如何消除软肋？浅谈桌面终端安全

chenyx

1. 您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
  还需要有上网行为管理，杜绝员工上班时间用网络干与工作无关的活动，减少企业互联网带宽占用，节约成本。

2. 您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
  很多企业都用的是免费的360的产品吧。有些电脑安装的各种管家一堆，多头管理，其实是最影响系统性能的。现在各类管家功能重合太多，最好限制一下，只用其中的某一款。

3.您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
  我觉得没有必要吧。一来用Linux的都是“专业”的人员，二来，这两种系统太小众了，不适合国情。

4.如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
  功能上体现一定的差异，收费版本提供某些高级功能，如果免费版本用的习惯了，很有可能会转换到收费版本

solohac

这一直是个难题，只要员工能上外网，用什么防护都无法100%保证数据安全（其实说80%都多了，各种类别的渗透，内部数据外传等）。
如果不让员工上外网，又影响到工作效率。。

action08

回复 2# jieforest

1、您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
对于企业来说，数字资产是很重要的内容。
要保护数字资产，必须采用多种手段。
禁止PC、笔记本的usb等外设的读写，所有的读写必须是经过审查的。
对打印机进行管控，所有的文档打印必须是有记录的。
控制网络访问，实现企业的内外网隔离，要访问外网，必须通过专门的计算机进行。
企业内所有员工的PC、笔记本必须安装监控软件，所有的操作都有日志记录，定期进行日志审计。
公司内部的各种Web网站、OA等实施权限分级，不同级别的权限有不同的访问内容。
公司内部的一切源码和文档都进行管控，严格控制流入流出。
实施阻断企业员工的操作违规行为，以警告的方式提醒，并报告给企业安全管理员。
对企业IT资产进行严格管理，防止通过IT资产的泄密。


这样是不是管理得太多了，反正有很多大公司都是要求装一个什么客户端，其实都算是一种间谍软件吧


企业内所有员工的PC、笔记本必须安装监控软件，所有的操作都有日志记录，定期进行日志审计。
这条我们上家公司貌似是抓包，然后分析审计的，这样不影响员工的电脑

action08

回复 2# jieforest

2、您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
我公司使用的是联软科技的UniAccess Agent工具，它可以对电脑的操作进行日志记录，尤其是对上网行为控制较严，对上网行为有详细的日志记录，其它方面就没怎么管控了。
UniAccess Agent工具安全性很高，一旦安装到操作系统上，要卸载它就非常困难了，必须向企业管理员申请，获取许可后分配许可号，通过许可号验证才能卸载。否则就必须格式化系统盘才能达到彻底清除的目标。
其实UniAccess的功能很强大，我们公司也就用它做了部分的管理，还有移动介质管理、非授权外连管理、即时通讯管理、软件分发、打印管理、文件操作行为管理、敏感字审计、补丁管理、远程协助等功能就没怎么使用。


所有的流氓行为，都应该受到抵制。。。强中自有强中手，一山更有一山高
    http://blu-ice.blog.sohu.com/165048952.html


作为企业，目前只有在内网抓包，是最没有异议的行为。

action08

回复 8# csoho2000


    36x还是不错的，可是数字公司偶尔也会倒事

action08

回复 14# bfmo


    现在还有几个人设置屏保密码的呀
所谓专家吃饱了撑着，没事找事的，你们也都信

jieforest

回复 23# action08


    用这招更好：http://blog.csdn.net/chszs/article/details/38708557

xdsnet

题外话：最近关于安全的帖子讨论有点多啊！

1、您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
首先强调一点，任何信息安全问题首要的是安全策略，其次才是技术实施。 所以如何帮助企业识别安全问题才是企业所必须的，其次才是针对识别出来的问题（风险）分析/采用 合理的方法（技术细节、可行方法）。
这里的终端安全风险识别，需要标识出企业中会用到哪些终端（现在用的，以后发展可能引入的），有针对性的建立其对应的安全策略（使用方法、数据分级......），并贯彻执行（就像美国高级政府官员对涉密内容的数据交接利用有整套体系，杜绝随意采用不安全的通道——前不久其某高官使用了私人电子邮箱可能造成泄密事件）。再此之后，具体实施阶段中对访问终端的安全防护包括物理隔离与技术防护等功能需求。
说实话，信息安全，分级后，数据访问分级防护、隔离才是王道，简单的想终端安全其实是一定的歧途，试想如果所有需要安全保护的数据都是随意的放置在某些终端中，还随意被带着到处走风险有多高啊！
现在银行系统基本上就是采用的专用终端、数据隔离的方式来达成信息安全的！

2、您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
现在很多终端安全、终端安全管理产品还是神吹比较多啊，甚至一些以往以 变态的 LM行为起家的企业还在做所谓的终端安全产品，其实多次分析都暴露了其自身违法收集数据的行为。而且现在有的终端安全相关产品甚至走LM营销模式，完全需要被排斥的。

3、您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？如果开发/维护这样的功能需要投入大量人力物力。
好的产品支持挂平台没有什么不可的，但还是要评估具体的需求，说实话单纯的产品仅仅是技术层面上对信息安全有一定作用（还需要制度等等的保证才有意义）的。

4、如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
收费版其实更强调服务，服务的重心可以是为企业真正建立其合适的信息安全策略和相关政策。

5、其它您感兴趣的，涉及终端安全、终端管理的话题。
信息安全策略中 信息安全风险识别

rickcafe

回复 6# action08


    多谢支持。

性能确实是个问题，功能越强，性能越弱。

隐私问题是个好建议，因为老板喜欢，而这类产品销售，是老板意志。

普通员工对终端管理软件的认识和使用确实还没提上来，可能是方便个人的功能特色不强吧。

对于收费版，定制化的人工服务或现场服务确实有意义。

王江玉

您认为除了防病毒、防木马之类的安全防护功能，还有哪些终端安全、管理功能是企业必需的？为什么？
U盘管理满足单位对外置移动设备或计算机硬件的管理要求，防止企业信息和技术等机密外泄，并设置专用的授权/保密U盘，既满足了特殊客户对U盘的使用需求，又保证了数据安全
杀毒软件管理：保证全网计算机都安装了杀毒软件，病毒能够及时查杀；并且保证同一时间统一杀毒。
在内网私自使用移动存储外设或非法外联，可能导致核心数据的流失；
计算机使用者的不正当行为，既严重降低工作效率又是引入病毒和恶意软件的主要原因。因此，急需切实有效的技术手段规范计算机的使用行为
随着网络规模的不断扩大，如果没有一个自动化程度很高的远程维护平台，而仅靠信息中心的网管人员跑来跑去的手工维护，是不可能适应业务的快速发展


您所了解的终端安全、终端管理产品有什么优劣之处？如功能、性能、可靠性、兼容性、服务、销售模式等各方面因素。
灵活的应用程序管理：设定计算机只允许做什么，或禁止做什么，方便地把通用PC塑造成工作专用机。既可以明显提高工作效率，同时也是最佳的防毒措施。
软/硬件资产管理：可以全自动汇总企业数以万计的计算机软/硬件资产信息，海量信息一表掌握，还可多条件组合查询资产情况，当硬件资产发生变更的时候，网管中心可立即接到报警，防止由于硬件丢失造成的经济损失和数据信息外泄

您认为桌面终端安全产品对于跨平台的支持，如对Linux、Mac OS平台的支持是否有必要？
有必要，优点有以下
补丁管理：操作系统安全补丁自动升级，下载、查漏、修复一步完成，不需要任何人工干预，大大提高操作系统的可靠性，做到安全补丁无遗漏。
批量网络配置：在规模大、分布广的局域网内，如果改动一个信息，就意味着大量的手工修改工作来更新客户机的信息。而利用批量网络配置功能，以前几个星期的工作现在几分钟就可以完成了

如果开发/维护这样的功能需要投入大量人力物力。 如果厂商推出的同一类的终端安全产品具有免费版和收费版两种版本，您认为两种产品的差异化应该体现什么方面？
字面差别就是一个字“钱”
免费版只开放部分功能，不包括免费的升级与维护，用户的数量也受到限制。
收费软件功能强大，软件研发团队强大，后续更新很快，按照人数、时间来收费，也可以买断。

其它您感兴趣的，涉及终端安全、终端管理的话题。
为毛我一个徽章也没有呢，给我先发一个吧