4月9日,工信部网络安全产业发展中心与集团联合主办的线上研讨会成功举办握住。
本次研讨会以“应对Win7关机安全风险,信息创新产业发起防御战”为主题,工业和信息化部网络安全产业发展中心总工程师童晓民出席会议并发表讲话工业和信息化部网络安全产业发展中心四位专家副处长·李佳伦、集团首席安全官杜跃进、同心软件技术有限公司总经理·刘闻欢、集团研究员兼安全工程研究总监研究所所长潘剑峰分别从不同维度进行了专题解读,指出Win7宕机事件已成为业界舆论关注的焦点,国内学术界、业界等各方均积极回应并提出解决方案。
信创操作系统的发展已经进入了不容错过的黄金窗口期。
抓住机遇,推进芯创生态系统建设。
微软宣布停产Win7后,会带来两个问题:新应用没有底层支持;随着时间的推移,新的软件、新的版本在Win7系统上都不能很好的运行。
李佳伦强调:“这两个问题要求我们做好现有Win7终端的安全保障工作,同时制定操作系统更换计划。
”一方面,政府和业界需要介入,取代微软的防护工作,包括加强对Win7系统漏洞和病毒的监控和研究;为党、政、军、企业乃至民用用户提供后续非官方补丁和应急预案;优化系统安全配置、量身定制信息安全、完成基线配置、安全加固等。
另一方面,要解决底层问题,需要开发替代方案,逐步淘汰Win7系统。
主要包括两个内容:一、加快业务适配,让信创系统满足更多行业、更多场景的业务需求,特别是金融、国防、交通、通信等重点行业系统和重点领域系统的适配、能源行业等; 2、加大信创系统安全防护能力建设力度。
需要构建安全标准,建立安全基线,开发信创系统的配套安全软件,使信创系统具备应对复杂安全挑战的能力。
李佳伦认为,以操作系统为核心的新技术创新生态系统已经建立了十年。
因此,有必要抓住当前Win7换机的历史机遇,进一步推进创新生态系统建设。
信创安全需要系统化的设计。
无论是2018年WinXP的停运还是2018年Win7的停运,当供应商停止更新时,大量的用户系统将面临巨大的未知漏洞攻击的风险。
例如,Win7停服的第二天,就发现了针对Win70Day漏洞的APT攻击。
2018年,通过举办“XP挑战赛”,邀请尽可能多的安全人员对能够提供安全服务的产品进行攻击测试,检验其防护能力。
这也是Win7关机时可以参考的一个模型。
与此同时,信息创新产业生态圈逐步形成,操作系统、数据库等关键信息创新产品开始广泛推广应用。
对于信创软硬件产品来说,以公开测试的形式进行关键产品挑战,利用尽可能多的人来发现产品安全问题,可以促进信创软硬件产品的安全研究,使信创用户的系统和应用安全是有保证的。
不过,杜跃进认为,关键产品挑战赛只是解决了新创部分产品安全性提升的部分问题。
随着智能化、网络化、数字化时代的到来,无处不在的软件漏洞让网络空间从各个角度都变得极其脆弱。
与此同时,网络空间面临日益军事化的国际形势,信息创新产业正处于重建初期。
由于我们对安全认识存在误区、安全能力不足、缺乏实战和积累,信息与创新产业将面临前所未有的安全挑战。
威胁。
仅仅提高单点防护能力是远远不够的。
信创安全需要系统化的设计。
信创安全系统设计的核心目标是经受住实战的考验。
最基本的思路是:攻防视角、整体思维、统一调度、开放运作、能力驱动。
芯创系统包括底层CPU、固件、主板等硬件,以及操作系统、中间件、各类应用软件、安全软件等,以及最终用户和用户所承担的业务。
由于软硬件系统必然存在漏洞,因此攻击必然发生。
信创的安全体系最终保护的是重要数据和业务的安全。
针对软硬件产品的攻击只是手段,并非最终目的。
因此,信创安全系统除了解决软硬件产品的可信性、漏洞管理和安全防护外,还需要解决软件上线后如何保证核心业务和重要数据不受影响或将影响降到最低的问题。
硬件系统受到攻击。
。
从整体性和对抗性的角度来看,信创安全体系包括可信、安全、可控、对抗、可生存五个层次的目标,简称“两减三增强”。
其中,“可信”是指减少信创系统各要素“造假”的可能性; “安全”是指减少信创软硬件产品的漏洞和安全缺陷; “可控”是指增强应对安全攻击的能力。
响应控制能力; “对抗”是指增强安全威胁溯源、取证、震慑能力; “生存”是指增强核心业务的生存能力。
这是重新夺回信息技术领域主导地位的最佳机会。
Win7停产后,从技术角度看有3条路径:继续保留Win7方案、考虑使用Win10系统、更换新创系统操作系统。
刘闻欢提到,更换新创操作系统的优点包括长期服务,无供应中断风险;系统安全独立管控;无流氓软件和弹窗广告,您可以放心使用;支持回收,现有设备仍可使用。
但也存在使用习惯改变、需要磨合、通用应用领域生态差距等问题。
对于用户来说,从Win7迁移到信创操作系统不仅仅是一般应用的迁移,更是业务系统的迁移。
研讨会上,刘闻欢重点讨论了两个业务系统的迁移。
第一种是目前大多数业务系统采用的B/S架构。
B/S架构业务迁移主要涉及B/S应用前端迁移,包括三个方面:页面迁移开发,主要解决浏览器页面兼容性问题;插件迁移开发可能涉及ActiveX控件问题;集成认证迁移开发可能会涉及到USBKey登录、域认证等问题。
二是迁移部分C/S架构的业务客户端。
您可以先分析原有的应用开发技术,制定有针对性的迁移计划。
比如一些支持跨平台CS架构的客户端,是基于Java开发的,甚至是.net开发的,在新创操作系统上重新编译后也能存活。
另外,“deepin-wine”可以应用兼容层技术,直接运行Windows操作系统下的软件。
当然,这种场景下的迁移通常需要原业务系统开发厂商的配合。
刘闻欢提到,过去两年从微软平台迁移到新创操作系统平台已有很多成功案例。
现阶段替换主要有六个步骤:用户评估、迁移计划实施、技术准备、小规模试点、大规模推广、检查缺陷。
“从长远来看,如果我们现阶段实现了操作系统的替代,通过未来的逐步淘汰,芯创CPU硬件平台替代X86架构的障碍将大大减少。
”他进一步解释说,虽然中国信息产业也希望能够打造自己的软硬件系统,但同时更换软硬件系统实际上是两个生态系统的更换,这是非常困难的。
可以从基础软件和操作系统生态入手,进行相应的更换,然后再更换硬件。
这个过程会顺利很多。
“Win7停产后的替代品是我们重新夺回信息技术领域主导地位的最佳机会。
如果错过这次,我们可能还要再等10年。
”操作系统漏洞防护技术解决方案 操作系统漏洞是操作系统中最大的安全威胁,0day漏洞攻击的发现和防护是网络空间安全战场上最重要的决定性点之一。
潘剑锋在研讨会上介绍了Windows操作系统中二进制漏洞及其利用攻击的现状,包括漏洞类型、产生原因、利用方法等概述。
然后分析了现代操作系统为解决这些漏洞问题而设计和使用的各种防护技术,包括CPU硬件提供的安全特性和操作系统利用硬件特性实现漏洞防护功能的方法,以及操作系统的能力和功能。
Microsoft 漏洞缓解机制 EMET 和 WDEG 的功能。
丢失的。
为了解决停服后Win7和最新的win10等操作系统0day/nday漏洞的威胁,潘剑锋提出了一种新的漏洞防护机制——全视之眼0day雷达系统。
这个新系统既可以用于Windows也可以适用于国产系统。
该产品在2016年世界互联网大会上取得了领先的科技成果。
该产品的架构分为三部分:ZDR漏洞防御终端系统、多维沙箱、智能决策系统。
其设计理念是分析各个阶段漏洞利用的原理,包括漏洞触发、漏洞利用、漏洞消除。
对于防御包括Win7在内的系统漏洞极为有效。
无疑,Win7操作系统的暂停将使国内用户系统面临更高的安全风险,但这既是机遇,也是挑战。
面对困难和挑战,我们要勇往直前,化困难为机遇,众志成城,支持信息技术应用。
创新。