Linux與Windows的安全性比較(1)

　　安全問題對于IT管理員來說是需要長期關注的。主管們需要一套框架來對操作系統的安全性進行合理的評估，包括：基本安全、網絡安全和協議，應用協議、發布與操作、確信度、可信計算、開放標準。在本文中，我們將按照這七個類別比較微軟Windows和Linux的安全性。最終的定性結論是：目前為止，Linux提供了相對于Windows更好的安全性能，只有一個方面例外（確信度）。

　　無論按照什么標準對Windows和Linux進行評估，都存在一定的問題：每個操作系統都不止一個版本。微軟的操作系統有Windows98、Windows NT、 Windows 2000、 Windows 2003 Server和Windows CE，而Linux的發行版由于內核（基于2.2、2.4、2.6）的不同和軟件包的不同也有較大的差異。我們本文所使用的操作系統，都是目前的技術而不是那些"古老"的解決方案。

　　用戶需要記?。篖inux和Windows在設計上就存在哲學性的區別。Windows操作系統傾向于將更多的功能集成到操作系統內部，并將程序與內核相結合；而Linux不同于Windows，它的內核空間與用戶空間有明顯的界限。根據設計架構的不同，兩者都可以使操作系統更加安全。

　　Linux和Windows安全性的基本改變

　　對于用戶來說，Linux和Windows的不斷更新引發了兩者之間的競爭。用戶可以有自己喜歡的系統，同時也在關注競爭的發展。微軟的主動性似乎更高一些――這是由于業界"冷嘲熱諷"的"激勵"與Linux的不斷發展。微軟將在下幾個月對Windows安全進行改觀，屆時微軟會發布Windows　XP的Service　Pack2。這一服務包增強了Windows的安全性，關閉了原先默認開放的許多服務，也提供了新的補丁管理工具，例如：為了避免受到過多無用的信息，警告服務和信使服務都被關閉。大多數情況下，關閉這些特性對于增強系統安全性是有好處的，不過很難在安全性與軟件的功能性、靈活性之間作出折衷。

　　最顯著的表現是：微軟更加關注改進可用性的同時增強系統的安全性。比如：2003年許多針對微軟的漏洞攻擊程序都使用可執行文件作為電子郵件的附件（例如MyDoom）。Service Pack2包括一個附件執行服務，為Outlook/Exchange、 Windows Messenger和Inte.net　Explorer提供了統一的環境。這樣就能降低用戶運行可執行文件時感染病毒或者蠕蟲的威脅性。另外，禁止數據頁的可執行性也會限制潛在的緩沖區溢出的威脅。不過，微軟在Service　Pack2中并沒有修改Windows有問題的架構以及安全傳輸的部分，而是將這部分重擔交給了用戶。

　　微軟的重點顯然是支持應用程序的安全性。Service Pack2中增強的許多方面都是以Outlook/Exchange和Internet Explorer作為對象的。例如：Internet　Explorer中有一個智能的MIME類型檢查，會對目標的內容類型進行檢查，用戶可以獲悉該內容中是否存在潛在的有害程序。不過這一軟件是不是能將病毒與同事的電子數據表區分開來呢？

　　Service　Pack2的另一個新特性是能夠卸載瀏覽器的多余插件，這需要終端用戶檢查并判斷需要卸載哪些插件。Outlook/Exchange可以預覽電子郵件消息，因此用戶可以在打開之前就將電子郵件刪除。另一個應用安全的增強，防火墻在網絡協議棧之前啟動。對于軟件開發者來說，遠方過程調用中權限的改變，使得安全性差的代碼難以工作正常。

　　Service　Pack2也為Windows用戶提供了許多華麗的新特性，但是問題仍然存在：這些特性會不會對管理員甚至是終端用戶造成負擔？是不是在增加了Windows操作系統代碼安全性的同時讓系統變得更加復雜？

原文轉自：http://www.anti-gravitydesign.com