引:2003年,Windows用户经历了“黑色8月”。8月11日,“冲击波”(Blaster)病毒爆发,全球约有12.4万台Windows 2000/XP系统感染该病毒; 8月20日,名为“Sobig F”的新型蠕虫病毒变种开始泛滥,它通过邮件系统在Windows网络中迅速传播,踪迹遍布全球60余个国家。两次利用Windows系统漏洞横行霸道的病毒,再一次把Microsoft推上了风口浪尖。
每次病毒的大规模爆发,似乎都给Microsoft狂念了一通“紧箍咒”。去年,在天才少年和老牌黑客密集攻击下,Windows的2003磕磕绊绊。截至2003年12月31日止,Microsoft主页所发布的安全公告已达51次。此情此景,让用户开始重新审视Windows的安全问题。转眼间进入了2004年,在辞旧迎新的日子里,《微电脑世界》将再次就此展开讨论,为您剖析基于Windows的可行性安全解决方案,希望通过大家的共同努力,建立起更安全的Windows乐园!
4个看似与安全无关的话题,却是用户长久以来的疑问,在Windows安全的问题上,它们是用户思想的必经之路。而在刚刚过去的2003年,这些问题重新变得清晰,同时还有了些新的变化。虽然其中的一些未免老生常谈,但是在没有找到最完美的答案之前,我们还要不断追寻下去……
求证4个问题
1.怎样看待频繁出现的安全漏洞?
人们通常将那些可能引发安全问题的软件瑕疵称为“安全漏洞”,这一称呼是相当形象的,他们所导致的后果可能非常严重,比如系统被非法入侵、数据丢失等。其实,定义一个让多方都能够认同的安全漏洞并不是一件简单的事,因为并不是所有的安全问题都可以归结到安全漏洞的层面,很多安全问题的产生是由于用户的不规范操作或者历史因素所造成的。举个例子,在Windows 2000/XP的管理共享功能中,由于安装者将管理员密码设定为空或弱密码,而导致他人通过管理共享入侵系统,就不能被划定为安全漏洞范畴,用户操作的不规范才是问题产生的主要因素。另外,FTP使用明文传递密码也不能称之为安全漏洞,因为这是FTP协议制定时惯用的做法。总的来说,那些与用户操作无关,且非历史因素造成的软件安全问题,才能够被定义为安全漏洞。
2.安全漏洞是Windows的专利吗?
安全漏洞是在软件编写过程中遗留下来的。软件的编写是一项极其庞大的工程,像一些大型软件的开发,其代码行数以千万计,参与开发的人员也要数千人,由于精力所限或者是在开发过程中协调不够,软件在发布后往往会发现存在安全漏洞。需要说明的是,安全漏洞并不仅仅出现在Windows系统之中,在其他非Microsoft软件产品中,安全漏洞同样存在,只不过Windows的安全漏洞更容易被其庞大的用户群放大而已。另外,那些运行在Windows系统之上的应用软件,在其安全漏洞被他人利用后,也可以自上而下地破坏和攻击底层的Windows系统。需要注意的是,那些非Windows的系统(比如Linux和Unix系统)也不是没有漏洞的,它们同样也会出现各式各样的安全问题,例如感染病毒、遭受木马程序和蠕虫的攻击等。
既然安全漏洞分布的范围如此广泛,那么为什么大家一提到安全漏洞总是最先想到Windows呢?其原因主要体现在三个方面: 一是操作系统受到的安全威胁与它的普及程度密切相关。Windows在桌面领域的优势不容质疑,而在服务器端操作系统中,它同样占据了相当客观的市场份额,因此它的安全问题所影响的人群会更加广泛,同时引发的关注也就越多; 二是用户应用水平的不同所造成的。前面提到,Linux和Unix同样存在着安全漏洞,但是由于其管理者普遍的应用水平较高,在系统出现安全问题时往往能够应对自如。而Windows用户则涵盖了服务器端的IT管理人员、桌面办公用户以及家庭消费者,他们的应急处理能力参差不齐,很多用户的安全意识相对淡薄,对于突发事件的反应比较迟缓,往往不能适时地采取必要的防范手段,从而导致了严重的后果; 最后,对于那些别有用心的电脑黑客来说,Windows确实是最美味的蛋糕。攻击Windows系统,黑客们可以轻而易举地将所制造的危害最大化,实现他们一夜之间臭名远扬的梦想,其他的操作系统目前很难给他们提供这样的机会。
3.Windows与Linux/Unix哪个更安全?
混乱平息之后,人们总是习惯性地比较Windows、Linux与Unix的安全性。而Windows和Linux两大阵营的厂商恐怕又开始了激烈的辩论。在唇枪舌剑的气氛中,各式各样的理论充斥其中,往往更让用户迷惑。其实,无论是对于专业人士,还是普通用户,都很难找到最准确的答案。
信息安全涉及的领域十分宽泛,在IT领域,针对不同系统的安全暂时还没有统一的测试标准。虽然,目前也有一些常用的安全评定标准(例如美国国家安全局所颁布的可信任计算机系统评量标准),但是在全球范围内,它的推广力度还十分有限,在很多国家的本地化进程也不够深入。因此,只能作为用户在软件采购过程中的参考。
针对Windows和Linux/Unix系统的安全性问题,笔者查阅了一些第三方机构的研究报告。从CERT所公布的安全漏洞列表看来,从2001年开始,Linux/Unix平台每年都有一定数量的安全漏洞出现,并呈现逐年递增的趋势。但是由于用户数量和应用水平的不同,现阶段Linux/Unix系统安全漏洞的影响范围还十分有限。但是,随着版本多样性的逐渐减弱,它们的安全隐患会逐渐暴露出来。也就是说,以往只有在Windows系统中才能大面积爆发的安全问题,不久在Linux/Unix中也有可能出现了。
毋庸置疑,Linux因内核公开而被公认为比Windows开放。但是,操作系统的开放性和安全性能否画等号呢?答案是否定的。Aberdeen公布的研究报告显示,开放源代码的操作系统和Mac OS X这样的Unix系统并不像人们想像的那样安全,它们同样也存在着安全漏洞。今天,我们很难比较Windows、Linux、Unix究竟哪个更安全,可以肯定的是Windows的安全问题所造成的影响会更大。
4.用户有必要因为安全问题而放弃Windows吗?
曾经听到Microsoft狂热的支持者喊出他的誓言: “爱它就要包容它的全部!”,Linux迷们恐怕也有相同的看法吧。但有趣的是,笔者很少见到有人从一个Windows用户变成彻头彻尾的Linux Fans,也没有见过Windows用户彻底放弃他最初的选择。在你来我往的纷争中,用户竟然成为了最坚定的因素。会不会放弃Windows?这似乎是媒体更加关心的话题。
的确,Windows的安全性近来饱受质疑。但是看看Linux/Unix阵营中的情况如何呢?2003年9月,在“冲击波”和“SobigF”爆发后不久,CERT公布了两种非Windows系统的安全漏洞。其中一个存在于Sendmail软件中,另一个是基于Unix系统的名为OpenSSH漏洞,它所造成的恶劣影响与“冲击波”相比不相上下,已经或可能殃及Cisco、RedHat、Sun和IBM等公司的产品。他们的出现从另一个角度策动了新一轮关于软件安全的争论,微软和开源系统又一次针锋相对。
其实,绝对的“安全”并不存在。IT用户最终需要的并不是一个密不透风的“铁桶阵”,而是一个适合自身业务应用的工作平台。在个人桌面端,Windows出色的易用性牢牢锁住了用户的心; 在服务器领域,Windows的易操作、Unix的严谨和Linux的开放三分天下。到现在为止,还没有产品能够在易用性和开放性之间实现最完美的平衡。这也就注定了在一段时间之内,用户依然会沿着目前的道路走下去。Windows用户不必因此失去信心,Linux用户也要继续坚持。同时,软件供应商今天的努力决定了用户明天的选择。我们看到,Linux厂商在改善产品易用性方面进行了很多努力,而Microsoft也宣称Windows Longhorn版本将在安全性方面迈出一大步。但是,在这些努力变成现实之前,任何以偏概全的辩白都显得那么苍白无力。
在多元化的今天,选择可能成为一种负担。关于软件安全的每次争论,都是对用户信心的考验。对于用户来说,在一切尚未尘埃落定之前,利用好现有的系统和软件,使之更好地为企业服务,才是最现实的选择。在这个过程中,人的作用是决定性的。无论您选择了什么样的操作系统,管理和维护方式将最终决定它将以什么样的状态去为您服务。当外界的纷争渐渐散去,企业的IT管理能力成为扭转信息系统安全状况的关键!
加强信息系统的安全管理,是目前解决软件安全问题最精准的答案了。既然“安全”是相对的,那么我们就需要通过管理和维护将这种相对性提升到最高的水平。本次专题就将与您一同解析基于Windows的企业安全解决方案,并为个人用户提供实际的安全操作指导。而对于企业来说,这些还远远不够,完善的企业安全策略是解决方案能否成功的首要条件。
|
