内网信息安全产品对客户的误导
作者 信宏四季
当前内网信息安全产品多种多样,号称内网信息安全的厂家也很多。
由于客户对安全产品的定义有些模糊不清,安全产品厂家也缺少必要的信息安全理论,造成现在信息安全产品市场的局面是:
(1) 本不是信息安全类的产品也被厂家说成了信息安全产品,严重误导了客户。
(2) 信息安全产品缺少安全理论的支撑,漏洞百出。
(3) 信息理论不适应了现在的市场的需求。如本是边界安全的功能强拉硬扯到内网安全产品中。
(4) 缺少信息安全完整统一的信息安全理念,造成内网安全产品与边界安全产品完全割裂,没有很好的充分利用各自的优势。
(5) 安全产品功能简单堆砌,缺少系统性的规划。
这里先说一说一些(相当大一部分)厂家对信息安全解释来误导客户对信息安全的理解。
以下所说的功能都是针对信息安全角度来考虑。
以下所说的功能都是针对信息安全角度来考虑。
(1) 黑名单
如果一款安全产品需要配置策略时,仅有黑名单,没有白名单。可以明确说明该产品漏洞很大,没有安全可言。
原因是黑名单是基于已知威胁做出的安全控制策略,对未知威胁的控制无能为力。
(2) 进程管理
目前很多安全产品都号称能对进程管理,甚至对桌面窗口管理。
先明确一个该功能的目的:
a 仅作为远程桌面管理。
a 仅作为远程桌面管理。
如仅仅是为了看看远程计算机启动了那些进程,有那些窗口界面,满足人的偷窥心理的话,可以要这个功能。
b 作为信息安全功能,防止信息泄露。 此功能无用。理由如下:
把产品当作了杀毒软件,比不过专业杀毒公司;
把产品当作非法进程管理,比不过专业的hips产品;
对进程的启动不管理,只有察看的时候了解一下启动什么进程,如几天都不察看的话,病毒岂不是为所欲为;
没有管理员整天在控制台旁不停的监控其他计算机启动什么进程,没有时间,也没有那个精力。
最主要的可执行的代码,不仅仅是进程,还包括了动态库(dll)和驱动程序(sys)。
仅仅通过进程是无法防止信息泄露的,必须要有统一的安全解决方案。
(3) 上网行为管理
此类功能不多说。仅提一点:如果把这类边界安全产品的功能放到内网安全产品中,说明该安全产品缺少系统的信息安全理论。
此功能放到内网安全产品的缺点:
配置复杂(50台电脑要配置50次,更多的电脑呢);管理不方便等
(4) 对QQ和MSN等IM通信管理
此类功能真的不知道客户是如何考虑的。这里暂且不提隐私权的法律问题,仅从信息安全泄露角度出发来说明问题。
a 监控IM软件,目的是防止信息泄露。
b 但真的要泄露信息,绝对不会使用知名的im软件,如qq和msn。
c 第三方的IM软件。真的要泄露信息,违法者绝对使用自己开发的或者网上的第三方IM软件(肯定的说,可以用30分钟开发一款简单的im软件)。信宏四季科技有限公司提供定制的IM软件以便客户测试使用。
d 审计聊天内容。对知名IM软件,可以监控聊天内容;对第三方软件不能监控聊天内容;审计工作繁重。
d 审计聊天内容。对知名IM软件,可以监控聊天内容;对第三方软件不能监控聊天内容;审计工作繁重。
(5) 对知名协议的管理
此类功能真的不知道客户是如何考虑的。这里暂且不提隐私权的法律问题,仅从信息安全泄露角度出发来说明问题。
a 监控http,ftp,SMTP协议等,目的是防止信息泄露。
b 但真的要泄露信息,可以使用第三方网络通信协议(开发此类软件仅需要30分钟)。信宏四季科技有限公司提供定制的文件传输软件以便客户测试使用。
c 缺少对tftp等知名协议的管理,无法防止信息的泄露。
d 审计网络通信内容。对知名协议,可以监控网络内容;对加密的知名协议(https等),无法监控网络通信内容;对第三方软件不能监控网络内容;缺少ftp的动态协商文件传输端口的监控;审计工作繁重。
d 审计网络通信内容。对知名协议,可以监控网络内容;对加密的知名协议(https等),无法监控网络通信内容;对第三方软件不能监控网络内容;缺少ftp的动态协商文件传输端口的监控;审计工作繁重。
(6) 网络准入管理
网络准入管理,现在市场的使用的技术实在幼稚可笑:使用arp欺骗技术来管理网络准入
a 该类产品使用arp欺骗技术来管理网络准入,容易引起网络arp风暴, 严重影响网络系统安全稳定可靠运维
b 是否可以把使用arp欺骗技术的产品当作病毒?因为它与arp病毒使用的技术类似。
c 跨网段管理存在瓶颈。
d 缺少网络准出管理,这点很重要。
还有很多堆砌的功能不一一列出,如果企业考虑是本企业的信息安全状态,防止信息泄露,那么就要慎重考虑以上功能。
深圳信宏四季科技有限公司不但有技术先进的内网安全产品,还提供边界安全和内网安全完备统一的信息安全整体解决方案。
