個人自帶設備(BYOD)的新型辦公場景，已經成為不可逆的大潮，正一步步顛覆著傳統(tǒng)辦公模式。但在高效、便捷的辦公背后，由于IT部門對個人設備難以統(tǒng)一管控，而導致企業(yè)在安全威脅面前“破綻百出”。

一、BYOD的安全風險

BYOD場景下，核心生產力的角色不再只由PC端來承擔。個人移動設備的加入，使得移動端的企業(yè)敏感數據泄露，成為企業(yè)移動辦公安全中亟待解決的首要安全隱患。

傳統(tǒng)的辦公模式下，處理各個不同業(yè)務流的系統(tǒng)一般是彼此獨立的。IT部門可以針對各個系統(tǒng)，或通過在公司統(tǒng)一下發(fā)的辦公PC上安裝代理等方式，來實現細粒度的行為管理和訪問控制。

但在移動辦公時代，時間、空間、距離的界限都被打破，截屏、信息的復制粘貼、轉發(fā)、分享等能力唾手可得，導致信息安全風險陡然增大。

BYOD是個人終端參與辦公的時代，相對于PC時代，用戶對體驗的要求非常高。而移動應用的專業(yè)程度和更新頻率都很高，企業(yè)需要很高的移動安全專業(yè)技能和管理成本，才能確保來不同自不同供應商、多個移動應用之間能夠實現一致的操作邏輯，達到相同的用戶體驗。因此企業(yè)越來越需要由專業(yè)的移動安全廠商，在不影響辦公體驗(最好是用戶無感知)的前提將安全能力融合到App中。

可能的安全防護思路

BYOD場景下的移動端App，是企業(yè)針對其內部業(yè)務流程，專為內部員工使用而開發(fā)的應用。所以，在開發(fā)過程中加入一定程度的安全控制，往往是最先會被考慮的防護手段。但目前來看，針對業(yè)務應用的開發(fā)團隊對安全的認識普遍不夠深刻、專為安全的附加開發(fā)成本企業(yè)難以承受等問題，使得從開發(fā)角度來“根治”的方法對于大部分企業(yè)來講不那么切實可行。

當然，術業(yè)有專攻，如果專注移動應用加固的安全廠商來做結果又是怎樣?現實是，整體效果也不那么盡如人意。應用加固技術對BYOD場景下的to B應用并不完全適用，原因有三：

1) 從用途上看，目前對很多企業(yè)而言，用戶盜取數據對其造成的威脅遠比惡意軟件要嚴重得多，應用加固主要用途是從技術角度增強應用面對專業(yè)黑客時的抗攻擊能力，而不是防止普通用戶盜取數據。

2)從安全能力上，目前主流的應用加固技術不具有完整的數據防泄露(DLP)能力，無法實現對應的保護效果。

3) 從實現形態(tài)上，應用加固是針對獨立的App進行，只是在單點上實現，而企業(yè)的移動安全需要將多個App、App與設備狀態(tài)/用戶身份等多個移動要素聯動起來，并且對接企業(yè)現有的IT安全基礎架構才能真正實現。目前的單點應用加固方案顯然無法做到。

除了移動應用加固外，借鑒之前傳統(tǒng)辦公的安全思路，通過在移動端設備安裝代理的方式，在系統(tǒng)層實現對移動設備的統(tǒng)一管控的移動設備管理(MDM)呢?很遺憾，因為BYOD場景下“移動設備為個人所屬”的特性，讓MDM因個人隱私問題而難以推行。同時，大型企業(yè)IT運維人員對眾多設備的跟蹤和管理成本，也是不小的開銷。

綜上不難看出，如果企業(yè)移動管理(EMM)能夠脫離MDM，即脫離設備，那將不失為一種更契合企業(yè)當下安全辦公需求的解決方案。

二、虛擬安全域

國內專注移動辦公安全整體解決方案的提供商——指掌易提出了一種虛擬安全域(VSA)的概念。通過輕量級的移動應用加殼，即在終端系統(tǒng)和辦公App間加入虛擬化層的方式，在應用層實現包括數據防泄露的多種安全能力。

虛擬安全域的特點包括：

由于整個加殼過程不需破壞原App，所以加殼過程也可在安全加固后實現;

整個加殼過程可以在極短的時間內在后臺自動完成;

加殼后的App有著極高的一次性運行成功率;

性能方面，封裝前后文件大小差異小于1MB，代表著更小的多余系統(tǒng)資源占用;

更像是“安全引擎”，除了數據防泄密以外，還可實現包括應用的自動初始化配置，以及對行為和內容進行審計等安全能力。

基于虛擬安全域，指掌易還進一步研發(fā)出了移動安全工作空間系統(tǒng)，無需MDM，提供私有應用商店、應用準入、DLP保護、應用級安全接入隧道、遠程安全配置等安全能力，在不影響用戶體驗的前提下，實現完整的BYOD 移動安全保護。

指掌易以VSA為核心的安全工作空間解決方案

在基于虛擬安全域的移動安全工作空間中，以DLP為核心的多種安全能力和業(yè)務在企業(yè)App中實現了更緊密的結合。在不降低安全防護能力的情況下，免除了用戶對在個人手機上安裝代理等方式可能造成個人隱私泄露的擔憂。用戶對安全防護手段的無感知，一方面保證了其辦公體驗，另一方面對內部威脅也有了更好的防護效果。

在移動辦公大潮已至的今日，面對“海平面”下暗流涌動的安全威脅，虛擬安全域技術則像“定海神針”一樣，成為企業(yè)應對的利器。

當然，在VSA技術能力的實現方面，也不免要面臨下面這些挑戰(zhàn)。包括：

挑戰(zhàn)1 對設備兼容性的保障

安卓手機在中國的市場占有率高達86.4%(Kantar Worldpanel統(tǒng)計);且國內手機廠商眾多，手機廠商對ROM更新速度不一，導致國內安卓系統(tǒng)的碎片化問題嚴重。所以在這種情況下，對占有絕對數量優(yōu)勢的安卓系統(tǒng)兼容性的保障，是實現具有普適性而不是針對特定設備的安全的基礎。

指掌易在從2013年開始，便在VSA對移動端操作系統(tǒng)和設備的兼容性方面投入大量人力，有數十人的專門團隊來做這個事情。目前基本可以保證將全新操作系統(tǒng)適配的空白時間窗控制在數月內。

挑戰(zhàn)2 在“應用層”實現

出于對個人隱私的擔憂，在個人設備上強制加裝安全代理方式的可行性都是極低的。要想在手機系統(tǒng)層添加安全控制，如果不能和數量眾多的手機廠商達成深度合作的話，更是不可能(需要用戶上交個人設備，且在系統(tǒng)版本升級后會失效)。所以，安全應選在應用層來實現。

誠然，移動應用加固也是在應用層實現的。但對企業(yè)在業(yè)務層面對數據泄露的防護不夠直接，且防護能力的可擴展性受限。

指掌易的VSA，在加殼后App在移動端成功安裝后，便作為虛擬層運行在應用和系統(tǒng)層之間，類似安全引擎，通過策略設置來提供不限于數據防泄露的多種能力。

挑戰(zhàn)3 完整的移動端to B安全解決方案

從企業(yè)的敏感信息保護而不是單個App的角度，實現跨業(yè)務流，包括數據防泄密、代碼安全、配置安全等多個安全能力的覆蓋，并與企業(yè)的真實BYOD辦公流程契合。整合到一個平臺來集中提供并借以簡化運維成本，也是非常有必要的。

指掌易雖然目前核心業(yè)務的定位是辦公安全綜合解決方案提供商，并從EMM作為切入點在深耕這個領域。但擁有豐富移動端系統(tǒng)級安全經驗的指掌易，to B的移動安全綜合解決方案也必將是其未來的方向。

四、移動辦公安全未來的市場方向

未來的市場方向，包括技術發(fā)展趨勢、生態(tài)環(huán)境以及應用場景的變化。

指掌易認為，EMM首先要實現的是DLP的核心安全能力;然后是BYOD更廣泛的安全需求;最后還要實現將移動設備、應用、數據、文檔、郵件等業(yè)務資源的使用，與用戶身份、安全狀態(tài)、訪問策略聯動起來，通過安全大數據分析平臺，從全局的視野來動態(tài)管理，而不僅僅是處理單點的安全需求。同時，安全能力的可擴展性，以及產品自身的開放性，包括和企業(yè)原有系統(tǒng)和第三方安全廠商能力的集成，也是非常重要的。

目前，BYOD所帶來企業(yè)對辦公安全的需求，是階段性的;未來，更大的市場在物聯網。但同時，如何對智能終端的安全性進行綜合考慮，并在BYOD這個特定場景下實現安全管控，對于之后的過度是非常重要的。目前BYOD的安全需求是非常強烈的，而物聯網安全的市場還在快速發(fā)展，指掌易也已經在技術層面進行了很多儲備，為未來的云大物移全面融合打下基礎。