zoukankan      html  css  js  c++  java
  • 针对企业安全的一些个人想法——从边界安全到零信任

    既然已经是企业安全了,

    那么就说明客户端一定是明确且可控的。

    明确,要求客户端:

    1,物理设备明确,禁止客户端用户随意在办公主机上安装非USB接口的硬件。

    2,物理位置明确,禁止客户端用户随意移动办公主机,且要求客户端必须入域。

    3,客户端操作系统版本明确,要求客户端用户安装指定版本的操作系统。

    4,客户端使用者明确,要求客户端的使用人员明确。

    可控,要求客户端:

    1,客户端软件环境可控,禁止客户端用户随意安装软件,如果客户端用户有需求的话,可以联系IT人员,IT人员评估后,得到结论是否可以安装,如果可以,则由IT提供,否则寻找替代品。

    2,客户端软件操作可控,使用的客户端软件只使用指定的功能,其他功能通过技术手段,或者其他手段来做屏蔽或禁止。

    由于企业安全不同于个人安全,企业安全可以明确要求企业员工禁止安装某些XXXXXX,

    针对有特殊需求的客户端,做特殊的处理。

    基于以上的种种,那么企业安全软件的开发,完全可以从规则上规避一些很难处理的问题,

    比如,针对安全软件的不兼容问题,

      IT部给企业员工发放工作机的时候,直接发放一台内置安装了企业安全软件的机器,

      企业云管完全可以要求客户端禁止安装第三方安全软件,

      然后企业安全软件做整个系统的接管,

      用户如果要安装某一个第三方软件,企业安全软件直接获取信息,并且一边上报,一边弹窗警告,最后直接禁止。

    由于客户端环境确定,所以客户端可以硬编码直接来针对指定的系统来处理,

    其他不相干的系统可以直接提示后放弃。

    这么做,其实用一个安全制度,就解决了全平台适配的问题。

    如果不想这么做的话,那么就又变成了原始的PC个人安全的角度,

    首先需要考虑全平台兼容,

    然后要考虑竞品兼容,

    后续要做的事情就太多了。

    现在好多非安全公司,在做企业安全软件的时候,都是在用一些传统PC个人安全软件的经验在做。

    安全公司也就算了,安全公司有技术积累,但是非安全公司也要这样,这就说不过去了。

    他们可能是认为这一套比较成熟,这么做虽然不能更出彩,但是至少是经过检验的,应该没问题,

    但是他们没有想过,这些真的是你要做的么,你是否有必要做这些,你做这些到底是为了解决问题还是装逼。

    按照前面说的套路,从客户端再继续发展,继续扩展客户端功能,以及服务端的行为。

    其实,就可以把一个边界安全模型的PC安全软件,变成一个专供企业内部使用的基于零信任网络模型的安全软件了。

  • 相关阅读:
    [20190401]跟踪dbms_lock.sleep调用.txt
    [20190401]隐含参数_mutex_spin_count.txt
    [20190401]关于semtimedop函数调用.txt
    [20190401]那个更快的疑问.txt
    [20190329]探究sql语句相关mutexes补充2.txt
    [20190328]简单探究sql语句相关mutexes.txt
    [20190324]奇怪的GV$FILESPACE_USAGE视图.txt
    [20190322]测试相同语句遇到导致cursor pin S的疑问.txt
    linux命令(8):cp 命令
    linux命令(7):mv命令
  • 原文地址:https://www.cnblogs.com/suanguade/p/14854435.html
Copyright © 2011-2022 走看看