内网信息安全产品对客户的误导

作者 信宏四季

    当前内网信息安全产品多种多样，号称内网信息安全的厂家也很多，而且还在不断增加。那么这些安全厂商生产的安全产品真的都是物有所值吗？产品的功能是否都会很好为顾客服务吗？答案当然都是否定的。让我们慢慢分析一下原因。

1 概述

    由于客户对安全产品的定义有些模糊，对本身的安全需求不明确，也就说客户对于自身的信息安全如何管理没有一个清晰的概念。而很多安全产品厂家也缺少必要的信息安全理论支撑，所生产的产品功能都是相互拷贝，能否以及如何保障信息安全自身都无法给出一个完整的概念，甚至产品的功能之间存在冲突，更别说与边界安全产品和主机安全产品相互融合补充，为组织建立完整的信息安全保障制度了。现在市场主要现象有：

    (1) 混淆概念。一些产品本身并不属于信息安全类，但厂家宣传时却把产品归为信息安全类，概念上严重误导客户，后果是耽误客户时间，甚至损害客户利益。如一些监控类或者管理类的产品也当作安全类产品宣传和销售。

    (2) 缺少安全理论支撑。厂家本身功底有限，缺少有力的安全理论支撑，造成产品功能漏洞百出，甚至轻易绕过保护。

    (3) 信息安全理论过时。技术和市场飞速发展，但一些产品所体现出的信息理论严重不适应市场需要，造成安全管理滞后市场的管理要求。

    (4) 缺少信息安全完整统一的理念整合。现在很多产品各自作自己的，缺少从系统的角度来分析，造成内网安全产品与边界安全产品或者主机安全产品完全割裂，没有充分充分利用各自的优势。给组织带来的管理上不便和重复的投入。

    (5) 安全产品功能简单堆砌，缺少系统性的规划。很多安全产品都在简单堆砌功能，很多功能使用不便，甚至根本无法使用。误导了客户对信息安全管理的需求。

    (6) ...

2 技术角度分析误导客户安全需求的功能
 
2.1 前言

   分析根本是从“信息数据安全”这一唯一的判断标准作为依据

2.2 误导客户的功能

  (1) 黑名单

      无论是何种功能，只要出现黑名单字样，该功能必然存在漏洞。如进程黑名单，网址黑名单等等。

      原因：黑名单是基于已知威胁做出的安全控制策略，对未知威胁的却是无能为力的。
  
      结果：此类产品漏洞很大，而且很轻易绕过，选择是需要慎重。

  (2) 进程管理(包括桌面窗口管理)

      这是目前很多安全产品都具有的功能。

      先明确一下该功能的目的：
 
      a 仅作为远程桌面管理。

      如仅仅是为了看看远程计算机启动了那些进程，有那些窗口界面，满足人的偷窥心理的话，可以要这个功能。

      b 作为信息安全产品功能，防止信息数据的泄露。此功能无用。理由如下：

      如果说通过产品的进程管理界面，去杀些远端计算机的进程，目的是什么？如何判断进程的不合法性？

      如果说进程管理有黑名单，更是无意义的功能。随意更改进程名称就可以启动。

      而且现在可执行代码，不仅仅是可以见到的进程，还包括动态库(dll)、驱动程序(sys)和svhost启动的进程等等。这些才是真正应该防御的地方。

      结果：此类功能对数据保护没有任何用途。
  
  (3) 上网行为管理

      上网行为管理是很有用途的功能。

      但是上网行为管理应该是网关产品，而不是现在很多内网安全产品集成的样子。

      原因：a 管理复杂。如果做到内网安全产品上，需要对每一台节点进行配置；其产生的日志必须要上传到服务器；无法做到统一管理。

      b 轻易躲过监控。如使用虚拟机、使用磁盘还原软件、操作系统带网络的安全模式和安装第二操作系统等都能轻易绕过监控。

      c 协议分析耗时，影响主机工作效率。

      d 多数属于黑名单方是。对第三方协议无法监控。

      结果：此功能应作为网关设备。  

  (4) IM通信管理

      此类功能真的不知道客户是如何考虑的。这里暂且不提隐私权的法律问题，仅从信息安全泄露角度出发来说明。

      原因：a 此类管理属于黑名单模式。仅对部分已存在软件通信进行监控。

      b 监控IM软件，目的是防止信息泄露。但真的要泄露信息，绝对不会使用知名的IM软件，如QQ和MSN。这里唯一剩下作用就是监控别人通话。

      c 第三方的IM软件。真的要泄露信息，违法者绝对使用自己开发的或者网上的第三方IM软件(肯定的说，可以用30分钟开发一款简单的IM软件)。
 
      结果：对知名IM软件，可以监控聊天内容；对第三方软件不能监控聊天内容；审计工作繁重。

  (5) 对知名协议的管理

      此类功能真的不知道客户是如何考虑的。这里暂且不提隐私权的法律问题，仅从信息安全泄露角度出发来说明。

      原因：a 此类管理属于黑名单模式。仅对部分已存在协议通信进行监控。

      b  监控HTTP,FTP,SMTP和POP等协议，目的是防止信息泄露。但真的要泄露信息，可以使用第三方网络通信协议(开发此类软件仅需要30分钟)。

      c 缺少对tftp和https等知名协议的管理，无法防止信息的泄露。
 
      结果：对知名协议，可以监控网络内容；对加密的知名协议(https等)，无法监控网络通信内容；对第三方软件不能监控网络内容；缺少ftp的动态协商文件传输端口的监控；审计工作繁重。

  (6) 网络准入管理

      网络准入管理，现在市场的使用的技术实在幼稚可笑：使用arp欺骗技术来管理网络准入

      原因：a 该类产品使用arp欺骗技术来管理网络准入，容易引起网络arp风暴, 严重影响网络系统安全稳定可靠运维

      b 是否可以把使用arp欺骗技术的产品当作病毒？因为它与arp病毒使用的技术类似。

      c 跨网段管理存在瓶颈。

      d 缺少网络准出管理，这点很重要。

  (7) ... ...

      还有很多堆砌的功能不一一列出，如果企业考虑是本企业的信息安全状态，防止信息泄露，那么就要慎重考虑以上功能。

      深圳信宏四季科技有限公司不但有技术先进的内网安全产品，为企业构建信息安全管理制度, 还提供边界安全和内网安全完备统一的信息安全整体解决方案。