在英格兰东南部某处的地下深处,安全专家已建起一个几乎完全建立在开放源系统基础之上的数据寄存中心。
“掩体”公司(Bunker)密码学家对安全性充满信心,声称无需使用通常用以阻截电脑黑客的工具 ¾ 防火墙。该公司是前北约反核武隐匿处,为一家同名数据寄存集团所拥有。
“我们为每一系统的服务提供安全保证,而不是依赖防火墙来做到这一点。”掩体公司技术总监亚当•劳瑞(Adam Laurie)表示:“如果客户提出要求,并且我们参与了设计程序,那么我们也会偶尔使用防火墙,但这些防火墙都是开放源。”
劳瑞认为,Linux及BSD等开放源操作系统比微软各种“视窗”(Windows)版本更加安全。
他说:“视窗的问题在于它并非作为一种服务器技术而设计的。其设计目的是要向终端用户提供服务,我一直都不明白人们为什么会使用它。问题的一部分在于:他们总是增加可能会产生问题的功能,并且还有无数的后门程序(back door)。”
开放源安全性优于微软这一点几乎已经成为一种普遍看法。但确实如此吗?
答案多半取决于人们比较何种产品。但是,衡量软件质量的一种方法是比较黑客或病毒编写者用来破坏系统的缺陷数量。
在许多情况下,发现漏洞的人向微软和开放源开发商报告自己的发现。然后开发商再试图尽快公布堵塞漏洞的补丁程序(patch)。
“有了开放源,就意味着你能够进入圈内,并且在相对较短的时间内得到一个补丁程序。”美国白宫前任网络安全顾问霍华德·施密特(Howard Schmidt)说:“而微软处于一个生产环境,你将会得到一个高质量的产品,但所需时间可能也更长。但我会建议双方改进各自程序中的编码,这样就没那么容易受到攻击。”
今年4月至8月间,丹麦安全公司Secunia的漏洞专家们发布了21条有关视窗XP专业版(Windows XP Professional)中缺陷的警告。其中1%的缺陷被注明为“危急”,需要引起紧急关注,还有24%的缺陷有待微软正在编写过程中的补丁程序加以改进。在同一期间,Secunia公司也针对Novell 公司的SUSE Linux 9.3桌面系统发出26条警告,所有缺陷都已获修补并且都不属于危急性质。
安全机构SANS协会的漏洞专家们表示,安全并不能仅仅用补丁程序来衡量,因为一个操作系统的安全性完全取决于其网络管理员。
“薄弱环节并非操作系统,而是配置。”SANS协会互联网风暴中心(Internet Storm Centre)首席技术官约翰尼斯·乌尔里克(Johannes Ullrich)说:“一名经验丰富的网络管理员能解决这一问题,而一名经验缺乏的网络管理员会使之更糟。”
投资银行德利佳华(Dresdner Kleinwort Wasserstein)的全球信息安全副总裁安德鲁•约曼斯(Andrew Yeomans)表示,清点补丁程序数量于事无补。他说:“对我而言,主要问题是‘我能否保证微软或开放源的安全?’答案都是肯定的,但目前Linux的花费比视窗少。”
在产品总成本中,安全问题占据一大部分,因为经常需要进行费时的调整。
