WnCry 是否暴露出政府采购策略有些问题

2017-05-15 11:36:59 +08:00

YvesX

应该不算是敏感议题，如果管理员认为不合适，就处理了吧。

棱镜门以后，政府对 Windows 的不信任（尤其是对云服务的不信任）似乎加剧了。表象就是，Win8 和 Win10 相继未被列入政府采购清单。
Win10 一度传出会有政府定制版，合资公司好像都有了，现在杳无音信，应该是夭折了。
那么 Win7 真的就更加安全可控吗？这次机关部门和事业单位都有中招，可以说明，无论这个漏洞是缺陷还是后门，至少 NSA 有能力对他们使用的 Win7 进行攻击，而政府似乎并未对 Win7 有深入了解，也没有在外部进行有效防范。
现阶段讲国产系统替代 Windows 是无稽之谈（当然，这里主要是办公电脑，敏感和机密的部门应该从来就没用过 Windows ），在这样的现状下，没有与微软有更深的接触与合作是否不太明智呢？
还是说合作未成是太平洋另一边的锅？

5099 次点击

所在节点

问与答

55 条回复

echohanyu

2017-05-15 11:41:26 +08:00

政府采购分部门,你国家机密部门,能去采购 win8 和 win10 么?当然还是得走自己的路线了.普通部门也得看经费和预算的,首先我们知道 windows 系统有 oem 预装和零售大客户.然而大部分部门并没有购买大客户零售的概念.而且很多情况下电脑硬件也是不允许的,你知道有多少国企政府事业单位的电脑还停留在几年前么...

mokeyjay

2017-05-15 12:50:33 +08:00

还不如大规模投资并使用 deepin

aip

2017-05-15 13:18:50 +08:00

政府办公，无非是浏览器加 office 软件，其实完全可以换成 linux 桌面，浏览器既可以基于 chromium 定制，也可以直接用 Chrome，办公软件，有 wps 或永中可选。。。

sarices

2017-05-15 13:24:32 +08:00

不是安全策略出了问题吗？关闭更新什么的，安全意识需要提高

asen1987

2017-05-15 13:26:27 +08:00

zf 的这些策略根本不需要暴露就知道有问题。。。

Daniel65536

2017-05-15 13:27:42 +08:00

@aip 怕是离不开那些 IE only 的系统，activeX 插件等

再比如税控机强制要求 xp 系统什么的奇葩问题

kraymond

2017-05-15 13:27:58 +08:00

处理敏感信息的电脑也有使用 Windows 系统的，只是从各种方面进行物理隔离了。国家在这方面做的努力，比大多数人想象的要多得多。

LokiSharp

2017-05-15 13:29:27 +08:00

为什么不能用 Win7 ？ Win7 还在生命周期内啊。

kmahyyg

2017-05-15 13:39:20 +08:00

ie only

否则 linux

tyfulcrum

2017-05-15 13:41:34 +08:00

用 win10 不打补丁不也白搭么……

Eleutherios

2017-05-15 13:43:48 +08:00

最容易出问题的是“内网机”，此类一般都缺乏补丁升级，就算是 WIN10 也会中招

自建 WSUS 的太少了

Rice

2017-05-15 13:45:44 +08:00

@mokeyjay #2 正解

Rice

2017-05-15 13:47:23 +08:00

我以前看军事频道里，导弹还是什么的平台还是用 win xp 呢

gamexg

2017-05-15 13:51:30 +08:00

我来说一下吧，目前是靠内网和互联网隔离来保证安全的。电脑进入内网需要安装软件，之后这个电脑绝对不允许连接互联网了，否则程序自动上报，全省通报批评。

另外据我所知大部分系统都是 windows，XXX、数字证书等等都只支持 windows，linux 等接入需要单独申请白名单。

windows 自动更新是无法使用的，因为内网和互联网是隔离的，无法连接微软的自动更新服务器，而且内网也没有自动更新服务器。
杀毒软件倒是有内网更新服务器，但是病毒库非常老，u 盘病毒在外网轻松被杀，但是在内网一样泛滥成灾。

justfly

2017-05-15 14:08:32 +08:00

看了大国重器还是什么的纪录片，里面讲高铁的一集，里面的高铁监控软件，测试软件也是跑在 xp 上的 winform。

推测应该只是客户端，不过客户端主机挂了应该也挺耽误事的。

lcatt

2017-05-15 14:13:14 +08:00

@gamexg 很多内网有更新服务器的，定期用光盘导入更新包

lcatt

2017-05-15 14:15:28 +08:00

@Eleutherios 在我看了这次大规模传播还有重要原因是边界网络过滤规则没做好，封 445135139 这些是常识。。。

BOYPT

2017-05-15 14:16:05 +08:00

@gamexg #14 如果就 WnCry 而言，内网反而成为传播的温床，因为 kill switch 的域名无法访问，，，666

stiekel

2017-05-15 14:57:49 +08:00

@justfly 我感觉你说的是这个

这个是 Delphi 7 + Access。

Eleutherios

2017-05-15 15:04:33 +08:00

@BOYPT WnCry 2.0 无视域名开关

@lcatt 是的。毕竟“很多地方”连正规的运维人员都没有。

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/361370

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.