说还是相对安全的,因此Windows XP将会长期存在。这样Windows XP的安全问题就全部落在了国内的安全部门的肩上。国家有关部门目前已经启动了Windows XP的安全响应机制,而测评中心就担负了Windows XP补丁研发、验证和分发的工作。
如何引导、规范和解决以上问题,需要政府、企业、团体和个人重点观注。
2. Windows xp安全问题分析
介于国内仍在使用Windows XP的企业用户,如果不能及时对系统进行更新和补丁升级,受到黑客、木马等威胁和攻击,造成信息泄露、系统瘫痪、财产损失的潜在风险将会显著增加,因此我们要采取相关技术措施。避免由于稳定性和安全性的问题在未来造成不必要的麻烦和损失。
近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些病毒能造成如此危害,是因为利用了操作系统或者应用惩处的漏洞,补丁的安装普遍会遇到以下的问题:
普通用户技术知识水平有线,造成计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;
网络维护人员为每台机器安装补丁耗时巨大;
物理隔离网络用户必须使用移动存储介质从外网将补丁导入并安装,麻烦且带来信息泄露和病毒传入的风险;
每个终端补丁安装均从外网下载补丁造成网络资源消耗过大;
用户随意下载补丁导致补丁来源不统一带来的风险。
因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全决策人员首要解决的问题。
3. 天融信公司应对措施
天融信补丁管理功能是天融信公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的。补丁检测服务器将会调用多种资源来发现新的漏洞,并升级存放在企业用户的服务器上,同时补丁管理功能还能通过对所有受保护的安全代理程序进行自动升级,来为企业用户的Windows XP提供持续保护。
系统通过WSUS自动从互联网下载系统补丁,同时根据系统对终端系统补丁进行自动检测结果将各系统需要安装的系统更新程序或者其他软件包自动下发到终端,终端自动执行服务器下发的安装程序,帮助管理员对网内终端操作系统快速部署最新的安全更新和重要更新。
补丁管理功能描述:
互联网补丁自动下载;
补丁增量更新导入;
补丁库建立和分类;
终端补丁自动检测;
补丁策略指定分发和自动分发;
终端补丁流量控制和转发代理技术;
补丁自动修复和查询统计;
未打补丁情况汇总统计;
补丁安装情况汇总统计。
系统支持指定主机的补丁检测时间(主机启动时检测或间隔一定时间定时检测)、下载的补丁类型(安全更新程序、关键更新程序、工具、更新程序、更新程序集和更新包)、下载的补丁级别、补丁安装前提示、安装后重启。
可按照网段、补丁类型进行补丁配置分发、支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽。
4. 天融信公司在国产化方面的努力
2014年2月27日,中央网络安全和信息化领导小组宣告成立,旨在从网络大国迈向网络强国。习近平指出,没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。
善谋势者,必成大事。安全和发展相辅相成,网络安全和信息化如一体之两翼、驱动之双轮。顶层设计,统筹谋划,做好网络安全和信息化工作,以安全保发展、以发展促安全,定能建久安之势、成长治之业。
从国产化来说,可能是我们未来真正长期的机制,一种这是机会能够在国产化推起来,二种用什么机制推起来,像独立产品,安全产品。天融信公司利用国家、涉密部门、国家的一些核心行业,在基于国产操作系统的基础上做了一些课题和安全产品,并获取了一些经验积累。
国产操作系统的安全防护需满足以下要求:
实现全面的终端安全保护功能,达到计算机操作系统,终端保护产品,应用研发全国产化要求,防范国家安全风险;
有效解决新的信息化应用带来的安全问题,适应安全威胁形势变化的需要;
整合多种安全保障产品的功能,消除功能重叠和冲突,实现不同保障能力间的充分协作。
基于国产操作系统安全防护体系需要考虑利用组件技术、分布式技术和中间件技术实现的,综合运用身份认证技术、访问控制技术、密码技术、安全监控技术、协同技术、审计技术和智能管理技术,实现面向国产操作系统的整体终端安全支撑框架。提供包括主机监控与审计系统、终端登录与文件保护系统、防病毒系统、电子文档管理系统、安全检查工具、涉密计算机及移动存储介质保密管理系统、信息消除工具、数据恢复工具的整体终端安全防护体系
相信在中央强有力的领导下,在发展目标的明确指引下,在中国广大网民的努力下,乘着深化改革的东风,我国一定能变网络大国为网络强国。
