在国家强力政策推动及下游需求快速提升的双重作用下,网络安全和自主可控领域正在迎来行业大爆发,能够充分防范“永恒之蓝”等外来病毒侵袭、各方面日臻成熟的国产操作系统的最好时代已经渐行渐近。
不久前,基于“永恒之蓝”攻击模块衍生出的“想哭”勒索病毒(WannacryRansomware)肆虐全球,让全世界的Windows 设备使用者深刻体验了一回想哭的感受。纷扰过后,冷静下来的各方开始冷静思索:这次病毒大爆发的始作俑者——美国国家安全局(NSA)泄漏的攻击模块远不止“永恒之蓝”(ETERNALBLUE)一种,借助已有攻击框架二次开发病毒的难度之低难以想象。可以预见,一大波未知的病毒正在来袭的路上。这一点让人细思极恐,我们究竟该如何应对?
众所周知,中国信息安全一直存在“三大黑洞”:芯片、操作系统和数据库。在网络安全已经成为国家战略的今天,这3 个层面的安全也就成了关键信息基础设施中的核心所在。今年6 月1 日,《中华人民共和国网络安全法》正式实施,其明确了对关键信息基础设施运行安全的要求。联系到去年12 月27日发布的《国家网络空间安全战略》,在国家强力政策推动及下游需求快速提升的双重作用下,网络安全和自主可控领域正在迎来行业大爆发,能够充分防范“永恒之蓝”等外来病毒侵袭、各方面日臻成熟的国产操作系统的最好时代已经渐行渐近。
“互联网行业的苦行僧”
十几年前,曾是中国Linux 公社(Linux fans)早期发起人和重要参与者之一,MagicLinux 开源社区版本创始人的黄建忠做出了一个彻底改变他人生轨迹的选择——投身中科红旗,开发国产基础操作系统,他参与或领导了863、核高基、长风联盟等众多操作系统的开发课题或项目,主持开发了符合国家标准的藏文、维哈柯文等民文Linux 操作系统。“谁把握了操作系统这个核心,谁就能赢得IT 产业的主动地位。”当时Windows 抢占了世界90% 以上的电脑,国产操作系统的市场还是一片空白。
早在上世纪70年代,国内许多科研院所就已经参与到Unix自主操作系统的研发中。伴随着上世纪90年代Linux 操作系统的诞生,其凭借开源特征得以迅速取代Unix 成为国产操作系统开发的主流,国家也逐渐意识到自主操作系统对网络安全的重要性,中软Linux、中科红旗等一系列国产操作系统厂商应运而生。“如果我比别人看得更远,那是因为我站在巨人的肩膀上。”正是来自开源的优秀技术力量,使国产操作系统从一诞生就站在巨人的肩膀上。他们以Linux 为基础二次开发的操作系统经过多年的发展,无论是在布局还是操作方式上都和WindowsXP 所差无几,在易用性等方面基本具备WindowsXP替代能力。然而,黄建忠真正走进市场才知道,“原本以为是蓝海,其实是死海。国产操作系统研发被业内认为是IT 领域里面的冷门偏门,很长时间以来都是这样。”由于操作系统整体生态环境等原因,国产操作系统厂商开拓市场非常困难,一直举步维艰,中科红旗最后也黯然解散。
2008 年,中国电子信息产业的国家队——中国电子科技集团(CETC)整合集团优势资源投资设立普华基础软件股份有限公司,黄建忠又一次义无反顾地投身其中,成为普华技术部副总经理、研发总监。中科红旗的创业团队也先后投奔过来,他们有人甚至放弃互联网公司老总的职位,放弃成为上市公司股东的机会。
普华肩负提升国家基础软件产业核心竞争力的重要使命,2014 年初正式进军国产操作系统领域。雄厚的资金支持加上富有经验的团队努力,当年9月普华操作系统3.0版本正式发布。但走进市场,不被认可的冷酷现实又一次摆在面前,绝大多数人仍然只认Windows。“你们系统的驱动我们提供不了,我们只提供Windows 的”,这样的话黄建忠不知道听了多少遍。不被认可更不赚钱却仍坚守在国产操作系统领域的黄建忠和他的伙伴们被称为“互联网行业的苦行僧”。为了提高知名度,黄建忠抓住一切机会推介中国普华,当起了推销员……
从前些年“棱镜门”事件的爆发到“想哭”病毒的肆虐,网络安全日益牵动着全世界敏感的神经。在网络安全上升到国家战略的产业背景下,发展安全可靠的国产操作系统逐渐深入人心,国产操作系统的优势日益显现出来。“操作系统的自主可控是网络强国的关键基石。”带领团队完成了普华桌面、服务器等操作系统系列产品研发的黄建忠对本刊记者说,近几年来,具备网络安全优势的国产操作系统凭借自身的努力,不断打磨产品并提升服务,逐渐得到业内外的普遍认同,逐步进入国家政府部门以及金融、能源等经济社会运行的神经中枢。
完美抵御“永恒之蓝”
“为什么说以Linux 为内核的国产操作系统能够抵御各种未知病毒入侵,这得从‘零日(0-day)漏洞’和病毒本身的设计流程说起。”普华基础软件首席架构师孟剑在接受本刊记者采访时介绍说,Windows 系统积极地安全更新、安装杀毒软件,虽然可以大幅降低感染病毒的几率,却难以完全避免。“‘零日漏洞’是指被黑客发现后立刻用来发起攻击的漏洞,这些漏洞尚未公开,用户不知道,软件厂商也不了解,应对时间为零。这类漏洞没有检测工具,没有修复方法,传统被动升级防御、病毒特征比对的方式毫无用处,一旦被用来发起攻击,Windows 系统毫无招架能力。这次‘想哭’病毒就是基于美国国家安全局泄漏的网络攻击模块“永恒之蓝”基础上二次开发,针对漏洞植入恶意代码,从而加密用户文件和显示勒索声明,并不需要高深的编码技巧或深厚的理论根基就可以达到非常恶劣的后果。”
孟剑进一步介绍说,美国国家安全局(NSA)多年前为自身开发定制了一套强大的安全框架,这套框架后来通过开源组织进入Linux 操作系统的内核,这就是SELinux(Security EnhancedLinux),它具备主动防御包括“零日漏洞”在内的多种攻击的能力。SELinux 的安全机制是强制访问控制,一切访问计划都要事先写入安全策略,没有明确策略允许的任何访问都会被禁止,这使得一个系统级的安全漏洞对整个操作系统的影响被限制在非常小的范围内。
“美国在信息安全领域的强大实力不容置疑,但我国也很早就对信息安全领域展开全面研究,目前国产操作系统已能提供远高于普通SELinux的底层安全保护。”孟剑向记者介绍说,公安部的GB17859-1999 标准将计算机信息安全系统由低到高划分为5 个等级,在GB/T20272-2006 中更进一步对操作系统安全技术提出了具体要求。
据介绍,从国标安全3 级开始要求以Linux 为内核的国产操作系统提供强制访问控制,除了要实现SELinux 中的各类安全模型架构外,还将普通操作系统中权限不受控制的管理员根据职责分解为系统管理员、安全管理员、审计管理员3 个角色。3 个角色的权限之间互相制约,从根本上避免了恶意入侵者通过获取管理员权限对操作系统的全面控制。同时,标准还对用户数据的私密性、完整性提出了严格的保护要求,要求操作系统通过安全标签保障用户数据不被非法读取和篡改。
国标安全4 级除了在访问控制和数据保护上提出更为严格的要求之外,还要求设计者对操作系统的安全策略模型、安全功能模块进行形式化验证,并进行隐蔽信道分析,对系统抵御攻击能力进行评估,这是目前已有操作系统能达到的最高安全等级,国内普华、凝思等国产操作系统厂商已经开发出符合国标安全4 级的操作系统,提供了远高于普通SELinux 的底层安全保护。
作为所有上层应用的最底层软件支撑,操作系统承载着一切上层软件的安全机制。“脱离操作系统构建的安全体系如同沙滩上的城堡,即使再坚固也将最终失去根基,这就是现在大力推动国产操作系统发展的深意。”孟剑说。
国产操作系统走向成熟
近年来,以普华为代表的国产操作系统逐渐走向成熟,走入生活。时时离不开的智能手机、去银行取款,在超市买单,去网上购物,航空、高铁、地铁的运行……在中国人的日常生活中,国产操作系统的身影已无处不在。越来越多的企业运行关键性业务都离不开国产操作系统,它还为企业大数据、云计算等新兴工作负载注入强大生命力。黄建忠对记者表示,目前国产操作系统成为我国提高信息产业自主创新能力、转变经济增长方式的重要抓手和关键点,最好的时代已渐行渐近。
近年来,坚守Linux 操作系统领域的普华厚积薄发,在生态系统建设方面积聚了强大实力,并紧跟国家网络安全政策实现跨越赶超。普华与IBM、Oracle 等国际国内知名的IT厂商深入合作,拥有国内顶尖操作系统人才,不仅在研发水平上表现出众,在服务能力和生态系统建设上也优势明显。凭借在技术支持服务上持续不断的投入,普华在服务体系覆盖面、服务员工数量、服务渠道完善、服务响应时间和服务人员解决问题能力等方面已经排在业界前列。
在团队的共同努力下,在赛迪发布的2015 年IT 行业市场调研报告中,普华已经迅速成为中国Linux 操作系统细分市场的第三名。在去年的调研报告中,普华基础软件凭借在政府、电信、能源等行业的突出表现,成为中国Linux 操作系统细分市场占有率18.3% 的企业,跃居第二。对于2014 年才刚转型定位操作系统方向的普华基础软件来说,短短3 年之内就取得了这样的成就让人瞩目,彰显了“普华速度”。
从中央网络安全和信息化领导小组成立到《中华人民共和国网络安全法》的制定,再到《国家网络空间安全战略》的发布,一系列国家政策和法规的颁布,通过政策的引导,完善了国产软件的产业链,为国产基础软件的发展创造了一个良好的生态环境。
一直力主开发国家自主核心技术的中国工程院院士倪光南长期以来在各种场合为国产操作系统大声疾呼,为普华打气鼓劲,“中国国产操作系统要自己做,不能受制于人,虽然道路艰辛,但只要有信念,一定会成功。”
