歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux管理 >> Linux問題解決

Linux與Windows誰更安全?

由微軟所贊助的一項研究指出,以Linux 所運作的網站會比Windows 面對更多的風險。   

  這份於周二所發布的研究表示,去年以Windows Server 2003 為基礎的網絡服務器上所修補的漏洞,比標准開放源代碼設定的Red Hat Enterprise Linux ES 3還要少。   

  這份研究還指出,微軟網絡服務器的“風險日”(days of risk)比開放源代碼的競爭對手要少很多──風險日是一種衡量已知、而未修補漏洞的方法。   

  “這份研究的目的是要大家三思而行,要大家對於哪個平台比較安全的問題,不要人雲亦雲。”Herbert Thompson是安全應用公司Security Innovations 的研究暨訓練總監,同時也是這份報告的三個作者之一,他如此表示。一般大家總認為,Linux 比Windows 安全。   

  這份報告上個月在RSA Conference信息安全大會上發布時引起了爭議。而之前對於Windows 及Linux 何者較為安全的一些比較研究,也造成很熱烈的討論。    

  “我們認為這很不正確。”紅帽(Red Hat )的安全反應小組主管Mark Cox周二在公司網站的網志(Blog)上談到近來這些研究報告時表示。他指出,這份報告並未把“危險”(critical)及較不危險的漏洞區分開來,如果分開來算的話將對紅帽較為有利。    
  除了在網志上回答之外,紅帽不願對這份報告提出任何評論。 

  漏洞算一算   

  這份研究裡,研究員計算了2004年裡每個網絡服務器修補完成的已公布漏洞。此外,將風險日累計起來──在漏洞公開之後及軟件開發者修補好漏洞期間的風險日總數。   

  使用Red Hat Enterprise Linux ES 3 的服務器風險日超過了12000 ,而微軟則大約1600天,研究指出。    

  而漏動方面,搭配Apache Web server 、MySQL 數據庫,以及P 惠普 scripting language 的紅帽網絡服務器的出廠設定要處理174 個漏洞,該研究指出。以微軟Server 2003 、Internet Information Server 6 、SQL Server 2000 ,及ASP.Net 的出廠設定則有52個漏洞。    

  研究員還研究了兩者的最小化設定,也就是把一些與網頁伺服無關的應用拿掉之後再做比較。在此情況下,微軟仍然以52個漏洞輕松打敗了紅帽Linux 軟件的132.   

  紅帽的Cox 則在網志的文章反駁這份研究。   

  “不管是以微軟或者是紅帽的嚴格標准來分,Red Hat Enterprise Linux 3只有8 個漏洞屬危險等級。”他寫道,“而這些漏洞裡,有四分之三在一天內就修補好,一般則都是要八天。”    

  一般而言,“危險”等級的安全漏洞可能讓黑客從遠端控制電腦系統。這份研究把漏洞等級分為“高”(high)、“中”(medium),以及“低”(low )危險三個等級。而“高”危險的等級包括了紅帽及微軟的“critical”(“危險”或“重大”),以及可以讓地區端使用者取得系統功能存取權限的漏洞。根據這份報告指出,不管是在原廠的設定或是最小化的設定裡,微軟的“高危險”漏洞都少很多。 
   
  但研究員坦承,微軟資助了這份研究。微軟在周二所發布的新聞稿也指出,這份報告是微軟“了解事實”(Get the Facts)活動的一部份,這個活動目的是要強調Windows 軟件的好處。 

  “當Security Innovations向微軟提案軟件安全的研究方法時,我們評估之後認為這類分析對我們的客戶相當有用,所以就贊助了他們的研究。”微軟在新聞稿中表示。“我們鼓勵客戶以他們自己的電腦環境來檢驗與評估裡面的信息。”    

  除了Thompson之外,這份研究報告的其他兩位作者分別為佛羅裡達科技研究所(Florida Institute of TechnologyL)的電腦科學教授Richard Ford,以及Security Innovations的安全測試工程師。他們希望在研究報告裡公布研究方法,以反擊各方的批評。   

  “研究方法的設計讓其他人也可以自行去驗證──它必需是量化而可重覆的。”Thompson表示。“我們不是給人一塊蛋糕而已,我們還提供了蛋糕的做法。”   

  雖然風險日和漏洞的計算都不能當作衡量安全的真正方式,但Thompson表示,他們希望把重點放在對於系統管理員有意義的指標上。他指稱,等待漏洞的時間總數是一個相當合理的計算方法。 

  然而,Thompson承認,安全大部份還是要靠管理員的專業。   

  “我想,對於有能力的管理員來說,兩個操作系統都相當安全。”Thompson表示。“如果我有個Linux 專家,那我就會希望這個人幫我管 Linux 網絡服務器;如果我比較是個Windows 專家,那我當然就用Windows 了。 

 

Copyright © Linux教程網 All Rights Reserved