数字化转型，移动安全先行｜企业信息安全实践

在企业向数字化转型的过程中，云+移动的新 IT 架构模式，打破了企业边界，使得企业信息安全越发重要。在移动设备端，尤其是越来越多企业采用的 BYOD（Bring Your Own Device）设备上，既要提供良好用户体验、保障个人隐私，又要保护企业信息安全，指掌易移动安全工作空间给出了最佳答案。

指掌易成立于 2013 年，创始人和创始团队在业界移动安全领域具有 14 年之久的行业经验，指掌易结合传统 to C 领域的移动安全经验，构建了非常强大的企业移动和安全团队。

在青云以及青云的客户分享中，都不断地提到数字化转型，我们从端从云各种角度和客户的 IT 演进来看，数字化转型其中有几个非常重要的特征：

第一是业务前移，以用户为中心。在我们看来面向未来正因为所有的计算能力越来越多的会在端上，在每个人的手中实现，就愈发需要企业要以用户为中心。这个额用户可能是我们的员工，可能是我们的合作伙伴，也可能是我们的最终客户。

第二是永远在线。无线通信技术的快速成熟，带来了大面积的成本降低和覆盖的提高。5G 发布的时候本来预期是会到 2020 年大规模商用。未来永远在线基本是一个现实了，永远在线意味着不光每个人永远在线，以后所有智能设备所有业务场景都是永远在线，永远在线意味着不再有维护的窗口，那怎么办呢？这就要求你的业务一定要轻量化，要支持快速迭代，要快速适应。

构建传统 IT 的时候可能花很多时间去运营，去设计，再花很长时间去实施。但是未来我们更多的是基于青云的云，基于我们的移动端，就像在开发的过程中推崇的 DevOps 一样，业务运行也是 DevOps，不断地快速迭代中不断试错，不断修正，不断创造更大的价值，永远在线最终会带来快速迭代。

第三数字化，这是消费领域非常普及的理念，例如，有一位同事嗓子不舒服，他马上叫了一个快递，把金嗓子喉宝送了过来。O2O 概念在传统的 to C 领域已经非常常见了，而在 to B 领域还远远没有起来。大家知道谷歌的 glass 是非常失败的 to C 的产品，但并不妨碍他在 to B 领域非常成功。

去年年终微软的 HoloLens 迎来第一个企业级大客户 Thyssenkrupp 的电梯，一下采购了几千台微软的 HoloLens 眼镜，专门用于解放电梯维修工程师的双手，通过眼镜指导他的维修，提高他的效率。未来虚拟空间和实体空间要融合起来，并且要以当前的业务场景为驱动。

现在是一个什么阶段？现在这个阶段就是云+移动。越来越多企业会考虑，包括大银行、传统金融企业、传统制造企业有越来越多的业务，原来是边缘的业务，现在越来越多的核心业务在上云。开始上私有云，后来是专有云、行业云，再未来就会到公有云上。它会有个过程，但是这个趋势是不变的。就像所有工作原来在 PC 上，但是现在越来越多的时间，处理工作过程中跟人的协作越来越多会在移动端。

最终会带来几个变化，第一是去中心化，从现象来看正是因为所有业务都在端上做了，导致我们的去中心化存在一个载体才有可能。

第二是智能化，每个人都有非常强大的智能的数字助理，未来还有更多的助理，但是现在手机已经足够强大了，未来还会有个人的机器人，还有个人更强大的云端的 AI 能够随时随地帮我们提供，但是在目前这个阶段最合适的载体就是我们的手机。

第三就是个性化，越来越多的客户、越来越多的企业不再统一给大家制定各种规章，不再给大家统一配发手机办公，更多的是会允许你使用自己个人的设备，我们叫做 BYOD、BYOA、BYanything，会带到工作环境中使用。

指掌易希望解决在这个过程中的安全问题，每个端点上的能力那么强大，你用自己的东西，怎么保证企业的业务、企业的数据在个人的设备上、在个人随时随地的使用过程中能保证安全，这就是我们要做的，我们要保证安全。

我们一方面要保证安全，更重要的是我们希望这个安全能够落实。这个安全不会给你带来额外的负担，这个负担既包括对于用户的负担，也包括对 IT 的负担，我们希望简化 IT 环境的管理，在这个基础上才能产生刚才所说的非常多的变化，产生更多的新的场景、新的使用模式。

首当其冲的，企业面临的安全架构的变革，绝大多数的 IT 环境是一个封闭的环境，通过它的网络边界隔离各种安全威胁，但是一旦走向移动端，一旦走向云+移动，不光是你的前端出去了，你的后台也出去了，你的安全边界消失了。

 一方面，青云在云端会提供非常好的安全措施在云端保护。另一方面，还有很多数据，我们希望能利用端上非常强大的智能化处理能力做分布式去中心化的处理，这种情况下我们希望在端上一样采取非常强大的保护，安全的防护迁移到每个设备，这个设备很可能不是你自己的设备，是你自己的 BYOD 的设备，要求不光要迁移到设备，还要迁移到每一个 APP 上去。

这里面就涉及到安全首当其冲的一个问题，数据防泄露的问题。在传统的 PC 端有大量的防火措施，大量的技术手段解决，但是很多时候并没有大量全面的使用，因为 PC 端传统 DLP 的方式影响了用户的正常使用，影响了信息更加广泛的协作，我们希望在移动端能够不要再重蹈覆辙。

讲到安全和体验的问题，有个非常明显的例子，大家知道希拉里她的选举失败有很多原因，其中有一个原因就是她的邮件问题。白宫虽然有非常安全的邮件体系，但是希拉里觉得不好用，她自己在地下室搭了一套邮件系统。 这里面涉及到一个安全的问题，虽然你有非常高级的安全系统，如果用户弃之不用，她又要解决她的业务问题怎么办，她要创造一个方式满足他的业务需求。但是她因为不是安全专家，她不是 IT 专家，她创造出的一定有非常大的风险，所谓的 shadowIT 的概念。这就导致看上去很完整的安全系统和安全制度，但是得不到落实，用户不愿意用导致了它没有办法落地，就会带来更大的安全风险。

在移动端我们既要保证安全又要保证体验，过去的实践中我们会采用在每个业务角度去做，例如很多企业包括我们自己都在使用钉钉作为内部的即时通信协作的平台，钉钉自己会有一些安全管理能力，那除了钉钉其他的应用怎么办？每个应用都需要解决这些问题，这会不会在移动端带来新的竖井结构呢？能不能有一个通用的方法、更简单的方法、更快捷的方法、更低成本的方法解决移动端信息安全竖井的问题呢？

我们推出了数字化移动安全工作空间解决方案，帮助需要快速变化快速迭代的客户，在移动端以用户为中心，而且不需要 MDM。很多厂商在解决这个问题的时候要先把设备管起来，这样的话每个用户会有非常大的的抵触。对于 IT 来讲管了不必要的东西，他们其实不关心设备怎么样，更关心业务数据和应用怎么样，指掌易的解决方案不需要管这些，在应用级解决这些问题。而且，这是一个非常轻量级的解决方案。

现在我们只做了非常简单的几件事，第一帮你建私有的企业应用商店，在这个应用商店可以支持 iOS 和安卓的跨平台的应用； 第二我们提供一套通用的移动 DLP 的能力，这个能力就包括了刚才提到的复制、粘贴、水印等等能力，所有这些能力赋予你的应用的时候你的应用不需要一行代码改动，只需要在后台 APP 上传完成这个安全增强的过程； 第三移动应用准入，实现应用的单点登陆，移动端只要通过安全工作空间的认证，就可以毫无障碍的直接使用各种工作应用。我们还会提供一些通用的移动安全组件，包括移动邮件、移动网盘、移动安全浏览以及移动安全接入隧道，这一套安全办公的组件。

我们会把自有的安全能力开放出来，我们是轻量的平台但并不是封闭的平台，我们会把这个能力开放给后台的统一的安全运维中心、监控服务中心、管理平台，在前台我们可以把完整能力作为 SDK 放到自己的移动门户里面去。

我们这个平台也会对外开放，我们欢迎所有的合作厂商把你的安全能力放在我们的平台上，现在支持安全应用的加固、应用的扫描、应用的杀毒，在一站式服务的平台上解决企业移动应用面临的共性的问题。

后台非常简单的轻量级个性化应用，不需要 MDM 的移动 DLP 赋能，不需要更改把你的开发商做完的 APP 直接在后台上传进来勾选应用的策略，我可以马上让这些应用具备安全和 DLP 的能力。

准入的控制，所有应用我们可以在统一的入口，这个入口可以是我们提供的安全工作空间 APP，也可以通过集成我们 SDK 的移动 OA 的门户，只要是通过我们的后台分发下来的安全应用，都可以使用统一的准入进行控制，包括后期实现应用级的单点登陆。

这里边非常常见的人员协作的移动化，还有基于内容的协作以及在外网如何接入内网的资源，这个接入我们只针对企业应用级在应用的级别按需提供连接，而不会把安全通道开放给额外的 QQ、微信等个人应用。

这是把我们的前台后台都开放给第三方，帮助企业更好的把移动安全的能力整合到整个 IT 基础架构里边去。

对于第三方来讲，DLP 是我们自己提供的，我们能够提供基础的安全加固能力，更专业的安全加固能力，我们会给第三方提供开放的能力，把他们的能力放进来，还有更多的漏洞扫描、病毒查杀。

最后我们希望通过这样一套平台，基于我们自己业界顶级的即时封装技术，帮助用户在快速的几秒钟时间里完成企业移动应用的安全保护。

同时在这个过程中不管是最初的后台管理还是项目的普遍推广过程中都不需要用户 MDM 的非常复杂的过程，直接解决用户和企业最关心的安全问题，对用户来讲更多的是以服务的心态而不是管理的心态推广这样一套解决方案。

我们希望这个平台是一个一站式可扩展的移动安全平台，未来安全一定不断有新的问题和风险出现，Gartner 说越来越多的情况下不能百分之百解决所有的安全问题，最大的办法就是希望我们解决安全问题能做到快速响应，动态的自适应地解决这个问题，道高一尺魔高一丈，我们永远要做不断的改进，一定要有非常稳固扎实的平台，希望我们的平台能够给客户提供非常好的基础。

最终我们希望实现基于数据的安全到上下文的业务安全，最后扩展到基于云端基于大数据的更加智能化的协同安全服务。

所有这一切都是基于我们最核心的在移动端基于应用级的虚拟安全工作区的技术，这个技术目前第一能够实现最高的兼容性。第二，超快速，整个安全平台包括实施、推广，实现的成本是最低的，不需要应用做任何的改造。第三，超轻量级，所有的应用通过我们的封装技术它的大小增加量不超过 1M，这个对性能几乎没有任何的障碍。

在移动化时代，轻量化、场景化、快速迭代是非常好的思路，希望这套解决方案包括我们的技术能够真诚的服务所有的客户，和青云一起在云端上真正的帮助大家实现数字化的转型。

附：演讲实录