首页 天气预报 新闻 邮箱 搜索 短信 聊天
新浪首页 > 科技时代 > 软件 > 正文

谁来为用户的安全负责--谈客户信息保密

http://www.sina.com.cn 2002年12月10日 15:41 新浪科技

  用户在考虑自身网络安全的时候,往往会花费大量的时间、精力、物力在以下几个方面:网络安全解决方案本身的成熟度、适应性;安全产品的可靠性、流行性以及产品的选型、测试;安全集成商的资质、售后服务能力等等方面。

  勿庸置疑,这些方面,是用户保障自己网络安全非常重要的也是必需的方面,但是,单纯有了比较好的、业界流行的安全产品并不能保障其本身的网络安全,正像一句俗话说的
:三份产品,七分管理。用户本身的严格的组织、体系保证和切实可行的安全管理制度是更为重要的方面。

  那么,安全产品的厂商和安全集成商在销售行为完成后(产品已经销售给用户后)是否对于用户仍然有提供安全保障的责任和义务?这一点我想很多用户都会有一个肯定的答案:应该。

  是的,安全产品的厂商对于产品销售行为完成后仍然有为用户提供产品的软、硬件产品的售后、保修、升级的责任和义务,当然具体的承诺要看厂商与用户签署的合同条款,这里笔者就不再赘述。

  今天我们讨论的是厂商应该承担的对用户另外一个责任:安全产品用户保密责任。

  一、一种奇怪的现状

  不知大家有没有这样的经历,我们经常可以在公开的媒体上看到:XXX防火墙中标XX市政府;XXX安全产品捍卫中国XX银行……

  这类公开的媒体包括IT类的网站、安全产品厂商的网站、厂商公开发表的各种传播媒体、IT类专业报刊和杂志等。

  某些国内防火墙厂商,在网站显著位置详细的列举了最终用户的名单,其中既有对安全有严格要求的国家级金融机构的网络,也有保密程度极高的国家部委、政府机构的名单,在该网站上,不但有用户的名称,甚至还有用户相关信息的描述,包括节点的个数,产品型号、数量,产品实施的时间等等。更有甚者,笔者在某知名国外防火墙产品国内总代理的网站上,看到了包括电信、政府、金融、企业等各个行业不下80家的用户名单,而且在网站上还有一些行业用户的详细拓扑和介绍。

  二、这种行为给用户带来的危害

  笔者曾经于2000年与国际知名的网络安全专家-美国宾州大学(PENN STATE Great Valley)的Eugene Kozik博士进行交流,特意就这个问题请教了他,他的回答是:国外对这方面非常重视,基本上除了防病毒产品,一般是禁止安全产品厂商对外公开用户名单的;同样,国外的用户对这方面也有比较苛刻的要求:在未征得用户书面同意的情况下是绝对不允许公开用户信息的。

  这与笔者考察的一些国外网站相吻合,笔者同时也考察了国外几家著名的安全厂商的站点,包括CA、NAI、Symantec、RSA等等,均找不到任何一个用户的名字和信息。

  那么,对外公布用户名单和信息,会给用户造成什么危害呢?

  总体说来,这种行为使黑客的"社会工程"攻击更易得手!

  大家都知道,一些高明的黑客经常利用一种攻击手段,这种手段利用一切机会,获得用户的信息,包括网络拓扑、安全产品型号、操作系统、数据库版本等,然后利用这些信息再进一步的采取相应的策略进入目标系统。其中大家熟悉的世界超级黑客凯文·米特尼克就经常利用这种手段进行攻击美国国防、国家安全机构和国际知名的IT企业。

  安全厂商在媒体和网站上公开用户的信息后,黑客可以轻而易举的知道用户使用了什么安全产品,部署在什么位置;对于更高级的黑客,这些信息可以使他们掌握足够的信息了解用户网络,同时,任何安全产品都会有一些弱点、缺陷,在没有新的补丁出来的时候,这些缺陷都可以导致致命的攻击!这些高级的黑客,可以不费吹灰之力,利用安全产品存在的漏洞对用户的网络实施攻击。

  任何的安全产品都不能保证永远不被攻破,但是客户需要的是在黑客攻破这些安全产品之前发现这些攻击行为,并采取相应的补救措施,比如追踪黑客攻击的发起点、记录黑客行为等。从这个意义上讲,对外界保密程度越高的网络,黑客攻击起来的难度就越大。一个对外部保密性非常好的网络,黑客可能需要花费几天的时间找到防火墙,并发现是什么品牌的产品,再来研究这个品牌的防火墙有什么弱点和漏洞,但是这期间,用户很可能已经发现了黑客的攻击企图(厂商也可能在这段时间更新了产品);但是如果黑客从厂商的站点上就可以轻易的得到信息,发现某个他想攻击的用户使用了这种安全产品,那么黑客可以在模拟环境下轻松的"工作",找到这种安全产品的弱点,再放置在实际环境中轻易的实施,大大减少攻击的实际时间,也对用户发现这种攻击行为增大了难度。

  三、产生这种现象的原因和本质笔者对于国内普遍的这种现象进行了分析,感觉这种现象的产生,大致有以下两方面的原因:

  1、国内网络安全产品市场激烈的竞争

  随着中国进入WTO,IT领域的竞争日趋激烈,国内安全产品市场的竞争也达到白热化程度。很多厂商为了能够尽快的扩大销售,采用了各种手段,而忽视了用户的隐私和安全,导致目前绝大多数国内安全厂商都会将自己的用户放置在网站相关位置。

  2、厂商和用户的无知

  这种现象一方面也是由于厂商和用户对于保密条款的忽视和对于保密要求的忽视造成的。

  用户方面,合同签署,实施完毕后项目就基本结束了,从而没有人进行安全的总体评价和综合评估,导致没有人关心是否有信息泄漏的情况发生;厂商方面,一旦合同签订(个别厂商在合同没有签订,产品还在试用阶段)就迫不及待的在相关媒体和自己的网站上显著的位置提供相关说明,将用户的信息详细的进行描述,殊不知,这种做法极大的危害了客户的安全。

  这种现象的本质是对用户的极大不负责,会给用户带来巨大的安全风险。

  四、如何防止类似的情况发生

  看到这种行为的危害后,我们如何防止和杜绝类似的情况发生呢?笔者认为应该从以下几个方面入手,才会有明显的效果:

  1、提高用户的安全意识和自我保护意识这种行为最直接的受害者是用户自己,因此,用户要迅速提高安全意识和自我保护意识,最为有效的作法是:在购买安全产品的同时,在产品购销合同中明确保密条款,即要求厂商在没有征得用户方书面同意的情况下,不允许在任何场合、以任何形式透露用户的信息。这种手段是最为直接和有效的。

  2、国内的安全产品厂商少一些炒作,多一份冷静很多厂商明知这种行为会损害客户的利益,但是迫于激烈的市场竞争,不得已将用户的信息进行了公开。笔者呼吁国内的厂商戒骄戒躁,更加冷静的对待市场竞争,能够真正带给客户安全。

  3、各类媒体约束自己的行为,共同维护网络安全很多IT类媒体为了获得更多的信息资源,盲目的刊登类似的信息,从客观上导致了用户信息的快速扩散。

  笔者也呼吁在业界可以形成一个良好的氛围,这个氛围需要用户、厂商和广大媒体共同参与,行程业界的一个不成文的规范:大家都能认认真真做事,切实保障客户的网络安全!同时也希望相关网络安全主管部门能够出面进行规范,共同创造一个安全、洁净的网络空间。


评论】【应用软件】【推荐】【 】【打印】【关闭

  免费试用新浪15M任你邮 获数码相机、手机大奖
  投票华语榜中榜,与众巨星欢聚得大奖

新 闻 查 询
关键词一
关键词二


  新浪精彩短信


独家推出语音祝福!
疯狂铃声 鸟叫铃声
图片铃声包月5元!
[F4] 烟火的季节
[黄品源] 简单情歌
[光 良] 握你的手
[和弦] 老公接电话
更多精彩铃声>>









图片专题:流氓兔!
诺基亚   西门子
摩托罗拉 三星
阿尔卡特 松下
爱立信   三菱
更多精彩图片>>




新浪商城推荐
投影商城全面打折
  • sony电动投影
  • 超便携、明亮投影
  • igo5美味购物体验
  • 流氓兔交响曲和追捕
  • 洋话连篇疯狂5折!
  •   数码科技时尚
  • 300万像素DC降价啦
  • 网络MD又出新型号
     (以上推荐一周有效)
  • 更多精品特卖>>

     发表评论:  匿名发表  笔名:   密码:
    铃声 图片 订阅 言语传情 游戏 职业特工队 爱情快递
    · 独家语音祝福 为节日添精彩!
    · 专家呵护你的健康 三九健康短信
    · 手机铃声:鸟啼铃语 疯狂铃声
    · 两性学堂 和爱人共享激情时刻!
    · channelV华语榜中榜中 投票中大奖
    · 百变铃声千变酷图 每月5元轻松拥有
    · 参加短信宝贝投票,赢取海南5日游
    · 搞笑地带--最酷辣的每日传情!
    头条新闻
    (30元/月)
    体育新闻
    (0.2元/条)
    搞笑地带
    (0.5元/条)
    非常笑话
    (0.5元/条)
    两性学堂
    (0.5元/条)
    美丽短信
    (0.3元/条)
    你的手机: 手机密码:   > 快速获取密码
    自写短信 越洋短信 精彩专题:短信宝贝可爱秀 诱惑的青春 生日祝福 韩国PUCCA卡通
      你想让你的爱情开花结果吗?短信宝贝,让你们体验爱情的甜蜜,儿女的可爱,家庭的温馨。发送0到888808,即可注册  




    科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 产品答疑

    Copyright © 1996 - 2002 SINA Inc. All Rights Reserved

    版权所有 新浪网