终端安全管理之殇：安全管控能力与用户体验

在过去很长一段时间，信息安全就等于终端安全，这个领域受重视较早，有着比较完整和成熟的终端安全产品。

企业终端安全产品

终端安全产品这么多，企业终端安全产品都是怎么部署的呢？

在大厂的童鞋说，除反病毒外，我们是定制的，结合自己的软件实现办公自动化和安全管控。

做安服的朋友说，虽然我们也有很多终端产品，但电脑是我们自己的，上面就只有一款V**。

而在大多数企业的安全小伙伴，可能会是这样的境况，前几年上了反病毒，然后又上了准入和桌管，好不容易领导批了一笔DLP预算，于是，就会变成这样，准入是一款，桌管是一款，反病毒是一款，DLP又是一款产品。

试想一下，准入做上网认证，桌管做IT运维，杀软用于防病毒，DLP做数据防泄漏，一个个产品叠加上去，产品功能是挺强大的，但用户体验越来越差。每台用户终端安装四款产品，主进程，监控进程，扫描进程一大堆，功能交错重叠，每一个产品都在损耗你的电脑性能。公司配置的电脑，本来还刚够用，一来就上了4款安全管控软件，感觉配置完全不够用。

如果把用户终端作为一个生态，硬件资源是性能瓶颈，借助安全产品实现强大的安全管控能力洋洋得意的时候，随着而至的是终端性能损耗和用户遏不可制的怒火。

IT服务工程师繁忙的一天

分享一个IT运维工程师的工作记录。

早上，刚来到公司坐到工位上，来了一批新购置的笔记本，通过统一制定的操作系统镜像文件进行引导，批量部署操作系统，整个过程完全自动完成，尽量减少因人为操作带来的配置更改和安全风险。然后将安装标准化操作系统的交付给最终用户，用户使用分配的账号进行登录和上网准入认证。

下午，有一个声音很好听的小姐姐，打电话说她的电脑有点问题，通过桌管远程接管用户终端，发现CPU内存占用异常，检查终端防病毒软件并更新病毒库，帮助用户扫描查毒，解决终端异常。

常见的终端安全管理软件有准入，桌管、防病毒、DLP等，经过一段时间的磨合，产品趋于稳定，早已和平常的IT运维工作牢牢地结合在一起，提高终端运维效率。

一个产品的bug

某个技术leader拿到一台超薄笔记本，一开机风扇嗡嗡响，键盘也开始发烫，资源占用排名前三的进程都是终端管理软件，一下子就找上门了。

处理：进程分析发现异常，卸载入网小助手后恢复。

原因：Devcon64.exe 是准入客户端用来获取U盘相关信息的检测进程，但由于未知原因，小助手频繁调用Devcon64.exe 进程去检测U盘信息。

一个产品bug，联动相关安全产品扫描检测，占用了大量电脑CPU内存资源。

当一个产品BUG遇到关键VIP用户，其中的化学作用不言而喻。

而我们能做的就是，优化产品策略，比如关闭不必要的功能，调整产品策略。但还是不足以解决问题，究其根本原因在于产品方向的选择，我们选择了一种最笨重的方式，通过产品功能叠加，赋予终端强大的安全管控的能力。这些产品多是以工具的形式运用，你所下发的每一条策略，影响的将是数千台用户终端。

终端轻管控

我想，很多企业都将面临这样的困境，一个产品一个产品的上，最后面临这样的困境，通过产品堆叠获得强大的终端管控能力，而牺牲了用户体验。

考虑集成吧？自研能力不行，换一个集成产品吧，一个烂，全烂。不管是用户还是运维，又是一个重新适应的过程，同样存在风险。

作为一个安全工程师，我需要一些工具去解决复杂的终端安全问题；但作为一个普通的用户，装了这么多终端安全管理软件，是真的有点难受。

在网络层，通过安全设备产品堆叠提高安全防护能力，它对用户是无感的，但在终端，需要考虑用户体验。这些终端安全管理产品是用来解决终端安全问题的，而不是用来消磨用户的耐性。

当产品越来越复杂，笨重，难用的时候企业开始意识到用户体验是一个重要的竞争优势。

在用户体验至上的今天，轻管控，减轻各种用户限制，使用户拥有更好的终端体验，这才是王道。