samovar

Хочу обсудить Обзор SecurIT Zserver

В этой теме 4 сообщения

Друзья, вами был написан и размещен на вашем сайте Обзор SecurIT Zserver

Интересный продукт, хорошо написан обзор. Но вот с выводами я позволил себе не согласиться и решил написать комментарий.

Отправлял его 4 раза, он ни разу не прошел модерация. Хотя как мне кажется там ничего криминального нет. И в итоге решил запостить здесь

И так... Вот мои замечания к выводам:

"В отличие от подавляющего большинства криптографических продуктов Zserver – исключительно серверная система."

На рынке РФ есть еще минимум 3 чисто серверных решения: Secret Disk Server NG, StrongDisk Server, Серверное решение от Атлансис

"Zserver "признает" только целые разделы жесткого диска, с файлами-контейнерами он не работает. И это полностью оправдано...."

Очень тяжело назвать это плюсом, скорее разработчикам лень добавлять функционал.

"возможность полного управления сервером шифрования удаленно"

Удаленное управление сервером реализованно во всех перечисленных мною выше решениях. Было бы очень любопытно посмотреть на серверные решения данной категории без возможности удаленного управления

"Для управления данной системой достаточно обладать навыками опытного пользователя ПК и основными познаниями в криптографии"

Это относится также ко всем перечисленным мною выше решениям

"Примечательно и то, что Zserver работает абсолютно прозрачно для рядовых сотрудников компании, которым не нужно производить никаких действий для получения доступа к информации."

Это относится также ко всем перечисленным мною выше решениям

"С точки зрения надежности защиты информации Zserver создает очень хорошее впечатление. Во-первых, пользователи могут применять самые современные криптографические алгоритмы, например, AES с длиной ключа шифрования 256 бит. Во-вторых, в Zserver реализовано надежное хранение ключей шифрование с системой двухфакторной аутентификации пользователей. Особенно приятно то, что смарт-карты со считывателем входят прямо в комплект поставки продукта. "

Тут можно поспорить насколько карта и ридер удобнее USB-ключа. Пора бы уже поставлять USB-ключи, это значительно удобнее

"А с другой – гарантировать отсутствие несовместимости аппаратных средств с Zserver"

А можно пример несовместимости?

"К недостаткам Zserver можно отнести отсутствие среди доступных алгоритмов шифрования встроенной реализации российского ГОСТа 28147-89. Впрочем, данный минус вряд ли можно считать серьезным. Дело в том, что ГОСТ 28147-89 в подавляющем большинстве случаев применяется тогда, когда в соответствие с законодательством необходимо сертифицированное решение. "

Действительно минус, в данном случае СЗИ должно быть сертифицированно хотя бы ФСТЭК

"А в этом случае все равно придется использовать продукцию "Криптон" или " КриптоПро" (сертифицированные криптопровайдеры), интеграция с которыми есть у Zserver. "

Ну а здесь было бы супер заключение о корректности встраивания криптографии ГОСТ

А оценка портала:"Наша субъективная оценка Zserver 10 из 10 баллов."

Думаю вы немного погорячились))

Вот собственно и комментарий, который модераторы так и не пропустили.

Очень хотелось увидеть мнение администрации!

Если я в своих замечаниях к вашим выводам заблуждаюсь, давайте подискутируем!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Где-то года полтора назад нас просили сделать сравнение Zserver, McAfee EE (бывший SafeBoot) и еще одного известного продукта. Такой функционал как централизованное управление, стойкие алгоритмы, шифрование секторов и контейнеров, двухфакторная аутентификация и т.д. должны являться неотъемлемой частью любого решения, претендующего на роль corporate data encryption. Различие в иностранных продуктах было незначительным и заключалось в механизмах восстановления, порталах самообслуживания и хелпдеска, поддержки биометрических вендоров и т.д. Не знаю как сейчас, а тогда в Zserver ничего похожего на это не было и продукт был несколько другого класса. Единственным минусом западных продуктов была несертифицированность и невозможность встраивания российского стандарта шифрования.

Думаю, что субъективная оценка все-таки зависит от того, кто тестируется. Возможно тот же McAfee или PGP получили бы меньше 10 баллов (например, за неподдержку украинского языка или некоторых сканеров сетчатки)), но к ним и требования совсем другие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"Zserver "признает" только целые разделы жесткого диска, с файлами-контейнерами он не работает. И это полностью оправдано...."

Очень тяжело назвать это плюсом, скорее разработчикам лень добавлять функционал.

Возможно. Но справедливости ради, приведите пример из жизни зачем нужны криптоконтейнеры на сервере? В чем удобство? На уровне рабочей станции - да, удобно, тут спора нет.

"В отличие от подавляющего большинства криптографических продуктов Zserver – исключительно серверная система."

На рынке РФ есть еще минимум 3 чисто серверных решения: Secret Disk Server NG, StrongDisk Server, Серверное решение от Атлансис

Согласитель, тут нет противоречий в этих фразах. Там не отрицается, что аналоги есть, но подчеркивается специальная направленность продукта ;)

"Для управления данной системой достаточно обладать навыками опытного пользователя ПК и основными познаниями в криптографии"

Это относится также ко всем перечисленным мною выше решениям

"Примечательно и то, что Zserver работает абсолютно прозрачно для рядовых сотрудников компании, которым не нужно производить никаких действий для получения доступа к информации."

Это относится также ко всем перечисленным мною выше решениям

Опять таки в обзоре не написано обратного, возможно, у конкурентов тоже все хорошо. Мы экспертизу их продуктов пока не делали и достоверно утверждать со своей стороны не можем.

"А в этом случае все равно придется использовать продукцию "Криптон" или " КриптоПро" (сертифицированные криптопровайдеры), интеграция с которыми есть у Zserver. "

Ну а здесь было бы супер заключение о корректности встраивания криптографии ГОСТ

Согласен, нужно попросить разработчиков рассказать детали.

Вот собственно и комментарий, который модераторы так и не пропустили.

Да просто не успели проверить еще из-за праздников ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"С точки зрения надежности защиты информации Zserver создает очень хорошее впечатление. Во-первых, пользователи могут применять самые современные криптографические алгоритмы, например, AES с длиной ключа шифрования 256 бит. Во-вторых, в Zserver реализовано надежное хранение ключей шифрование с системой двухфакторной аутентификации пользователей. Особенно приятно то, что смарт-карты со считывателем входят прямо в комплект поставки продукта. "

Тут можно поспорить насколько карта и ридер удобнее USB-ключа. Пора бы уже поставлять USB-ключи, это значительно удобнее

Это ваше мнение, согласитесь. Поставка карты - дополнительный сервис. Всего - навсего.

"К недостаткам Zserver можно отнести отсутствие среди доступных алгоритмов шифрования встроенной реализации российского ГОСТа 28147-89. Впрочем, данный минус вряд ли можно считать серьезным. Дело в том, что ГОСТ 28147-89 в подавляющем большинстве случаев применяется тогда, когда в соответствие с законодательством необходимо сертифицированное решение. "

Действительно минус, в данном случае СЗИ должно быть сертифицированно хотя бы ФСТЭК

С точки зрения международной практики указанный алгоритм на сегодня - не оттестированный публично. Вы говорите с точки зрения пользователя РФ, с точки зрения иных стран наличие AES является безусловным плюсом продукта. ГОСТ в Европе - непонятная аббревиатура - из личной практики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...