個人自帶設(shè)備(BYOD)的新型辦公場景，已經(jīng)成為不可逆的大潮，正一步步顛覆著傳統(tǒng)辦公模式。但在高效、便捷的辦公背后，由于IT部門對個人設(shè)備難以統(tǒng)一管控，而導(dǎo)致企業(yè)在安全威脅面前“破綻百出”。

[[201336]]

一、BYOD的安全風(fēng)險

BYOD場景下，核心生產(chǎn)力的角色不再只由PC端來承擔(dān)。個人移動設(shè)備的加入，使得移動端的企業(yè)敏感數(shù)據(jù)泄露，成為企業(yè)移動辦公安全中亟待解決的首要安全隱患。

傳統(tǒng)的辦公模式下，處理各個不同業(yè)務(wù)流的系統(tǒng)一般是彼此獨立的。IT部門可以針對各個系統(tǒng)，或通過在公司統(tǒng)一下發(fā)的辦公PC上安裝代理等方式，來實現(xiàn)細(xì)粒度的行為管理和訪問控制。

但在移動辦公時代，時間、空間、距離的界限都被打破，截屏、信息的復(fù)制粘貼、轉(zhuǎn)發(fā)、分享等能力唾手可得，導(dǎo)致信息安全風(fēng)險陡然增大。

BYOD是個人終端參與辦公的時代，相對于PC時代，用戶對體驗的要求非常高。而移動應(yīng)用的專業(yè)程度和更新頻率都很高，企業(yè)需要很高的移動安全專業(yè)技能和管理成本，才能確保來不同自不同供應(yīng)商、多個移動應(yīng)用之間能夠?qū)崿F(xiàn)一致的操作邏輯，達(dá)到相同的用戶體驗。因此企業(yè)越來越需要由專業(yè)的移動安全廠商，在不影響辦公體驗(最好是用戶無感知)的前提將安全能力融合到App中。

可能的安全防護(hù)思路

BYOD場景下的移動端App，是企業(yè)針對其內(nèi)部業(yè)務(wù)流程，專為內(nèi)部員工使用而開發(fā)的應(yīng)用。所以，在開發(fā)過程中加入一定程度的安全控制，往往是最先會被考慮的防護(hù)手段。但目前來看，針對業(yè)務(wù)應(yīng)用的開發(fā)團(tuán)隊對安全的認(rèn)識普遍不夠深刻、專為安全的附加開發(fā)成本企業(yè)難以承受等問題，使得從開發(fā)角度來“根治”的方法對于大部分企業(yè)來講不那么切實可行。

當(dāng)然，術(shù)業(yè)有專攻，如果專注移動應(yīng)用加固的安全廠商來做結(jié)果又是怎樣?現(xiàn)實是，整體效果也不那么盡如人意。應(yīng)用加固技術(shù)對BYOD場景下的to B應(yīng)用并不完全適用，原因有三：

1) 從用途上看，目前對很多企業(yè)而言，用戶盜取數(shù)據(jù)對其造成的威脅遠(yuǎn)比惡意軟件要嚴(yán)重得多，應(yīng)用加固主要用途是從技術(shù)角度增強(qiáng)應(yīng)用面對專業(yè)黑客時的抗攻擊能力，而不是防止普通用戶盜取數(shù)據(jù)。

2)從安全能力上，目前主流的應(yīng)用加固技術(shù)不具有完整的數(shù)據(jù)防泄露(DLP)能力，無法實現(xiàn)對應(yīng)的保護(hù)效果。

3) 從實現(xiàn)形態(tài)上，應(yīng)用加固是針對獨立的App進(jìn)行，只是在單點上實現(xiàn)，而企業(yè)的移動安全需要將多個App、App與設(shè)備狀態(tài)/用戶身份等多個移動要素聯(lián)動起來，并且對接企業(yè)現(xiàn)有的IT安全基礎(chǔ)架構(gòu)才能真正實現(xiàn)。目前的單點應(yīng)用加固方案顯然無法做到。

除了移動應(yīng)用加固外，借鑒之前傳統(tǒng)辦公的安全思路，通過在移動端設(shè)備安裝代理的方式，在系統(tǒng)層實現(xiàn)對移動設(shè)備的統(tǒng)一管控的移動設(shè)備管理(MDM)呢?很遺憾，因為BYOD場景下“移動設(shè)備為個人所屬”的特性，讓MDM因個人隱私問題而難以推行。同時，大型企業(yè)IT運(yùn)維人員對眾多設(shè)備的跟蹤和管理成本，也是不小的開銷。

綜上不難看出，如果企業(yè)移動管理(EMM)能夠脫離MDM，即脫離設(shè)備，那將不失為一種更契合企業(yè)當(dāng)下安全辦公需求的解決方案。

二、虛擬安全域

國內(nèi)專注移動辦公安全整體解決方案的提供商——指掌易提出了一種虛擬安全域(VSA)的概念。通過輕量級的移動應(yīng)用加殼，即在終端系統(tǒng)和辦公App間加入虛擬化層的方式，在應(yīng)用層實現(xiàn)包括數(shù)據(jù)防泄露的多種安全能力。

虛擬安全域的特點包括：

• 由于整個加殼過程不需破壞原App，所以加殼過程也可在安全加固后實現(xiàn);
• 整個加殼過程可以在極短的時間內(nèi)在后臺自動完成;
• 加殼后的App有著極高的一次性運(yùn)行成功率;
• 性能方面，封裝前后文件大小差異小于1MB，代表著更小的多余系統(tǒng)資源占用;
• 更像是“安全引擎”，除了數(shù)據(jù)防泄密以外，還可實現(xiàn)包括應(yīng)用的自動初始化配置，以及對行為和內(nèi)容進(jìn)行審計等安全能力。

基于虛擬安全域，指掌易還進(jìn)一步研發(fā)出了移動安全工作空間系統(tǒng)，無需MDM，提供私有應(yīng)用商店、應(yīng)用準(zhǔn)入、DLP保護(hù)、應(yīng)用級安全接入隧道、遠(yuǎn)程安全配置等安全能力，在不影響用戶體驗的前提下，實現(xiàn)完整的BYOD 移動安全保護(hù)。

指掌易以VSA為核心的安全工作空間解決方案

在基于虛擬安全域的移動安全工作空間中，以DLP為核心的多種安全能力和業(yè)務(wù)在企業(yè)App中實現(xiàn)了更緊密的結(jié)合。在不降低安全防護(hù)能力的情況下，免除了用戶對在個人手機(jī)上安裝代理等方式可能造成個人隱私泄露的擔(dān)憂。用戶對安全防護(hù)手段的無感知，一方面保證了其辦公體驗，另一方面對內(nèi)部威脅也有了更好的防護(hù)效果。

在移動辦公大潮已至的今日，面對“海平面”下暗流涌動的安全威脅，虛擬安全域技術(shù)則像“定海神針”一樣，成為企業(yè)應(yīng)對的利器。

當(dāng)然，在VSA技術(shù)能力的實現(xiàn)方面，也不免要面臨下面這些挑戰(zhàn)。包括：

(1) 挑戰(zhàn)1 對設(shè)備兼容性的保障

安卓手機(jī)在中國的市場占有率高達(dá)86.4%(Kantar Worldpanel統(tǒng)計);且國內(nèi)手機(jī)廠商眾多，手機(jī)廠商對ROM更新速度不一，導(dǎo)致國內(nèi)安卓系統(tǒng)的碎片化問題嚴(yán)重。所以在這種情況下，對占有絕對數(shù)量優(yōu)勢的安卓系統(tǒng)兼容性的保障，是實現(xiàn)具有普適性而不是針對特定設(shè)備的安全的基礎(chǔ)。

指掌易在從2013年開始，便在VSA對移動端操作系統(tǒng)和設(shè)備的兼容性方面投入大量人力，有數(shù)十人的專門團(tuán)隊來做這個事情。目前基本可以保證將全新操作系統(tǒng)適配的空白時間窗控制在數(shù)月內(nèi)。

(2) 挑戰(zhàn)2 在“應(yīng)用層”實現(xiàn)

出于對個人隱私的擔(dān)憂，在個人設(shè)備上強(qiáng)制加裝安全代理方式的可行性都是極低的。要想在手機(jī)系統(tǒng)層添加安全控制，如果不能和數(shù)量眾多的手機(jī)廠商達(dá)成深度合作的話，更是不可能(需要用戶上交個人設(shè)備，且在系統(tǒng)版本升級后會失效)。所以，安全應(yīng)選在應(yīng)用層來實現(xiàn)。

誠然，移動應(yīng)用加固也是在應(yīng)用層實現(xiàn)的。但對企業(yè)在業(yè)務(wù)層面對數(shù)據(jù)泄露的防護(hù)不夠直接，且防護(hù)能力的可擴(kuò)展性受限。

指掌易的VSA，在加殼后App在移動端成功安裝后，便作為虛擬層運(yùn)行在應(yīng)用和系統(tǒng)層之間，類似安全引擎，通過策略設(shè)置來提供不限于數(shù)據(jù)防泄露的多種能力。

(3) 挑戰(zhàn)3 完整的移動端to B安全解決方案

從企業(yè)的敏感信息保護(hù)而不是單個App的角度，實現(xiàn)跨業(yè)務(wù)流，包括數(shù)據(jù)防泄密、代碼安全、配置安全等多個安全能力的覆蓋，并與企業(yè)的真實BYOD辦公流程契合。整合到一個平臺來集中提供并借以簡化運(yùn)維成本，也是非常有必要的。

指掌易雖然目前核心業(yè)務(wù)的定位是辦公安全綜合解決方案提供商，并從EMM作為切入點在深耕這個領(lǐng)域。但擁有豐富移動端系統(tǒng)級安全經(jīng)驗的指掌易，to B的移動安全綜合解決方案也必將是其未來的方向。

四、移動辦公安全未來的市場方向

未來的市場方向，包括技術(shù)發(fā)展趨勢、生態(tài)環(huán)境以及應(yīng)用場景的變化。

指掌易認(rèn)為，EMM首先要實現(xiàn)的是DLP的核心安全能力;然后是BYOD更廣泛的安全需求;最后還要實現(xiàn)將移動設(shè)備、應(yīng)用、數(shù)據(jù)、文檔、郵件等業(yè)務(wù)資源的使用，與用戶身份、安全狀態(tài)、訪問策略聯(lián)動起來，通過安全大數(shù)據(jù)分析平臺，從全局的視野來動態(tài)管理，而不僅僅是處理單點的安全需求。同時，安全能力的可擴(kuò)展性，以及產(chǎn)品自身的開放性，包括和企業(yè)原有系統(tǒng)和第三方安全廠商能力的集成，也是非常重要的。

目前，BYOD所帶來企業(yè)對辦公安全的需求，是階段性的;未來，更大的市場在物聯(lián)網(wǎng)。但同時，如何對智能終端的安全性進(jìn)行綜合考慮，并在BYOD這個特定場景下實現(xiàn)安全管控，對于之后的過度是非常重要的。目前BYOD的安全需求是非常強(qiáng)烈的，而物聯(lián)網(wǎng)安全的市場還在快速發(fā)展，指掌易也已經(jīng)在技術(shù)層面進(jìn)行了很多儲備，為未來的云大物移全面融合打下基礎(chǔ)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文