INTERNAL

　　XP系統停服後，包括360、百度、騰訊、金山毒霸等在內的互聯網企業都已開始為失去微軟庇護的XP系統提供“打補丁”服務。但專家認為，互聯網公司很可能會在補丁中惡意植入一些為自身謀利的程序，去竊取用戶資料、綁定彈窗廣告，規避這些問題，就需要對打補丁行為進行規範
　　法治周末記者 蔡長春
　　“Windows XP系統(以下簡稱“XP系統”)是13年前推出的產品，也是有史以來服務時間最長的操作系統，深受廣大用戶的喜愛。但是XP系統已經不能滿足現代辦公和娛樂的需求，更不足以應對當前的網絡安全威脅。因此，在全球範圍內，XP系統已於2014年4月8日正式退休。”微軟大中華區副總裁、消費渠道事業部總經理張永利近日在接受法治周末記者採訪時表示。
　　“微軟對XP系統停服後，逐漸就會有一些普通甚至高危的安全漏洞出來，它們將給繼續使用XP系統的用戶帶來極大的安全威脅。”金山毒霸反病毒工程師李鐵軍告訴法治周末記者。
　　這也讓眾多的XP系統用戶陷入了兩難——要麼繼續使用不再那麼安全的XP系統，要麼花錢升級系統甚至連帶更換電腦(眾多低配電腦已不具備系統升級條件)。
　　而對於安全軟件公司而言，XP系統停服卻並不是什麼壞事，此舉留出來的巨大安全市場空間，反倒成了企業一個重大的發展機遇。
　　據360副總裁譚曉聲介紹，XP系統退役的過渡期可能還需持續1年至5年，相關經濟分析專家預計，這將給國內安全軟件領域帶來超過300億元的市場空間。
　　“目前國內很多第三方安全軟件公司都看到了這一市場機遇，紛紛推出了維護XP系統安全的後續服務。”知名網絡安全專家龔蔚對法治周末記者表示，“近日出現的‘XP挑戰賽’就是其競爭激烈的一個集中體現。”
　　在該挑戰賽中，360、騰訊、金山三大主流安全廠商上線的XP防護專版產品，將面對全球黑客的挑戰。
　　不過在龔蔚看來，第三方安全軟件公司雖然能夠幫助XP用戶實現一定程度的安全漏洞修補與防護，卻很難代替微軟真正從根本上解決問題，而且激烈的市場競爭還需更多相關規則來確保其合理有序地進行。
　　XP“退休”帶來安全隱患
　　張永利告訴法治周末記者，XP系統退役之後，針對XP系統的新的安全升級、非安全性補丁發佈、免費或付費輔助支持以及在線技術文檔更新也將隨之停止。
　　據張永利介紹，儘管搭載XP系統的電腦在4月8日之後仍可使用，但消費者電腦的安全性和性能將會受到影響。個人電腦不僅無法與最新的軟硬件兼容，也沒有足夠的能力來抵禦和防範病毒、間諜軟件以及惡意程序的入侵，這就是微軟不斷重覆提醒用戶關於XP系統退休時限的原因，也是微軟一直致力於幫助XP系統用戶瞭解不同升級選項的原因。
　　然而XP系統是否能夠真正退休，微軟說了還不算。國內目前仍有大量XP系統在繼續奮戰。
　　據稱，中國擁有全球最大基數的XP系統用戶，多達2億用戶占據中國PC市場的70%份額。
　　游俠安全網創始人張百川告訴法治周末記者，很多個人用戶出於使用習慣或經濟壓力等原因，短期內仍未有放棄使用XP系統的計劃；一些國家機關、企事業單位由於原有業務系統兼容性等原因，更是很難在短期內有所改變。
　　不過在譚曉聲看來，繼續使用停服後的XP系統將會使用戶電腦存在著眾多安全隱患，主要風險就是漏洞得不到修複。
　　“微軟發佈的安全報告中還指出，XP系統在沒有更新的情況下，其病毒感染幾率是Win8的六倍。”百度安全相關負責人告訴法治周末記者。
　　據譚曉聲介紹，4月5日舉行的“XP挑戰賽”中，黑客可以通過漏洞盜取使用了XP系統的電腦上的Word文檔，整個過程只要一兩分鐘。
　　“如果發生針對XP系統漏洞的攻擊，個人電腦里的重要賬號和文件、圖片等個人信息將面臨被盜的風險，黑客甚至可以利用木馬‘遙控’中招電腦。”譚曉聲表示。
　　百度安全相關負責人還指出，中小企業往往在使用了XP系統的電腦上安裝了自身的日常管理系統、財務系統等，一旦失去微軟的支持服務，將面臨著公司信息泄露的安全威脅，不僅被黑客入侵風險增加，而且維修成本更昂貴，長遠來看將會成為企業的一顆炸彈。
　　譚曉聲告訴法治周末記者，更為嚴重的是，一旦政府和某些企業使用了XP系統的電腦因為系統漏洞而導致藍屏或被黑客攻擊，還可能影響水、電、交通等公共設施的正常運轉。
　　300億“安全遺產”引爭奪
　　如譚曉聲所說，XP的退休在給用戶帶來安全隱患的同時，也給國內第三方安全軟件公司留下了一份約300億元的“安全遺產”。
　　張百川告訴法治周末記者，雖然目前很多安全軟件都是免費的，但其中一些安全服務卻是收費項目，可以視為在以免費帶動收費。
　　“現在很多企業都有安全需求，包括制定整體的防病毒策略、定期升級管理等，這些服務項目的收費往往價值不菲。”張百川表示。
　　張永利告訴法治周末記者，目前微軟主動與國內領先的互聯網安全與防病毒廠商接觸併發布了一系列的密切合作計劃，合作方包括騰訊、360、百度等公司。此舉旨在為XP系統用戶在選擇升級到新一代操作之前提供最佳解決方案，方案主要包括兩個部分：一是如何升級到新的系統；二是對使用了XP系統的電腦提供診斷和答疑解惑，為用戶提供升級過渡期護航。
　　面對眼前這份豐厚的“安全遺產”，國內各大安全軟件公司紛紛推出了相應的安全服務。
　　“4月9日，我一打開電腦，國內某安全軟件公司的一個光輝閃耀的安全防護盾牌就赫然出現在了眼前。”一位XP系統用戶如是說。
　　譚曉聲告訴法治周末記者，XP系統停服後，對於XP系統防護軟件的採購方主要是政府和企業。因此，360針對中小企業提供了免費的“XP盾甲”企業版，該產品與所有企業安全軟件兼容；而針對有特殊定製需求和服務需求的大型企事業客戶，360則推出了360天擎XP加固版收費方案。
　　百度安全相關負責人也表示，近日微軟中國和百度共同宣佈為國內XP用戶提供過渡期間的安全防護服務，推出以陣列雲技術為基礎的“XP聯合防護方案”，該方案將為XP系統用戶提供風險護盾、黑客防禦、極速運行、服務安全優化4大服務。
　　“金山毒霸也花了很大精力推出了XP防護盾，修補新發現的漏洞並查殺病毒。”李鐵軍告訴法治周末記者。
　　騰訊相關負責人也在接受法治周末記者採訪時表示，騰訊電腦管家將繼續為兩億XP系統用戶提供升級過渡期的安全服務。
　　龔蔚告訴法治周末記者，除了直接的安全市場份額以外，系統層面的用戶終端市場其實是互聯網公司的一個兵家必爭之地。由於用戶對操作系統的高依賴性，誰搶占了操作系統，也就將獲得更大的競爭優勢。
　　給XP打補丁也需有規則
　　“我們同時也提醒用戶，所有上述這些為中國用戶特別制定的服務支持計劃，其保護作用都是有限的。”張永利表示。
　　據李鐵軍介紹，相比於第三方的安全軟件，微軟自己給XP打補丁具有明顯的優勢，即微軟更加清楚自身研發系統的程序源碼以及安全漏洞可能造成的影響，可以從根本上進行解決。
　　“第三方不僅需要猜測系統可能存在的不完善之處，更不能直接去修改系統文件。因為直接修改系統文件即構成侵權行為，因此只能做一個外圍的防禦。”李鐵軍感嘆道。
　　百度安全相關負責人也表示，由於微軟官方並沒有公開XP系統的開發源代碼，所以系統最核心的安全服務是任何第三方廠商都無法觸及的。
　　“兩者之間其實就是治標與治本的區別。”張百川認為。
　　李鐵軍告訴法治周末記者，第三方修補方案還可能涉及到兼容問題、性能問題、補丁失效問題等眾多不穩定因素，因此只能起到一定時間的維護作用。
　　此外，龔蔚還告訴法治周末記者，此前一些安全軟件提供的打補丁功能，其補丁程序也都大多來自於微軟，它們只是相當於微軟補丁的一個中轉站，把微軟提供的補丁程序放在它的服務器上，進而實現更加快速和有針對性地修補。
　　“一旦完全由相應的互聯網安全公司自主提供補丁程序，其是否會惡意植入一些為自身謀利的程序，去竊取用戶資料、綁定彈窗廣告等，就很難預測了。”龔蔚表示。
　　這種情況下，用戶也將面臨著一種兩難選擇：不打補丁，可能遭受非法攻擊；打了補丁，又可能沒了隱私多了廣告。
　　“這時候對打補丁行為進行規範就很關鍵了。”龔蔚告訴法治周末記者，“比如補丁是否合理以及是否有添加的必要，是否存在後門或彈窗廣告等，不能光靠安全軟件公司的自律，最好能有一個專門的機構對此進行管理，包括制定並完善一些相關的規則等。”　　（原標題：XP的“安全遺產”爭奪戰）