WnCry 是否暴露出政府采购策略有些问题

This topic created in 3287 days ago, the information mentioned may be changed or developed.

应该不算是敏感议题，如果管理员认为不合适，就处理了吧。

棱镜门以后，政府对 Windows 的不信任（尤其是对云服务的不信任）似乎加剧了。表象就是，Win8 和 Win10 相继未被列入政府采购清单。
Win10 一度传出会有政府定制版，合资公司好像都有了，现在杳无音信，应该是夭折了。
那么 Win7 真的就更加安全可控吗？这次机关部门和事业单位都有中招，可以说明，无论这个漏洞是缺陷还是后门，至少 NSA 有能力对他们使用的 Win7 进行攻击，而政府似乎并未对 Win7 有深入了解，也没有在外部进行有效防范。
现阶段讲国产系统替代 Windows 是无稽之谈（当然，这里主要是办公电脑，敏感和机密的部门应该从来就没用过 Windows ），在这样的现状下，没有与微软有更深的接触与合作是否不太明智呢？
还是说合作未成是太平洋另一边的锅？

WIN7

win10

Windows

政府

55 replies 2017-05-20 12:34:12 +08:00

echohanyu

May 15, 2017

政府采购分部门,你国家机密部门,能去采购 win8 和 win10 么?当然还是得走自己的路线了.普通部门也得看经费和预算的,首先我们知道 windows 系统有 oem 预装和零售大客户.然而大部分部门并没有购买大客户零售的概念.而且很多情况下电脑硬件也是不允许的,你知道有多少国企政府事业单位的电脑还停留在几年前么...

mokeyjay

May 15, 2017 via Android

还不如大规模投资并使用 deepin

aip

May 15, 2017

政府办公，无非是浏览器加 office 软件，其实完全可以换成 linux 桌面，浏览器既可以基于 chromium 定制，也可以直接用 Chrome，办公软件，有 wps 或永中可选。。。

sarices

May 15, 2017

不是安全策略出了问题吗？关闭更新什么的，安全意识需要提高

asen1987

May 15, 2017

zf 的这些策略根本不需要暴露就知道有问题。。。

Daniel65536

May 15, 2017 via iPad

@aip 怕是离不开那些 IE only 的系统，activeX 插件等

再比如税控机强制要求 xp 系统什么的奇葩问题

kraymond

May 15, 2017 via Android

处理敏感信息的电脑也有使用 Windows 系统的，只是从各种方面进行物理隔离了。国家在这方面做的努力，比大多数人想象的要多得多。

LokiSharp

May 15, 2017 via iPhone

为什么不能用 Win7 ？ Win7 还在生命周期内啊。

kmahyyg

May 15, 2017 via Android

ie only

否则 linux

tyfulcrum

May 15, 2017 via iPhone

用 win10 不打补丁不也白搭么……

Eleutherios

May 15, 2017

最容易出问题的是“内网机”，此类一般都缺乏补丁升级，就算是 WIN10 也会中招

自建 WSUS 的太少了

Rice

May 15, 2017

@mokeyjay #2 正解

Rice

May 15, 2017

我以前看军事频道里，导弹还是什么的平台还是用 win xp 呢

gamexg

May 15, 2017

我来说一下吧，目前是靠内网和互联网隔离来保证安全的。电脑进入内网需要安装软件，之后这个电脑绝对不允许连接互联网了，否则程序自动上报，全省通报批评。

另外据我所知大部分系统都是 windows，XXX、数字证书等等都只支持 windows，linux 等接入需要单独申请白名单。

windows 自动更新是无法使用的，因为内网和互联网是隔离的，无法连接微软的自动更新服务器，而且内网也没有自动更新服务器。
杀毒软件倒是有内网更新服务器，但是病毒库非常老，u 盘病毒在外网轻松被杀，但是在内网一样泛滥成灾。

justfly

May 15, 2017

看了大国重器还是什么的纪录片，里面讲高铁的一集，里面的高铁监控软件，测试软件也是跑在 xp 上的 winform。

推测应该只是客户端，不过客户端主机挂了应该也挺耽误事的。

lcatt

May 15, 2017

@gamexg 很多内网有更新服务器的，定期用光盘导入更新包

lcatt

May 15, 2017

@Eleutherios 在我看了这次大规模传播还有重要原因是边界网络过滤规则没做好，封 445135139 这些是常识。。。

BOYPT

May 15, 2017

@gamexg #14 如果就 WnCry 而言，内网反而成为传播的温床，因为 kill switch 的域名无法访问，，，666

stiekel

May 15, 2017

@justfly 我感觉你说的是这个

这个是 Delphi 7 + Access。

Eleutherios

May 15, 2017

@BOYPT WnCry 2.0 无视域名开关

@lcatt 是的。毕竟“很多地方”连正规的运维人员都没有。

Quaintjade

May 15, 2017

1.Win10 的云服务整合度、控制力大幅增加，与服务器通讯非常频繁，对此戒备也是很正常的。XP 和 7 至少平时能配置成不与微软服务器通讯。
2.不打补丁就得通过其他方式来保证安全，否则打 pp。
3.军用的核心系统应该不会用 Win，民用的和外围的客户端用 Win 比较多，成本也好易用度也好都是合理的。

BOYPT

May 15, 2017

@Eleutherios #20 今天有报告说无视域名的 2.0 变种是误传。

danielmiao

May 15, 2017

@aip 我怎么想起德国慕尼黑政府部门采购 linux

YvesX

May 15, 2017 via iPhone

@Quaintjade 我的意思是，事实证明 Win7 也是说跪就跪了，那么何不把政府定制版 Win10 这样的项目推行下去呢？让微软去掉云服务还不简单。

justfly

May 15, 2017

@stiekel 差不多吧还有跑在高铁列车上的电脑中的什么软件用于通车前测试运行中的问题的也是 xp

netabare

May 15, 2017 via iPhone

采购 windows 而不是自己研发基于 linux/*nix 的操作系统本来就是有问题的。
选择了 windows 的话，win10 比起 7 甚至 xp 肯定会安全很多，至少很多旧版的漏洞都被补上了。至于联网这种问题，大规模采购的话向微软要求一款去掉云服务和各种乱七八糟的联网服务的定制版没什么难度吧。

Quaintjade

May 15, 2017

@YvesX
@netabare
我看着 Win10 那么多 bug，感觉微软自己都无法在保证系统正常运行的前提下完全去除所有云服务。Win10 的云服务有些整合到了比较底层，简单移除的话可能会出现未知 bug。

quickma

May 15, 2017

@Quaintjade win10 不能正常运行？简单关闭 oneDrive 是不会有任何问题的，试过吗？

Quaintjade

May 15, 2017 via Android

@x7395759
并不只 onedrive 啊，win10 的网络部分有很多小动作，比如 ikev2 vpn 的行为与之前版本有很多不同。
停用 /禁用 /卸载不一定直接立刻导致不能正常运行，但可能会冒出未知的 bug。

bsidb

May 15, 2017

至少之前的航天新闻报道里有透露。北京的航天飞控中心的控制终端都是 Win XP 的。
后来的海南文昌发射中心用的控制终端才是航天系统在国产 Linux 上重写的控制终端，好像用的 Qt 的技术？

dexterzzz

May 15, 2017

一个修复了 2 个月的漏洞，不更新，不防护，中毒引来这么多微软黑。这种勒索病毒在 mac 上知道到出现多少次了，选择性无视。

CloudnuY

May 15, 2017

不都是采购正版装盗版吗？……

gdsagdada

May 15, 2017 via iPhone

Linux 只是个人用户量小而已，服务器被当肉鸡的也很多

gdsagdada

May 15, 2017 via iPhone

小白用 linux 一样出问题，所以需要类似 ios 一样的强制升级的系统加硬件封闭才行

kaneg

May 15, 2017 via iPhone

给政府部门（非重要部门）开发软件的是些什么水平的人，你就知道他们为什么离不开 win xp 和 ie 了

jhdxr

May 15, 2017

@aip 恐怕你平时用到 office 的功能估计不到 10%，微软的 office 秒所有竞品几乎一个时代。以（在我心中）竞品中最厉害的 WPS 为例，几乎所有 office 有的它都有，界面也长得几乎一样，我也曾经拿它代替了 office 一年多，但真的很多细节（比如 word 的各种公式和排版，excel 大量公式时的计算速度）和 ms office 完全没法比

sunjourney

May 15, 2017 via iPhone

微软都说了，想哭病毒是白宫那帮人屯积漏风当战略武器用的，结果黑客发现了

maksim86

May 16, 2017

什么时候令你觉得有成功过？

kuxiazi

May 16, 2017 via Android

@dexterzzz 是啊奈何 Mac 占有率太低搞不出大新闻还有好多小白在那说换 Mac 就安全了

GoBeyond

May 16, 2017 via Android

win10 政府定制版好像弄完了

bianchensz

May 16, 2017

@aip 谷歌是啥，不存在的

fool

May 16, 2017

@sunjourney 笑死，我看根本就是美国干的，目的是展现肌肉而已，报复一带一路

sunjourney

May 16, 2017

@fool #42 只是觉得搞了这么大个新闻，才几万刀入帐，影响力和收不匹配啊，随便找个安全公司私下买卖下也不止了吧

fool

May 16, 2017

@sunjourney 目前的网络中，美国是霸权，这次被迫参加一带一路峰会，还被朝鲜射导弹，怎么会不搞点小动作，实际上的目的，就是警告世界“老子目前还能打”，至于 BTC 只要只要依赖与现在的网络，那它本身就是网络霸权的一部分

fool

May 16, 2017

@fool BTC 部分是自我感觉的，小弟不怎么懂经济

JamesR

May 16, 2017

@gamexg
为啥不在内网搭建个 Windows 更新服务器呢？
为啥病毒包更新不勤快点呢？
只能说活该。

JamesR

May 16, 2017

顺便一提，我司今早全公司电脑快打完 MS17-010 补丁了，小小个补丁，放共享文件夹，让同事帮忙，不到 5 分钟很快就装完。

gamexg

May 16, 2017

@JamesR #46 @lcatt #16 我说的这个就是政府内网，省级系统都还有 sql 注入，毫无安全意识。
没听说有用正版 windows 系统的。

skylancer

May 16, 2017

深圳网警还在说要低级格式化呢... 就这专业水准，你说是不是“人才”？

viator42

May 16, 2017

以前政府对进口的设备的态度是只要知道实现原理，这东西就是可以用的。所以 Linux，VxWorks，看过源代码的 Windows 都被认为是安全可控的。不过这次的事件算是彻底打脸了，操作系统上千万行的代码看是看不过来的，想藏点漏洞后门总有地方，即使是全开源的也不能保证安全。就像前段时间开源软件爆出漏洞一样，都以为开源的东西最安全，有漏洞立马就会被发现，结果都这么想谁也不管，一个明显的漏洞存在了很多年都没人修

lihua

May 16, 2017

@skylancer
体制内重视写宣传稿，重视溜须拍马；技术人才往往自视清高，（比如各位 v2er ）；
所以，体制内即使有技术人才，也会因为得不到赏识和晋升而埋没。

lcatt

May 16, 2017

@gamexg 好吧，哪个省？上海这边正版化工作很厉害的，全部正版的，很多单位每年要求做渗透性测试。

skylancer

May 16, 2017

@lihua 唉...

skylancer

May 16, 2017

@Quaintjade 我只能说，海军一票系统都还是 Windows 下的

Cu635

May 20, 2017

@viator42
你说的对掌握了源代码的东西进行安全评估叫做代码审计，那些国企、zf 机关连这个本事都没有，早晚会被大脸，但是打的是那些国企和 zf 机关的脸。

你问我国企和 zf 机关怎么“有代码审计”的能力，别忘了它们委托第三方进行审计，不也是它们来评估来决定谁中标谁来干么？