如何消除软肋？浅谈桌面终端安全

rickcafe

获奖详情：http://bbs.chinaunix.net/thread-4235349-1-1.html


话题背景：
桌面终端安全曾经一直是企业安全的薄弱环节，传统终端安全只注重简单的防病毒功能，功能少、效果差，作用有限；现在的企业越来越重视综合性的终端安全防护，终端安全提升到企业的整体安全、立体安全的高度，安全范围不再限于防病毒、防木马、防恶意代码和防黑客攻击，还包括了应用管控、外设管理、资产管理、软件管理、网络管理、文件审计、精细化策略管理等多方面；同时，还可以和云杀查平台、大数据分析平台联动，与多种企业安全产品联动，如下一代防火墙、上网行为管理系统等。

对于快速发展的终端安全市场，您有什么看法，请畅所欲言。

讨论问题：（以下问题可单选/多选）
1、        您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
2、        您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
3、        您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
4、        如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
5、        其它您感兴趣的，涉及终端安全、终端管理的话题。

活动时间：
2015年11月13日 —— 2015年12月13日

奖品设置：
活动结束后，我们将会选取4位讨论精彩的网友，各赠送一个360随身WIFI  8GB U盘版，选取一位观点最有特色的网友，赠送一付价值200多元的运动蓝牙耳机。

奖品简介：




高保真、智能运动、蓝牙后挂式耳机。M100 Talk专为运动达人设计，集成了运动管理，蓝牙通话，高品质音质，组队功能，语音对讲，竞赛模式，让你在奔跑中享受自由的畅快

更多介绍：
http://item.jd.com/1759287198.html?jd_pop=b30ee2cd-f485-4b9d-ac80-51a8d243f46c&abt=0


360随身WIFI 8GB U盘版



更多介绍：
https://detail.tmall.com/item.ht ... 5&scene=taobao_shop

jieforest

先坐个沙发。。。


1、您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
对于企业来说，数字资产是很重要的内容。
要保护数字资产，必须采用多种手段。
禁止PC、笔记本的usb等外设的读写，所有的读写必须是经过审查的。
对打印机进行管控，所有的文档打印必须是有记录的。
控制网络访问，实现企业的内外网隔离，要访问外网，必须通过专门的计算机进行。
企业内所有员工的PC、笔记本必须安装监控软件，所有的操作都有日志记录，定期进行日志审计。
公司内部的各种Web网站、OA等实施权限分级，不同级别的权限有不同的访问内容。
公司内部的一切源码和文档都进行管控，严格控制流入流出。
实施阻断企业员工的操作违规行为，以警告的方式提醒，并报告给企业安全管理员。
对企业IT资产进行严格管理，防止通过IT资产的泄密。

2、您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
我公司使用的是联软科技的UniAccess Agent工具，它可以对电脑的操作进行日志记录，尤其是对上网行为控制较严，对上网行为有详细的日志记录，其它方面就没怎么管控了。
UniAccess Agent工具安全性很高，一旦安装到操作系统上，要卸载它就非常困难了，必须向企业管理员申请，获取许可后分配许可号，通过许可号验证才能卸载。否则就必须格式化系统盘才能达到彻底清除的目标。
其实UniAccess的功能很强大，我们公司也就用它做了部分的管理，还有移动介质管理、非授权外连管理、即时通讯管理、软件分发、打印管理、文件操作行为管理、敏感字审计、补丁管理、远程协助等功能就没怎么使用。

3、您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
有一定的必要性，毕竟企业的需求是多样化的，如果不支持Linux和MacOS，意味着可能会失去一些商机，失去部分用户，失去部分市场。
比如我公司，为了搞iOS开发，组建了相应的研发团队，采购MacBook Pro和iMac一体机共计一百多台，这些采购的设备就需要管控，没有管控，企业也会觉得没有达到统一管理的目标。

4、如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
免费版和收费版常见的情况是：免费版功能受限，只有部分功能可用，也即功能是被阉割的。而收费版功能强大，基本上是面面俱到。
还有一些免费版和收费版的区别在于：免费版支持有限的管理/控制人数或台数，收费版则无限制。这种情况常见的是具有网络功能的软件。

5、其它您感兴趣的，涉及终端安全、终端管理的话题。
管控数字资产的目的是为了保障企业的资产不被流失，如果既能管理和保障好这些资产，还不引起员工的反感，不影响员工的研发效率，这是一个值得研究的课题。

demilich

1、您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
防病毒木马外，还需要防止企业内部的安全问题：
    * 比如，禁止员工访问某些网站，禁止员工使用某些互联网软件：QQ/SKYPE最常见，顺便把webqq的网页也给禁掉 ...
    * 禁止员工访问内部的一些资源，那么可能就给每个员工一个权限分级，这样就能进行安全的访问控制了
    * 除此之外，还可以进行的就是审计日志，员工使用计算机做了什么这些，可以通过日志来查询
    * 再有监控员工终端装了哪些软件，乃至于不提供管理员权限，只提供一个允许安装软件的白名单，从而极大的改善病毒/木马/版权的问题。但是考虑到码农的需求，这个部分，对于开发人员一般来说，除了是限制还是限制 ..
    * 远程控制也是需要的
    * 还有就是硬盘加密，这东西说实话其实害人的次数还是比较多的，尤其对于很多基层员工来说，本身工作其实不涉密，那么搞了这么个硬盘加密问题，大多数时候坑自己比较多

2、您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
我接触过的也就是赛门铁克，以及Hp的一套安全管理维护产品，个人感觉就是一旦加上这些安全软件，原先性能很好的系统，也会比较缓慢。
自己个人电脑接触过的自然是360的那套东西。实话说，对于不太了解计算机的人或者就拿计算机看看网页，玩玩游戏的人，用用360其实挺省事 ...

3、您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
企业平台主要还是windows为主，Linux/Mac OS主要还是开发人员或者服务器使用，最多可以为Linux/Mac OS提供基础的病毒和木马防护，更多的支持其实并不必要。比较有趣的是，本司居然使用了Mac OS的安全管理，限制通过AppStore安装软件，不可以使用QQ ...

4、如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
差异应该体现在功能和服务上：
    * 免费版，希望能够提供的仅仅是防病毒和木马，还有修改注册表，安装软件之类的提醒。多一点可以提供一些简单的补丁升级，或者进行一些简单的优化就可以了
    * 收费版本，应该是企业级的服务，能够提供多样的，可靠的功能，甚至提供部分可定制化的功能，来给企业以选择。

5、其它您感兴趣的，涉及终端安全、终端管理的话题。
安全类的软件，一定是一个权限极高的软件。有点像国家的反贪部门，话说如何防止反贪部门自己走歪门邪道，其实是很重要的一个问题。同样对于安全类软件自身的安全，似乎是一个从逻辑上无法完全解决的递归问题。期待有高手能给解惑。

rickcafe

回复 2# jieforest

欢迎大家参加讨论。


   

rickcafe

回复 3# demilich


    欢迎，各种观点都欢迎提出。

action08

讨论问题：（以下问题可单选/多选）
1、        您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
对企业而言，需要更多更强的隐私监控功能。毕竟企业为了内审，有些管理哪怕是出于形式还是必要的，
这就好比商场没有丢东西没有发现小偷，可是还是需要装监控设备的道理一样。


2、        您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
一般的说，从基础作业系统的层面来看，如果装了功能太强大的防护监控软件，系统基本都会变卡的。
今天一位客户的电脑上，有qq管家，又有金山杀毒，又有金山卫士，其实功能都差不多。我帮忙卸载掉金山软件，系统明显流畅多了。
终端产品选择方面，不要一下子整太多，性能真是问题，太卡了影响正常使用。


3、        您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
目前这些支持还是要看公司的研发实力，因为mac现在有钱人多，linux技术屌丝相对也多。看是否有必要做投入以保持利益兼顾吧
小公司可以现在在原有平台上慢慢累积经验，等实力足够了再做跨平台也不迟。


4、        如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
收费版本应该有更好更优质的人工服务，甚至能额外提供有限度的附加需求。特别是安全问题，是否有必要提供针对的有限的逆向技术分析报告
免费版的，隐私问题似乎就算了，360貌似就是这么做的
免费的都是大数据机器程序服务，付费的当然是人工服务了。。。因为现在社会人工成本很高，付费是直接津贴


5、        其它您感兴趣的，涉及终端安全、终端管理的话题。
挺不喜欢终端管理，终端安全方面的技术，一般的说只要做好网络监控就可以了，在终端装什么插件，什么app，都会把系统搞得一团糟，最后卡死的

woshiyiziyu

1、        您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
还需要上网行为管理，员工上班的时候聊QQ，玩游戏浪费工作时间，看视频浪费公司的带宽，还有现在商业竞争太厉害，黑客无孔不入。有了上网行为管理，这2个问题能够比较好的解决。


2、        您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
接触过深信服的上网行为管理，功能还是比较强大的，可靠性不行，会造成核心交换机cpu100%，还有就是深信服的上网日志太大的话就导不出来。
另外还有就是赛门铁克的上网行为管理，上网行为管理功能和深信服类似，可靠性比较好，没有上述问题。

3、        您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
个人感觉没有必要，在企业里还是windows的天下。Linux一般用在服务器上面，很少有企业用在办公电脑上吧。

4、        如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
免费版的功能相对而言会少一些，没有工程师技术支持。


5、        其它您感兴趣的，涉及终端安全、终端管理的话题。
免费杀毒软件不能搜集用户信息，搜集用户用了哪些软件用了多长时间，更不应该把这些数据出售给软件厂商。

csoho2000

1、您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
   
  设备管理控制，有的需要禁止使用U盘；软件管理（貌似一般安全软件里都有）；设备信息统计（用于资产统计，貌似一般安全软件里也有）
  
2、您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。

   目前公司使用了36X企业版(有打广告嫌疑 )，好处集中管理，方便、实用，但使用中会有各种问题，不知道是不是因为桌面设备多而杂的原因
    或叫兼容性问题吧，其他还好。

3、您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。

  就之前及现在工作环境来看，windows占据大部分桌面操作系统，没有必要为了开发而开发，要结合当前情况，不必支持Linux、Mac OS平台。

4、如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？

  差异体现在功能的多少，免费版基本功能，收费版多种功能。是骡子是马拉出来遛遛，好或坏谁用谁知道，用户在免费版觉得体验较好的话，对
收费版的兴趣应该会比较大。

lsstarboy

我认为现在企业的安全防护，重点不是在防病毒、防木马，而是防杀毒软件、防输入法、防某些常驻系统并且超越自已权限事情的流氓软件，这些软件是泄密最根本的东东。作为企业，必须有个审核机制，不能让普通用户来随意安装软件。
比如Android，某些视频、音乐、旅游、购物软件竟然要求读写通讯录、读写短信，这些app本身就不厚道；
还比如PC上某些聊天软件成天闲着没活扫描磁盘文件，不知道居心何在？某些下载软件、杀毒软件就更不用说了。还有某某输入法，竟然还强制装了浏览器的插件，这种严重超出本质工作的软件，不可谓不流氓，也不可不防。
还有著名的以0结束的什么卫士、什么安全浏览器，严重拖慢系统不说，天天弄的网卡不闲着，这种东西不防一防，也很难说不出内鬼。
大一点的企业，或者说有隐私的企业，都必须有一套软件的审核机制，或者干脆有像学校机房那种还原系统，只让特定的软件完成特定的工作。

wq4113

收藏一下...