多年前就討論過推出哪種操作系統(tǒng)會影響到今天的企業(yè)安全。如今，廣為使用的三大操作系統(tǒng)中，有一種確實可以被認(rèn)為是最安全的。
在保護(hù)IT系統(tǒng)安全方面，哪家公司都不吝于投入大量時間、金錢和人力，最小心的公司可能還會設(shè)置安全運(yùn)營中心。防火墻和殺毒軟件是標(biāo)配，投入很多時間監(jiān)視網(wǎng)絡(luò)狀態(tài)查找標(biāo)志著數(shù)據(jù)泄露的異常事件也正常，還有入侵檢測系統(tǒng)(IDS)、安全信息與事件管理(SIEM)及下一代防火墻(NGFW)……公司企業(yè)真的是部署了各種各樣層層疊疊的防御措施。

但是，有多少人充分考慮過自身數(shù)字運(yùn)營基石之一的安全狀況呢?部署在員工PC上的桌面操作系統(tǒng)，有多少決策者將其安全狀況納入了公司整體安全因素視圖?這就催生出了每一個IT人都應(yīng)該回答的一個問題：哪個操作系統(tǒng)是適合普遍部署的最安全操作系統(tǒng)?
Windows，當(dāng)前最流行的桌面系統(tǒng)，越來越復(fù)雜的工作平臺;macOS X，蘋果Macintosh電腦采用的 FreeBSD Unix 系操作系統(tǒng);Linux，衍生自Unix系統(tǒng)的自由操作系統(tǒng)軟件，此處包含當(dāng)前各類Linux發(fā)行版及相關(guān)類Unix系統(tǒng)。
緣起
企業(yè)未對部署在員工機(jī)器上的操作系統(tǒng)(OS)進(jìn)行安全評估的可能原因之一，是這些系統(tǒng)大多是多年前就已購買部署的。回溯夠久遠(yuǎn)的話，所有操作系統(tǒng)都是安全的，因為當(dāng)時偷數(shù)據(jù)或裝惡意軟件之類的黑產(chǎn)都還處于嬰兒期。而一旦選定了某種操作系統(tǒng)，就很難再做出改變。IT公司幾乎不會想要讓分布全球各地的員工都體驗一番更換全新OS的陣痛。而且，讓用戶適應(yīng)新版本OS可是會遭到抵制的。
不過，需不需要再重新考慮一下呢?這三種主流桌面OS在安全方法上真的差異很大，大到足以抵償更換OS所帶來的麻煩與抵制?
過去幾年里，企業(yè)IT系統(tǒng)面臨的威脅發(fā)生了很大改變。攻擊愈趨復(fù)雜，公眾認(rèn)知中青少年獨行俠黑客的形象已經(jīng)被組織嚴(yán)密且隱蔽的網(wǎng)絡(luò)犯罪團(tuán)伙取代，政府支持的黑客軍團(tuán)也攜充足計算資源襲來。
很多人都體驗過電腦中病毒的感覺。Windows系統(tǒng)的惡意軟件和病毒多如牛毛，補(bǔ)丁能打出幾個G。Mac機(jī)如今也會被宏病毒感染了。網(wǎng)站遭受大規(guī)模自動化黑客攻擊更是常事。此類惡意軟件感染往往一開始并不明顯，不到已經(jīng)深度嵌入系統(tǒng)以致性能明顯受損是感知不到的。而且，最令人無奈的一點是，用戶往往不是網(wǎng)絡(luò)罪犯的特定目標(biāo)，只是被殃及的池魚——用僵尸網(wǎng)絡(luò)攻擊10個目標(biāo)的結(jié)果往往會是10萬臺電腦受災(zāi)。
操作系統(tǒng)真的重要嗎?
往用戶主機(jī)上部署的操作系統(tǒng)確實對安全狀態(tài)起著關(guān)鍵作用，但并不是特別可靠的安全保障。一方面，如今的數(shù)據(jù)泄露更多是攻擊者從用戶方面下手的結(jié)果，而不是直接攻擊公司的系統(tǒng)。DEFCON安全大會的調(diào)查顯示，84%的黑客將社會工程列入其攻擊策略。部署安全操作系統(tǒng)是一個重要的開端，但如果沒有用戶培訓(xùn)，缺乏健壯的防火墻，還不隨時保持警惕，那即便是最安全的網(wǎng)絡(luò)都有可能被入侵。更不用說還有用戶下載的軟件、擴(kuò)展、功能、插件等等看似無害實則為惡意軟件入侵系統(tǒng)鋪平道路的東西了。
無論選擇了什么平臺，保護(hù)系統(tǒng)安全的最佳做法之一，就是確保軟件更新恰當(dāng)且及時。只要有補(bǔ)丁放出，黑客就可以對之實施逆向工程，找出新的漏洞利用在下一波攻擊中使用。
另外，別忘了最基本的安全常識：別用root用戶，別在服務(wù)器上開放來賓賬戶。教會用戶創(chuàng)建真正安全的口令，利用1Password之類工具讓用戶更方便管理口令，避免用戶在不同網(wǎng)站的多個賬戶上應(yīng)用同一個口令。
關(guān)于IT系統(tǒng)的每一個決策都會影響到公司安全狀態(tài)，甚至用戶使用的操作系統(tǒng)也會對公司安全狀態(tài)產(chǎn)生影響。
Windows，流行的選擇
如果你是安全經(jīng)理，本文的問題可以換一種說辭：我們拋棄微軟Windows會不會更安全點兒?說Windows主導(dǎo)了企業(yè)市場都算是低估了微軟的統(tǒng)治力。NetMarketShare估測，互聯(lián)網(wǎng)上88%的計算機(jī)都裝的是Windows操作系統(tǒng)，其勢力范圍簡直到了驚人的地步。
如果你的系統(tǒng)隨大流落入了那88%之列，或許你會注意到微軟一直在強(qiáng)化Windows系統(tǒng)的安全，不停重寫其操作系統(tǒng)代碼庫，添加進(jìn)自有殺毒軟件，改進(jìn)防火墻并實現(xiàn)沙箱架構(gòu)(沙箱運(yùn)行的程序無法接觸到OS或其他應(yīng)用的內(nèi)存空間)。
但是，Windows系統(tǒng)的流行本身就是問題。操作系統(tǒng)的安全很大程度上取決于其用戶基數(shù)。對惡意軟件開發(fā)者而言，Windows提供了廣闊的試驗田，專注在Windows惡意軟件開發(fā)上可以給他們帶來最大的回報。
Windows不受安全界待見的原因很多，其中最主要的原因就是其在消費(fèi)者中的流行度。市場上預(yù)裝Windows系統(tǒng)的個人電腦太多，黑客從來都最針對Windows系統(tǒng)。從Melissa到WannaCry，世界上大多數(shù)惡意軟件的目標(biāo)都是Windows系統(tǒng)。
macOS X，不公開即安全
如果最流行的OS總是成為黑客的最大標(biāo)靶，那我們能不能用個不太流行的OS來確保安全呢?這種想法不過是對完全不可取的“不公開即安全”的概念做個重新包裝而已。“不公開即安全”的概念認(rèn)為，將軟件內(nèi)部運(yùn)行機(jī)制保密，是抵御攻擊的最佳辦法。
macOS過去確實被認(rèn)為是完全安全的操作系統(tǒng)，幾乎沒什么安全漏洞，但最近幾年我們已經(jīng)見識到黑客針對macOS開發(fā)的漏洞利用程序了。換句話說，攻擊者正在開疆拓土，并沒有放過Mac王國。
從安全方面看，macOS似乎是更好的選擇，但這款操作系統(tǒng)也并非如人們之前認(rèn)為的那么牢不可破。其優(yōu)勢在于小眾產(chǎn)品相對微軟巨大攻擊面所帶來的少許安全。
不過，macOS在安全方面的口碑一直不錯，這有部分是因為它不像Windows那么招黑，另一個原因就是蘋果公司的安全工作確實做得很好。
Linux，最安全的操作系統(tǒng)
本文標(biāo)題已經(jīng)明確昭示了安全操作系統(tǒng)哪家強(qiáng)：Linux是專家們眼中最安全的操作系統(tǒng)。但是，雖然服務(wù)器上大多安裝Linux操作系統(tǒng)，企業(yè)將之部署在桌面電腦上的現(xiàn)象卻極少見。
而且，即便已經(jīng)決定要換成Linux操作系統(tǒng)，也還面臨著到底選擇哪個發(fā)行版的問題。用戶當(dāng)然希望能面對自己熟悉的界面，但企業(yè)需要的是更安全的OS。
Linux無疑具備最安全操作系統(tǒng)的潛力，但需要用戶也提升使用水平才能發(fā)揮出該系統(tǒng)的安全特性。
主打安全的Linux發(fā)行版包括基于Debian的 Parrot Linux，這是一個自帶各種安全相關(guān)工具的Linux發(fā)行版。
Linux被認(rèn)為是最安全的操作系統(tǒng)，主要原因之一就是它是開源的。開發(fā)者能讀取并評論各自的代碼看起來好像是安全噩夢，但實際上卻正是Linux如此安全的重要因素，因為任何人都能審查代碼，就能確保代碼里沒有任何漏洞或后門——所謂眾人之眼。
信息安全界人士都知道，Linux和基于Unix的操作系統(tǒng)沒有多少可利用的安全漏洞。Linux源碼要經(jīng)過技術(shù)社區(qū)的審閱，在眾人的反復(fù)篩查和持續(xù)監(jiān)管之下，漏洞和威脅更少是必然的結(jié)果。
雖然有點違反直覺，但幾十上百位程序員通讀該操作系統(tǒng)的每一行代碼，確實能杜絕漏洞流出的機(jī)會，讓Linux更健壯。眾人之眼與Linux的安全性有著莫大關(guān)系。微軟或許會標(biāo)榜其巨資聘請的龐大技術(shù)團(tuán)隊，但該團(tuán)隊顯然不能與Linux的全球用戶-開發(fā)者基礎(chǔ)相提并論。安全就出自這些分布世界各地的無數(shù)雙眼睛。
讓Linux成為專家們首選安全OS的另一個原因，是其更好的用戶權(quán)限模型：Windows用戶基本上默認(rèn)擁有管理員權(quán)限，也就是說他們能訪問系統(tǒng)上的所有東西。Linux則完全相反，對“root”權(quán)限限制非常嚴(yán)格。
Linux發(fā)行版的多樣性也為該操作系統(tǒng)提供了比Windows更好的抗攻擊能力。可用的Linux發(fā)行版實在太多，其中有些就是專門突出安全特性的，比如備受斯諾登認(rèn)可的 Qubes OS，以及直接從U盤或其他類似外部設(shè)備啟動的 Tails Linux。
寫在最后
慣性是一股很強(qiáng)大的勢力。雖然專家們都認(rèn)為Linux才是桌面電腦的安全首選，但依然沒有出現(xiàn)拋棄Windows和Mac而轉(zhuǎn)向Linux的風(fēng)潮。盡管如此，Linux采用量的一點點增加，都能推動整個社區(qū)邁向更安全的計算，因為市場份額的減少無疑會引起微軟和蘋果的注意。也就是說，如果有足夠多的用戶選擇Linux作為其桌面電腦的操作系統(tǒng)，Windows和Mac也極有可能成為更安全的平臺。