V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
YvesX
V2EX  ›  问与答

WnCry 是否暴露出政府采购策略有些问题

  •  
  •   YvesX · 2017-05-15 11:36:59 +08:00 via iPhone · 5352 次点击
    这是一个创建于 2785 天前的主题,其中的信息可能已经有所发展或是发生改变。
    应该不算是敏感议题,如果管理员认为不合适,就处理了吧。

    棱镜门以后,政府对 Windows 的不信任(尤其是对云服务的不信任)似乎加剧了。表象就是,Win8 和 Win10 相继未被列入政府采购清单。
    Win10 一度传出会有政府定制版,合资公司好像都有了,现在杳无音信,应该是夭折了。
    那么 Win7 真的就更加安全可控吗?这次机关部门和事业单位都有中招,可以说明,无论这个漏洞是缺陷还是后门,至少 NSA 有能力对他们使用的 Win7 进行攻击,而政府似乎并未对 Win7 有深入了解,也没有在外部进行有效防范。
    现阶段讲国产系统替代 Windows 是无稽之谈(当然,这里主要是办公电脑,敏感和机密的部门应该从来就没用过 Windows ),在这样的现状下,没有与微软有更深的接触与合作是否不太明智呢?
    还是说合作未成是太平洋另一边的锅?
    55 条回复    2017-05-20 12:34:12 +08:00
    echohanyu
        1
    echohanyu  
       2017-05-15 11:41:26 +08:00
    政府采购分部门,你国家机密部门,能去采购 win8 和 win10 么?当然还是得走自己的路线了.普通部门也得看经费和预算的,首先我们知道 windows 系统有 oem 预装和零售大客户.然而大部分部门并没有购买大客户零售的概念.而且很多情况下电脑硬件也是不允许的,你知道有多少国企政府事业单位的电脑还停留在几年前么...
    mokeyjay
        2
    mokeyjay  
       2017-05-15 12:50:33 +08:00 via Android
    还不如大规模投资并使用 deepin
    aip
        3
    aip  
       2017-05-15 13:18:50 +08:00   ❤️ 1
    政府办公,无非是浏览器加 office 软件,其实完全可以换成 linux 桌面,浏览器既可以基于 chromium 定制,也可以直接用 Chrome,办公软件,有 wps 或永中可选。。。
    sarices
        4
    sarices  
       2017-05-15 13:24:32 +08:00
    不是安全策略出了问题吗?关闭更新什么的,安全意识需要提高
    asen1987
        5
    asen1987  
       2017-05-15 13:26:27 +08:00
    zf 的这些策略根本不需要暴露就知道有问题。。。
    Daniel65536
        6
    Daniel65536  
       2017-05-15 13:27:42 +08:00 via iPad
    @aip 怕是离不开那些 IE only 的系统,activeX 插件等

    再比如税控机强制要求 xp 系统什么的奇葩问题
    kraymond
        7
    kraymond  
       2017-05-15 13:27:58 +08:00 via Android   ❤️ 1
    处理敏感信息的电脑也有使用 Windows 系统的,只是从各种方面进行物理隔离了。国家在这方面做的努力,比大多数人想象的要多得多。
    LokiSharp
        8
    LokiSharp  
       2017-05-15 13:29:27 +08:00 via iPhone
    为什么不能用 Win7 ? Win7 还在生命周期内啊。
    kmahyyg
        9
    kmahyyg  
       2017-05-15 13:39:20 +08:00 via Android
    ie only

    否则 linux
    tyfulcrum
        10
    tyfulcrum  
       2017-05-15 13:41:34 +08:00 via iPhone
    用 win10 不打补丁不也白搭么……
    Eleutherios
        11
    Eleutherios  
       2017-05-15 13:43:48 +08:00
    最容易出问题的是“内网机”,此类一般都缺乏补丁升级,就算是 WIN10 也会中招

    自建 WSUS 的太少了
    Rice
        12
    Rice  
       2017-05-15 13:45:44 +08:00
    @mokeyjay #2 正解
    Rice
        13
    Rice  
       2017-05-15 13:47:23 +08:00
    我以前看军事频道里,导弹还是什么的平台还是用 win xp 呢
    gamexg
        14
    gamexg  
       2017-05-15 13:51:30 +08:00   ❤️ 4
    我来说一下吧,目前是靠内网和互联网隔离来保证安全的。电脑进入内网需要安装软件,之后这个电脑绝对不允许连接互联网了,否则程序自动上报,全省通报批评。

    另外据我所知大部分系统都是 windows,XXX、数字证书等等都只支持 windows,linux 等接入需要单独申请白名单。

    windows 自动更新是无法使用的,因为内网和互联网是隔离的,无法连接微软的自动更新服务器,而且内网也没有自动更新服务器。
    杀毒软件倒是有内网更新服务器,但是病毒库非常老,u 盘病毒在外网轻松被杀,但是在内网一样泛滥成灾。
    justfly
        15
    justfly  
       2017-05-15 14:08:32 +08:00
    看了大国重器还是什么的纪录片,里面讲高铁的一集,里面的高铁监控软件,测试软件也是跑在 xp 上的 winform。

    推测应该只是客户端,不过客户端主机挂了应该也挺耽误事的。
    lcatt
        16
    lcatt  
       2017-05-15 14:13:14 +08:00
    @gamexg 很多内网有更新服务器的,定期用光盘导入更新包
    lcatt
        17
    lcatt  
       2017-05-15 14:15:28 +08:00
    @Eleutherios 在我看了这次大规模传播还有重要原因是边界网络过滤规则没做好,封 445135139 这些是常识。。。
    BOYPT
        18
    BOYPT  
       2017-05-15 14:16:05 +08:00
    @gamexg #14 如果就 WnCry 而言,内网反而成为传播的温床,因为 kill switch 的域名无法访问,,,666
    stiekel
        19
    stiekel  
       2017-05-15 14:57:49 +08:00
    @justfly 我感觉你说的是这个

    这个是 Delphi 7 + Access。
    Eleutherios
        20
    Eleutherios  
       2017-05-15 15:04:33 +08:00
    @BOYPT WnCry 2.0 无视域名开关

    @lcatt 是的。毕竟“很多地方”连正规的运维人员都没有。
    Quaintjade
        21
    Quaintjade  
       2017-05-15 15:10:47 +08:00   ❤️ 1
    1.Win10 的云服务整合度、控制力大幅增加,与服务器通讯非常频繁,对此戒备也是很正常的。XP 和 7 至少平时能配置成不与微软服务器通讯。
    2.不打补丁就得通过其他方式来保证安全,否则打 pp。
    3.军用的核心系统应该不会用 Win,民用的和外围的客户端用 Win 比较多,成本也好易用度也好都是合理的。
    BOYPT
        22
    BOYPT  
       2017-05-15 15:11:18 +08:00
    @Eleutherios #20 今天有报告说无视域名的 2.0 变种是误传。
    danielmiao
        23
    danielmiao  
       2017-05-15 15:15:05 +08:00
    @aip 我怎么想起德国慕尼黑政府部门采购 linux
    YvesX
        24
    YvesX  
    OP
       2017-05-15 15:18:54 +08:00 via iPhone
    @Quaintjade 我的意思是,事实证明 Win7 也是说跪就跪了,那么何不把政府定制版 Win10 这样的项目推行下去呢?让微软去掉云服务还不简单。
    justfly
        25
    justfly  
       2017-05-15 16:04:52 +08:00
    @stiekel 差不多吧 还有跑在高铁列车上的电脑中的什么软件 用于通车前 测试运行中的问题的 也是 xp
    netabare
        26
    netabare  
       2017-05-15 16:22:43 +08:00 via iPhone   ❤️ 1
    采购 windows 而不是自己研发基于 linux/*nix 的操作系统本来就是有问题的。
    选择了 windows 的话,win10 比起 7 甚至 xp 肯定会安全很多,至少很多旧版的漏洞都被补上了。至于联网这种问题,大规模采购的话向微软要求一款去掉云服务和各种乱七八糟的联网服务的定制版没什么难度吧。
    Quaintjade
        27
    Quaintjade  
       2017-05-15 16:47:20 +08:00
    @YvesX
    @netabare
    我看着 Win10 那么多 bug,感觉微软自己都无法在保证系统正常运行的前提下完全去除所有云服务。Win10 的云服务有些整合到了比较底层,简单移除的话可能会出现未知 bug。
    x7395759
        28
    x7395759  
       2017-05-15 18:20:24 +08:00
    @Quaintjade win10 不能正常运行?简单关闭 oneDrive 是不会有任何问题的,试过吗?
    Quaintjade
        29
    Quaintjade  
       2017-05-15 18:33:44 +08:00 via Android
    @x7395759
    并不只 onedrive 啊,win10 的网络部分有很多小动作,比如 ikev2 vpn 的行为与之前版本有很多不同。
    停用 /禁用 /卸载不一定直接立刻导致不能正常运行,但可能会冒出未知的 bug。
    bsidb
        30
    bsidb  
       2017-05-15 20:37:24 +08:00
    至少之前的航天新闻报道里有透露。北京的航天飞控中心的控制终端都是 Win XP 的。
    后来的海南文昌发射中心用的控制终端才是航天系统在国产 Linux 上重写的控制终端,好像用的 Qt 的技术?
    dexterzzz
        31
    dexterzzz  
       2017-05-15 20:38:11 +08:00
    一个修复了 2 个月的漏洞,不更新,不防护,中毒引来这么多微软黑。这种勒索病毒在 mac 上知道到出现多少次了,选择性无视。
    CloudnuY
        32
    CloudnuY  
       2017-05-15 20:51:53 +08:00
    不都是采购正版装盗版吗?……
    gdsagdada
        33
    gdsagdada  
       2017-05-15 20:55:45 +08:00 via iPhone
    Linux 只是个人用户量小而已,服务器被当肉鸡的也很多
    gdsagdada
        34
    gdsagdada  
       2017-05-15 20:57:01 +08:00 via iPhone
    小白用 linux 一样出问题,所以需要类似 ios 一样的强制升级的系统加硬件封闭才行
    kaneg
        35
    kaneg  
       2017-05-15 21:35:51 +08:00 via iPhone
    给政府部门(非重要部门)开发软件的是些什么水平的人,你就知道他们为什么离不开 win xp 和 ie 了
    jhdxr
        36
    jhdxr  
       2017-05-15 22:10:01 +08:00
    @aip 恐怕你平时用到 office 的功能估计不到 10%,微软的 office 秒所有竞品几乎一个时代。以(在我心中)竞品中最厉害的 WPS 为例,几乎所有 office 有的它都有,界面也长得几乎一样,我也曾经拿它代替了 office 一年多,但真的很多细节(比如 word 的各种公式和排版,excel 大量公式时的计算速度)和 ms office 完全没法比
    sunjourney
        37
    sunjourney  
       2017-05-15 23:55:26 +08:00 via iPhone
    微软都说了,想哭病毒是白宫那帮人屯积漏风当战略武器用的,结果黑客发现了
    maksim86
        38
    maksim86  
       2017-05-16 01:23:49 +08:00
    什么时候令你觉得有成功过?
    kuxiazi
        39
    kuxiazi  
       2017-05-16 05:37:53 +08:00 via Android
    @dexterzzz 是啊 奈何 Mac 占有率太低搞不出大新闻 还有好多小白在那说换 Mac 就安全了
    GoBeyond
        40
    GoBeyond  
       2017-05-16 05:57:06 +08:00 via Android
    win10 政府定制版好像弄完了
    bianchensz
        41
    bianchensz  
       2017-05-16 08:58:58 +08:00
    @aip 谷歌是啥,不存在的
    fool
        42
    fool  
       2017-05-16 09:20:30 +08:00
    @sunjourney 笑死,我看根本就是美国干的,目的是展现肌肉而已,报复一带一路
    sunjourney
        43
    sunjourney  
       2017-05-16 09:22:15 +08:00
    @fool #42 只是觉得搞了这么大个新闻,才几万刀入帐,影响力和收不匹配啊,随便找个安全公司私下买卖下也不止了吧
    fool
        44
    fool  
       2017-05-16 09:40:24 +08:00
    @sunjourney 目前的网络中,美国是霸权,这次被迫参加一带一路峰会,还被朝鲜射导弹,怎么会不搞点小动作,实际上的目的,就是警告世界“老子目前还能打”,至于 BTC 只要只要依赖与现在的网络,那它本身就是网络霸权的一部分
    fool
        45
    fool  
       2017-05-16 09:46:41 +08:00
    @fool BTC 部分是自我感觉的,小弟不怎么懂经济
    JamesR
        46
    JamesR  
       2017-05-16 11:08:07 +08:00   ❤️ 1
    @gamexg
    为啥不在内网搭建个 Windows 更新服务器呢?
    为啥病毒包更新不勤快点呢?
    只能说活该。
    JamesR
        47
    JamesR  
       2017-05-16 11:09:37 +08:00
    顺便一提,我司今早全公司电脑快打完 MS17-010 补丁了,小小个补丁,放共享文件夹,让同事帮忙,不到 5 分钟很快就装完。
    gamexg
        48
    gamexg  
       2017-05-16 11:20:22 +08:00   ❤️ 1
    @JamesR #46 @lcatt #16 我说的这个就是政府内网,省级系统都还有 sql 注入,毫无安全意识。
    没听说有用正版 windows 系统的。
    skylancer
        49
    skylancer  
       2017-05-16 11:25:39 +08:00   ❤️ 1
    深圳网警还在说要低级格式化呢... 就这专业水准,你说是不是“人才”?
    viator42
        50
    viator42  
       2017-05-16 11:37:37 +08:00
    以前政府对进口的设备的态度是只要知道实现原理,这东西就是可以用的。所以 Linux,VxWorks,看过源代码的 Windows 都被认为是安全可控的。不过这次的事件算是彻底打脸了,操作系统上千万行的代码看是看不过来的,想藏点漏洞后门总有地方,即使是全开源的也不能保证安全。就像前段时间开源软件爆出漏洞一样,都以为开源的东西最安全,有漏洞立马就会被发现,结果都这么想谁也不管,一个明显的漏洞存在了很多年都没人修
    lihua
        51
    lihua  
       2017-05-16 11:41:27 +08:00
    @skylancer
    体制内重视写宣传稿,重视溜须拍马;技术人才往往自视清高,(比如各位 v2er );
    所以,体制内即使有技术人才,也会因为得不到赏识和晋升而埋没。
    lcatt
        52
    lcatt  
       2017-05-16 12:09:10 +08:00
    @gamexg 好吧,哪个省? 上海这边正版化工作很厉害的,全部正版的,很多单位每年要求做渗透性测试。
    skylancer
        53
    skylancer  
       2017-05-16 12:10:32 +08:00
    @lihua 唉...
    skylancer
        54
    skylancer  
       2017-05-16 15:50:43 +08:00
    @Quaintjade 我只能说,海军一票系统都还是 Windows 下的
    Cu635
        55
    Cu635  
       2017-05-20 12:34:12 +08:00
    @viator42
    你说的对掌握了源代码的东西进行安全评估叫做代码审计,那些国企、zf 机关连这个本事都没有,早晚会被大脸,但是打的是那些国企和 zf 机关的脸。

    你问我国企和 zf 机关怎么“有代码审计”的能力,别忘了它们委托第三方进行审计,不也是它们来评估来决定谁中标谁来干么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2536 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:25 · PVG 13:25 · LAX 21:25 · JFK 00:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.