国内信息安全产品对客户的误导

network

国内信息安全产品对客户的误导

这里说说国内信息安全产品的误导，造成了信息无法防止泄露。

1 安全职责混淆，给客户造成错觉。

国内安全厂家，缺少对信息安全系统综合的考虑，往往把边界安全产品的功能强拉硬扯拿到内网安全产品中，给客户造成了很大的不便。

如上网行为的监控，这类功能绝对属于边界安全产品的。特别对于50点以上计算机的企业。试想想，如果做到终端上，谁有精力一个个去配置每一台的web网址的访问控制。

2 堆砌功能，反而误导了客户造成了信息泄露。

2.1 黑名单/白名单问题。

无论哪项功能（进程或者网络访问地址等），黑名单都是不安全的，只有白名单才是安全的保证。为什么呢？因为两者基于的安全理论不同：黑名单是基于已知的威胁进行安全控制，对于未知威胁无能为力；白名单是基于已知安全，对已知安全的行为和对象进行授权。

当然使用白名单，也存在不方便之处。但是如果从安全的角度出发，一定要用白名单，至少比黑名单安全可靠。

2.2 所谓可信进程。

这类功能对于主动防御来说总体来说意义不大，但是作为诊断安全来说还是可以考虑。

为什么？

a. 进程的可信判断。使用进程名称来判断进程时候可信，使绝对不可靠的。其他程序改个名字就OK了。至少要用特征码，再安全些就用Md5等进行hash计算。

b. 可执行代码不再是进程的专利。现在rootkit技术非常的强大，可执行的代码不再局限于进程。还有dll和sys等等，而且目前更多也是这里代码存在威胁比较强大。

客户收到厂家的解释往往认为有了对进程的管理就认为系统安全了，反而为威胁的进入开了一扇门。

做不到安全，就不要忽悠客户，但是要提醒客户有此类威胁，这样客户也许会从其他方法去解决这类的安全。否则买了安全产品反而漏洞百出。

2.3 所谓msn,qq等im类控制。

此类对于大客户基本不太使用。对于小客户如果作为审计可以考虑，但是作为防止其信息泄露的途径进行安全防范，则需要提醒客户这是虚伪的功能。

为什么？这类功能有些像黑名单。如果使用了其他第三方IM，或者找人写个简单聊天程序就可以避过此类功能,而且还无法审计。

2.4 所谓文件传输控制。

此类同2.3，基本是像黑名单。如果使用第三方文件传输工具，此功能就无能为力。而且真的想泄露机密信息，找个文件传输工具太简单了，网上有太多了，而且让你审计都审计不到。

3 文件加密

文档加密管理类目前产品很多，但是真正稳定可靠的还没有发现任一个。

此类软件存在很大软肋：可信进程注入威胁代码，注定造成信息的泄露(原因大家都清楚)。

还有一个就是加密强度文件，现在已经有了绿色软件针对对国内所有文档加密管理类软件所加密的文件进行解密。

4 对网络安全缺少深入防御。

缺少对网络等级化分等。

网络准入问题，使用arp等欺骗包来实现，不说一些根本控制不住，而且会对网络造成arp风暴，影响整个网络运行就很头痛。

只考虑准入，没有考虑非法外联的产品也很多。

4 缺少整体网络安全的规划。

目前安全产品缺少安全规划，往往都是实现部分功能，而留下其他漏洞，没有达到统一安全管理的目的，漏洞百出。

一个安全产品至少有数字证书强身份认证+网络安全+数据安全+其他安全管理等搭建的安全运行平台作为安全环境的基础。


http://bbs.cisps.org/viewtopic.php?t=20546