阿里巴巴内网办公安全实践

在阿里，绝大多数部门是从来不打卡的，工作地点也可以是阿里童鞋觉得舒服和开心的任何地方，移动办公在阿里已经是一种日常。

为了随时随地安全稳定的接入公司内网，阿里所有员工都会安装一款智能办公软件“阿里郎”。今天，为大家首次揭秘这位阿里童鞋背后的“男人”。

阿里郎是阿里信息平台事业部研发的企业智能办公平台，涵盖安全认证服务和企业IT服务两大领域，具备跨平台、终端管理、IT服务能力，尤其在终端支持、整合解决方案服务能力上面做到了业界最全面领先，更是阿里内部热捧的网红办公软件。

阿里郎核心功能

最安全的网络准入服务

采用行业最安全的TLS（基于Client和Server双方双向互相验证数字证书）认证技术，支持Window、Osx、Linux、iOS、Android、物联网等等设备安全入网，支持公司设备和BYOD设备安全入网，支持公司制定的动态安全策略，集成了第三方DLP、杀毒、健康状况监测、VPN、IT服务，具备终端Profile可视化和管理能力。

阿里朗PC端首页界面

最完整的企业IT服务

一键认证体系：首创一键双设备多因素认证体系，用于VPN准入，敏感应用准入，跳板机等多场景，大幅提升用户体验及办公效率，有数据显示，通过网络准入的一键VPN接入，每个月为阿里员工节省了5000+小时。

阿里郎一键接入界面

智能办公平台：将所有IT服务整合，结合智能化技术，多系统打通并一站式提供通讯录、网络、视频会议、无线投屏、电脑体检、软件仓库、IT服务等功能。

阿里郎智能办公平台界面

阿里郎的发展历程

阿里郎以用户体验为核心，经历了从入网工具到安全管理，再到企业智能办公平台的发展，在保障终端及信息安全的同时，致力于提升员工办公效率，提供一站式IT服务解决方案。

阿里郎1.0——网络安全准入工具

最初，阿里郎是一个结合可信终端管理的网络准入工具，用来提升入网安全性，通过对公司入网的员工设备进行识别管理，降低传统的PEAP域账号密码在一些不安全系统上泄漏的风险。

阿里郎以自研的证书体系入网来替换域密码，实现和设备的识别关联。在TLS和PEAP协议的实现上，通过用Java实现高性能Radius服务器改造，满足了公司的入网大并发需求。在DHCP指纹技术的研究上，用最小的代价满足在agentless的情况下对设备的OS识别，判断白名单设备的入网是否合理的安全管控，并为后续IP到人到设备的数据化需求打下基础。

为了满足双因素验证的安全需求，阿里郎团队自主开发了OTP令牌，完成对原RSA硬令牌的全面替换，大幅降低成本，完美解决了RSA令牌已损坏、替换不便、携带不便、易被偷窥等痛点。OTP令牌也是阿里郎认证体系中最初的认证方式。

通过终端管理、身份验证、访问控制模块的上线，阿里郎逐步实现了NAC领域产品形态，使用网络准入安全策略，确保进入网络的设备符合策略及安全标准。之后，团队又开发了网络可视化的数据监控体系。自此，阿里郎将服务器断网、动态VLan等功能结合，使其终端运行率稳定在99%，为阿里集团安全加了一把坚固的安全锁。

阿里郎2.0——安全与体验的平衡

2015年以前，阿里郎以安全为主的产品定位，给阿里员工也带来诸多不便与繁琐操作。之后，阿里郎提出了新的理念「安全与体验的平衡」：在保证安全的同时，也需要兼顾最佳的员工体验。

「一键VPN」就是在该理念下诞生的产品。以往的VPN连接需要员工单独安装第三方程序，输入账号、密码、令牌连接，全程耗时约1分钟且多达6个步骤。一键VPN是行业首创的全新免密免令牌认证方式，用双设备证书校验替换静态密码，提高了认证安全性，员工仅需要在PC上点击连接，随后在手机设备上确认即可完成验证，傻瓜式操作。通过全链路数据监控发现，传统的VPN模式一次性连接失败率达到26%，而阿里郎的一键VPN的连接速度是其4倍，成功率提则高达98.1%。

为进一步利用阿里郎终端覆盖率的优势，阿里郎打造了终端安全产品EDR（终端安全检测与响应）。EDR旨在“轻管控，重检测，快响应”，通过采集系统的关键路径和PE文件，利用强大的威胁情报中心库来做实时的监控检测，一旦发现危险文件，则会自动生成安全响应事件预警。提供下放可编程化的脚本语言辅助安全人员判断，并支持最终删除处理的能力，同时支持可控化判断是否可以及时自动化处理并反馈至威胁情报中心库，反哺了大量的风险样本数据。

阿里郎在2.0版本中还强化了终端管理和数据安全能力。对OS X设备的管理能力，因为苹果设备存在设备唯一标识困难和管控限制，阿里郎引进了MDM（移动设备管理），通过MDM对苹果系的设备管控已经有一个较为成熟的方案和体系。

在数据安全领域，阿里郎2.0实现了一套文件透明加解密系统，针对阿里办公特性量身设计了产品功能及交互，员工无需使用虚拟机即可将文件下载到本地。文件会经过阿里郎加解密网关进行加密，加密后该文件只允许在阿里郎可信设备中被访问，如果该文件泄露到外部，打开即会报错，有效保障了安全性和体验。

阿里郎3.0——多工具整合+人脸识别

在阿里郎3.0版本发布前，每个员工的电脑上需要安装连网、软电话、视频会议等多个办公工具软件，后期持续的管理和维护存在巨大的困难。在3.0版本中，阿里郎实现了与阿里内外、阿里管家两个阿里信息平台的产品整合，重新编写了整个客户端代码，并且设计了全新的UI界面，开启了“大航海统一”的策略，减少了员工电脑上必备软件的数量，方便员工能够快速找到所需功能。

自此，阿里郎拥有了多方音视频会议、免费电话、无线投屏的能力，并重新设计了企业通讯录，一键体验及软件仓库功能。

此外，还推出了人脸识别认证，在修改个人信息，登录内部高敏感应用等场景，使用人脸识别登录，大幅提高了安全与体验。值得一提的是，该人脸识别功能无需员工注册登记，即可直接使用识别身份。

阿里郎4.0——全面的企业智能办公平台

（声波投屏、手机投屏、近场感应、AR识别）

结合新兴技术，阿里郎开启了全新的4.0智慧办公时代篇章。无线投屏上，阿里郎推出了一键声波投屏，也是行业内首创的声波匹配技术应用案例。员工仅需打开阿里郎投屏界面，点击投屏，阿里郎会自动检测会议室TV发出的高频声波，并转化为投屏码然后自动投屏，大大减少手动输入出错率，提升操作体验，员工称其为投屏黑科技。

同时，阿里郎还集成了苹果的Airplay技术，结合声波技术，为员工带来惊喜的手机投屏功能。员工在会议室打开手机阿里郎后，点击手机投屏，即可一键自动将屏幕投放到会议室TV上，能够流畅地观看视频及播放声音，良好的操作体验无缝衔接，令人惊艳。

一键投屏超轻松～

阿里郎4.0版本的终端设备管理模块还会和资产管理系统联动，除了能判断公司资产外，还支持AR识别设备，当员工需要领用、借用、归还，甚至是需要了解IT相关产品时，可以通过手机阿里郎扫描电脑设备，即可识别该设备的品牌及型号，主动为员工提供资产和IT相关服务。

阿里郎发展历程的技术挑战

范例

挑战一：探索认证方式

最初，阿里郎选择证书入网方式来替换域密码，实现和设备的识别关联，但这种方式安全性和便利性都不好。实现一套阿里郎自己的证书体系，并通过算法唯一标示设备ID将两者结合起来，是技术团队首先要面对的挑战。证书的生命周期的管理，证书的知识图谱当时团队没有人有相关经验，都是学习摸索，各种pki体系知识协议也都是成员主动去学习。

如radius服务器对服务器证书有很多要求，这个点起初我们是不知道的，后续的实施的时候发现很多问题，团队一步步耐心去解决。最终实现TLS和PEAP协议，并通过用Java来实现了高性能Radius服务器改造，满足了公司的入网大并发需求。

挑战二：苹果设备管控限制

面对苹果对设备唯一标识管控上的限制，阿里郎引进了MDM，在当时国内基本没有涉及的案例，更没有相关的，技术团队通过查看源码的方式学习其机制，最后通过MDM实现了对苹果系设备的管控。

挑战三：设备数据化

为了将设备的数据价值体现出来，实现对网络到设备到人有一个完整的关系图谱，阿里郎研发团队提出了4w的数据目标，即Who、Which、Where、When。技术团队研究了相关网络关键设施，其中将数据从这些设备上安全平稳的吐出来，是一个很大的挑战。团队在保证稳定性的前提下，不断探索，最后结合阿里的关键数据化产品，将数据高效、可靠地传输到线上，进行大数据实时分析处理。目前该数据对安全方面的贡献很大，同时也是网络数据化中的一个基石数据。

阿里郎的下一步发展

阿里郎颠覆用户对传统企业IT工具流程繁琐、操作复杂、易用性差，稳定性不高等缺点的认知，通过智能化、互联网产品化的思维重新定义企业IT平台，大大引领了行业标准。

近日，阿里郎已完成网络准入（NAC）、无线投屏等多个服务SaaS化升级，将携手阿里云于7月底面向所有企业推出更轻量的云化产品——阿里云办公，未来让所有企业员工能够和阿里巴巴员工一样享用智慧IT服务，拥有一流的互联网办公体验。

本文出自阿里技术公众号，原文链接

声明：本文来自云栖社区，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。