企业终端安全管理

继今年3月28日，阿里云、IEEE（电气电子工程师学会）中国、阿里研究院在云栖大会·深圳峰会上发布《中国云信任报告》，通过对16个行业，近1300位中国IT、运维、安全负责人的调研，反映出中国中小企业上云难等问题之后，安在也将目光聚焦于此。

上周，安在挑选了100余家中小企业和机构，对相关IT部门的负责人进行了问卷调研，行业涉及学校、协会、医疗、零售、电商、传媒、能源以及高新产业，主要就IT管理中常见的问题和痛点进行了调查。

最终，通过对不同行业IT管理中遇见的问题进行归类和汇总，我们大致可以将中小企业IT管理中的常见痛点作如下归类。

从企业经营者的角度出发，IT管理中的诉求主要集中在软件管理和上网行为管控；对于IT管理者而言，资产管理、软件推送和远程协助则是他们在日常工作中最常遇见的问题；站在企业整体的安全管理来看，杀毒和移动介质管控则成为了亟需解决的痛点。

其中，软件管理方面主要体现在对员工安装软件的统一监管；资产管理更多是缺乏对终端硬件的发现和管控；管理员希望能够通过工具箱这类功能来实现软件推送的目的；杀毒软件的集成和推送则是安全管理中对病毒防护的诉求，移动介质管控主要集中于U盘管理和随身WiFi禁用两个方面。

而从技术角度出发，我们也可以将这些实际痛点归类为一下三个方面：

终端管理，包括终端统一管理、软件统一管理、U盘管理和随身WiFi的禁用。病毒防护，集中于杀毒软件的集成与推送。内控管理，更多表现在上网行为管理、终端自动发现、工具箱、远程协助这几个主要领域。

针对调研里用户所提到的上述IT工作中最常遇见的具体问题，我们对其作了具体详细的说明。

终端管理

终端统一管理：主要存在于两个方面，一是公司人员和设备较多，部门和组别划分详细，如果无法统一管理，工作过程中会十分繁琐且工作量大；二是部分行业在各地有分公司或办事点，传统的内网企业软件只能在内部部署服务器，管理内网终端，无法满足应用场景。

软件统一管理：主要集中在员工私自下载一些与工作无关的软件，包含游戏、影音之类的娱乐软件，当然其中不乏会捆绑流氓软件甚至病毒，会降低设备的运行速度，影响工作效率，严重时病毒导致局部甚至整体设备的瘫痪，造成巨大的损失。

U盘管理：这也是IT管理工作中的一大重要痛点，一是员工在使用个人U盘的时候，出现过夹带病毒导致设备严重中毒瘫痪的情况；二是企业通常会担心员工私自将公司内部的文件和资料拷贝带走，可能出现意外性地泄露和丢失，甚至主动性的转手与出卖。

随身WiFi禁用：一类是部分企业没有给员工配备无线路游戏，提供无线上网功能，主要目的是为了保证员工在工作时间内的高效率工作；另一类是管理员在工作时间段限制了员工对于网络的访问，这两种情况下员工会通过随身WiFi工具，来让自己在移动端得到网络的使用。

病毒防护

杀毒软件统一：对于设备较多的企业，很难做到对每一个设备挨个地进行杀毒软件的安装，所以通常会要求员工自行下载。由于市面上杀毒软件良莠不齐，并且可能存在捆绑流氓软件和病毒的隐患，所以如何给每一台设备安装IT管理员审核和选型后的最优杀毒产品，是不少企业十分头疼的问题。

内控管理

上网行为管控：就企业而言，部分员工会在上班时间浏览与工作无关的网站，包含游戏、购物、影音等等，如果产生了比较大的流量，就会占用大量的网络宽带，会影响整个公司网络的运行；站在学校的角度来看，有部分学生会在计算机课程时玩一些简单的网页游戏，但依靠人为巡视也无法得到有效解决。

终端自动发现：主要出现在设备和硬件资产较多的企业，硬件资产管理本身就是一件有难度的事情，同时其他IT资产的统计和分类也不够便捷。

远程管控功能：主要出现于企业部门间较为分散，一旦出现一些即便是很小的问题，IT管理员也需要亲自往返操作，效率低下且劳时伤神；也有部分场景则是IT管理员在外地出差或是休假，公司设备出现问题需要管理员临时返回的情况。

工具箱功能：这个问题提出的不多，但也值得关注。主要是员工往往并不具备相关的IT知识，所以只能依靠IT管理员来进行问题的处理，一些很小的问题需要管理员频繁地交付工具来进行解决，加重了IT管理员的工作量。

从调研的整体情况来看，中小企业在IT管理中最常见的就是诉求就是需要“看得见”、“管得住”、“救得了”。

那么针对上述IT管理工作中常见的痛点，启明星辰创新业务组群CTO、云子可信云安全平台负责人黄粤，给出了一定的解决思路和方案。

解决思路和方案

首先就终端统一管理方面，黄粤认为，可以通过SaaS类产品，分布式集中管理，同时产品功能中可以对终端进行归类和分组，这样就可以有效解决因设备终端不集中、数量大而导致的终端管理上的问题。

其次，对于员工大量安装与工作无关，或是夹带流氓及病毒的软件，黄粤建议，可以在后台对每台设备上的软件进行分类，凡是与工作无关的软件，可以在工作时间段内禁用，一旦检测发现到对设备有威胁的流氓软件，可以立即卸载。

U盘滥用问题上，最根本的解决办法也是通过软件对每台设备做到私人U盘的完全禁用，杜绝病毒传播的途径，极大程度上防止泄密事件的发生。

对于随身WiFi管理的管理，可以通过涵盖种类比较全面的软件，只需一键开启，便可以对市面上主流的随身WiFi做到禁用。

在杀毒软件的集成和推送上，黄粤则表示，一般情况下企业都需要部署第三方杀毒产品，如果IT管理员在选型测试后有符合要求的目标，则可以通过杀毒软件推送，来帮助员工做到安全和统一的安装。

针对上网行为方面的问题，黄粤建议企业不要直接对网络访问进行限制或是禁用，可以通过软件在后台对想要禁止访问的网址进行管理，而且可以根据不同部门的使用需求有区别地进行限制：比如部分企业的市场和采购部需要经常访问购物网站，那么就可以在保证该部门正常使用的前提下，对其他员工的上网行为做到有效的管理。

在终端自动发现的问题上，黄粤认为最好能做到主动上报，将每一台设备的硬件信息（内存、主板、品牌等信息）和使用人进行展示和备注，同时做到 IT 资产自动发现，将上报上来的资产自动分类：办公设备类、媒体设备类等等，能够有效帮助IT管理员做好资产统计工作。

而至于IT管理员所说的，通常需要来回折腾或是影响出行计划来亲自解决某些设备上发生的问题，则可以通过远程协助的功能，在第一时间对问题和故障进行评估，如果问题不大，则可以直接通过远程协助来解决，当实在遇见复杂的情况，管理员再亲自出马也不迟。

同时远程协助可以帮助IT管理员在下班后，通过个人电脑对公司的设备做定期的清理，以保证设备状态的良好和正常的运行。

最后，就部分反馈中所提到的工具箱问题，黄粤认为IT管理的产品也可以开发工具箱功能，管理员能够直接将员工经常需要使用到的软件和工具在其中上传，并添加功能的具体描述，员工可以根据自己的需求直接从工具箱里选取，这样就可以非常便捷地解决这一问题。

除了上述IT管理中常见的几个痛点以外，我们在调研中也发现了另外两个讨论较多的问题。

一个是IT管理类产品选择困难，这个问题主要表现在：部分数据和信息较多的企业，有上云诉求，但是云服务器搭建成本高、运维成本高的特点，让很多企业望而却步。同时，一款产品又很难涵盖解决IT管理中所有的问题，功能不全。最后中小企业对IT管理上的预算有限，很难在有限的预算里挑选既能够满足上云又能够具备完善功能的产品。

针对这一问题，黄粤表示，以目前云子可信的产品特性而言，因为是SaaS产品，基于SaaS搭建快、成本低、无需专业IT维护的特点，可以满足当前大部分中小企业对于上云的诉求。

至于产品功能方面，云子可信已经具备解决上述IT管理中常见问题的能力，并且始终保持更新，不断完善产品的功能。

另外一个问题则对于产品更新和售后的担忧，这也道出了很多IT管理员的心声。

他们表示，很多品牌名声较响的IT管理类产品，通常在更新和售后部分做的并不到位，往往对于用户的建议和诉求很难做到听取和采纳，对于缺少的功能更新缓慢甚至停更，让IT管理员苦不堪言。

对于这种情况，黄粤坦言，目前确有部分IT管理类产品会存在这样的情况，但基本对用户的建议和反馈还都比较听从与采纳。

而就云子可信自身来说，云子可信认为用户对于整个产品来说是最重要的，用户才是真正使用产品的人。云子可信会迅速响应用户的意见，在用户群里经常新地进行互动和交流，同时采用业内较为先进的scrum 敏捷的软件工程方法，改善开发流程，保证一周一次的更新进度，并且不定期hotfix，努力交付出让用户满意的产品。

总而言之，云子可信并不是一个纯粹追求功能广泛、大而全的产品，而是针对IT管理中每一个类别下用户最可能遇见的问题以及最愿意使用的功能上，做到最好。

了解更多请戳云子可信官网：https://cloudtrust/home

在RSA2017安全大会上，RSA首席技术官(Zulfikar Ramzan)演讲时曾说过“任何雄心勃勃的企业都是把商业和安全结合起来的合资企业”，信息安全问题是企业发展必须重视的一环。

伴随移动化办公趋势的加强，企业能够及时有效的捕获信息传递资讯，让员工的碎片化时间有效利用，提升工作效率。但在获得诸多优势的同时，企业信息安全受到了更严峻的考验：身份认证管理、移动设备管理、移动应用管理、移动内容管理等等。企业如何行之有效的进行管理，让企业关键数据得到有效保障，成为了IT部门迫在眉睫需要解决的问题。今天，小编为大家带来了这样一套解决方案，供广大企业参考。

AppIron集终端设备管理、移动身份管理、移动应用管理、移动数据内容安全、移动运维管理于一身，是一款面向大中型企业的综合信息化安全管理运维平台。AppIron以保护企业数字资产为首要任务，不仅能够协助企业完成日常的移动化管理，还为企业提供多种专属的移动安全服务，以及完整的移动化安全运维管理系统，解决了企业移动互联网转型过程中的基础安全和管理问题，协助企业打造高效、安全的移动化管理专属平台，进一步提升企业IT运维和管控的能力。

统一的平台接入

相较传统的移动企业管理方案，通过不同设备访问企业内网时会配备有单独的移动应用，无论是手机、平板访问时都会存在多个移动应用登录，登录端口的不统一会造成管理维护更复杂，同时也会存在更多的安全隐患。AppIron提供有统一的平台接入，具备全面的系统兼容性，支持Android和IOS系统。用户通过移动设备登录AppIron应用平台，即可实现一次性登录，即可快速访问企业不同内网的业务系统，查询相关资料，提升工作效率。

全方位安全防护

现今网络现象繁杂，非法身份入侵、用户信息窃听、恶意邮件挟持等安全隐患比比皆是，时刻威胁着企业数据信息安全，特别是移动网络的迅速发展，企业用户通过移动终端获取的企业数据越来越多，移动化的安全成为企业安全管理的重点。AppIron专注企业移动化安全管理，解决企业移动化进程中从用户身份、移动设备、数据传输、数据存储、安全阅读等方面全面守护企业安全。

移动身份认证

AppIron采用多种方式对终端设备用户进行身份核准，支持身份、密码、复杂手势密码、短信动态口令、设备ID等多种方式身份认证，同时支持对接企业的LDAP/AD域认证，确保移动用户身份信息准确，避免非法用户侵入企业网络;针对企业应用，采用统一的移动SSO登录，方便用户操作还能有效降低泄露风险;通过系统认证过的移动设备，可以实现通过扫描PC端二维码，快速登录企业业务系统，省去记忆繁琐密码的困扰。

端到端的移动安全管理

移动终端：AppIron提供多种用户身份认证，对各种接入设备进行相应的安全检测，避免因BYOD设备的越狱、ROOT、中毒等原因造成的安全风险。对于BYOD设备，AppIron在终端设置安全沙箱，将企业数据和个人数据进行分离，企业数据在沙箱进行安全加密存储，防止企业数据在终端泄露或被恶意获取。

数据传输端：数据传输的安全隐患主要来源于网络中各种不正当的窃听、窃取、篡改等手段，为了避免网络层面的数据攻击，AppIron对企业数据进行独特的加密封装，使得数据在传输中自带一层安全保护; AppIron针对企业数据传输开发了专用的企业应用隧道AppTunnel，基于应用层的安全传输通道，专业的隧道加密有效规避了数据传输的安全隐患，支持TCP(http/https/socket)与UDP流量，可以实现数据的高并发和快速转发;同时，数据传输还支持传统的VPN通道，企业可以制定移动应用走相应的VPN隧道。

应用访问端：AppIron为企业提供统一的移动应用发布管理，企业可定义符合自身的安全开发规范，并对应用发布进行规范化管理，针对应用类型设置使用权限，并可支持全业务范围内的应用发布灰度测试，提升了企业应用发布的安全性，同时缩短了企业应用发布App Store审核周期长的问题。

AppIron企业移动安全管理平台由移动端和管理后台组成，管理后台通过PC端登录EMM管理平台，分设三种管理权限，三者协调合作实现对组织架构分配、用户身份审核、移动应用管理、安全隐患规避、移动内容管理、系统运维、审计分析等，为企业移动应用进行安全加固，是企业进行可控可管的系统平台;移动端则是SDK方式来提供，主要封装有应用商店和安全浏览器两个功能应用，为用户的移动设备使用提供实时可控的安全保护。

管理平台详解

企业采用AppIron企业移动化安全管理平台，用户通过移动端的AppIron来启动各种移动应用，实现移动端对企业内网的访问;在策略管理上，管理员可以通过EMM平台对身份信息的验证、移动设备的增减、软件应用的发布、预警事件的处理及众多安全事件的审核等方面进行相应的策略以及限制条件的设置，具体的展示效果则在移动设备的客户应用端中展现，且这类策略管理基于组别分类，极大节省了管理者反复操控的时间;在企业的层级管理上，AppIron设置多级帐号组别权限设定，满足大型企业的多层级组织架构。

EMM管理平台由MDM、MAM、MCM三大核心组成，在此基础上，企业根据自身特点进行相应功能的增补和删减，其中MDM侧重于设备配置和设备基本安全，如设备本地加密、反恶意软件、设备控制等相关的功能与安全策略。而MAM则侧重于保障只有经过授权的应用才能在设备上按照指定策略运行，以及保护这些应用所访问的敏感数据，同时隔离企业和个人App的数据。MCM则侧重于保护电子邮件内容、Web内容和文档的安全。

AppIron的企业移动化安全管理平台同样如此，在EMM管理平台中融合了三大核心部件，同时新增了系统运维、监控和分析等功能，相较于传统EMM平台中以物为本的逻辑建模，中央集权式的超级管理员统管平台所有功能，AppIron更侧重于以人为本的逻辑模型，采用三权分立的方式分配管理系统：系统管理员、安全管理员与审计管理员，毕竟术业有专攻，部门性质的不同决定了人员的专功方向。系统管理员侧重点在于对用户身份授权、企业组织架构分配、移动应用登记授权、分发企业及平台信息公告等;安全管理员则主要进行各种安全扫描、检测、加固，防微杜渐，为系统管理员的授权工作提供安全保障，对异常或突发安全事故进行及时补救，除了进行安全策略功能的设定管理，安全管理员还能对移动设备进行审核和实时管控，同时对管理平台中移动应用的注册和发布进行统一管理;审计管理员则负责用户行为统计、安全事件统计和管理员操作统计。三类管理员各司其职分工协作，助力企业高效办公快速发展。

下面从EMM管理平台的三大核心部分来逐一介绍：

一，移动设备管理(MDM)。移动设备管理提供移动设备生命周期管理，包括设备与身份的绑定、设备新增、改动、使用、监控、遗失/作废管理，同时也对设备进行安全管控。MDM包括客户端和平台两部分。客户端以移动应用的形式安装于设备中，通过平台端的安全策略让用户在客户端访问企业内网，同时也能对设备进行管控。

设备信息管理包括已审核认证的设备列表、设备基本信息、客户端证书列表、移动设备组定义、设备用户绑定;策略定义则是从设备登录、设备检查、设备控制几个方面进行管理，对于新增的设备，确认绑定的用户信息，然后扫描设备是否存在ROOT、越狱等安全隐患，设定移动应用黑名单，通过安全检测策略确保接入系统的设备是通过认证的合法设备;设备管理还能对设备的操作进行监控，发现违规操作和异常操作时自动锁定设备，避免风险。

二，移动应用管理(MAM)。移动应用管理提供企业应用商店APP整个生命周期管理，包括对应用注册管理、应用资源配置管理、应用发布管理、应用审核管理和应用视图管理。

在移动应用管理中可以对应用进行配置参数设置，用于自动配置应用扩展功能及自动配置客户端应用;MAM提供App的白名单和黑名单管理，并且根据策略对设备端应用进行安全检查;同时MAM支持第三方应用的快速接入和原生应用数据的保护，通过SDK对应用进行安全加固，提供企业和个人移动应用数据隔离机制;MAM提供应用统计功能，对应用的使用人数、访问频率、使用行为等信息进行统计，供企业管理员参考。

在移动应用管理中提供应用的灰度发布，介于注册和应用正式发布之间，在小范围内对应用进行验证测试，当应用趋于稳定且完善后再次提交审核，获得最终的正式版本发布，减少应用的BUG和漏洞，确保应用软件安全性。

三，移动内容管理(MCM)。移动内容管理用于保护电子邮件、Web及文档的安全。通过沙箱技术将核心数据与私人数据进行分离，结合APP Tunnel安全通道防止数据内容被转发、截屏、复制，结合MDM限制设备上的文档操作，提供受限的文档操作功能和文档共享能力，同时，MCM单独提供一个功能受限的安全浏览器，通过禁止截屏、禁用复制、禁用分享等措施保障企业Web内容的安全，实现移动DLP。

移动内容管理在加强自身数据安全的同时，还能对用户的行为操作进行监控，对于关键内容异常操作等行为，能够进行及时有效的制止，由于异常操作造成的数据泄露，也能在MCM中追溯到具体操作人员，有助安全审计。

四，移动运维管理。针对部门、应用、用户、性能及设备等各方面的数据统计，权利分散在三大管理员权限之中，通过系统移动运维管理确保企业办公的正常运转，利用扁平化的管理机制，在确保安全的同时提升办公效率。

AppIron移动应用实测

AppIron在移动端主要集成了EMM SDK封装好的应用商店和安全浏览器两个功能，结合客户端的EMM管理平台确保用户在移动端访问企业内网时的安全，同时便于企业IT部门对移动设备的管理和安全预防。两者相互分工却又协同共进，客户端提供安全策略设定、运维统计及各项管理，主要面向企业IT部门，而移动端通过应用商店及安全浏览器来使用企业应用软件及访问企业内网数据，面向企业所有员工。

初识AppIron

企业员工通过安装AppIron应用进入用户登录界面，账号密码为企业员工的身份认证，移动设备则是在EMM管理平台经过安全审核授权可用的，且每个移动设备都会绑定对应的员工。

为了达到的有效安全管理，在登陆后企业还能根据自身情况对用户使用AppIron应用进行二次验证，支持复杂手势密码、集成SSO模块的动态密码等。

AppIron应用

移动端AppIron主要分为应用和用户两大块，应用块则是AppIron为企业用户提供的应用商店模块，用户可以在应用商店里下载所需的应用软件，安装完成的则以图标的形式显示在“我的应用”中。应用下方为企业发送的系统消息，通过EMM管理平台来实现。需要注意的是所有应用商店中的应用都是在EMM管理平台中进行了安全审核的，由企业IT部门分配用户群组的使用访问权限。

移动端用户界面截图

在客户端的EMM管理平台上，IT部门对企业所需用到的各类应用软件进行分类，设置不同群组的访问，通过安全策略审核的应用则能发布出现在移动端的应用商店中，用户可根据自身需求选择下载。

下面通过几个具体实例讲解AppIron为企业IT管理带来的便利：

1.应用管理

在AppIron移动端应用商店中的每个应用都经历了“应用登记授权、注册、发布、审核”等步骤，由EMM后台中的系统管理员进行应用登记授权，再经设定的安全策略进行各项检查，然后由安全管理员进行应用的信息设定和发布范围设定，最后经二次审核正式在移动端上线，同时，安全管理员可以在应用视图中对移动设备上的应用进行相应的数据统计。

应用注册

后台可见的应用注册列表

新应用注册完毕后申请发布

安全管理员对申请应用进行合规检查，二级审批发布

统计企业用户绑定移动设备中的应用使用情况

重点说明：各企业内部架构及业务流程的不同，使得市面上通用的应用软件和企业适用度存在一定差异，此时企业针对各自的特点就会让研发部门进行内部应用的二次开发，在整个开发过程中，不可避免的会有一定偏差，因此再次开发的应用在测试和发布中需要不断的重复，直到最后安全稳定为止。针对此种情况，AppIron提供全方位的应用灰度发布，可设定应用发布在小范围内进行测试，同时支持多个应用版本共存下载，直到最终测试完毕正式上线。

2.策略管理

伴随BYOD设备的快速普及，如何确保企业员工BYOD设备的安全性？如何对BYOD设备的各种安全事件做到快速响？……这些都是企业IT部门在安全管理中面临的严峻挑战。

AppIron提供各项策略服务，通过设备的安全检查策略、安全控制策略等多方面进行安全保障，同时对用户的终端移动设备做到有效的可管可控操控，在应对各类安全事件时能服务于企业，为IT部门带来更大的助力。

安全检查策略设定

安全管理策略设定

在实际操控中，对Android设备进行了相应的控制策略，安全系统管理员可对相应的各项策略命名，方便在具体实用及数据运维中更直观的了解，同时各项策略可以指向特定组织或用户设�...