今天,微软公司彻底停止对于Windows XP操作系统的技术支持,这意味着,中国约两亿Windows XP用户的电脑处于“裸奔”状态,这是微软在全球战略中的一个大动作。
有人说中国计算机安全将面临空前危机,但也有人认为危机的背后往往蕴藏着巨大的机会,中国计算机技术的自主知识产权发展将迎来新的春天。
2月27日,中央网络安全和信息化领导小组举行第一次会议,小组组长习近平指出,我们在自主创新方面还相对落后,区域和城乡差异比较明显,特别是人均带宽与国际先进水平差距较大,国内互联网发展瓶颈仍然较为突出。中央网络安全和信息化领导小组要发挥集中统一领导作用,统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力。
Windows XP的“退役”恰好为中国网络安全提出了新的问题,也提供了新的契机。在Windows XP离去的诸多影响中,激发自主品牌的能力可能成为意义深远的一项。
微软的“聪明”
微软为什么一定要停服XP?
互联网实验室董事长方兴东告诉记者,一个很重要的原因在于逼迫用户购买和升级系统。“当时Vista推出之后,由于微软安全问题,我们政府没有把Vista列入采购目录。”如果不停服XP,微软的新产品将继续失去政府采购的市场。
政府市场只是微软商业版图里的一部分,微软瞄准的是更大的目标。“1999年的时候,中国只是一个年销售几百万台电脑的小小市场。现在中国是全球最大的个人计算机市场,还是全球最大的智能手机市场和互联网市场。”方兴东说,他算了一笔账,XP在中国还有约两亿用户,如果有10%的人升级就将为微软带来几百亿的收益。
在方兴东看来,停服XP,消费者没有讨价还价的能力。
“操作系统的垄断有一种锁定效应,用户的转移成本非常高,网络效应也非常明显,它是一个生态系统。”方兴东说,“围绕个人电脑的所有应用都是在微软操作系统的平台上开发的,也就是说操作系统是这个生态的基础。”如果转移到其他操作系统的平台上,很多应用都将没有办法使用。
“微软在中国这么多年来,商业模式不完善。”方兴东告诉记者,5年之前,微软在中国主要靠打盗版来促销售。但是从互联网实验室2013年公布的调查数据来看,我国的操作系统盗版率为23%,与发达国家的比例相似。也就是说,靠打击盗版来盈利的策略已经不奏效了。同时,移动互联网时代的到来也带来了巨大的挑战,传统卖拷贝的盈利模式面临被时代淘汰的危险。
此外,方兴东认为,微软后续产品缺乏足够的重大创新也是一个重要问题,XP足以满足需求,用户缺乏升级动力。
花钱升级还是坚持“裸奔”
“XP停服之后,很多用户要么面临容易被攻击的风险,要么就是花大价钱升级硬件平台和软件环境。”奇虎360技术人员孙晓骏告诉记者。这是摆在用户面前的两种选择,但是选择的背后是什么呢?
“花1000块钱换系统对用户来说到底值不值?”方兴东提出了疑问,“现在仍然装XP系统的这些电脑拿到市场上去卖,可能都卖不到1000块钱。而且对于很多用户来说,XP完全能满足需求,换一个操作系统会为用户带来很多的不方便。对于大部分用户来说,根本就没有必要做这件费力不讨好的事情。”方兴东说。
方兴东表示,企业和政府用户同样面临着升级成本高的问题。“而且政府选择不升级,不升级之后怎么办,这是我们需要解决的问题。”
肖新光是安天实验室首席技术架构师,在他看来,XP停服之后给用户们带来了三个方面的安全威胁:系统漏洞得不到官方修补、一些应用程序版本封顶以及系统内置安全机制不再更新。如果把这个过程比喻成一场攻防战的话,XP的停服意味着用户的电脑放弃构筑“防御工事”,而网络攻击者们却可以不断发现用户电脑的漏洞,研发更先进的“武器”,进行更有针对性的攻击。
根据肖新光的统计,2009年到2013年,Windows XP一共有422个漏洞,Win7有331个漏洞,有257个漏洞重叠。由于微软操作系统的发展是一个演进过程,出现大面积的漏洞重叠的原因之一,是一个漏洞影响到了多个操作系统。“由于微软持续对其他Windows系统进行补丁发布,仍然对漏洞判断有很好的导向作用,XP失去官方补丁,会导致原来的攻守平衡性在一定程度上被破坏。”
在应用程序版本封顶的问题上,肖新光举了IE浏览器的例子。根据数据统计,IE8浏览器目前在国内还有13%的使用率。由于一些开发框架和新系统机制的兼容性问题,在XP系统下IE8浏览器不能再进行升级。缺乏后续的安全机制和相应的系统补丁更新会导致浏览器的漏洞被利用,进而成为未来攻击者发力的一个点。
肖新光同时强调,由于银行的ATM系统同样使用Windows XP系统,对于金融机构的定向攻击也是有可能的。
奇虎360技术人员孙晓骏告诉记者,微软停止服务之后不提供补丁服务,但是可以通过与Windows 7等操作系统平台进行对比,分析出文件差异,得出漏洞可能出现在哪里。安全公司可以做出自制的补丁。同样,尽管更加安全的系统机制在Windows XP上也不会继续更新,但是360愿意接过这个接力棒。
“XP不停止更新我们就没有安全问题了吗?结论是否定的,否则我们就不需要这些安全软件了。即使是系统上的机制,能够不断打补丁和增强,实际上还是面临很多的安全问题。”孙晓骏说,“我们即便打了这么多年补丁,也不见得不会出现安全问题,这给安全厂商很大的机会,也是很大的挑战。”
危机还是转机
XP的停服也让另外一个话题再一次被人们所关注,中国为什么没有自己的操作系统?用中国计算机学会秘书长杜子德的话说,其他国家为什么没有像我们一样焦虑,如果今天我们有自己的操作系统,大家也就没有必要讨论XP退出中国市场的问题了。
肖新光认为最根本的问题在于“根”没有打好。而这个“根”就是盗版的问题。
“当时国内无论从民间声音还是政府声音都有一个观点,认为信息化在外部极强、内部极弱的情况下,盗版是有利的。”肖新光说。“当年WPS97卖480块钱,Windows卖3000块钱,为什么有这个价差,因为WPS只有Windows20%的功能,用户需要这20%的功能。假如说没有盗版,价格才是中国软件最大的竞争力。”
肖新光表示,中国政府那时候只要停止微软的低价倾销就可以了。正是因为没有正版的保护机制,使得国内真正的软件市场根本就不存在,大家都买5块钱的盗版光盘。“实际上我们占的是一点点所谓信息化成本的便宜,失去的却是整个未来自主的市场空间。”
那么在这个领域,我们到底还有没有机会?
“当然有机会,XP就是机会。”中国工程院院士倪光南给出了肯定的答案。在他看来,以前中国没有技术的根本原因就在于没有市场。倪光南说:“我们很清楚有市场就会有机会,就能良性循环。”XP退出中国市场无疑为中国本土操作系统“开疆拓土”创造了机遇。
对于打破微软垄断来说,这同样是一个千载难逢的机会。“构建操作系统生态是一个过程,一定要首先有一个立足之地,XP停服就提供了这个切入点。”方兴东告诉记者,“创造一个操作系统的生态首先要有市场,现在基于政府市场有几千万台电脑,我们可以在新的操作系统上开发大量的应用和服务。未来可以再把它延伸到行业用户里,进一步再到个人用户,甚至可以到移动终端。这样整个生态就慢慢形成了。
另外一个机遇则来自中央政府对于互联网安全和发展的重视。在中央网络安全和信息化领导小组成立之时就提出了“网络强国”的口号。
“核心就是两个问题:一是我们核心技术自主可控;二是我们关键基础设施怎么样进行有效防御。”方兴东说,“这两个问题也是我们‘网络强国’最核心的基础。如果没有这两个基础,网络强国无从谈起。虽然是一个老问题,但是这个矛盾在今天会有全新的意义。”