中国科学院信息安全工程研究中心刘克龙博士在接受光明日报记者杨谷采访时表示,从辩证的角度来看,没有哪一个操作系统是绝对安全的。美国有更安全的操作系统,安全级别为B1级、B2级、A1级的都有,安全性很高,但可用性就会差,所以商用的操作系统的最高安全级别是C2级的。
微软的视窗操作系统的安全级别是C2级的,是安全性与可用性结合很好的一个产品。惠普公司B1级的产品在国内可以买到,但是,可用性比较差,给我们的资料也少,用起来比较难,研究起来也很难。
有人说,用9行代码就可以把Windows 2000和Windows XP攻破,我觉得不可信。但这种说法给使用者提了个醒,就是任何一种系统都有缺陷,我觉得,这其中的关键在于这个系统你如何去维护它。
从维护的角度来说,微软的产品比Linux要好。因为视窗操作系统是由微软自己来维护的,并且是可视化的操作界面,“所见即所得,微软还推出了一个策略技术保护计划(STPP)计划。我很欣赏这个计划,它提供了在线的信息安全的技术支持,如常见问题回答、安全检查列表等。我觉得很不错,倒不是因为它的安全性做得有多好,而是它对于以人为本的精神体现得比Linux的好。
作为一个Unix、Linux操作系统的系统管理员,计算机水平、信息安全水平要求很高。微软的STPP计划出来以后,就使那些对计算机有一些了解、水平不是很高的系统管理员可以把计算机系统保持在一个相当安全的水平。
你登录到STPP的网站上去,下载一个检测程序,你就可以知道自己的计算机中有哪些地方是不安全的,然后一步一步地指导你对系统进行相应的调整,而其他操作系统就没有考虑到这些。
但是微软在中国也有做得不够的地方,那就是信息安全的支持力度还不够,我听说STPP计划出来之后,微软公司正在中国设立安全求助热线并计划有一个特别小组来处理这方面的事。
至于微软在信息安全方面屡遭质疑,我觉得这不太公平。说微软的视窗操作系统的漏洞最多,这是不对的。你到那些专业的系统安全网站上去看,Unix操作系统的安全漏洞比视窗要多得多。这是什么原因呢?因为微软视窗操作系统的源代码是不公开的,所以要找它的漏洞就很困难。Unix操作系统的源代码是公开的,就容易找出漏洞来。
另外,微软太强大了,有一句话叫“树大招风,出于市场竞争的需要,其他公司对微软的反弹就会强烈一些。比如,最近微软做了一个具有防火墙功能的ISA服务器软件,虽然算不上是顶级水平的,但对于一般用户而言,可以说是一个优秀的软件了。这样一来,对于大多数搞防火墙安全软件的厂商就造成了巨大的压力。你的产品必须比微软好才行,但这是很难的,操作系统是微软自己研发的,当然做出来的要比别人的有优势。
