Linux與Windows的安全性比較 （1）
作者：技術天地翻譯小組 發文時間：2004.12.03


　　安全問題對於IT管理員來說是需要長期關注的。主管們需要一套框架來對作業系統的安全性進行合理的評估，包括：基本安全、網路安全和協定，應用協定、發佈與操作、確信度、可信計算、開放標準。在本文中，我們將按照這七個類別比較微軟Windows和Linux的安全性。最終的定性結論是：目前為止，Linux提供了相對於Windows更好的安全性能，只有一個方面例外（確信度）。

　　無論按照什麼標準對Windows和Linux進行評估，都存在一定的問題：每個作業系統都不止一個版本。微軟的作業系統有Windows98、Windows NT、 Windows 2000、 Windows 2003 Server和Windows CE，而Linux的發行版由於內核（基於2.2、2.4、2.6）的不同和套裝軟體的不同也有較大的差異。我們本文所使用的作業系統，都是目前的技術而不是那些"古老"的解決方案。

　　用戶需要記住：Linux和Windows在設計上就存在哲學性的區別。Windows作業系統傾向於將更多的功能集成到作業系統內部，並將程式與內核相結合；而Linux不同於Windows，它的內核空間與用戶空間有明顯的界限。根據設計架構的不同，兩者都可以使作業系統更加安全。

　　Linux和Windows安全性的基本改變

　　對於用戶來說，Linux和Windows的不斷更新引發了兩者之間的競爭。用戶可以有自己喜歡的系統，同時也在關注競爭的發展。微軟的主動性似乎更高一些──這是由於業界"冷嘲熱諷"的"激勵"與Linux的不斷發展。微軟將在下幾個月對Windows安全進行改觀，屆時微軟會發佈Windows　XP的Service　Pack2。這一服務包增強了Windows的安全性，關閉了原先默認開放的許多服務，也提供了新的補丁管理工具，例如：為了避免受到過多無用的資訊，警告服務和信使服務都被關閉。大多數情況下，關閉這些特性對於增強系統安全性是有好處的，不過很難在安全性與軟體的功能性、靈活性之間作出折衷。

　　最顯著的表現是：微軟更加關注改進可用性的同時增強系統的安全性。比如：2003年許多針對微軟的漏洞攻擊程式都使用可執行檔作為電子郵件的附件（例如MyDoom）。Service Pack2包括一個附件執行服務，為Outlook/Exchange、 Windows Messenger和Internet　Explorer提供了統一的環境。這樣就能降低用戶運行可執行檔時感染病毒或者蠕蟲的威脅性。另外，禁止資料頁的可執行性也會限制潛在的緩衝區溢出的威脅。不過，微軟在Service　Pack2中並沒有修改Windows有問題的架構以及安全傳輸的部分，而是將這部分重擔交給了用戶。

　　微軟的重點顯然是支援應用程式的安全性。Service Pack2中增強的許多方面都是以Outlook/Exchange和Internet Explorer作為對象的。例如：Internet　Explorer中有一個智慧的MIME類型檢查，會對目標的內容類型進行檢查，用戶可以獲悉該內容中是否存在潛在的有害程式。不過這一軟體是不是能將病毒與同事的電子資料表區分開來呢？

　　Service　Pack2的另一個新特性是能夠卸載流覽器的多餘插件，這需要終端用戶檢查並判斷需要卸載哪些插件。Outlook/Exchange可以預覽電子郵件消息，因此用戶可以在打開之前就將電子郵件刪除。另一個應用安全的增強，防火牆在網路協定棧之前啟動。對於軟體發展者來說，遠方程序呼叫中許可權的改變，使得安全性差的代碼難以工作正常。

　　Service　Pack2也為Windows用戶提供了許多華麗的新特性，但是問題仍然存在：這些特性會不會對管理員甚至是終端用戶造成負擔？是不是在增加了Windows作業系統代碼安全性的同時讓系統變得更加複雜？



Linux與Windows的安全性比較 （2）
作者：技術天地翻譯小組 發文時間：2004.12.03


　　開放源代碼、共用源代碼

　　Linux和Windows對於代碼透明度這一哲學問題上是完全不同的。Linux符合GNU通用公用許可證，用戶可以拷貝、複製並分發源代碼。Windows使用的是封閉源代碼，因此微軟的安全方法被稱為"通過隱藏來保證安全"。2001年，微軟為了回應客戶與共用源代碼計畫的要求，提供了對Windows源代碼的訪問權。現在，共用源代碼計畫有一百萬的參與者，可以訪問的源代碼包括Windows2000、WindowsXP、Windows Server2003、Windows CE 3.0、Windows CE 、C#/CLI實現和ASP.NET與Visual Studio.NET。共用源代碼計畫許可證的對象包括公司用戶、政府、合作者、學術機構與個人。

　　微軟的共用源代碼計畫政策屬於"可看但不可修改"，例外的情況是Windows　CE共用源代碼許可證計畫。對於公司來說，可以將基於Windows　CE的設備和解決方案推向市場。這是微軟共用源代碼計畫下，源設備製造商（OEM）、半導體提供商、系統集成商可以完全訪問Windows　CE源代碼的唯一項目。所有許可證持有者都有對源代碼的完全訪問權，當然可以修改代碼，但只有OEM才能發佈對基於WinCE設備的修改。所有其他的共用源代碼許可證持有者，如果要訪問該專案不允許的源代碼，需要向Redmond.Wash的微軟總部請示。

　　某些用戶認為共用源代碼計畫對於調試程式會有幫助，微軟要求編譯的時候必須在微軟總部，這不得不說是一個很大的限制。儘管微軟想盡力增加透明，如果無法編譯，就很難確定源代碼在真實的IT環境中是否能正常工作。限制用戶修改並編譯Windows的源代碼，降低了人們訪問Windows共用源代碼並尋找安全漏洞的熱情。

　　資料中心和桌面下Linux的安全收益

　　在未來的12個月裏，Linux將加強在資料中心的份額，並試圖衝擊微軟在桌面上的壟斷。這很大程度上是受益於Linux2.6版內核的新特性與新功能。有了Linux　v2.6，安全框架現在已經模組化了。在這種 ..

訪客只能看到部份內容，免費 加入會員 或由臉書 Google 可以看到全部內容