简介

随着国家《网络安全法》的出台，和近些年来大众对于信息安全的不断了解，越来越多的办公集体，注重信息安全和办公安全。原本只有哪些保密特殊性/资质认证/规模管理的需求下，才会落地的管理系统，目前在中小企业中也进行普及开来。

背景

工作关系，有段时间，在某上市公司负责IT板块工作。参与集团ISO27001/27701/信息安全三级等保等评审工作，负责关于办公设备管理/内网准入/DLP数据防泄露等相关板块工作的建设。（本文持续更新）

环境：

macos一千余台

windows一百余台

android四百余台

iphone四十余台

拥有单点登录

拥有SSO权限统一管理平台

拥有LDAP环境

拥有OTP环境

拥有Winserver域控制器

要求

仅代表需整改的项目，此要求并非资质认证的所有要求

1.统一账号/单点登录

2.EFI固件密码/blos密码

3.磁盘加密/bitlocker

4.办公设备密码策略

5.远程控制设备

6.数据防泄露

7.办公网络准入

8.流量控制，URL限制/跳转

9.各系统之间联动管理。

10.资产生命周期的管控

最终达成：

统一账号，使用LDAP+sms/otp方式，员工使用1个账号完成登录设备和认证各个系统。自收到资产后，自动化部署相关工作内容，终端实现策略管理，下发安全策略和应用部署策略，实现企业工作台功能。实现软件黑白名单，数据加解密，外发管控，USB管控，电脑远程桌面/擦除/锁定，BLOS加密/磁盘加密，态势感知，网络准入，合规检查，联动管控策略等。完善权限申请，工单系统，员工平台等服务。

最终使用产品和功能

vmware workspace one oue

终端管控平台：ABM对接，软件黑白名单，资产管理，远程桌面/擦除/锁定，BLOS/磁盘加密，U盘管控，合规检查，密码策略

华为NCE-campus

网络管理平台：实现双因素认证准入（LDAP+SMS），网络设备监控，网络设备管理，联动终端管控（不合规设备禁止接入内网）

云枢

数据防泄露平台：文件加解密，外发管控，数据地图,风险员工识别，数据拦截，取痕留证。

深信服AC行为管理

已经存在原有网络架构中，性能和费用考虑，仅使用流控，IP/域名黑白名单两大功能模块。透明模式部署，设置bypass

深信服SSL-VPN

已经存在原有网络架构中，采用LDAP+SMS双因素认证，钉钉扫码认证为辅。

关于使用产品的说明：

emmm，公司的需求是动态的，为什么会有这么多家的产品呢？有一些产品的功能交织，为什么不整合一起？

当然我也想一开始就完全的统一规划实施。但一切要以现实出发，这就要从实际情况说起。不同时间，不同要求，不同预算，不同的负责人，造就如此情况

1.深信服的AC

AC型号是18年左右的D600，且一直平稳运行。随着公司人数不断增长和设备的性能负载考虑，该设备仅用于流控。radius+portla认证功能和钉钉认证功能，因版本问题，存在使用故障。故该设备不符合要求，考虑到达资产使用年限后下架。

2.深信服SSL-VPN

在网络架构建设时，已经部署双因素认证。另搭建了Anylink，华为USG防火墙自带的SSL-VPN，两个作为备用。

3.云枢

采用SAAS部署，是一款综合的安全平台，零信任起家的，零信任板块和XDLP板块做的很不错。但已经有了深信服SSL-VPN，在经过同类产品比较后，该功能模块更符合当下实际需求。终端安全和网络准入的功能模块存在一定的功能缺陷。平台一直更新中，基于成熟稳定的商业产品需求考虑，暂不使用。

4.workspace one

采用本地部署+SAAS部署，双机热备。原称airwatch，在针对macos的管控中，因权限和系统环境的要求，国内厂家的产品相对支持较少或功能过于不完善，在经过jamf pro，workspace one，联软，卓豪等厂家的产品测试和价格比对后，选择此产品。如是windows环境，可使用winserver作为基础。

5.NCE-CAMPUS的部署

是基于网络认证的需求产生的（BOSS让1个月之内落地），并深度用于网络日常管理板块。当时卓管和DLP的项目被PASS，后续因体系认证需要重启。