企業(yè)投入了大量時(shí)間、精力和金錢來保障系統(tǒng)的安全性。最強(qiáng)的安全意識(shí)可能就是有一個(gè)安全運(yùn)行中心（SOC），肯定用上了防火墻以及反病毒軟件，或許還花費(fèi)了大量時(shí)間去監(jiān)控他們的網(wǎng)絡(luò)，以尋找可能表明違規(guī)的異常信號(hào)，用那些 IDS、SIEM 和 NGFW 之類的東西，他們部署了一個(gè)名副其實(shí)的防御陣列。

然而又有多少人想過數(shù)字化操作的基礎(chǔ)之一——部署在員工的個(gè)人電腦上的操作系統(tǒng)呢？當(dāng)選擇桌面操作系統(tǒng)時(shí)，安全性是一個(gè)考慮的因素嗎？

這就產(chǎn)生了一個(gè)IT人士都應(yīng)該能回答的問題：一般部署哪種操作系統(tǒng)最安全呢？

我們問了一些專家他們對(duì)于以下三種選擇的看法：Windows，最復(fù)雜的平臺(tái)也是最受歡迎的桌面操作系統(tǒng)；macOS X，基于 FreeBSD 的 Unix 操作系統(tǒng)，驅(qū)動(dòng)著蘋果的 Macintosh 系統(tǒng)運(yùn)行；還有 Linux，這里我們指的是所有的 Linux 發(fā)行版以及與基于 Unix 的操作系統(tǒng)相關(guān)的系統(tǒng)。

怎么會(huì)這樣

企業(yè)可能沒有評(píng)估他們部署給工作人員的操作系統(tǒng)的安全性的一個(gè)原因是，他們多年前就已經(jīng)做出了選擇。退一步講，所有操作系統(tǒng)都還算安全，因?yàn)榍秩胨鼈儭⒏`取數(shù)據(jù)或安裝惡意軟件的牟利方式還處于起步階段。而且一旦選擇了操作系統(tǒng)，就很難再改變。很少有 IT 組織想要面對(duì)將全球分散的員工隊(duì)伍轉(zhuǎn)移到全新的操作系統(tǒng)上的痛苦。唉，他們已經(jīng)受夠了把用戶搬到一個(gè)現(xiàn)有的操作系統(tǒng)的新版本時(shí)的負(fù)面反響。

還有，重新考慮操作系統(tǒng)是高明的嗎？這三款領(lǐng)先的桌面操作系統(tǒng)在安全方面的差異是否足以值得我們?nèi)プ龀龈淖兡兀?/p>

當(dāng)然商業(yè)系統(tǒng)面臨的威脅近幾年已經(jīng)改變了。攻擊變得成熟多了。曾經(jīng)支配了公眾想象力的單槍匹馬的青少年黑客已經(jīng)被組織良好的犯罪分子網(wǎng)絡(luò)以及具有龐大計(jì)算資源的政府資助組織的網(wǎng)絡(luò)所取代。

像你們?cè)S多人一樣，我有過很多那時(shí)的親身經(jīng)歷：我曾經(jīng)在許多 Windows 電腦上被惡意軟件和病毒感染，我甚至被宏病毒感染了 Mac 上的文件。最近，一個(gè)廣泛傳播的自動(dòng)黑客攻擊繞開了網(wǎng)站的保護(hù)程序并用惡意軟件感染了它。這種惡意軟件的影響一開始是隱形的，甚至有些東西你沒注意，直到惡意軟件最終深深地植入系統(tǒng)以至于它的性能開始變差。一件有關(guān)病毒蔓延的震驚之事是不法之徒從來沒有特定針對(duì)過我；當(dāng)今世界，用僵尸網(wǎng)絡(luò)攻擊 100,000 臺(tái)電腦容易得就像一次攻擊幾臺(tái)電腦一樣。

操作系統(tǒng)真的很重要嗎?

給你的用戶部署的哪個(gè)操作系統(tǒng)確實(shí)對(duì)你的安全態(tài)勢(shì)產(chǎn)生了影響，但那并不是一個(gè)可靠的安全措施。首先，現(xiàn)在的攻擊很可能會(huì)發(fā)生，因?yàn)楣粽咛綔y(cè)的是你的用戶，而不是你的系統(tǒng)。一項(xiàng)對(duì)參加了 DEFCON 會(huì)議的黑客的調(diào)查表明，“84％ 的人使用社交工程作為攻擊策略的一部分。”部署安全的操作系統(tǒng)只是一個(gè)重要的起點(diǎn)，但如果沒有用戶培訓(xùn)、強(qiáng)大的防火墻和持續(xù)的警惕性，即使是最安全的網(wǎng)絡(luò)也會(huì)受到入侵。當(dāng)然，用戶下載的軟件、擴(kuò)展程序、實(shí)用程序、插件和其他看起來還好的軟件總是有風(fēng)險(xiǎn)的，成為了惡意軟件出現(xiàn)在系統(tǒng)上的一種途徑。

無論你選擇哪種平臺(tái)，保持你系統(tǒng)安全最好的方法之一就是確保立即應(yīng)用了軟件更新。一旦補(bǔ)丁正式發(fā)布，黑客就可以對(duì)其進(jìn)行反向工程并找到一種新的漏洞，以便在下一波攻擊中使用。

而且別忘了最基本的操作。別用 root 權(quán)限，別授權(quán)訪客連接到網(wǎng)絡(luò)中的老服務(wù)器上。教您的用戶如何挑選一個(gè)真正的好密碼并且使用例如1Password這樣的工具，以便在每個(gè)他們使用的帳戶和網(wǎng)站上擁有不同的密碼

因?yàn)榈拙€是您對(duì)系統(tǒng)做出的每一個(gè)決定都會(huì)影響您的安全性，即使您的用戶工作使用的操作系統(tǒng)也是如此。

Windows，流行之選

若你是一個(gè)安全管理人員，很可能文章中提出的問題就會(huì)變成這樣：是否我們遠(yuǎn)離微軟的 Windows 會(huì)更安全呢？說 Windows 主導(dǎo)企業(yè)市場(chǎng)都是低估事實(shí)了。NetMarketShare估計(jì)互聯(lián)網(wǎng)上 88% 的電腦令人震驚地運(yùn)行著 Windows 的某個(gè)版本。

如果你的系統(tǒng)在這 88％ 之中，你可能知道微軟會(huì)繼續(xù)加強(qiáng) Windows 系統(tǒng)的安全性。這些改進(jìn)被不斷重寫，或者重新改寫了其代碼庫(kù)，增加了它的反病毒軟件系統(tǒng)，改進(jìn)了防火墻以及實(shí)現(xiàn)了沙箱架構(gòu)，這樣在沙箱里的程序就不能訪問系統(tǒng)的內(nèi)存空間或者其他應(yīng)用程序。

但可能 Windows 的流行本身就是個(gè)問題，操作系統(tǒng)的安全性可能很大程度上依賴于裝機(jī)用戶量的規(guī)模。對(duì)于惡意軟件作者來說，Windows 提供了大的施展平臺(tái)。專注其中可以讓他們的努力發(fā)揮最大作用。

就像 Troy Wilkinson，Axiom Cyber Solutions 的 CEO 解釋的那樣，“Windows 總是因?yàn)楹芏嘣蚨鴮?dǎo)致安全性保障來的最晚，主要是因?yàn)橄M(fèi)者的采用率。由于市場(chǎng)上大量基于 Windows 的個(gè)人電腦，黑客歷來最有針對(duì)性地將這些系統(tǒng)作為目標(biāo)。”

可以肯定地說，從梅麗莎病毒到 WannaCry 或者更強(qiáng)的，許多世界上已知的惡意軟件早已對(duì)準(zhǔn)了 Windows 系統(tǒng).

macOS X 以及通過隱匿實(shí)現(xiàn)的安全

如果最流行的操作系統(tǒng)總是成為大目標(biāo)，那么用一個(gè)不流行的操作系統(tǒng)能確保安全嗎？這個(gè)主意是老法新用——而且是完全不可信的概念——“通過隱匿實(shí)現(xiàn)的安全”，這秉承了“讓軟件內(nèi)部運(yùn)作保持專有，從而不為人知是抵御攻擊的最好方法”的理念。

Wilkinson 坦言，macOS X “比 Windows 更安全”，但他馬上補(bǔ)充說，“macOS 曾被認(rèn)為是一個(gè)安全漏洞很小的完全安全的操作系統(tǒng)，但近年來，我們看到黑客制造了攻擊蘋果系統(tǒng)的額外漏洞。”

換句話說，攻擊者會(huì)擴(kuò)大活動(dòng)范圍而不會(huì)無視 Mac 領(lǐng)域。

Comparitech 的安全研究員 Lee Muson 說，在選擇更安全的操作系統(tǒng)時(shí)，“macOS 很可能是被選中的目標(biāo)”，但他提醒說，這一想法并不令人費(fèi)解。它的優(yōu)勢(shì)在于“它仍然受益于通過隱匿實(shí)現(xiàn)的安全感和微軟提供的操作系統(tǒng)是個(gè)更大的攻擊目標(biāo)。”

Wolf Solutions 公司的 Joe Moore 給予了蘋果更多的信任，稱“現(xiàn)成的 macOS X 在安全方面有著良好的記錄，部分原因是它不像 Windows 那么廣泛，而且部分原因是蘋果公司在安全問題上干的不錯(cuò)。”

為什么說Linux的安全性高？

很多人都知道Linux系統(tǒng)的安全性比微軟Windows系統(tǒng)更高。但是，為什么會(huì)是這樣?這種說法到底有沒有道理?卻很少有人能回答得出來。

為了搞清楚這個(gè)問題，首先，我們必須要明確“安全性”的定義。其實(shí)，絕大多數(shù)人都犯了同樣一個(gè)錯(cuò)誤，那就是孤立地認(rèn)為某個(gè)產(chǎn)品比較安全。比如，Linux系統(tǒng)要比微軟Windows系統(tǒng)更加安全;或是，開放源代碼的Firefox網(wǎng)絡(luò)瀏覽器要比微軟IE瀏覽器更加安全。不、不、不，你們都錯(cuò)了，安全性并不是針對(duì)某個(gè)產(chǎn)品本身而言的。它是一整套以用戶為核心的體系。安全性指的是在用戶和軟件之間，通過適當(dāng)?shù)慕换シ绞剑_(dá)成的一種活躍狀態(tài)。漏洞補(bǔ)丁管理僅僅是這套系統(tǒng)的一個(gè)重要方面。而其它可能更為重要的方面還包括：用于補(bǔ)丁管理的恰當(dāng)工具、健壯的默認(rèn)設(shè)置，達(dá)成安全的多層次運(yùn)作體系，以及時(shí)刻將用戶看作是安全性的第一道、也是最后一道防線的設(shè)計(jì)理念。

當(dāng)你有了這種思想之后，我就可以向你解釋，為什么在一般情況下，一位有經(jīng)驗(yàn)的用戶在使用Linux系統(tǒng)要比使用Windows系統(tǒng)要更加安全：

1.更加卓越的補(bǔ)丁管理工具：

在微軟的Windows系統(tǒng)中，自動(dòng)更新程序只會(huì)升級(jí)那些由微軟公司官方所提供的組件。而第三方的應(yīng)用程序卻不會(huì)得到修補(bǔ)。從而，第三方的應(yīng)用程序可能會(huì)給你的系統(tǒng)帶來大量的安全隱患。你在使用Realplayer播放器嗎?你需要單獨(dú)升級(jí)它。在使用Flash?你還是需要單獨(dú)進(jìn)行升級(jí)。依此類推，對(duì)于電腦上所有的應(yīng)用程序，你都需要定期地對(duì)每一款軟件單獨(dú)進(jìn)行更新升級(jí)。這種方法非常的繁瑣，并且讓人心煩，而絕大多數(shù)用戶很快就將這項(xiàng)工作忘到九霄云外去了。

而在Linux系統(tǒng)中，當(dāng)你在自動(dòng)更新系統(tǒng)的時(shí)候，它將同時(shí)升級(jí)系統(tǒng)中所有的軟件。在Ubuntu系統(tǒng)中，你所下載的任何軟件產(chǎn)品，都會(huì)出現(xiàn)在系統(tǒng)的程序倉(cāng)庫(kù)當(dāng)中，要升級(jí)它，你只需要用鼠標(biāo)輕輕一點(diǎn)。而在其它Linux發(fā)行版本中，如果下載的軟件并沒有出現(xiàn)在系統(tǒng)的程序倉(cāng)庫(kù)中，要添加它也是非常的簡(jiǎn)便。這樣的設(shè)計(jì)，極大地提高了用戶實(shí)時(shí)更新系統(tǒng)的積極性。

2.更加健壯的默認(rèn)設(shè)置：

Linux系統(tǒng)天生就被設(shè)計(jì)成一個(gè)多用戶的操作系統(tǒng)。因此，即便是某個(gè)用戶想要進(jìn)行惡意破壞，底層系統(tǒng)文件依然會(huì)受到保護(hù)。假如，在非常不幸的情況下，有任何遠(yuǎn)程的惡意代碼在系統(tǒng)中被執(zhí)行了，它所帶來的危害也將被局限在一個(gè)小小的局部之中。

與之形成鮮明對(duì)照的是微軟的WindowsXP系統(tǒng)。在這里，用戶會(huì)默認(rèn)以系統(tǒng)管理員的身份登錄，而在系統(tǒng)中所發(fā)生的任何損害，都會(huì)迅速蔓延到整個(gè)系統(tǒng)之中。微軟最新的WindowsVista系統(tǒng)讓用戶在默認(rèn)設(shè)置下以受限用戶的身份登錄，因此它要比自己的前任更加安全一點(diǎn)。

3.模塊化設(shè)計(jì)：

Linux系統(tǒng)采用的是模塊化設(shè)計(jì)。這表示，如果不需要的話，你可以將任何一個(gè)系統(tǒng)組件給刪除掉。由此而帶來的一個(gè)好處是，如果用戶感覺Linux系統(tǒng)的某個(gè)部分不太安全，他就可以移除掉這個(gè)組件。這對(duì)于Windows系統(tǒng)來說，簡(jiǎn)直是不可思議的。比如說，如果我感覺對(duì)于自己的Linux系統(tǒng)來說，F(xiàn)irefox網(wǎng)絡(luò)瀏覽器是最薄弱的一個(gè)環(huán)節(jié)，我完全可以刪除掉它，用其它網(wǎng)絡(luò)瀏覽器來替代，比如說Opera。而在Windows系統(tǒng)當(dāng)中，即便是再不滿意，我也無法替換微軟的InternetExplorer網(wǎng)絡(luò)瀏覽器。

4.更棒的“零日攻擊(zero-dayattacks)”防御工具

即便你能確保自己的系統(tǒng)實(shí)時(shí)更新，這也并不代表著萬無一失!零日攻擊(zero-dayattacks，指的是在軟件生產(chǎn)廠商發(fā)布針對(duì)漏洞的更新補(bǔ)丁之前，就搶先利用該漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊的攻擊方式)正在變得日益猖獗。此外，一項(xiàng)調(diào)查研究也顯示：對(duì)于攻擊者來說，他們只需要6天時(shí)間就能夠開發(fā)出針對(duì)漏洞的惡意攻擊代碼，而軟件生產(chǎn)廠商們卻需要花費(fèi)長(zhǎng)得多的時(shí)間才能夠推出相應(yīng)的更新補(bǔ)丁。因此，一套睿智的安全策略在防御零日攻擊方面至關(guān)重要。微軟的WindowsXP系統(tǒng)并沒有提供這樣的一套防御機(jī)制。而新的Vista系統(tǒng)，在保護(hù)模式狀態(tài)之下，雖然有一定效果，但是也只能對(duì)針對(duì)InternetExplorer網(wǎng)絡(luò)瀏覽器的攻擊提供一點(diǎn)有限的保護(hù)。

與之相對(duì)應(yīng)的是，無論是何種類型的遠(yuǎn)程遙控代碼攻擊，AppArmor或SELinux,都能夠?yàn)橄到y(tǒng)提供細(xì)致而周全的保護(hù)。有越來越多的主流Linux發(fā)行版本，在系統(tǒng)中都默認(rèn)整合了AppArmor(例如，SuSE、UbuntuGutsy)或者SELinux(Fedora、DebianEtch、YellowDog)。即便是對(duì)于其它發(fā)行版本來說，用戶也可以非常方便地從網(wǎng)絡(luò)上下載并安裝這兩套軟件

5.開放源代碼構(gòu)架：

在Linux系統(tǒng)中，當(dāng)談?wù)摰较到y(tǒng)安全性的時(shí)候，用“你所看到的，就是你所得到的”這句話來形容，是再合適也不過了。開放源代碼意味著，任何可能的軟件漏洞都將被“無數(shù)雙眼睛”所看到，并且得到盡可能快的修復(fù)。而更重要的是，這同時(shí)也意味著，在這里沒有任何被隱藏的修復(fù)措施。作為用戶，只要你有心，就可以找出自己系統(tǒng)所存在的安全問題，并采取相應(yīng)的防范措施以應(yīng)對(duì)潛在的安全威脅，即便是在此時(shí)該漏洞還沒有被修補(bǔ)。

而在Windows世界當(dāng)中，有很多安全問題都是被掩蓋起來的。微軟公司內(nèi)部所發(fā)現(xiàn)的軟件漏洞，是不會(huì)讓外界所知曉的，而他們所想的只是在下一個(gè)更新升級(jí)包中對(duì)它進(jìn)行默默地修補(bǔ)就可以了。雖然這樣做可以讓被公開的軟件漏洞數(shù)目更少，并讓某些漏洞不會(huì)被大規(guī)模地利用，但這種做法同時(shí)也蒙蔽了用戶的雙眼。由此所導(dǎo)致的結(jié)果是，用戶很可能不會(huì)積極地對(duì)系統(tǒng)進(jìn)行升級(jí)，因?yàn)樗涣私庾约旱南到y(tǒng)存在著什么樣的漏洞，以及這些漏洞的危害大小，結(jié)果反而會(huì)成為惡意攻擊的犧牲品。

6.多樣化的系統(tǒng)環(huán)境：

Windows的系統(tǒng)環(huán)境可以說是千篇一律。這種巨大的一致性讓攻擊者們?cè)诰帉憪阂獯a、病毒或其它諸如此類的一些東西時(shí)顯得得心應(yīng)手。反過來，看一看Linux系統(tǒng)世界。在這里，應(yīng)用程序可以是.deb、.rpm，或源代碼，以及其它諸如此類的等等。這種差異性讓攻擊者們很難在Linux系統(tǒng)身上獲得像Windows系統(tǒng)那樣的廣泛影響。

最后，但卻是最重要的，你必須時(shí)刻牢記，系統(tǒng)的安全性最終還是掌握在用戶手中的。一位有經(jīng)驗(yàn)的用戶可以安全地使用Windows98操作系統(tǒng)，而一位無知的用戶則可以讓基于OpenBSD的系統(tǒng)都變得千瘡百孔。因此，歸根結(jié)蒂，人才是系統(tǒng)安全的核心，人才是一切的根本。要牢記這一點(diǎn)!

最終勝者是 ……

你可能一開始就知道它：專家們的明確共識(shí)是 Linux 是最安全的操作系統(tǒng)。然而，盡管它是服務(wù)器的首選操作系統(tǒng)，而將其部署在桌面上的企業(yè)很少。

如果你確定 Linux 是要選擇的系統(tǒng)，你仍然需要決定選擇哪種 Linux 系統(tǒng)，并且事情會(huì)變得更加復(fù)雜。 用戶需要一個(gè)看起來很熟悉的用戶界面，而你需要最安全的操作系統(tǒng)。

像 Moore 解釋的那樣，“Linux 有可能是最安全的，但要求用戶是資深用戶。”所以，它不是針對(duì)所有人的。

將安全性作為主要功能的 Linux 發(fā)行版包括Parrot Linux，這是一個(gè)基于 Debian 的發(fā)行版，Moore 說，它提供了許多與安全相關(guān)開箱即用的工具。

當(dāng)然，一個(gè)重要的區(qū)別是 Linux 是開源的。Simplex Solutions 的 CISO Igor Bidenko 說，編碼人員可以閱讀和審查彼此工作的現(xiàn)實(shí)看起來像是一場(chǎng)安全噩夢(mèng)，但這確實(shí)是讓 Linux 如此安全的重要原因。 “Linux 是最安全的操作系統(tǒng)，因?yàn)樗脑创a是開放的。任何人都可以查看它，并確保沒有錯(cuò)誤或后門。”

Wilkinson 闡述說：“Linux 和基于 Unix 的操作系統(tǒng)具有較少的在信息安全領(lǐng)域已知的、可利用的安全缺陷。技術(shù)社區(qū)對(duì) Linux 代碼進(jìn)行了審查，該代碼有助于提高安全性：通過進(jìn)行這么多的監(jiān)督，易受攻擊之處、漏洞和威脅就會(huì)減少。”

這是一個(gè)微妙而違反直覺的解釋，但是通過讓數(shù)十人（有時(shí)甚至數(shù)百人）通讀操作系統(tǒng)中的每一行代碼，代碼實(shí)際上更加健壯，并且發(fā)布漏洞錯(cuò)誤的機(jī)會(huì)減少了。這與 《PC World》 為何出來說 Linux 更安全有很大關(guān)系。正如 Katherine Noyes解釋的那樣，“微軟可能吹捧它的大型的付費(fèi)開發(fā)者團(tuán)隊(duì)，但團(tuán)隊(duì)不太可能與基于全球的 Linux 用戶開發(fā)者進(jìn)行比較。 安全只能通過所有額外的關(guān)注獲益。”

另一個(gè)被 《PC World》舉例的原因是 Linux 更好的用戶特權(quán)模式：Noye 的文章講到，Windows 用戶“一般被默認(rèn)授予管理員權(quán)限，那意味著他們幾乎可以訪問系統(tǒng)中的一切”。Linux，反而很好地限制了“root”權(quán)限。

Noyes 還指出，Linux 環(huán)境下的多樣性可能比典型的 Windows 單一文化更好地對(duì)抗攻擊：Linux 有很多不同的發(fā)行版。其中一些以其特別的安全關(guān)注點(diǎn)而差異化。Comparitech 的安全研究員 Lee Muson 為 Linux 發(fā)行版提供了這樣的建議：“Qubes OS對(duì)于 Linux 來說是一個(gè)很好的出發(fā)點(diǎn)，現(xiàn)在你可以發(fā)現(xiàn)，愛德華·斯諾登的認(rèn)可極大地超過了其謙遜的宣傳。”其他安全性專家指出了專門的安全 Linux 發(fā)行版，如Tails Linux，它旨在直接從 USB 閃存驅(qū)動(dòng)器或類似的外部設(shè)備安全地匿名運(yùn)行。

構(gòu)建安全趨勢(shì)

慣性是一股強(qiáng)大的力量。雖然人們有明確的共識(shí)，認(rèn)為 Linux 是桌面系統(tǒng)的最安全選擇，但并沒有出現(xiàn)對(duì) Windows 和 Mac 機(jī)器壓倒性的傾向。盡管如此，Linux 采用率的小幅增長(zhǎng)卻可能會(huì)產(chǎn)生對(duì)所有人都更加安全的計(jì)算，因?yàn)槭袌?chǎng)份額的喪失是確定能獲得微軟和蘋果公司關(guān)注的一個(gè)方式。換句話說，如果有足夠的用戶在桌面上切換到 Linux，Windows 和 Mac PC 很可能成為更安全的平臺(tái)。