操作系統安全哪家強？Linux超越Windows和macOS

多年前就討論過推出哪種操作系統會影響到今天的企業安全。如今，廣為使用的三大操作系統中，有一種確實可以被認為是最安全的。

在保護IT系統安全方面，哪家公司都不吝於投入大量時間、金錢和人力，最小心的公司可能還會設置安全運營中心。防火牆和殺毒軟體是標配，投入很多時間監視網路狀態查找標誌著數據泄露的異常事件也正常，還有入侵檢測系統(IDS)、安全信息與事件管理(SIEM)及下一代防火牆(NGFW)……公司企業真的是部署了各種各樣層層疊疊的防禦措施。

但是，有多少人充分考慮過自身數字運營基石之一的安全狀況呢？部署在員工PC上的桌面操作系統，有多少決策者將其安全狀況納入了公司整體安全因素視圖？這就催生出了每一個IT人都應該回答的一個問題：哪個操作系統是適合普遍部署的最安全操作系統？

Windows，當前最流行的桌面系統，越來越複雜的工作平台；macOS X，蘋果Macintosh電腦採用的 FreeBSD Unix 系操作系統；Linux，衍生自Unix系統的自由操作系統軟體，此處包含當前各類Linux發行版及相關類Unix系統。

緣起

企業未對部署在員工機器上的操作系統(OS)進行安全評估的可能原因之一，是這些系統大多是多年前就已購買部署的。回溯夠久遠的話，所有操作系統都是安全的，因為當時偷數據或裝惡意軟體之類的黑產都還處於嬰兒期。而一旦選定了某種操作系統，就很難再做出改變。IT公司幾乎不會想要讓分布全球各地的員工都體驗一番更換全新OS的陣痛。而且，讓用戶適應新版本OS可是會遭到抵制的。

不過，需不需要再重新考慮一下呢？這三種主流桌面OS在安全方法上真的差異很大，大到足以抵償更換OS所帶來的麻煩與抵制？

過去幾年裡，企業IT系統面臨的威脅發生了很大改變。攻擊愈趨複雜，公眾認知中青少年獨行俠黑客的形象已經被組織嚴密且隱蔽的網路犯罪團伙取代，政府支持的黑客軍團也攜充足計算資源襲來。

很多人都體驗過電腦中病毒的感覺。Windows系統的惡意軟體和病毒多如牛毛，補丁能打出幾個G。Mac機如今也會被宏病毒感染了。網站遭受大規模自動化黑客攻擊更是常事。此類惡意軟體感染往往一開始並不明顯，不到已經深度嵌入系統以致性能明顯受損是感知不到的。而且，最令人無奈的一點是，用戶往往不是網路罪犯的特定目標，只是被殃及的池魚——用殭屍網路攻擊10個目標的結果往往會是10萬台電腦受災。

操作系統真的重要嗎？

往用戶主機上部署的操作系統確實對安全狀態起著關鍵作用，但並不是特別可靠的安全保障。一方面，如今的數據泄露更多是攻擊者從用戶方面下手的結果，而不是直接攻擊公司的系統。DEFCON安全大會的調查顯示，84%的黑客將社會工程列入其攻擊策略。部署安全操作系統是一個重要的開端，但如果沒有用戶培訓，缺乏健壯的防火牆，還不隨時保持警惕，那即便是最安全的網路都有可能被入侵。更不用說還有用戶下載的軟體、擴展、功能、插件等等看似無害實則為惡意軟體入侵系統鋪平道路的東西了。

無論選擇了什麼平台，保護系統安全的最佳做法之一，就是確保軟體更新恰當且及時。只要有補丁放出，黑客就可以對之實施逆向工程，找出新的漏洞利用在下一波攻擊中使用。

另外，別忘了最基本的安全常識：別用root用戶，別在伺服器上開放來賓賬戶。教會用戶創建真正安全的口令，利用1Password之類工具讓用戶更方便管理口令，避免用戶在不同網站的多個賬戶上應用同一個口令。

關於IT系統的每一個決策都會影響到公司安全狀態，甚至用戶使用的操作系統也會對公司安全狀態產生影響。

Windows，流行的選擇

如果你是安全經理，本文的問題可以換一種說辭：我們拋棄微軟Windows會不會更安全點兒？說Windows主導了企業市場都算是低估了微軟的統治力。NetMarketShare估測，互聯網上88%的計算機都裝的是Windows操作系統，其勢力範圍簡直到了驚人的地步。

如果你的系統隨大流落入了那88%之列，或許你會注意到微軟一直在強化Windows系統的安全，不停重寫其操作系統代碼庫，添加進自有殺毒軟體，改進防火牆並實現沙箱架構(沙箱運行的程序無法接觸到OS或其他應用的內存空間)。

但是，Windows系統的流行本身就是問題。操作系統的安全很大程度上取決於其用戶基數。對惡意軟體開發者而言，Windows提供了廣闊的試驗田，專註在Windows惡意軟體開發上可以給他們帶來最大的回報。

Windows不受安全界待見的原因很多，其中最主要的原因就是其在消費者中的流行度。市場上預裝Windows系統的個人電腦太多，黑客從來都最針對Windows系統。從Melissa到WannaCry，世界上大多數惡意軟體的目標都是Windows系統。

macOS X，不公開即安全

如果最流行的OS總是成為黑客的最大標靶，那我們能不能用個不太流行的OS來確保安全呢？這種想法不過是對完全不可取的「不公開即安全」的概念做個重新包裝而已。「不公開即安全」的概念認為，將軟體內部運行機制保密，是抵禦攻擊的最佳辦法。

macOS過去確實被認為是完全安全的操作系統，幾乎沒什麼安全漏洞，但最近幾年我們已經見識到黑客針對macOS開發的漏洞利用程序了。換句話說，攻擊者正在開疆拓土，並沒有放過Mac王國。

從安全方面看，macOS似乎是更好的選擇，但這款操作系統也並非如人們之前認為的那麼牢不可破。其優勢在於小眾產品相對微軟巨大攻擊面所帶來的少許安全。

不過，macOS在安全方面的口碑一直不錯，這有部分是因為它不像Windows那麼招黑，另一個原因就是蘋果公司的安全工作確實做得很好。

Linux，最安全的操作系統

本文標題已經明確昭示了安全操作系統哪家強：Linux是專家們眼中最安全的操作系統。但是，雖然伺服器上大多安裝Linux操作系統，企業將之部署在桌面電腦上的現象卻極少見。

而且，即便已經決定要換成Linux操作系統，也還面臨著到底選擇哪個發行版的問題。用戶當然希望能面對自己熟悉的界面，但企業需要的是更安全的OS。

Linux無疑具備最安全操作系統的潛力，但需要用戶也提升使用水平才能發揮出該系統的安全特性。

主打安全的Linux發行版包括基於Debian的 Parrot Linux，這是一個自帶各種安全相關工具的Linux發行版。

Linux被認為是最安全的操作系統，主要原因之一就是它是開源的。開發者能讀取並評論各自的代碼看起來好像是安全噩夢，但實際上卻正是Linux如此安全的重要因素，因為任何人都能審查代碼，就能確保代碼里沒有任何漏洞或後門——所謂眾人之眼。

信息安全界人士都知道，Linux和基於Unix的操作系統沒有多少可利用的安全漏洞。Linux源碼要經過技術社區的審閱，在眾人的反覆篩查和持續監管之下，漏洞和威脅更少是必然的結果。

雖然有點違反直覺，但幾十上百位程序員通讀該操作系統的每一行代碼，確實能杜絕漏洞流出的機會，讓Linux更健壯。眾人之眼與Linux的安全性有著莫大關係。微軟或許會標榜其巨資聘請的龐大技術團隊，但該團隊顯然不能與Linux的全球用戶-開發者基礎相提並論。安全就出自這些分布世界各地的無數雙眼睛。

讓Linux成為專家們首選安全OS的另一個原因，是其更好的用戶許可權模型：Windows用戶基本上默認擁有管理員許可權，也就是說他們能訪問系統上的所有東西。Linux則完全相反，對「root」許可權限制非常嚴格。

Linux發行版的多樣性也為該操作系統提供了比Windows更好的抗攻擊能力。可用的Linux發行版實在太多，其中有些就是專門突出安全特性的，比如備受斯諾登認可的 Qubes OS，以及直接從U盤或其他類似外部設備啟動的 Tails Linux。

寫在最後

慣性是一股很強大的勢力。雖然專家們都認為Linux才是桌面電腦的安全首選，但依然沒有出現拋棄Windows和Mac而轉向Linux的風潮。儘管如此，Linux採用量的一點點增加，都能推動整個社區邁向更安全的計算，因為市場份額的減少無疑會引起微軟和蘋果的注意。也就是說，如果有足夠多的用戶選擇Linux作為其桌面電腦的操作系統，Windows和Mac也極有可能成為更安全的平台。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！