乱谈安全漏洞

说起来惭愧, 作为IT专业人士的我从来没有涉足博客, 今天心血来潮, 在新浪博客开通,并写下本人生平第一篇BLOG, 关于主题就写写我的老本行, 信息安全吧, 谈谈现在安全界议论纷纷的系统漏洞.

自从贝尔实验室的几个工程师开始玩弄简单的系统对攻游戏开始, 计算机安全的发展也一日千里, 就这么短短几十年, 计算机世界发生天翻地覆的变化, 而作为信息安全的攻和防就从来没有停止过, 但总的来说攻击方几乎总是处于上风, 不管操作系统怎么设计, 遍布世界各地的黑客红客白客们总能在一段时间以后找出新的系统漏洞而找到新的攻击方法.

而于此同时, 各家厂商的操作系统应用软件开始以一段时间内出现安全漏洞的数量作为自己领先对手的证据, 照我看来这些数据最多也就是对市场推广有点意义, 就评价系统安全本身来说没有很大技术意义, 原因是因为黑客们总爱攻击最流行的操作系统和软件, 如果一种操作系统号称一段时间内没有任何漏洞,最大的可能就是黑客们根本没有兴趣去花时间了解那个系统, 反过来, 如果一种系统的漏洞很多, 也并不表明这个系统安全一定比不上其他系统, 其中也可能是这家系统的竞争对手或者其合作伙伴更多地投入精力研究这个系统从而发现更多的漏洞, 最明显的一个实际例子就是Microsoft的操作系统和LINUX的安全漏洞数量之争, 在2002年以前, 微软的操作系统可以说漏洞百出, 安全漏洞数量大大超过LINUX, 但数年以内, 微软在内部痛下苦功改进了程序员书写程序的安全能力, 在以后出的windows xp, windows 2003中的安全性比以前有了很大改进, 在MS公司的某些市场活动中还可以看到微软操作系统和LINUX系统安全漏洞数量的比较, 从一方面来看, 微软系统的安全性提高了, LINUX的系统安全性似乎下降了, 但从另一方面看, 也可以理解为微软开始注重安全, 一方面提升自己系统的安全, 另一方面花更多精力去研究LINUX的安全,从而产生了这样的结果, 从长远来看, 纠缠在安全漏洞的数量多少其实并没有多大意义.

如果对于我这个用户来说, 最希望看到这样一个系统, 可以自动对未来可能出现的安全漏洞作出反应, 即使出现了系统漏洞也可以把危害减少多最低的程度.今天累了, 就瞎写到这里.