多年前就討論過(guò)推出哪種操作系統(tǒng)會(huì)影響到今天的企業(yè)安全。如今，廣為使用的三大操作系統(tǒng)中，有一種確實(shí)可以被認(rèn)為是最安全的。
在保護(hù)IT系統(tǒng)安全方面，哪家公司都不吝于投入大量時(shí)間、金錢(qián)和人力，最小心的公司可能還會(huì)設(shè)置安全運(yùn)營(yíng)中心。防火墻和殺毒軟件是標(biāo)配，投入很多時(shí)間監(jiān)視網(wǎng)絡(luò)狀態(tài)查找標(biāo)志著數(shù)據(jù)泄露的異常事件也正常，還有入侵檢測(cè)系統(tǒng)(IDS)、安全信息與事件管理(SIEM)及下一代防火墻(NGFW)……公司企業(yè)真的是部署了各種各樣層層疊疊的防御措施。

但是，有多少人充分考慮過(guò)自身數(shù)字運(yùn)營(yíng)基石之一的安全狀況呢?部署在員工PC上的桌面操作系統(tǒng)，有多少?zèng)Q策者將其安全狀況納入了公司整體安全因素視圖?這就催生出了每一個(gè)IT人都應(yīng)該回答的一個(gè)問(wèn)題：哪個(gè)操作系統(tǒng)是適合普遍部署的最安全操作系統(tǒng)?
Windows，當(dāng)前最流行的桌面系統(tǒng)，越來(lái)越復(fù)雜的工作平臺(tái);macOS X，蘋(píng)果Macintosh電腦采用的 FreeBSD Unix 系操作系統(tǒng);Linux，衍生自Unix系統(tǒng)的自由操作系統(tǒng)軟件，此處包含當(dāng)前各類Linux發(fā)行版及相關(guān)類Unix系統(tǒng)。
緣起
企業(yè)未對(duì)部署在員工機(jī)器上的操作系統(tǒng)(OS)進(jìn)行安全評(píng)估的可能原因之一，是這些系統(tǒng)大多是多年前就已購(gòu)買(mǎi)部署的。回溯夠久遠(yuǎn)的話，所有操作系統(tǒng)都是安全的，因?yàn)楫?dāng)時(shí)偷數(shù)據(jù)或裝惡意軟件之類的黑產(chǎn)都還處于嬰兒期。而一旦選定了某種操作系統(tǒng)，就很難再做出改變。IT公司幾乎不會(huì)想要讓分布全球各地的員工都體驗(yàn)一番更換全新OS的陣痛。而且，讓用戶適應(yīng)新版本OS可是會(huì)遭到抵制的。
不過(guò)，需不需要再重新考慮一下呢?這三種主流桌面OS在安全方法上真的差異很大，大到足以抵償更換OS所帶來(lái)的麻煩與抵制?
過(guò)去幾年里，企業(yè)IT系統(tǒng)面臨的威脅發(fā)生了很大改變。攻擊愈趨復(fù)雜，公眾認(rèn)知中青少年獨(dú)行俠黑客的形象已經(jīng)被組織嚴(yán)密且隱蔽的網(wǎng)絡(luò)犯罪團(tuán)伙取代，政府支持的黑客軍團(tuán)也攜充足計(jì)算資源襲來(lái)。
很多人都體驗(yàn)過(guò)電腦中病毒的感覺(jué)。Windows系統(tǒng)的惡意軟件和病毒多如牛毛，補(bǔ)丁能打出幾個(gè)G。Mac機(jī)如今也會(huì)被宏病毒感染了。網(wǎng)站遭受大規(guī)模自動(dòng)化黑客攻擊更是常事。此類惡意軟件感染往往一開(kāi)始并不明顯，不到已經(jīng)深度嵌入系統(tǒng)以致性能明顯受損是感知不到的。而且，最令人無(wú)奈的一點(diǎn)是，用戶往往不是網(wǎng)絡(luò)罪犯的特定目標(biāo)，只是被殃及的池魚(yú)——用僵尸網(wǎng)絡(luò)攻擊10個(gè)目標(biāo)的結(jié)果往往會(huì)是10萬(wàn)臺(tái)電腦受災(zāi)。
操作系統(tǒng)真的重要嗎?
往用戶主機(jī)上部署的操作系統(tǒng)確實(shí)對(duì)安全狀態(tài)起著關(guān)鍵作用，但并不是特別可靠的安全保障。一方面，如今的數(shù)據(jù)泄露更多是攻擊者從用戶方面下手的結(jié)果，而不是直接攻擊公司的系統(tǒng)。DEFCON安全大會(huì)的調(diào)查顯示，84%的黑客將社會(huì)工程列入其攻擊策略。部署安全操作系統(tǒng)是一個(gè)重要的開(kāi)端，但如果沒(méi)有用戶培訓(xùn)，缺乏健壯的防火墻，還不隨時(shí)保持警惕，那即便是最安全的網(wǎng)絡(luò)都有可能被入侵。更不用說(shuō)還有用戶下載的軟件、擴(kuò)展、功能、插件等等看似無(wú)害實(shí)則為惡意軟件入侵系統(tǒng)鋪平道路的東西了。
無(wú)論選擇了什么平臺(tái)，保護(hù)系統(tǒng)安全的最佳做法之一，就是確保軟件更新恰當(dāng)且及時(shí)。只要有補(bǔ)丁放出，黑客就可以對(duì)之實(shí)施逆向工程，找出新的漏洞利用在下一波攻擊中使用。
另外，別忘了最基本的安全常識(shí)：別用root用戶，別在服務(wù)器上開(kāi)放來(lái)賓賬戶。教會(huì)用戶創(chuàng)建真正安全的口令，利用1Password之類工具讓用戶更方便管理口令，避免用戶在不同網(wǎng)站的多個(gè)賬戶上應(yīng)用同一個(gè)口令。
關(guān)于IT系統(tǒng)的每一個(gè)決策都會(huì)影響到公司安全狀態(tài)，甚至用戶使用的操作系統(tǒng)也會(huì)對(duì)公司安全狀態(tài)產(chǎn)生影響。
Windows，流行的選擇
如果你是安全經(jīng)理，本文的問(wèn)題可以換一種說(shuō)辭：我們拋棄微軟Windows會(huì)不會(huì)更安全點(diǎn)兒?說(shuō)Windows主導(dǎo)了企業(yè)市場(chǎng)都算是低估了微軟的統(tǒng)治力。NetMarketShare估測(cè)，互聯(lián)網(wǎng)上88%的計(jì)算機(jī)都裝的是Windows操作系統(tǒng)，其勢(shì)力范圍簡(jiǎn)直到了驚人的地步。
如果你的系統(tǒng)隨大流落入了那88%之列，或許你會(huì)注意到微軟一直在強(qiáng)化Windows系統(tǒng)的安全，不停重寫(xiě)其操作系統(tǒng)代碼庫(kù)，添加進(jìn)自有殺毒軟件，改進(jìn)防火墻并實(shí)現(xiàn)沙箱架構(gòu)(沙箱運(yùn)行的程序無(wú)法接觸到OS或其他應(yīng)用的內(nèi)存空間)。
但是，Windows系統(tǒng)的流行本身就是問(wèn)題。操作系統(tǒng)的安全很大程度上取決于其用戶基數(shù)。對(duì)惡意軟件開(kāi)發(fā)者而言，Windows提供了廣闊的試驗(yàn)田，專注在Windows惡意軟件開(kāi)發(fā)上可以給他們帶來(lái)最大的回報(bào)。
Windows不受安全界待見(jiàn)的原因很多，其中最主要的原因就是其在消費(fèi)者中的流行度。市場(chǎng)上預(yù)裝Windows系統(tǒng)的個(gè)人電腦太多，黑客從來(lái)都最針對(duì)Windows系統(tǒng)。從Melissa到WannaCry，世界上大多數(shù)惡意軟件的目標(biāo)都是Windows系統(tǒng)。
macOS X，不公開(kāi)即安全
如果最流行的OS總是成為黑客的最大標(biāo)靶，那我們能不能用個(gè)不太流行的OS來(lái)確保安全呢?這種想法不過(guò)是對(duì)完全不可取的“不公開(kāi)即安全”的概念做個(gè)重新包裝而已。“不公開(kāi)即安全”的概念認(rèn)為，將軟件內(nèi)部運(yùn)行機(jī)制保密，是抵御攻擊的最佳辦法。
macOS過(guò)去確實(shí)被認(rèn)為是完全安全的操作系統(tǒng)，幾乎沒(méi)什么安全漏洞，但最近幾年我們已經(jīng)見(jiàn)識(shí)到黑客針對(duì)macOS開(kāi)發(fā)的漏洞利用程序了。換句話說(shuō)，攻擊者正在開(kāi)疆拓土，并沒(méi)有放過(guò)Mac王國(guó)。
從安全方面看，macOS似乎是更好的選擇，但這款操作系統(tǒng)也并非如人們之前認(rèn)為的那么牢不可破。其優(yōu)勢(shì)在于小眾產(chǎn)品相對(duì)微軟巨大攻擊面所帶來(lái)的少許安全。
不過(guò)，macOS在安全方面的口碑一直不錯(cuò)，這有部分是因?yàn)樗幌馱indows那么招黑，另一個(gè)原因就是蘋(píng)果公司的安全工作確實(shí)做得很好。
Linux，最安全的操作系統(tǒng)
本文標(biāo)題已經(jīng)明確昭示了安全操作系統(tǒng)哪家強(qiáng)：Linux是專家們眼中最安全的操作系統(tǒng)。但是，雖然服務(wù)器上大多安裝Linux操作系統(tǒng)，企業(yè)將之部署在桌面電腦上的現(xiàn)象卻極少見(jiàn)。
而且，即便已經(jīng)決定要換成Linux操作系統(tǒng)，也還面臨著到底選擇哪個(gè)發(fā)行版的問(wèn)題。用戶當(dāng)然希望能面對(duì)自己熟悉的界面，但企業(yè)需要的是更安全的OS。
Linux無(wú)疑具備最安全操作系統(tǒng)的潛力，但需要用戶也提升使用水平才能發(fā)揮出該系統(tǒng)的安全特性。
主打安全的Linux發(fā)行版包括基于Debian的 Parrot Linux，這是一個(gè)自帶各種安全相關(guān)工具的Linux發(fā)行版。
Linux被認(rèn)為是最安全的操作系統(tǒng)，主要原因之一就是它是開(kāi)源的。開(kāi)發(fā)者能讀取并評(píng)論各自的代碼看起來(lái)好像是安全噩夢(mèng)，但實(shí)際上卻正是Linux如此安全的重要因素，因?yàn)槿魏稳硕寄軐彶榇a，就能確保代碼里沒(méi)有任何漏洞或后門(mén)——所謂眾人之眼。
信息安全界人士都知道，Linux和基于Unix的操作系統(tǒng)沒(méi)有多少可利用的安全漏洞。Linux源碼要經(jīng)過(guò)技術(shù)社區(qū)的審閱，在眾人的反復(fù)篩查和持續(xù)監(jiān)管之下，漏洞和威脅更少是必然的結(jié)果。
雖然有點(diǎn)違反直覺(jué)，但幾十上百位程序員通讀該操作系統(tǒng)的每一行代碼，確實(shí)能杜絕漏洞流出的機(jī)會(huì)，讓Linux更健壯。眾人之眼與Linux的安全性有著莫大關(guān)系。微軟或許會(huì)標(biāo)榜其巨資聘請(qǐng)的龐大技術(shù)團(tuán)隊(duì)，但該團(tuán)隊(duì)顯然不能與Linux的全球用戶-開(kāi)發(fā)者基礎(chǔ)相提并論。安全就出自這些分布世界各地的無(wú)數(shù)雙眼睛。
讓Linux成為專家們首選安全OS的另一個(gè)原因，是其更好的用戶權(quán)限模型：Windows用戶基本上默認(rèn)擁有管理員權(quán)限，也就是說(shuō)他們能訪問(wèn)系統(tǒng)上的所有東西。Linux則完全相反，對(duì)“root”權(quán)限限制非常嚴(yán)格。
Linux發(fā)行版的多樣性也為該操作系統(tǒng)提供了比Windows更好的抗攻擊能力。可用的Linux發(fā)行版實(shí)在太多，其中有些就是專門(mén)突出安全特性的，比如備受斯諾登認(rèn)可的 Qubes OS，以及直接從U盤(pán)或其他類似外部設(shè)備啟動(dòng)的 Tails Linux。
寫(xiě)在最后
慣性是一股很強(qiáng)大的勢(shì)力。雖然專家們都認(rèn)為L(zhǎng)inux才是桌面電腦的安全首選，但依然沒(méi)有出現(xiàn)拋棄Windows和Mac而轉(zhuǎn)向Linux的風(fēng)潮。盡管如此，Linux采用量的一點(diǎn)點(diǎn)增加，都能推動(dòng)整個(gè)社區(qū)邁向更安全的計(jì)算，因?yàn)槭袌?chǎng)份額的減少無(wú)疑會(huì)引起微軟和蘋(píng)果的注意。也就是說(shuō)，如果有足夠多的用戶選擇Linux作為其桌面電腦的操作系統(tǒng)，Windows和Mac也極有可能成為更安全的平臺(tái)。