内网信息安全厂商对客户的误导

内网信息安全产品对客户的误导

作者 信宏四季

  当前内网信息安全产品多种多样，号称内网信息安全的厂家也很多。

  由于客户对安全产品的定义有些模糊不清，安全产品厂家也缺少必要的信息安全理论，造成现在信息安全产品市场的局面是：

  (1) 本不是信息安全类的产品也被厂家说成了信息安全产品，严重误导了客户。

  (2) 信息安全产品缺少安全理论的支撑，漏洞百出。

  (3) 信息理论不适应了现在的市场的需求。如本是边界安全的功能强拉硬扯到内网安全产品中。

  (4) 缺少信息安全完整统一的信息安全理念，造成内网安全产品与边界安全产品完全割裂，没有很好的充分利用各自的优势。

  (5) 安全产品功能简单堆砌，缺少系统性的规划。

  这里先说一说一些(相当大一部分)厂家对信息安全解释来误导客户对信息安全的理解。
 
  以下所说的功能都是针对信息安全角度来考虑。

  (1) 黑名单

   如果一款安全产品需要配置策略时，仅有黑名单，没有白名单。可以明确说明该产品漏洞很大，没有安全可言。

   原因是黑名单是基于已知威胁做出的安全控制策略，对未知威胁的控制无能为力。

  (2) 进程管理

   目前很多安全产品都号称能对进程管理，甚至对桌面窗口管理。

   先明确一个该功能的目的：
  
   a 仅作为远程桌面管理。

   如仅仅是为了看看远程计算机启动了那些进程，有那些窗口界面，满足人的偷窥心理的话，可以要这个功能。

   b 作为信息安全功能，防止信息泄露。 此功能无用。理由如下：

   把产品当作了杀毒软件，比不过专业杀毒公司；

   把产品当作非法进程管理，比不过专业的hips产品；

   对进程的启动不管理，只有察看的时候了解一下启动什么进程，如几天都不察看的话，病毒岂不是为所欲为；

   没有管理员整天在控制台旁不停的监控其他计算机启动什么进程，没有时间，也没有那个精力。   

   最主要的可执行的代码，不仅仅是进程，还包括了动态库(dll)和驱动程序(sys)。

   仅仅通过进程是无法防止信息泄露的，必须要有统一的安全解决方案。

  (3) 上网行为管理

   此类功能不多说。仅提一点：如果把这类边界安全产品的功能放到内网安全产品中，说明该安全产品缺少系统的信息安全理论。

   此功能放到内网安全产品的缺点：

   配置复杂(50台电脑要配置50次，更多的电脑呢)；管理不方便等

  (4) 对QQ和MSN等IM通信管理

   此类功能真的不知道客户是如何考虑的。这里暂且不提隐私权的法律问题，仅从信息安全泄露角度出发来说明问题。

   a 监控IM软件，目的是防止信息泄露。

   b 但真的要泄露信息，绝对不会使用知名的im软件，如qq和msn。

   c 第三方的IM软件。真的要泄露信息，违法者绝对使用自己开发的或者网上的第三方IM软件(肯定的说，可以用30分钟开发一款简单的im软件)。信宏四季科技有限公司提供定制的IM软件以便客户测试使用。
  
   d 审计聊天内容。对知名IM软件，可以监控聊天内容；对第三方软件不能监控聊天内容；审计工作繁重。

  (5) 对知名协议的管理

   此类功能真的不知道客户是如何考虑的。这里暂且不提隐私权的法律问题，仅从信息安全泄露角度出发来说明问题。

   a 监控http,ftp,SMTP协议等，目的是防止信息泄露。

   b 但真的要泄露信息，可以使用第三方网络通信协议(开发此类软件仅需要30分钟)。信宏四季科技有限公司提供定制的文件传输软件以便客户测试使用。

   c 缺少对tftp等知名协议的管理，无法防止信息的泄露。
  
   d 审计网络通信内容。对知名协议，可以监控网络内容；对加密的知名协议(https等)，无法监控网络通信内容；对第三方软件不能监控网络内容；缺少ftp的动态协商文件传输端口的监控；审计工作繁重。

  (6) 网络准入管理

   网络准入管理，现在市场的使用的技术实在幼稚可笑：使用arp欺骗技术来管理网络准入

   a 该类产品使用arp欺骗技术来管理网络准入，容易引起网络arp风暴, 严重影响网络系统安全稳定可靠运维

   b 是否可以把使用arp欺骗技术的产品当作病毒？因为它与arp病毒使用的技术类似。

   c 跨网段管理存在瓶颈。

   d 缺少网络准出管理，这点很重要。

   还有很多堆砌的功能不一一列出，如果企业考虑是本企业的信息安全状态，防止信息泄露，那么就要慎重考虑以上功能。

   深圳信宏四季科技有限公司不但有技术先进的内网安全产品，还提供边界安全和内网安全完备统一的信息安全整体解决方案。