陆首群:开源软件更安全
时间:2009-12-29 来源:linux论坛
近日,友人给我一份美国开源人士为奥巴马政府起草的“白皮书”,对开源软件的安全性问题作了概述,很有意思,谨摘引如下与大家分享:
“开源软件是最重要的、全面的、长期的趋势”
“目前美国联邦政府使用的所有平台都有开源产品”
(开源促进会OSI主席Michael Tiemann也指出:开放标准、开源理念、开源解决方案将成为各国政府在实施几乎所有政务上的潜在优势)
“在过去十年里,开源软件在美国军队和情报部门得到广泛应用,这主要取决于它的安全优势”
“最近美国国家安全局(NSA)证实:发现开放源代码在网络安全方面优于私有代码”
“与私有软件相比开源软件更加安全”
“有证据显示,从操作系统到中间件,到数据库,到浏览器以及Java等,比之私有软件产品,开源软件产品在其生命周期里面临更少的安全问题”
什么原因呢?“白皮书”中谈到:
(1) 在开源代码中不留“后门”(不隐藏秘密)
“白皮书”阐述:“开源软件的源代码是公开的,公众可以揭开代码的信息,可以保证在代码中没有隐藏的或没有可能挖掘的秘密,而私有软件却不能保证这一点。”
(2) 开源软件比私有软件“漏洞(Vulnerability)”少
“白皮书”引用美国国家漏洞数据库(NVD,National Vulnerability Database)统计数据显示:“开源软件产品比私有软件产品漏洞要少得多”。(有人可能会说,目前开源软件比某些私有软件应用的数量少,所以遭受黑客 攻击的概率较小或发现的“漏洞”也较少,我赞成这种说法,有一定道理,但我认为,正如白皮书所说:“开源软件的源代码是公开的,公众可以揭开代码的信息 ”,“全球有数百万个开发者都在做开源项目”,他们不断对开源软件产品进行“检错、纠错,打补丁、修正(Bug Fix,Patch)”,这种做法是导致开源软件产品“漏洞”要少得多的主要原因)。
(3) 开源软件的安全管理是独立的,不在代码中
“白皮书”阐述:“开源软件产品的开放性意味着安全秘密不在代码中,它必须在代码外进行管理”。
(我认为,这条保障或提升安全的措施,可解除人们对具有公开性的开源软件不安全的担心;同时也表明,本条措施,开源软件可做,私有软件也可做,因此光凭本条,不能比较两种不同类型的软件的安全性谁高谁低;但综合上述三条,完全可以认为开源软件更安全)。
我曾介绍今年5月12日《华盛顿时报》刊登的一篇署名文章《中国阻止美国发动网络战争》,文中谈到我国开发的开源的麒麟(Kylin)操作系统,从2007年开始在国防网络上服役以来,阻止了以往有人通过网络脆弱环节(即“后门”)进行信息渗透,保障了网络的安全。
关于金融行业配置的服务器,以IBM服务器X、P、I、Z系统为例,X是低端系统,可配置Linux或Windows操作系统(在国内使用较多);P、 I 是中端系统,其中P系统可配置AIX(Unix)或Linux操作系统,I系统可配置IOS(专用系统)或Linux操作系统;Z(主机)是高端系统,可 配置ZOS(专用系统)或Linux操作系统(在美、欧、日使用较多)。去年国内CNNIC订购一套Z系统,配Novell的Linux(SuSE)操作 系统,今年上海公安部门订购一套Z系统,配Red Hat的Linux操作系统;国内各大银行出于对安全的担心,他们较为保守,至今尚未订购配Linux的Z系统。Linux是一种类Unix的多用户环境 的操作系统,近年来Unix或专用系统向Linux迁移已成为一种趋势,据Saugatuck Tech.报告,到今年底,约25%的企业的“关键任务(Misson Critical)系统”将在Linux平台上运行,而到2011年度该比率将提升到48%。所谓“关键任务系统”的应用,是指高端服务器的核心应用,如 银行的支付系统、电信的计费系统、商业的交易系统、大企业的ERP系统等。在这些应用场合,对操作系统安全性的要求是很高的,国内外的应用实例都说 明,Linux是能满足其安全性要求的。
国内金融界的一些主管曾对采用Linux的安全性表示担心,我看是没有必要的,但确实要向他们做好技术交底,技术准备和服务到位的工作。
电信和金融等行业在要求产品高度安全性的同时,还要求高可靠性或高可利用率,如电信的高可利用率(high Availability)要求达到99.999%(一年宕机时间不超过5.26分钟)。其实高可靠性和高可利用率也是高安全性的一部分。
2004年,我们曾支持为联通公司的天津短信网关配置电信级Linux(CGL-3.0)操作系统(由Montavista和中兴通讯负责提供),能满足高安全性和高可利用率的要求,至今运行正常。
国内中标软件、北京拓林思、中科红旗等企业,几年来向中国建设银行、中国工商银行、国家邮政(含邮储银行)提供约4-5万套Linux系统(最长运行已 有 5-6年),但多数是低端的前置系统,要承接高端核心应用还有待提高。为国外银行高端核心业务配套的Linux系统多数是Red Hat提供的,Novell也提供相当部分,Cannonical(Ubuntu)是后起之秀。
“白皮书”指出:‘云计算环境应该具有开放的标准界面”,这表明:云计算的开放性,不会降低只会增强云安全;“白皮书”还指出:“这样,政府就不会局限于一个云计算解决方案或某一个供应商,”这又表明:采取这种措施完全有利于提高云安全。
本文来自ChinaUnix新闻频道,如果查看原文请点:http://news.chinaunix.net/opensource/2009/1229/271888.shtml 原文地址:http://news.chinaunix.net/opensource/2009/1229/271888.shtml
“开源软件是最重要的、全面的、长期的趋势”
“目前美国联邦政府使用的所有平台都有开源产品”
(开源促进会OSI主席Michael Tiemann也指出:开放标准、开源理念、开源解决方案将成为各国政府在实施几乎所有政务上的潜在优势)
“在过去十年里,开源软件在美国军队和情报部门得到广泛应用,这主要取决于它的安全优势”
“最近美国国家安全局(NSA)证实:发现开放源代码在网络安全方面优于私有代码”
“与私有软件相比开源软件更加安全”
“有证据显示,从操作系统到中间件,到数据库,到浏览器以及Java等,比之私有软件产品,开源软件产品在其生命周期里面临更少的安全问题”
什么原因呢?“白皮书”中谈到:
(1) 在开源代码中不留“后门”(不隐藏秘密)
“白皮书”阐述:“开源软件的源代码是公开的,公众可以揭开代码的信息,可以保证在代码中没有隐藏的或没有可能挖掘的秘密,而私有软件却不能保证这一点。”
(2) 开源软件比私有软件“漏洞(Vulnerability)”少
“白皮书”引用美国国家漏洞数据库(NVD,National Vulnerability Database)统计数据显示:“开源软件产品比私有软件产品漏洞要少得多”。(有人可能会说,目前开源软件比某些私有软件应用的数量少,所以遭受黑客 攻击的概率较小或发现的“漏洞”也较少,我赞成这种说法,有一定道理,但我认为,正如白皮书所说:“开源软件的源代码是公开的,公众可以揭开代码的信息 ”,“全球有数百万个开发者都在做开源项目”,他们不断对开源软件产品进行“检错、纠错,打补丁、修正(Bug Fix,Patch)”,这种做法是导致开源软件产品“漏洞”要少得多的主要原因)。
(3) 开源软件的安全管理是独立的,不在代码中
“白皮书”阐述:“开源软件产品的开放性意味着安全秘密不在代码中,它必须在代码外进行管理”。
(我认为,这条保障或提升安全的措施,可解除人们对具有公开性的开源软件不安全的担心;同时也表明,本条措施,开源软件可做,私有软件也可做,因此光凭本条,不能比较两种不同类型的软件的安全性谁高谁低;但综合上述三条,完全可以认为开源软件更安全)。
我曾介绍今年5月12日《华盛顿时报》刊登的一篇署名文章《中国阻止美国发动网络战争》,文中谈到我国开发的开源的麒麟(Kylin)操作系统,从2007年开始在国防网络上服役以来,阻止了以往有人通过网络脆弱环节(即“后门”)进行信息渗透,保障了网络的安全。
关于金融行业配置的服务器,以IBM服务器X、P、I、Z系统为例,X是低端系统,可配置Linux或Windows操作系统(在国内使用较多);P、 I 是中端系统,其中P系统可配置AIX(Unix)或Linux操作系统,I系统可配置IOS(专用系统)或Linux操作系统;Z(主机)是高端系统,可 配置ZOS(专用系统)或Linux操作系统(在美、欧、日使用较多)。去年国内CNNIC订购一套Z系统,配Novell的Linux(SuSE)操作 系统,今年上海公安部门订购一套Z系统,配Red Hat的Linux操作系统;国内各大银行出于对安全的担心,他们较为保守,至今尚未订购配Linux的Z系统。Linux是一种类Unix的多用户环境 的操作系统,近年来Unix或专用系统向Linux迁移已成为一种趋势,据Saugatuck Tech.报告,到今年底,约25%的企业的“关键任务(Misson Critical)系统”将在Linux平台上运行,而到2011年度该比率将提升到48%。所谓“关键任务系统”的应用,是指高端服务器的核心应用,如 银行的支付系统、电信的计费系统、商业的交易系统、大企业的ERP系统等。在这些应用场合,对操作系统安全性的要求是很高的,国内外的应用实例都说 明,Linux是能满足其安全性要求的。
国内金融界的一些主管曾对采用Linux的安全性表示担心,我看是没有必要的,但确实要向他们做好技术交底,技术准备和服务到位的工作。
电信和金融等行业在要求产品高度安全性的同时,还要求高可靠性或高可利用率,如电信的高可利用率(high Availability)要求达到99.999%(一年宕机时间不超过5.26分钟)。其实高可靠性和高可利用率也是高安全性的一部分。
2004年,我们曾支持为联通公司的天津短信网关配置电信级Linux(CGL-3.0)操作系统(由Montavista和中兴通讯负责提供),能满足高安全性和高可利用率的要求,至今运行正常。
国内中标软件、北京拓林思、中科红旗等企业,几年来向中国建设银行、中国工商银行、国家邮政(含邮储银行)提供约4-5万套Linux系统(最长运行已 有 5-6年),但多数是低端的前置系统,要承接高端核心应用还有待提高。为国外银行高端核心业务配套的Linux系统多数是Red Hat提供的,Novell也提供相当部分,Cannonical(Ubuntu)是后起之秀。
“白皮书”指出:‘云计算环境应该具有开放的标准界面”,这表明:云计算的开放性,不会降低只会增强云安全;“白皮书”还指出:“这样,政府就不会局限于一个云计算解决方案或某一个供应商,”这又表明:采取这种措施完全有利于提高云安全。
本文来自ChinaUnix新闻频道,如果查看原文请点:http://news.chinaunix.net/opensource/2009/1229/271888.shtml 原文地址:http://news.chinaunix.net/opensource/2009/1229/271888.shtml
相关阅读 更多 +
