本文來自鐵君公衆號（tieliu1888） 

作者：鐵流

2020年初，微軟宣告對 Win7 系統停止官方技術支持、軟件更新和安全問題修復。在當下中國政府、企業和個人用戶大量使用Win7的情況下，微軟停止對Win7的維護，影響可謂深遠。鐵流認爲，要在相關單位和企業進行Win7替換，必須結合實際情況循序漸進。不宜搞行政指令強推，或搞大幹快上。而應當以是否具備實現安全可控的能力爲基準，在確定一定門檻的基礎上，讓用戶和市場去選擇。國產操作系統的發展必須尊重客觀規律，相關部門宜基於市場的現實狀況制定遊戲規則。

微軟停止對Win7技術支持 安全隱患與日俱增

在2015年，微軟推出了Win8，不知是Win7太過成功，還是用戶已經習慣了XP和Win7，使Win8在問世之後遭遇了滑鐵盧。如今，Win10遭遇了Win8相同的問題，在發佈Win10的時候，微軟定了一個小目標，3年達到10億用戶。然而，Win10如今的用戶數爲7億人，雖然成爲繼Win7之後第二大操作系統，但與微軟的期待仍有差距。軟件是有生命週期的，也是在不停升級換代的，從軟件版本管理角度，也不可能無限維護某個舊版本。因此，微軟停止對Win7技術支持有利於促使客戶把Win7升級到Win10，並降低軟件維護成本。

一直以來，Win7 被認爲是安全的，主要是因爲相關單位審查了Win7 的源代碼後，沒有發現嚴重的後門和安全隱患。之後Win7 被列入政府採購名錄，並在政府、國企、事業單位中大批量應用。不過，在微軟放棄對Win7的技術支持之後，Win7的安全隱患與日俱增。

就在微軟剛剛宣佈放棄對Win7的技術支持後，安全研究人員就發現了0day漏洞，此次捕捉到的0day漏洞洞可以分別利用IE、火狐等瀏覽器進行攻擊，植入病毒或對目標進行監控。目前，這個漏洞已經被反饋給了微軟，但微軟對此無動於衷，未針對IE做出更新，相比之下，火狐瀏覽器已經針對這一漏洞進行了修復。微軟之所以對新漏洞無動於衷，究其原因還是基於商業邏輯，通過各種方式“逼迫”用戶放棄Win7，選擇Win10。

當下，政府和國企大量裝載Win7，其中關鍵信息基礎設施Win7佔有率達到了60%以上，部分行業甚至可以達到70%。在微軟停止對Win7進行技術支持情況下，攻擊者可以利用Win7的漏洞危害中國政府和企業的信息安全。

2017年，永恆之藍就在全球大規模爆發，近年來，利用Win7系統漏洞正頻繁出現。由於Win7市場份額巨大，在微軟放棄技術支持後，必然被全球黑客戳的千瘡百孔，隨着時間的推移，Win7的安全隱將患與日俱增。

Win7、Win10、Linux三個選擇利弊分析

當下，我們有三個選擇，一是繼續延用Win7，甚至是老版本Win XP；二是把系統升級到Win10；三是把系統從Win切換到Linux。鐵流認爲，三個選擇各有利弊。

首先是繼續使用Win7。這是成本最低的方案，因爲軟件和硬件都不用變，用戶也不需要改變自己的使用習慣。但安全風險會隨着時間推移越來越大，對於個人用戶而言，繼續使用Win7是最具性價比和可行性的選擇，但對於政府和國企而言，替換Win7勢在必行，時間拖得越久，風險越大。

其次是使用Win10。好處是既可以替換掉Win7，又不會像切換到Linux那樣付出高額平臺遷移成本。不足之處爲Win10是由微軟開發的，如何喫透Win10的技術，掌握Win10技術細節是一大難題。

三是切換到Linux上。這個做法好處是可以徹底和微軟做切割，但不足也非常明顯，那就是國產Linux操作系統不成熟，用戶體驗達不到Windows的水平，且缺乏軟件生態，平臺遷移的資金成本和時間成本非常高。另外，Linux雖然開源，但開源未必等於安全可控。Linux在安全方面相對於Windows的並無多少優勢。

國產Linux本質上是“舶來品”

當下，有一種觀點認爲，國產Linux操作系統基於Linux發行版進行修改是自主研發，鐵流認爲，這種觀點是值得商榷的。

從本質上看，Linux是“舶來品”。雖然Linux是開源的，但國內公司貢獻的代碼相對有限，國內諸多Linux操作系統公司實力有限，所做的工作並非是自建內核，或從內核搭建的系統，而是修改別人的發行版（Fedora、Debian），也就是不少網友調侃的“換皮”。

國產Linux操作系統必須緊跟國外Linux開發者和英特爾、IBM/紅帽等公司。國產Linux是從國際社區獲得源代碼，然後基於這些源代碼略作修改開發的操作系統，雖稱其爲“國產”，但談不上有多“自主”。

當下，國產Linux操作系統做大的問題是開發能力弱，不要說像紅帽那樣自己搞一個Fedora，即便是在Linux內核更新和OS版本號更新上，能夠與上游保持同步都非常喫力。真正的自主操作系統，如果可能的話，自然是從內核從零開始自己寫，退而求其次，那麼則是學蘋果或紅帽那樣，基於BSD、Linux內核開發自己的操作系統。對於基於Linux發行版再做修改的OS，只能冠以國產，不適合標榜自主可控。如對此有異議，鐵流只問一句，國內哪家Linux操作系統廠商敢保證，已經喫透Linux所有技術細節，自己的產品不存在後門呢？

開源不等於安全 安全可控的關鍵在於技術和能力

誠然，由於Linux開源狀態下，全球安全研究人員都可以進行審查，使其“相對透明”，“相對安全”，但Linux連續不斷被發現存在漏洞，也說明開源軟件並不等於無懈可擊。

由於Linux的代碼大部分都是洋人寫的，且代碼審覈的權限絕大部分不在中國人手裏，以及即便將Linux內核視爲“無懈可擊”，這種“換皮”的做法依然存在一定風險了，因爲從內核變成系統的過程中有太多風險，很多東西可以混進去。

另外，目前，Intel、紅帽等美國科技公司擁有較高的代碼貢獻率，而西方科技公司一貫有配合美國情報部門的傳統——這一點，斯諾登已經在棱鏡事件中披露了。

因此，不排除西方科技公司在貢獻Linux代碼的時候，事先就植入了後門（這些後門被發現後就稱爲漏洞）。甚至，不排除一些Linux代碼貢獻者本身就是CIA、FBI的特工。

這就導致即便Linux開源，也無法保證國產Linux操作系統的代碼中不存在西方科技公司事先埋入後門的可能性。

如果Linux在相關單位的應用量不斷擴大，那麼，無疑會失去所謂“Linux 不能跑 Windows 惡意軟件”的“天然屏障”，專門針對桌面 Linux 環境的安全風險也將不斷被製造出來。正如當下存在海量針對安卓系統的惡意軟件。

可以說，是否開源並非安全可控的關鍵，是否具備足夠強的代碼審覈能力和開發能力，纔是問題的關鍵所在。只有國內企業能夠把開源代碼徹底喫透，並且能夠依賴自己的能力自我迭代，即便將來川普制裁，國內廠商也能擺脫國外技術支持自己走下去，實現“青出於藍而勝於藍”，這纔是真正的安全可控。

由市場去選擇 讓用戶來決定

當下，關鍵信息基礎設施Win7佔有率達到了60%以上，部分行業甚至可以達到70%，並且大量業務應用基於Win7或IE瀏覽器開發，短期內遷移到其他系統的難度極大。對於政府、國企等對信息安全性和可靠性非常敏感的用戶，即便在行政指令下切換到Linux，也必須有一個循序漸進的過程，不可能一蹴而就。

因此，替換Win7是一個系統性工程，不可能通過一個紅頭文件就能在短時間實現。

然而，當下一些企業已經將OS替換作爲其在資本市場呼風喚雨的契機，各路資本寡頭也蠢蠢欲動，儼然一副國家投資，大家分肉的架勢，這並不利於相關單位實現信息安全可控。

目前，國產Linux廠商並不團結，爲了獲得市場優勢過度宣傳，惡性競爭，不利於促進國產Linux協調發展。

長遠來看，只有能夠實現技術自我迭代，自我發展纔是正道，而遵從市場規律，由市場引導，讓用戶來選擇，循序漸進，“打雞血”式的行政指令和過度干預只會引來禿鷲和鬣狗，無助於行業的健康成長和進步。