國內和國際操作系統產品現狀
桌面操作系統替代是當前重點
在黨政軍和行業信息化領域,如果按用途劃分,操作系統可分為如下三類:
· 移動操作系統:用於手機、平板等移動終端。國內各手機廠商的移動操作系統基本都基於開放源碼的安卓操作系統定製,雖然知識產權掌握在美國谷歌公司手中,但至少提供了產品源碼,能夠檢查是否存在後門並自行進行增強與修補漏洞。從信息安全角度來說,源碼雖然不能完全自主,但至少可控,移動終端系統的替換相對不那麼緊迫。
· 服務器操作系統:用於應用服務器、數據存儲服務器等後端設備。大部分服務器操作系統產品是在開放源碼、知識產權不屬於任何國家和公司的Linux內核基礎上研發。由於國內廠商過去十年在這個方向上一直有所積累並得到廣泛應用,服務器操作系統當前進行替換沒有任何技術和生態上的障礙。
· 桌面操作系統:用於臺式機、筆記本、一體機等辦公終端,微軟的windows在中國處於絕對壟斷地位。雖然微軟號稱對中國政府開放產品源碼進行安全審查,但實際上無法真正驗證其源碼完整性和編譯過程的安全,因此其中的安全風險和供應風險一直無法解決。從國家信息安全角度來看,當前我們各級政府和行業,覆蓋所有的關鍵領域的近3000萬臺辦公終端,均使用微軟產品,因此最緊迫的是桌面操作系統替換工作。因此,下面主要圍繞桌面操作系統的替代進行分析。
桌面操作系統市場與技術選型
目前全球桌面操作系統主流技術生態,只有微軟的Windows,蘋果的MacOS以及開放源碼的Linux三種。
各桌面操作系統市場使用率情況
- 全球數據來源:Net Applications.(2018年6月)
- 國內數據來源:百度統計(2018年6月),將Linux系統與其他系統劃分為同一類別,其中Linux應不超過1%.
由於這幾個操作系統中只有Linux源碼開放,雖然只有2%的市場份額,但也足以吸引全球各大軟硬廠商支持,從而具備初步的應用生態。因此,非微軟的桌面操作系統產品(包括中國各廠商的產品),絕大多部分都選擇了Linux內核技術作為基礎。
Linux操作系統內核代碼經過二十年全球數千開發者不斷的更新,加上包括各大軟硬件廠商的積極參與,其代碼質量完全達到了一流商業軟件的水平。而且Linux內核還能同時適用於桌面、服務器和移動操作系統(包括美國谷歌公司的安卓操作系統,其底層仍然是Linux技術),其穩定性、可靠性和安全性已經得到了廣泛的驗證。加上其知識產權不屬於任何國家和商業公司所有,只要遵守其GPL協議,在Linux內核基礎上構建自己沒有知識產權風險、安全可控的操作系統技術是成熟的,風險是可控的。
因此在當前階段,為了實現擺脫美國微軟和蘋果公司的安全隱患,儘快實現操作系統自主可控的目標,採用Linux技術作為基礎,這是目前技術發展和生態環境中的必然選擇。
國內產品與微軟Windows的對比
1.系統功能
國內廠商操作系統產品,在基礎功能方面基本已經實現了和微軟產品的對應替代。但在企業級規模化的的管理能力方面,目前欠缺較多;在故障和調試能力方面,缺乏直觀方便的工具,不利於系統維護。但整體來說,完成系統日常使用功能已經符合要求,未來在大規模應用期間,加強部分高級運維管理功能即可與微軟。
2.安全能力
微軟的操作系統產品,在win95到winxp年代,曾經在底層設計方面存在很多嚴重問題。在windows vista發佈之後,微軟向Linux學習,加入了防止戶權限濫用的UAC機制,底層的防攻擊防溢出框架等機制,在win10又廢棄了系統自帶的漏洞大戶IE瀏覽器,從而得到了很大的改善,其被報告的嚴重漏洞數量在近幾年已經大大降低。
但微軟的產品仍然存在一些先天的問題:
- 安全不透明:其操作系統產品,不對用戶開放代碼,也不開放生產環節。所謂提供審查的中國政府版本,根據我們從不同渠道瞭解的信息,並不能確保其完整性,而且在很多環節上可以逃避審查來插入後門。
- 歷史包袱沉重:微軟經過多年發展,積累了很多用戶,也不得不考慮為老的應用和硬件進行兼容。這為系統帶來了很多穩定性和安全方面的隱患。以MS08-052的漏洞為例,就是典型的為了兼容早期使用的wmf圖像格式,在新版本操作系統中帶來的安全風險。
基於Linux內核的國產操作系統,先天具備了較好的安全防護能力。但是由於各國內廠商研發重點還在解決可用和生態問題,當前尚未在操作系統安全方面有太多自主研發投入,大多依賴Linux上游的防護手段和補丁更新。甚至部分廠商完全不做安全漏洞方面的跟蹤和更新。雖然深度科技在底層安全方面,有別與其他國內廠商直接採用開源SELinux技術方案和代碼,完全獨立實現了符合安全操作系統四級標準的安全防護框架,同時真正實現了每月發佈更新的能力。但是和微軟有自己獨立的安全團隊相比,仍然存在很大的差距。
中國的信息安全技術人員水平已經有相當的能力,但由於國產操作系統行業和火熱的互聯網安全相比,實在是不足以吸引他們的注意。要徹底解決國產操作系統的安全風險,縮小差距,必須靠足夠的投入,使得最好的安全研究員加入,建立面向國產操作系統的分析、加固、漏洞跟蹤團隊,才有可能在2-3年內明顯的提高國產操作系統在安全主動防護能力和處理嚴重漏洞的響應能力。
3.服務能力
微軟公司經過多年發展,在其線上、線下的服務能力方面,有很多的積累和成體系化的成果。這方面由於國內廠商尚未大規模應用,在工程化服務能力方面存在差距。微軟為其產品建立了完善的知識庫,多級客戶服務體系,完備的升級和測試體系,從而能夠滿足十億規模級的全球用戶需求。
國內廠商當前的規模和能力,最多隻能支持百萬終端級別的長期服務,還有非常大的提升空間。
4.生態能力
微軟桌面操作系統在全球具有壟斷地位和最強大的軟件生態,在其上運行的軟件超過百萬種,幾乎所有的專業軟件都會支持windows平臺。微軟公司同時還提供了辦公集成和軟件開發工具支持其生態的發展。而國產操作系統基於的Linux內核生態,在桌面市場上只能說是初有生態,滿足基本辦公和生活使用,稍有專業需求即可能無法滿足。國產操作系統的應用生態開發人員也遠遠少於微軟平臺的開發人員。
在硬件生態方面,微軟長期只支持intel的X86架構,今年才初步支持ARM架構,因此無法在國產CPU運行。而國產操作系統則不存在這方面的障礙,當前已經可以良好在主要的三種國產CPU上運行。但在硬件外設生態方面,微軟windows是事實標準,所有的硬件都會提供對應驅動,在國產平臺上,對類似打印機、掃描儀、安全認證卡這類外設,當前支持都很有限。
根據統計,中國整個PC終端數量在2-3億臺左右,在黨政軍和關鍵行業中使用了約3000萬臺終端,市場佔有率超過15%。即便只替代其中的一半(7%),也超過了MacOS在中國市場的佔有率。這個比例足以推動國內各軟硬件廠商重視國產操作系統,並主動進行適配,解決軟硬件生態問題。
我們和微軟的差距有多大?
根據近二十年在操作系統技術和產業環境下的經歷以及上面的分析,在桌面操作系統領域,國內廠商的產品和服務的綜合能力,離微軟有五年以上的差距。但近年來情況有所變化,和CPU技術一樣,隨著技術天花板的到來,微軟在產品創新和底層變革方面已經減慢。而移動操作系統的普及,很多娛樂性和生活型應用也不再必須在桌面使用,減少了很多生態建設方面的障礙,使得我們有機會在較短的時間內進行追趕。
因此,我個人認為:如果有充足的研發投入,採用方法路徑正確,僅在政府辦公領域而言,國產操作系統的產品質量和能力三年實現追趕是很有可能的。而生態建設方面的缺失則可以隨著國產操作系統佔有率的不斷提高則自然得到解決。
閱讀更多 愛deepin 的文章
