XP补丁“断供”引发安全担忧 专家判断：短期风险可控，长期风险须警惕

　　微软将于4月8日正式结束对视窗XP操作系统的支持。由于中国拥有庞大的XP用户，得不到官方安全更新（即“系统补丁”）会怎样？目前距XP补丁“断供”仅剩30多天，诸如“4月8日后XP可能在10分钟内被攻破”的说法正在流传。但记者调查发现，这些传闻耸人听闻。专家认为，XP用户短期不会面临太大的安全风险，但长期风险值得关注。

逾3.5亿中国网民将受影响

　　过去几年，微软多次就2014年4月8日结束支持发过公告。理由是成本高昂，应把资源转向支持更新的系统。

　　XP后，微软发布过视窗Vista、视窗7和视窗8，引导用户不断向新系统迁移。但在中国，XP仍是最受欢迎的桌面系统。

　　根据网民行为调查机构CNZZ的调查，截至1月底，国内所有上网者使用XP的占57.2%，遥遥领先于视窗7的26.8%和视窗8的1.8%，也比XP在全球市场25%的占有率高出一大截。目前，国内网民总数约有6.18亿，按此推算，中国可能受影响的网民超过3.5亿。

　　上海的信息安全企业碁震公司CEO王琦说，XP在设计时对安全考虑不足，远远落后于视窗7。以往，微软年均搜集的XP漏洞达200到300个，其中约20%是高危漏洞。每补一个漏洞，耗资数十万乃至上百万美元。王琦此前曾任微软亚太区安全响应部门负责人，他带领的团队提交过上百个XP漏洞。

　　正因如此，XP停止更新引起了政府高度关注。近日，工信部与微软进行了沟通，针对政府采购的XP系统电脑如何保证安全，与微软一起寻求方案。上海近期也组织了一场专家研讨会，分析XP停止官方更新的影响和对策。

不建议政府机关用第三方补丁

　　专家认为，总体上，XP风险并没有想象的那么高。在复旦大学计算机科学技术学院副教授吴承荣看来，普通用户能随时升级到视窗7等。而且，网络攻击目前往往受利益驱使，对他们来说，攻击普通网民价值不大，可风险不低。

　　受影响更大的是政府机关和一些特定行业。他们的IT系统保存着一些关键信息，受攻击者关注。而且，这些系统中，某些硬件和软件基于XP开发，与视窗7等新系统不兼容，无法简单升级。如果淘汰又面临成本压力。

　　事实上，对普通用户来说，即使继续使用XP，也可以使用第三方机构发布的补丁。上海市信息行业协会副秘书长王怀宾说，目前国内至少有6家第三方机构承诺为XP继续提供防护，包括360、腾讯、金山等，应该能起一定作用。

　　而对政府和行业用户，吴承荣并不建议用第三方补丁。吴承荣说，第三方机构不掌握XP源代码，对补丁的测试也不如微软严格；打得过多，各补丁可能相互干扰，影响系统稳定。

长远来看必须淘汰XP系统

　　短期风险可控，并不等于XP系统就能长期安全使用。王琦说，官方补丁“断供”，不会在一夜之间造就一只“大蠕虫”（病毒），但骇客的确可能利用潜在机会。

　　王琦说，4月8日后，黑客们不用再束手束脚，一些在过去被刻意“囤积”的未知漏洞，可能会逐渐浮出水面。他估计总数可能有近百个。一些国外安全研究者也预言，4月8日后，地下交易市场上，XP漏洞的价格可能飙升。这也许会诱使骇客寻找更多的XP漏洞。

　　从事国产操作系统开发的上海中标软件公司副总裁乔勇认为，即使渡过了XP这关，视窗7、视窗8也总有一天会停止官方更新。因此，长远来看，用户应该选择源码开放的、或是国产的系统软件，避免产品技术被国外厂商绑定，影响PC产业环境的可持续发展和安全性。

　　王怀宾强调，仅仅通过政府推动，国产操作系统很难取得成功。借助市场的力量发展国产软件，是时候了。

　　本报首席记者 张懿