减小字体
增大字体- ·上一篇文章:防范非法用户入侵系统秘籍
- ·下一篇文章:网络系统安全漏洞分类研究(下)
Linux与Windows谁更安全?
漏洞算一算
这份研究里,研究员计算了2004年里每个网络服务器修补完成的已公布漏洞。此外,将风险日累计起来──在漏洞公开之后及软件开发者修补好漏洞期间的风险日总数。
使用Red Hat Enterprise Linux ES 3 的服务器风险日超过了12000 ,而微软则大约1600天,研究指出。
而漏动方面,搭配Apache Web server 、MySQL 数据库,以及P 惠普 scripting language 的红帽网络服务器的出厂设定要处理174 个漏洞,该研究指出。以微软Server 2003 、Internet Information Server 6 、SQL Server 2000 ,及ASP.Net 的出厂设定则有52个漏洞。
研究员还研究了两者的最小化设定,也就是把一些与网页伺服无关的应用拿掉之后再做比较。在此情况下,微软仍然以52个漏洞轻松打败了红帽Linux 软件的132.
红帽的Cox 则在网志的文章反驳这份研究。
“不管是以微软或者是红帽的严格标准来分,Red Hat Enterprise Linux 3只有8 个漏洞属危险等级。”他写道,“而这些漏洞里,有四分之三在一天内就修补好,一般则都是要八天。”
一般而言,“危险”等级的安全漏洞可能让黑客从远端控制电脑系统。这份研究把漏洞等级分为“高”(high)、“中”(medium),以及“低”(low )危险三个等级。而“高”危险的等级包括了红帽及微软的“critical”(“危险”或“重大”),以及可以让地区端使用者取得系统功能存取权限的漏洞。根据这份报告指出,不管是在原厂的设定或是最小化的设定里,微软的“高危险”漏洞都少很多。
但研究员坦承,微软资助了这份研究。微软在周二所发布的新闻稿也指出,这份报告是微软“了解事实”(Get the Facts)活动的一部份,这个活动目的是要强调Windows 软件的好处。
“当Security Innovations向微软提案软件安全的研究方法时,我们评估之后认为这类分析对我们的客户相当有用,所以就赞助了他们的研究。”微软在新闻稿中表示。“我们鼓励客户以他们自己的电脑环境来检验与评估里面的信息。”
除了Thompson之外,这份研究报告的其他两位作者分别为佛罗里达科技研究所(Florida Institute of TechnologyL)的电脑科学教授Richard Ford,以及Security Innovations的安全测试工程师。他们希望在研究报告里公布研究方法,以反击各方的批评。
“研究方法的设计让其他人也可以自行去验证──它必需是量化而可重覆的。”Thompson表示。“我们不是给人一块蛋糕而已,我们还提供了蛋糕的做法。”
虽然风险日和漏洞的计算都不能当作衡量安全的真正方式,但Thompson表示,他们希望把重点放在对于系统管理员有意义的指标上。他指称,等待漏洞的时间总数是一个相当合理的计算方法。
然而,Thompson承认,安全大部份还是要靠管理员的专业。
“我想,对于有能力的管理员来说,两个操作系统都相当安全。”Thompson表示。“如果我有个Linux 专家,那我就会希望这个人帮我管 Linux 网络服务器;如果我比较是个Windows 专家,那我当然就用Windows 了。
热门推荐:Windows XP蓝屏解决技巧大揭秘 电脑使用记录清除技巧放送(下 )
这份研究里,研究员计算了2004年里每个网络服务器修补完成的已公布漏洞。此外,将风险日累计起来──在漏洞公开之后及软件开发者修补好漏洞期间的风险日总数。
使用Red Hat Enterprise Linux ES 3 的服务器风险日超过了12000 ,而微软则大约1600天,研究指出。
而漏动方面,搭配Apache Web server 、MySQL 数据库,以及P 惠普 scripting language 的红帽网络服务器的出厂设定要处理174 个漏洞,该研究指出。以微软Server 2003 、Internet Information Server 6 、SQL Server 2000 ,及ASP.Net 的出厂设定则有52个漏洞。
研究员还研究了两者的最小化设定,也就是把一些与网页伺服无关的应用拿掉之后再做比较。在此情况下,微软仍然以52个漏洞轻松打败了红帽Linux 软件的132.
红帽的Cox 则在网志的文章反驳这份研究。
“不管是以微软或者是红帽的严格标准来分,Red Hat Enterprise Linux 3只有8 个漏洞属危险等级。”他写道,“而这些漏洞里,有四分之三在一天内就修补好,一般则都是要八天。”
一般而言,“危险”等级的安全漏洞可能让黑客从远端控制电脑系统。这份研究把漏洞等级分为“高”(high)、“中”(medium),以及“低”(low )危险三个等级。而“高”危险的等级包括了红帽及微软的“critical”(“危险”或“重大”),以及可以让地区端使用者取得系统功能存取权限的漏洞。根据这份报告指出,不管是在原厂的设定或是最小化的设定里,微软的“高危险”漏洞都少很多。
但研究员坦承,微软资助了这份研究。微软在周二所发布的新闻稿也指出,这份报告是微软“了解事实”(Get the Facts)活动的一部份,这个活动目的是要强调Windows 软件的好处。
“当Security Innovations向微软提案软件安全的研究方法时,我们评估之后认为这类分析对我们的客户相当有用,所以就赞助了他们的研究。”微软在新闻稿中表示。“我们鼓励客户以他们自己的电脑环境来检验与评估里面的信息。”
除了Thompson之外,这份研究报告的其他两位作者分别为佛罗里达科技研究所(Florida Institute of TechnologyL)的电脑科学教授Richard Ford,以及Security Innovations的安全测试工程师。他们希望在研究报告里公布研究方法,以反击各方的批评。
“研究方法的设计让其他人也可以自行去验证──它必需是量化而可重覆的。”Thompson表示。“我们不是给人一块蛋糕而已,我们还提供了蛋糕的做法。”
虽然风险日和漏洞的计算都不能当作衡量安全的真正方式,但Thompson表示,他们希望把重点放在对于系统管理员有意义的指标上。他指称,等待漏洞的时间总数是一个相当合理的计算方法。
然而,Thompson承认,安全大部份还是要靠管理员的专业。
“我想,对于有能力的管理员来说,两个操作系统都相当安全。”Thompson表示。“如果我有个Linux 专家,那我就会希望这个人帮我管 Linux 网络服务器;如果我比较是个Windows 专家,那我当然就用Windows 了。
【责任编辑:李旭海】
