谁来为用户的安全负责--谈客户信息保密 | ||
---|---|---|
http://www.sina.com.cn 2002年12月10日 15:41 新浪科技 | ||
用户在考虑自身网络安全的时候,往往会花费大量的时间、精力、物力在以下几个方面:网络安全解决方案本身的成熟度、适应性;安全产品的可靠性、流行性以及产品的选型、测试;安全集成商的资质、售后服务能力等等方面。 勿庸置疑,这些方面,是用户保障自己网络安全非常重要的也是必需的方面,但是,单纯有了比较好的、业界流行的安全产品并不能保障其本身的网络安全,正像一句俗话说的 那么,安全产品的厂商和安全集成商在销售行为完成后(产品已经销售给用户后)是否对于用户仍然有提供安全保障的责任和义务?这一点我想很多用户都会有一个肯定的答案:应该。 是的,安全产品的厂商对于产品销售行为完成后仍然有为用户提供产品的软、硬件产品的售后、保修、升级的责任和义务,当然具体的承诺要看厂商与用户签署的合同条款,这里笔者就不再赘述。 今天我们讨论的是厂商应该承担的对用户另外一个责任:安全产品用户保密责任。 一、一种奇怪的现状 不知大家有没有这样的经历,我们经常可以在公开的媒体上看到:XXX防火墙中标XX市政府;XXX安全产品捍卫中国XX银行…… 这类公开的媒体包括IT类的网站、安全产品厂商的网站、厂商公开发表的各种传播媒体、IT类专业报刊和杂志等。 某些国内防火墙厂商,在网站显著位置详细的列举了最终用户的名单,其中既有对安全有严格要求的国家级金融机构的网络,也有保密程度极高的国家部委、政府机构的名单,在该网站上,不但有用户的名称,甚至还有用户相关信息的描述,包括节点的个数,产品型号、数量,产品实施的时间等等。更有甚者,笔者在某知名国外防火墙产品国内总代理的网站上,看到了包括电信、政府、金融、企业等各个行业不下80家的用户名单,而且在网站上还有一些行业用户的详细拓扑和介绍。 二、这种行为给用户带来的危害 笔者曾经于2000年与国际知名的网络安全专家-美国宾州大学(PENN STATE Great Valley)的Eugene Kozik博士进行交流,特意就这个问题请教了他,他的回答是:国外对这方面非常重视,基本上除了防病毒产品,一般是禁止安全产品厂商对外公开用户名单的;同样,国外的用户对这方面也有比较苛刻的要求:在未征得用户书面同意的情况下是绝对不允许公开用户信息的。 这与笔者考察的一些国外网站相吻合,笔者同时也考察了国外几家著名的安全厂商的站点,包括CA、NAI、Symantec、RSA等等,均找不到任何一个用户的名字和信息。 那么,对外公布用户名单和信息,会给用户造成什么危害呢? 总体说来,这种行为使黑客的"社会工程"攻击更易得手! 大家都知道,一些高明的黑客经常利用一种攻击手段,这种手段利用一切机会,获得用户的信息,包括网络拓扑、安全产品型号、操作系统、数据库版本等,然后利用这些信息再进一步的采取相应的策略进入目标系统。其中大家熟悉的世界超级黑客凯文·米特尼克就经常利用这种手段进行攻击美国国防、国家安全机构和国际知名的IT企业。 安全厂商在媒体和网站上公开用户的信息后,黑客可以轻而易举的知道用户使用了什么安全产品,部署在什么位置;对于更高级的黑客,这些信息可以使他们掌握足够的信息了解用户网络,同时,任何安全产品都会有一些弱点、缺陷,在没有新的补丁出来的时候,这些缺陷都可以导致致命的攻击!这些高级的黑客,可以不费吹灰之力,利用安全产品存在的漏洞对用户的网络实施攻击。 任何的安全产品都不能保证永远不被攻破,但是客户需要的是在黑客攻破这些安全产品之前发现这些攻击行为,并采取相应的补救措施,比如追踪黑客攻击的发起点、记录黑客行为等。从这个意义上讲,对外界保密程度越高的网络,黑客攻击起来的难度就越大。一个对外部保密性非常好的网络,黑客可能需要花费几天的时间找到防火墙,并发现是什么品牌的产品,再来研究这个品牌的防火墙有什么弱点和漏洞,但是这期间,用户很可能已经发现了黑客的攻击企图(厂商也可能在这段时间更新了产品);但是如果黑客从厂商的站点上就可以轻易的得到信息,发现某个他想攻击的用户使用了这种安全产品,那么黑客可以在模拟环境下轻松的"工作",找到这种安全产品的弱点,再放置在实际环境中轻易的实施,大大减少攻击的实际时间,也对用户发现这种攻击行为增大了难度。 三、产生这种现象的原因和本质笔者对于国内普遍的这种现象进行了分析,感觉这种现象的产生,大致有以下两方面的原因: 1、国内网络安全产品市场激烈的竞争 随着中国进入WTO,IT领域的竞争日趋激烈,国内安全产品市场的竞争也达到白热化程度。很多厂商为了能够尽快的扩大销售,采用了各种手段,而忽视了用户的隐私和安全,导致目前绝大多数国内安全厂商都会将自己的用户放置在网站相关位置。 2、厂商和用户的无知 这种现象一方面也是由于厂商和用户对于保密条款的忽视和对于保密要求的忽视造成的。 用户方面,合同签署,实施完毕后项目就基本结束了,从而没有人进行安全的总体评价和综合评估,导致没有人关心是否有信息泄漏的情况发生;厂商方面,一旦合同签订(个别厂商在合同没有签订,产品还在试用阶段)就迫不及待的在相关媒体和自己的网站上显著的位置提供相关说明,将用户的信息详细的进行描述,殊不知,这种做法极大的危害了客户的安全。 这种现象的本质是对用户的极大不负责,会给用户带来巨大的安全风险。 四、如何防止类似的情况发生 看到这种行为的危害后,我们如何防止和杜绝类似的情况发生呢?笔者认为应该从以下几个方面入手,才会有明显的效果: 1、提高用户的安全意识和自我保护意识这种行为最直接的受害者是用户自己,因此,用户要迅速提高安全意识和自我保护意识,最为有效的作法是:在购买安全产品的同时,在产品购销合同中明确保密条款,即要求厂商在没有征得用户方书面同意的情况下,不允许在任何场合、以任何形式透露用户的信息。这种手段是最为直接和有效的。 2、国内的安全产品厂商少一些炒作,多一份冷静很多厂商明知这种行为会损害客户的利益,但是迫于激烈的市场竞争,不得已将用户的信息进行了公开。笔者呼吁国内的厂商戒骄戒躁,更加冷静的对待市场竞争,能够真正带给客户安全。 3、各类媒体约束自己的行为,共同维护网络安全很多IT类媒体为了获得更多的信息资源,盲目的刊登类似的信息,从客观上导致了用户信息的快速扩散。 笔者也呼吁在业界可以形成一个良好的氛围,这个氛围需要用户、厂商和广大媒体共同参与,行程业界的一个不成文的规范:大家都能认认真真做事,切实保障客户的网络安全!同时也希望相关网络安全主管部门能够出面进行规范,共同创造一个安全、洁净的网络空间。
|