您的位置: 首页  >  文章  >  终端安全管理之殇:安全管控能力与用户体验

终端安全管理之殇:安全管控能力与用户体验

分类: 文章 2025-04-26 08:25:40

在过去很长一段时间,信息安全就等于终端安全,这个领域受重视较早,有着比较完整和成熟的终端安全产品。

企业终端安全产品

终端安全产品这么多,企业终端安全产品都是怎么部署的呢?

在大厂的童鞋说,除反病毒外,我们是定制的,结合自己的软件实现办公自动化和安全管控。

做安服的朋友说,虽然我们也有很多终端产品,但电脑是我们自己的,上面就只有一款v*n。
而在大多数企业的安全小伙伴,可能会是这样的境况,前几年上了反病毒,然后又上了准入和桌管,好不容易领导批了一笔DLP预算,于是,就会变成这样,准入是一款,桌管是一款,反病毒是一款,DLP又是一款产品。
试想一下,准入做上网认证,桌管做IT运维,杀软用于防病毒,DLP做数据防泄漏,一个个产品叠加上去,产品功能是挺强大的,但用户体验越来越差。每台用户终端安装四款产品,主进程,监控进程,扫描进程一大堆,功能交错重叠,每一个产品都在损耗你的电脑性能。公司配置的电脑,本来还刚够用,一来就上了4款安全管控软件,感觉配置完全不够用。
如果把用户终端作为一个生态,硬件资源是性能瓶颈,借助安全产品实现强大的安全管控能力洋洋得意的时候,随着而至的是终端性能损耗和用户遏不可制的怒火。

IT服务工程师繁忙的一天

分享一个IT运维工程师的工作记录。

早上,刚来到公司坐到工位上,来了一批新购置的笔记本,通过统一制定的操作系统镜像文件进行引导,批量部署操作系统,整个过程完全自动完成,尽量减少因人为操作带来的配置更改和安全风险。然后将安装标准化操作系统的交付给最终用户,用户使用分配的账号进行登录和上网准入认证。

下午,有一个声音很好听的小姐姐,打电话说她的电脑有点问题,通过桌管远程接管用户终端,发现CPU内存占用异常,检查终端防病毒软件并更新病毒库,帮助用户扫描查毒,解决终端异常。

常见的终端安全管理软件有准入,桌管、防病毒、DLP等,经过一段时间的磨合,产品趋于稳定,早已和平常的IT运维工作牢牢地结合在一起,提高终端运维效率。

一个产品的bug

某个技术leader拿到一台超薄笔记本,一开机风扇嗡嗡响,键盘也开始发烫,资源占用排名前三的进程都是终端管理软件,一下子就找上门了。

处理:进程分析发现异常,卸载入网小助手后恢复。

原因:Devcon64.exe 是准入客户端用来获取U盘相关信息的检测进程,但由于未知原因,小助手频繁调用Devcon64.exe 进程去检测U盘信息。

一个产品bug,联动相关安全产品扫描检测,占用了大量电脑CPU内存资源。终端安全管理之殇:安全管控能力与用户体验终端安全管理之殇:安全管控能力与用户体验当一个产品BUG遇到关键VIP用户,其中的化学作用不言而喻。

而我们能做的就是,优化产品策略,比如关闭不必要的功能,调整产品策略。但还是不足以解决问题,究其根本原因在于产品方向的选择,我们选择了一种最笨重的方式,通过产品功能叠加,赋予终端强大的安全管控的能力。这些产品多是以工具的形式运用,你所下发的每一条策略,影响的将是数千台用户终端。

终端轻管控

我想,很多企业都将面临这样的困境,一个产品一个产品的上,最后面临这样的困境,通过产品堆叠获得强大的终端管控能力,而牺牲了用户体验。

考虑集成吧?自研能力不行,换一个集成产品吧,一个烂,全烂。不管是用户还是运维,又是一个重新适应的过程,同样存在风险。

作为一个安全工程师,我需要一些工具去解决复杂的终端安全问题;但作为一个普通的用户,装了这么多终端安全管理软件,是真的有点难受。

在网络层,通过安全设备产品堆叠提高安全防护能力,它对用户是无感的,但在终端,需要考虑用户体验。这些终端安全管理产品是用来解决终端安全问题的,而不是用来消磨用户的耐性。

当产品越来越复杂,笨重,难用的时候企业开始意识到用户体验是一个重要的竞争优势。

在用户体验至上的今天,轻管控,减轻各种用户限制,使用户拥有更好的终端体验,这才是王道。终端安全管理之殇:安全管控能力与用户体验

相关推荐