Linux、Unix并不比Windows更安全

时间:2021-06-07 17:42:34
Linux、Unix并不比Windows更安全 

作者: TechUpdate.com
Tuesday, February 11 2003 11:18 AM 经过一番追根究底的辩论,Aberdeen Group日前公布了一项研究结果,其中就Linux/Unix系统和微软Windows系列产品的安全性进行了比较。 

  

Aberdeen的报告指出:“与普遍的看法相反,微软的安全漏洞记录并没有想象中那么糟糕,而Unix和Linux系统同样容易受到病毒、木马和蠕虫的袭击。” 

以上是基于CERT 2001-2002年的报告,Aberdeen得出了以下结论: 

“2001年,感染到微软产品的木马和病毒报告最多,达到了六例。但在2002年的前10个月里降低接近于零。”

在2001年感染和攻击Unix、Linux以及开放源码产品的病毒和木马报告有1例,而2002年前10个月有两例。

2001年威胁有关网络设备产品安全的报告有2份,而2002年前10个月增长到6例。2001年与防火墙和安全产品有关的安全报告只有两例,但是在2002年的前10个月中增长到7例。

该报告还指出苹果的产品越来越容易受到攻击,“因为它正在推出嵌入了Internet协议和Unix应用的一款操作系统OS X。

Windows和Linux/Unix的漏洞
Aberdeen Group的报告——vol. 1, no. 35于2002年11月12日发布,该报告简练但内容有趣。笔者不能提供一个直接的链接,因为要订阅之后才能看到这份报告。但它并不收费,所以笔者建议你到Aberdeen网站,注册一下,然后就可以看到整篇报告了。

有些人可能会不屑地认为这份报告又是微软赞助下的一次空话,但是大家都可以看到CERT报告和事件记录中的原始数据,所以Aberdeen Group的下述结论,你就会认为结论是可信的:一般来说,开放源码操作系统、新的Mac OS X和关键的安全程序本身并不象很多倡导者所说的那么安全。

基本的数据是很值得仔细查看的。从2001年1月到2002年10月,CERT的报告中并没有涉及Windows平台上的病毒和木马。CERT确定的漏洞列表表明,Linux/Unix平台上的威险级别相对于Windows平台变得越来越高。这是由于各类不同的Linux/Unix太多了(虽然现在实际上只有少数几个版本可用)。所以虽然Linux/Unix系统版本的数量在下降,而威胁的数量却在增加。

这可能意味着Unix的多样性正在逐渐减小,由于市场没有完全分散而变得更容易遭受攻击。一种针对微软的病毒可能攻击很多系统,而在过去,针对各个Linux/Unix系统的病毒都不完全一样。现在情况不再是这样了。
 


漏洞评估
开放源码团体有时候声称Windows的漏洞“更严重”,但是我还不知道衡量这个问题有什么客观的方法。因为缺少一个普遍接受的方法,我们只能依靠原始数字。每次公布补丁时,微软都会对漏洞进行评估,如果我们要比较Unix/Linux平台补丁的严重性,也需要一种可比的方法来对这些平台上的漏洞进行评估。 

  

查看确认的漏洞(报告)和安全事件都是有用的。虽然这并不完全等同于评估漏洞有多么严重,但是它为安全领域的人员确定发生了多少攻击,或者至少有多少攻击有报道提供了一条很好的途径。 

Aberdeen的报告指出:“1995年CERT报告的安全事件有2412起。但是到了2001年,这个数字已经从2000年的21756剧增到52658,到了2002年的前九个月已经增加到73359。显然,安全事件和报告都呈现出增加的趋势,而且增长速度是另人震惊的。” 

但是安全事件的统计数字不能全信。毕竟,漏洞数是很容易计算的,但是谁知道有多少攻击没有报道呢?

微软最近公布了一种新的漏洞评估策略。公司称漏洞评估应该由客户对大量“关键”警告的投诉而定,这样,即便真正的风险没有达到“关键”的级别,管理员也应该修补这个漏洞。

微软安全辅助主管Steve Lipner称,这套新的评估系统在原有的关键-普通-低级(Critical-Moderate-Low)的度量基础上增加了“重要”(important),处于关键和普通两个级别之间。

过去大部分“关键”的漏洞现在都成了“重要”级别,包括那些可能导致系统侵入和文件损坏的威胁。“关键”级别保留用于Internet威胁(比如红色代码变体的大范围安全事故)。

一项新型的双重安全公告牌系统将作为当前安全公告牌系统的补充,很多用户认为当前的系统技术性太强,而这个新系统包含较少的技术性公告牌服务。

EWeek近期的一项报告引出了这项工作的另外一个特征,该报告指出,白宫计算机安全*Richard Clark倡导强制性的漏洞评估方案,以便与*联邦*机关政策相呼应。这就要求所有的安全公司发现新漏洞,公布新漏洞,以促使厂商对新威胁的进行更快的反应。

其他人认为这可能导致漏洞的过早公布,以前FBI的国家基础设施保护中心试图与不同厂商合作报告时就曾经发生过这种情况。

新近组建的OIS(Organization for Internet Safety ,Internet安全组织,2002年9月26日成立)也在开发建议性的指导方针,以便安全及时地报告漏洞。OIS的创办者包括微软、@stake, Symantec、Caldera、Network Associates、BindView和Oracle,所以这些指导方针是很有后盾的。

总结
当我们比较主流平台的漏洞数量和严重性时我们总是想真正地进行危险级别区分。但是实际情况并非如此。真正的评估底线是如果一个漏洞导致了网络入侵,那么它就是问题,而不管这个漏洞是个“高”风险还是个“低”风险,当事故发生时,用户只在意处理这个问题时花费了多少时间和金钱。

大部分用户的业务都运行在既有系统上(legacy),只有那些新开的公司才能只根据安全性、性能和最初的成本来选择平台。也只有新开的公司才有这样的专业IT群体,他们在购买一台机器之前向公司领导者提供建议。通常的情况都是购买什么平台要么是由领导者的经验决定的,要么由最先提出最好计划的厂商决定,要么就是这个平台拥有公司需要的营业项目应用。

Aberdeen报告的结论是,微软漏洞的减少是公司大力宣扬的新安全倡议的结果。可能现在得出结论还言之过早,但是看到2002年Windows没有受到主要病毒的威胁总会有种如释重负的感觉。

就微软新的安全评估系统而言,笔者认为这份报告是有用的。它把“关键”级别保留用于那些全球性的威胁,这些威胁可能很快散播到全球,而且可能会暂时威胁到企业系统的安全性,这种保留是有意义的。(责任编辑:张岚)
标签:

相关文章