歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> Linux業界

Linux、Windows到底誰更安全? 漏洞算一算

CNET科技資訊網3月23日國際報道 由微軟所贊助的一項研究指出,以Linux 所運作的網站會比Windows 面對更多的風險。

這份於周二所發布的研究表示,去年以Windows Server 2003 為基礎的網絡服務器上所修補的漏洞,比標准開放源代碼設定的Red Hat Enterprise Linux ES 3還要少。

這份研究還指出,微軟網絡服務器的“風險日”(days of risk)比開放源代碼的競爭對手要少很多──風險日是一種衡量已知、而未修補漏洞的方法。

“這份研究的目的是要大家三思而行,要大家對於哪個平台比較安全的問題,不要人雲亦雲。”Herbert Thompson是安全應用公司Security Innovations 的研究暨訓練總監,同時也是這份報告的三個作者之一,他如此表示。一般大家總認為,Linux 比Windows 安全。

這份報告上個月在RSA Conference信息安全大會上發布時引起了爭議。而之前對於Windows 及Linux 何者較為安全的一些比較研究,也造成很熱烈的討論。

“我們認為這很不正確。”紅帽(Red Hat )的安全反應小組主管Mark Cox周二在公司網站的網志(Blog)上談到近來這些研究報告時表示。他指出,這份報告並未把“危險”(critical)及較不危險的漏洞區分開來,如果分開來算的話將對紅帽較為有利。

除了在網志上回答之外,紅帽不願對這份報告提出任何評論。

漏洞算一算

這份研究裡,研究員計算了2004年裡每個網絡服務器修補完成的已公布漏洞。此外,將風險日累計起來──在漏洞公開之後及軟件開發者修補好漏洞期間的風險日總數。

使用Red Hat Enterprise Linux ES 3 的服務器風險日超過了12000 ,而微軟則大約1600天,研究指出。

而漏動方面,搭配Apache Web server 、MySQL 數據庫,以及P 惠普 scripting language 的紅帽網絡服務器的出廠設定要處理174 個漏洞,該研究指出。以微軟Server 2003 、Internet Information Server 6 、SQL Server 2000 ,及ASP.Net 的出廠設定則有52個漏洞。

研究員還研究了兩者的最小化設定,也就是把一些與網頁伺服無關的應用拿掉之後再做比較。在此情況下,微軟仍然以52個漏洞輕松打敗了紅帽Linux 軟件的132.

紅帽的Cox 則在網志的文章反駁這份研究。

“不管是以微軟或者是紅帽的嚴格標准來分,Red Hat Enterprise Linux 3只有8 個漏洞屬危險等級。”他寫道,“而這些漏洞裡,有四分之三在一天內就修補好,一般則都是要八天。”

一般而言,“危險”等級的安全漏洞可能讓黑客從遠端控制電腦系統。這份研究把漏洞等級分為“高”(high)、“中”(medium),以及“低”(low )危險三個等級。而“高”危險的等級包括了紅帽及微軟的“critical”(“危險”或“重大”),以及可以讓地區端使用者取得系統功能存取權限的漏洞。根據這份報告指出,不管是在原廠的設定或是最小化的設定裡,微軟的“高危險”漏洞都少很多。

但研究員坦承,微軟資助了這份研究。微軟在周二所發布的新聞稿也指出,這份報告是微軟“了解事實”(Get the Facts)活動的一部份,這個活動目的是要強調Windows 軟件的好處。

“當Security Innovations向微軟提案軟件安全的研究方法時,我們評估之後認為這類分析對我們的客戶相當有用,所以就贊助了他們的研究。”微軟在新聞稿中表示。“我們鼓勵客戶以他們自己的電腦環境來檢驗與評估裡面的信息。”

除了Thompson之外,這份研究報告的其他兩位作者分別為佛羅裡達科技研究所(Florida Institute of TechnologyL)的電腦科學教授Richard Ford,以及Security Innovations的安全測試工程師。他們希望在研究報告裡公布研究方法,以反擊各方的批評。

“研究方法的設計讓其他人也可以自行去驗證──它必需是量化而可重覆的。”Thompson表示。“我們不是給人一塊蛋糕而已,我們還提供了蛋糕的做法。”

雖然風險日和漏洞的計算都不能當作衡量安全的真正方式,但Thompson表示,他們希望把重點放在對於系統管理員有意義的指標上。他指稱,等待漏洞的時間總數是一個相當合理的計算方法。

然而,Thompson承認,安全大部份還是要靠管理員的專業。

“我想,對於有能力的管理員來說,兩個操作系統都相當安全。”Thompson表示。“如果我有個Linux 專家,那我就會希望這個人幫我管 Linux 網絡服務器;如果我比較是個Windows 專家,那我當然就用Windows 了。”




Copyright © Linux教程網 All Rights Reserved