漫谈企业信息化安全 - 06.终端管理_MDM

一、前言

企业信息安全的核心理念是对参与到企业信息系统节点形成闭环管理,在企业信息系统中,终端设备是参与其中的重要一环,在这一篇,我们就针对终端设备,如何来做信息安全管理提出一些想法和建议。


二、终端管理的必要性

接入企业信息系统的终端设备,在很多场景和条件下,可能有安全风险,下面罗列了一些典型的场景:

  1. 移动办公/远程办公:在很多场景下,用户有移动办公/远程办公的需求,譬如居家办公、出差等等场景下,终端设备接入的环境安全是不受控的,在这种情况下,特别容易发生信息安全事故
  2. BYOD:为了提供协作的效率,现在很多企业允许用户使用自己的设备接入企业信息系统,在这种情况下,用户自己的设备上如果有潜在的安全危险,可能也会威胁到企业的信息安全
  3. 系统及程序漏洞:因为现在绝大部分情况下,终端都需要接入Internet网络,并且我们在平时的企业活动中,需要涉及到很多的专业软件和管理信息系统,如果系统和程序有安全漏洞,也很容易被攻击
  4. 弱密码:很多人为了好记,使用弱密码,以及在很多不同的系统上,使用相同的密码,这是很容易被黑客利用的攻击手段
  5. 设备丢失:如果发生设备丢失,但是企业无法远程锁定或者无法远程抹茶等,在终端设备上的敏感信息也有可能被盗取


三、什么是终端管理

终端管理(Endpoint Management)是指对企业内部的各种终端设备(如台式电脑、笔记本电脑、智能手机、平板电脑等)进行集中化管理和控制的过程。其主要目的是确保这些终端设备的安全、合规和高效运作。终端管理涵盖了从设备配置、应用程序分发、安全措施实施到远程支持等多个方面。以下是终端管理的主要组成部分和功能:

1. 设备配置和管理

  • 设备注册和配置:自动化配置新设备,确保它们符合企业的标准。
  • 设备分发和部署:集中管理设备的采购、分发和部署过程。
  • 设备跟踪和监控:实时跟踪设备的位置和状态,确保资产管理的准确性。

2. 应用程序管理

  • 应用分发和安装:集中分发和安装应用程序,确保所有设备上使用的软件一致且最新。
  • 应用更新和补丁管理:自动推送应用程序更新和安全补丁,减少漏洞和安全风险。
  • 应用权限管理:控制用户对应用程序的访问权限,确保仅授权用户可以使用特定应用。

3. 安全管理

  • 防病毒和防恶意软件:在终端设备上部署防病毒和反恶意软件工具,保护设备免受恶意攻击。
  • 数据加密:对设备上的敏感数据进行加密,防止数据泄露。
  • 远程擦除:在设备丢失或被盗的情况下,能够远程擦除设备上的数据,防止信息泄露。
  • 身份验证和访问控制:实施多因素身份验证和严格的访问控制,确保只有授权用户才能访问终端设备和企业资源。

4. 合规管理

  • 策略实施和管理:实施和管理安全策略,如密码复杂度要求、屏幕锁定时间等,确保设备符合企业的安全标准。
  • 审计和报告:记录和审计设备的使用情况和安全事件,生成报告以满足合规要求。

5. 远程支持和管理

  • 远程控制和支持:IT 支持团队可以远程访问和控制终端设备,快速解决用户问题。
  • 实时监控和告警:实时监控设备的运行状态,及时发现并处理异常情况。
  • 自动化任务:自动化执行常见的维护和管理任务,提高效率并减少人为错误。

6. 设备生命周期管理

  • 设备采购和配置:管理设备从采购到配置的整个生命周期。
  • 设备退役和回收:处理设备退役和安全回收,确保数据在设备回收时被安全处理。


四、有哪些常见的终端管理产品

市面上有比较多的终端管理的产品,下面罗列了一些可供参考:

  1. Microsoft Endpoint Manager:由微软提供的综合解决方案,包括Intune和Configuration Manager,适用于Windows、macOS、iOS和Android设备。提供了设备配置、应用管理、补丁管理、安全策略实施、远程控制等功能。
  2. VMware Workspace ONE:VMware提供的统一端点管理(UEM)解决方案。提供了设备管理、应用程序分发、安全和合规管理、身份和访问管理、移动设备管理(MDM)等功能。
  3. Splashtop Enterprise:由Splashtop提供的远程及终端管理产品。提供了远程桌面、资产管理、系统更新、批量活动等功能。
  4. IBM MaaS360:IBM提供的云端UEM平台,适用于各种类型的终端设备。提供了设备管理、应用管理、内容管理、威胁管理、合规性管理等功能。
  5. Symantec Endpoint Management:赛门铁克提供的终端管理解决方案。提供了设备配置、软件分发、补丁管理、安全管理、资产管理等功能。
  6. Cisco Meraki Systems Manager:思科提供的基于云的端点管理解决方案。提供了设备管理、应用程序管理、安全策略实施、远程控制、网络管理等功能。
  7. Citrix Endpoint Management:Citrix提供的UEM解决方案,支持多种设备和操作系统。提供了设备注册、应用和内容管理、安全和合规管理、身份和访问管理等功能。
  8. ManageEngine Endpoint Central:ManageEngine提供的全面终端管理解决方案。提供了设备配置、补丁管理、软件分发、资产管理、远程控制、移动设备管理等功能。
  9. Sophos Mobile:Sophos提供的移动设备管理和UEM解决方案。提供了设备管理、安全管理、应用管理、内容管理、合规性报告等功能。
  10. Ivanti Endpoint Manager:Ivanti提供的全面终端管理平台。提供了设备发现、配置管理、补丁管理、软件分发、安全和合规管理、远程控制等功能。
  11. BlackBerry Unified Endpoint Manager (UEM):BlackBerry提供的UEM解决方案,适用于各种设备和操作系统。提供了设备管理、安全管理、应用管理、内容管理、身份和访问管理等功能。
  12. Google Endpoint Management:Google提供的终端管理工具,集成在G Suite(现为Google Workspace)中。提供了设备注册、应用管理、安全策略、远程擦除、合规性管理等功能。


参考

1)Endpoint management services and solutions at Microsoft | Microsoft Learn

2)Workspace ONE® (omnissa.com)

3)Splashtop Enterprise - Secure Remote Access & Support

4)IBM Security MaaS360

5)Endpoint Management (broadcom.com)

6)Wi-Fi 6E | Network Security | Switches | Routers | Cisco Meraki

7)ManageEngine Endpoint Central | Unified Management and Security Solution for endpoints

8)Unified Endpoint Management | Sophos Mobile Security

9)Endpoint Management - Ivanti Endpoint Manager

10)BlackBerry Unified Endpoint Management (UEM)

11)Endpoint Management and Security - Google Workspace