個(gè)人自帶設(shè)備(BYOD)的新型辦公場(chǎng)景，已經(jīng)成為不可逆的大潮，正一步步顛覆著傳統(tǒng)辦公模式。但在高效、便捷的辦公背后，由于IT部門(mén)對(duì)個(gè)人設(shè)備難以統(tǒng)一管控，而導(dǎo)致企業(yè)在安全威脅面前“破綻百出”。

[[201336]]

一、BYOD的安全風(fēng)險(xiǎn)

BYOD場(chǎng)景下，核心生產(chǎn)力的角色不再只由PC端來(lái)承擔(dān)。個(gè)人移動(dòng)設(shè)備的加入，使得移動(dòng)端的企業(yè)敏感數(shù)據(jù)泄露，成為企業(yè)移動(dòng)辦公安全中亟待解決的首要安全隱患。

傳統(tǒng)的辦公模式下，處理各個(gè)不同業(yè)務(wù)流的系統(tǒng)一般是彼此獨(dú)立的。IT部門(mén)可以針對(duì)各個(gè)系統(tǒng)，或通過(guò)在公司統(tǒng)一下發(fā)的辦公PC上安裝代理等方式，來(lái)實(shí)現(xiàn)細(xì)粒度的行為管理和訪問(wèn)控制。

但在移動(dòng)辦公時(shí)代，時(shí)間、空間、距離的界限都被打破，截屏、信息的復(fù)制粘貼、轉(zhuǎn)發(fā)、分享等能力唾手可得，導(dǎo)致信息安全風(fēng)險(xiǎn)陡然增大。

BYOD是個(gè)人終端參與辦公的時(shí)代，相對(duì)于PC時(shí)代，用戶(hù)對(duì)體驗(yàn)的要求非常高。而移動(dòng)應(yīng)用的專(zhuān)業(yè)程度和更新頻率都很高，企業(yè)需要很高的移動(dòng)安全專(zhuān)業(yè)技能和管理成本，才能確保來(lái)不同自不同供應(yīng)商、多個(gè)移動(dòng)應(yīng)用之間能夠?qū)崿F(xiàn)一致的操作邏輯，達(dá)到相同的用戶(hù)體驗(yàn)。因此企業(yè)越來(lái)越需要由專(zhuān)業(yè)的移動(dòng)安全廠商，在不影響辦公體驗(yàn)(最好是用戶(hù)無(wú)感知)的前提將安全能力融合到App中。

可能的安全防護(hù)思路

BYOD場(chǎng)景下的移動(dòng)端App，是企業(yè)針對(duì)其內(nèi)部業(yè)務(wù)流程，專(zhuān)為內(nèi)部員工使用而開(kāi)發(fā)的應(yīng)用。所以，在開(kāi)發(fā)過(guò)程中加入一定程度的安全控制，往往是最先會(huì)被考慮的防護(hù)手段。但目前來(lái)看，針對(duì)業(yè)務(wù)應(yīng)用的開(kāi)發(fā)團(tuán)隊(duì)對(duì)安全的認(rèn)識(shí)普遍不夠深刻、專(zhuān)為安全的附加開(kāi)發(fā)成本企業(yè)難以承受等問(wèn)題，使得從開(kāi)發(fā)角度來(lái)“根治”的方法對(duì)于大部分企業(yè)來(lái)講不那么切實(shí)可行。

當(dāng)然，術(shù)業(yè)有專(zhuān)攻，如果專(zhuān)注移動(dòng)應(yīng)用加固的安全廠商來(lái)做結(jié)果又是怎樣?現(xiàn)實(shí)是，整體效果也不那么盡如人意。應(yīng)用加固技術(shù)對(duì)BYOD場(chǎng)景下的to B應(yīng)用并不完全適用，原因有三：

1) 從用途上看，目前對(duì)很多企業(yè)而言，用戶(hù)盜取數(shù)據(jù)對(duì)其造成的威脅遠(yuǎn)比惡意軟件要嚴(yán)重得多，應(yīng)用加固主要用途是從技術(shù)角度增強(qiáng)應(yīng)用面對(duì)專(zhuān)業(yè)黑客時(shí)的抗攻擊能力，而不是防止普通用戶(hù)盜取數(shù)據(jù)。

2)從安全能力上，目前主流的應(yīng)用加固技術(shù)不具有完整的數(shù)據(jù)防泄露(DLP)能力，無(wú)法實(shí)現(xiàn)對(duì)應(yīng)的保護(hù)效果。

3) 從實(shí)現(xiàn)形態(tài)上，應(yīng)用加固是針對(duì)獨(dú)立的App進(jìn)行，只是在單點(diǎn)上實(shí)現(xiàn)，而企業(yè)的移動(dòng)安全需要將多個(gè)App、App與設(shè)備狀態(tài)/用戶(hù)身份等多個(gè)移動(dòng)要素聯(lián)動(dòng)起來(lái)，并且對(duì)接企業(yè)現(xiàn)有的IT安全基礎(chǔ)架構(gòu)才能真正實(shí)現(xiàn)。目前的單點(diǎn)應(yīng)用加固方案顯然無(wú)法做到。

除了移動(dòng)應(yīng)用加固外，借鑒之前傳統(tǒng)辦公的安全思路，通過(guò)在移動(dòng)端設(shè)備安裝代理的方式，在系統(tǒng)層實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備的統(tǒng)一管控的移動(dòng)設(shè)備管理(MDM)呢?很遺憾，因?yàn)锽YOD場(chǎng)景下“移動(dòng)設(shè)備為個(gè)人所屬”的特性，讓MDM因個(gè)人隱私問(wèn)題而難以推行。同時(shí)，大型企業(yè)IT運(yùn)維人員對(duì)眾多設(shè)備的跟蹤和管理成本，也是不小的開(kāi)銷(xiāo)。

綜上不難看出，如果企業(yè)移動(dòng)管理(EMM)能夠脫離MDM，即脫離設(shè)備，那將不失為一種更契合企業(yè)當(dāng)下安全辦公需求的解決方案。

二、虛擬安全域

國(guó)內(nèi)專(zhuān)注移動(dòng)辦公安全整體解決方案的提供商——指掌易提出了一種虛擬安全域(VSA)的概念。通過(guò)輕量級(jí)的移動(dòng)應(yīng)用加殼，即在終端系統(tǒng)和辦公App間加入虛擬化層的方式，在應(yīng)用層實(shí)現(xiàn)包括數(shù)據(jù)防泄露的多種安全能力。

虛擬安全域的特點(diǎn)包括：

• 由于整個(gè)加殼過(guò)程不需破壞原App，所以加殼過(guò)程也可在安全加固后實(shí)現(xiàn);
• 整個(gè)加殼過(guò)程可以在極短的時(shí)間內(nèi)在后臺(tái)自動(dòng)完成;
• 加殼后的App有著極高的一次性運(yùn)行成功率;
• 性能方面，封裝前后文件大小差異小于1MB，代表著更小的多余系統(tǒng)資源占用;
• 更像是“安全引擎”，除了數(shù)據(jù)防泄密以外，還可實(shí)現(xiàn)包括應(yīng)用的自動(dòng)初始化配置，以及對(duì)行為和內(nèi)容進(jìn)行審計(jì)等安全能力。

基于虛擬安全域，指掌易還進(jìn)一步研發(fā)出了移動(dòng)安全工作空間系統(tǒng)，無(wú)需MDM，提供私有應(yīng)用商店、應(yīng)用準(zhǔn)入、DLP保護(hù)、應(yīng)用級(jí)安全接入隧道、遠(yuǎn)程安全配置等安全能力，在不影響用戶(hù)體驗(yàn)的前提下，實(shí)現(xiàn)完整的BYOD 移動(dòng)安全保護(hù)。

指掌易以VSA為核心的安全工作空間解決方案

在基于虛擬安全域的移動(dòng)安全工作空間中，以DLP為核心的多種安全能力和業(yè)務(wù)在企業(yè)App中實(shí)現(xiàn)了更緊密的結(jié)合。在不降低安全防護(hù)能力的情況下，免除了用戶(hù)對(duì)在個(gè)人手機(jī)上安裝代理等方式可能造成個(gè)人隱私泄露的擔(dān)憂(yōu)。用戶(hù)對(duì)安全防護(hù)手段的無(wú)感知，一方面保證了其辦公體驗(yàn)，另一方面對(duì)內(nèi)部威脅也有了更好的防護(hù)效果。

在移動(dòng)辦公大潮已至的今日，面對(duì)“海平面”下暗流涌動(dòng)的安全威脅，虛擬安全域技術(shù)則像“定海神針”一樣，成為企業(yè)應(yīng)對(duì)的利器。

當(dāng)然，在VSA技術(shù)能力的實(shí)現(xiàn)方面，也不免要面臨下面這些挑戰(zhàn)。包括：

(1) 挑戰(zhàn)1 對(duì)設(shè)備兼容性的保障

安卓手機(jī)在中國(guó)的市場(chǎng)占有率高達(dá)86.4%(Kantar Worldpanel統(tǒng)計(jì));且國(guó)內(nèi)手機(jī)廠商眾多，手機(jī)廠商對(duì)ROM更新速度不一，導(dǎo)致國(guó)內(nèi)安卓系統(tǒng)的碎片化問(wèn)題嚴(yán)重。所以在這種情況下，對(duì)占有絕對(duì)數(shù)量?jī)?yōu)勢(shì)的安卓系統(tǒng)兼容性的保障，是實(shí)現(xiàn)具有普適性而不是針對(duì)特定設(shè)備的安全的基礎(chǔ)。

指掌易在從2013年開(kāi)始，便在VSA對(duì)移動(dòng)端操作系統(tǒng)和設(shè)備的兼容性方面投入大量人力，有數(shù)十人的專(zhuān)門(mén)團(tuán)隊(duì)來(lái)做這個(gè)事情。目前基本可以保證將全新操作系統(tǒng)適配的空白時(shí)間窗控制在數(shù)月內(nèi)。

(2) 挑戰(zhàn)2 在“應(yīng)用層”實(shí)現(xiàn)

出于對(duì)個(gè)人隱私的擔(dān)憂(yōu)，在個(gè)人設(shè)備上強(qiáng)制加裝安全代理方式的可行性都是極低的。要想在手機(jī)系統(tǒng)層添加安全控制，如果不能和數(shù)量眾多的手機(jī)廠商達(dá)成深度合作的話(huà)，更是不可能(需要用戶(hù)上交個(gè)人設(shè)備，且在系統(tǒng)版本升級(jí)后會(huì)失效)。所以，安全應(yīng)選在應(yīng)用層來(lái)實(shí)現(xiàn)。

誠(chéng)然，移動(dòng)應(yīng)用加固也是在應(yīng)用層實(shí)現(xiàn)的。但對(duì)企業(yè)在業(yè)務(wù)層面對(duì)數(shù)據(jù)泄露的防護(hù)不夠直接，且防護(hù)能力的可擴(kuò)展性受限。

指掌易的VSA，在加殼后App在移動(dòng)端成功安裝后，便作為虛擬層運(yùn)行在應(yīng)用和系統(tǒng)層之間，類(lèi)似安全引擎，通過(guò)策略設(shè)置來(lái)提供不限于數(shù)據(jù)防泄露的多種能力。

(3) 挑戰(zhàn)3 完整的移動(dòng)端to B安全解決方案

從企業(yè)的敏感信息保護(hù)而不是單個(gè)App的角度，實(shí)現(xiàn)跨業(yè)務(wù)流，包括數(shù)據(jù)防泄密、代碼安全、配置安全等多個(gè)安全能力的覆蓋，并與企業(yè)的真實(shí)BYOD辦公流程契合。整合到一個(gè)平臺(tái)來(lái)集中提供并借以簡(jiǎn)化運(yùn)維成本，也是非常有必要的。

指掌易雖然目前核心業(yè)務(wù)的定位是辦公安全綜合解決方案提供商，并從EMM作為切入點(diǎn)在深耕這個(gè)領(lǐng)域。但擁有豐富移動(dòng)端系統(tǒng)級(jí)安全經(jīng)驗(yàn)的指掌易，to B的移動(dòng)安全綜合解決方案也必將是其未來(lái)的方向。

四、移動(dòng)辦公安全未來(lái)的市場(chǎng)方向

未來(lái)的市場(chǎng)方向，包括技術(shù)發(fā)展趨勢(shì)、生態(tài)環(huán)境以及應(yīng)用場(chǎng)景的變化。

指掌易認(rèn)為，EMM首先要實(shí)現(xiàn)的是DLP的核心安全能力;然后是BYOD更廣泛的安全需求;最后還要實(shí)現(xiàn)將移動(dòng)設(shè)備、應(yīng)用、數(shù)據(jù)、文檔、郵件等業(yè)務(wù)資源的使用，與用戶(hù)身份、安全狀態(tài)、訪問(wèn)策略聯(lián)動(dòng)起來(lái)，通過(guò)安全大數(shù)據(jù)分析平臺(tái)，從全局的視野來(lái)動(dòng)態(tài)管理，而不僅僅是處理單點(diǎn)的安全需求。同時(shí)，安全能力的可擴(kuò)展性，以及產(chǎn)品自身的開(kāi)放性，包括和企業(yè)原有系統(tǒng)和第三方安全廠商能力的集成，也是非常重要的。

目前，BYOD所帶來(lái)企業(yè)對(duì)辦公安全的需求，是階段性的;未來(lái)，更大的市場(chǎng)在物聯(lián)網(wǎng)。但同時(shí)，如何對(duì)智能終端的安全性進(jìn)行綜合考慮，并在BYOD這個(gè)特定場(chǎng)景下實(shí)現(xiàn)安全管控，對(duì)于之后的過(guò)度是非常重要的。目前BYOD的安全需求是非常強(qiáng)烈的，而物聯(lián)網(wǎng)安全的市場(chǎng)還在快速發(fā)展，指掌易也已經(jīng)在技術(shù)層面進(jìn)行了很多儲(chǔ)備，為未來(lái)的云大物移全面融合打下基礎(chǔ)。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文