BYOD(自带设备办公)的相关技术概念曾经火热,但之后却陷入一段时期的沉寂。如今,随着云计算、智能设备的普及,BYOD的安全市场再次升温。为了了解BYOD场景相关的安全技术、市场与行业需求,安全牛近期采访了一家最早踏入该领域的创业公司启迪思创的总经理,陈战。
一、BYOD的真正兴起在于智能手机的普及
陈战:公司最初的这些人几乎都是传统安全公司出来的,比如天融信、绿盟、思科、瑞星,还有网秦。一开始我们做的是WAF,但很快发现小公司做传统安全没有优势,不管是资质、背景还是产品都很难与大公司或已在行业内有积累的公司竞争。
但我们这些人有一个共同的优势,就是在安全行业做了这么多年,对安全的未来趋势还是有着一定的判断力。传统领域竞争激烈的话,去做创新性的、具有未来发展方向的东西,会有先发优势,更适合创业公司的打法。
通过客户调研以及多次沟通和深度思考,我们发现移动办公在未来是一个必然趋势,因此个人手机有可能成为承载企业数据的重要终端设备。在当时,市场上提供相关服务的厂商顶多做的是MDM,主要是设备管控,网络、通信、数据安全方面尚属空白。于是我们在2013年,确立了移动办公安全的发展方向。
陈战:主要还是基础条件或者说应用环境还不满足。比如硬件支撑,这里就是指智能手机的普及程度不够。另外,相应的IT基础设施也没有建立,除了接收邮件,几乎没有任何实际的办公应用。
但我们认为,未来移动办公一定是一个趋势,而且最关键的,在企业的移动终端设备上一定会承载企业的数据。对于我们这些做安全的人来说,更关注数据的保护。所以,最终我们的专注点或说定位还是放在了移动终端安全上。这个定位是非常早的,当时做移动安全的厂商要么定位在杀毒,要么定位在垃圾短信。都不是从数据安全上考虑的。
二、从MDM到BYOD
陈战:需求虽然少但还是有一些突破,毕竟我们在做传统安全的时候,积累了一些有着高端安全需求的客户。从最初的那一波传统安全需求客户打开口子,然后根据他们的需求一点点延伸、破局,并最终落地。没有人能百分之百的预判未来,但大方向还是可以看到的。
陈战:一开始是这样,我们吸取了很多MDM的因素在里边。但MDM只偏重于设备管控技术,本质上也没什么技术含量,只要设备厂商开放接口,谁都可以去做。更重要的是, MDM不是安全的核心,它解决不了用户的实际安全需求。
而且设备管控也不是我们这些出身安全的团队成员所关注的方向,我们专注于安全技术,关心的是在终端上面怎么做加密怎么做隔离,怎么样在尊重个人隐私的环境下更好的保护数据。
随着我们不断地跟用户沟通,然后思考、沉淀、打磨,同时个人智能手机开始普及,中国的移动互联网应用超越国外,慢慢地BYOD的市场也开始有了起色,并在2015年进入快速发展的上升轨道。
陈战:是医院。医院里有一个硬性要求,就是医患数据不能出医院。但国内的医疗资源非常匮乏,很多医生就会身兼多职跑很多地方。人不在医院,但又需要关注患者的检验结果。于是就产生了在满足合规情况下,对数据保护的需求。既能在医院外访问数据,又得保证数据不被有意或无意地泄露。
当时客户也测试了好几家公司的解决方案,包括国外的公司。经过漫长的测试,从后台的安全传输,到数据在终端上的落地,以及使用过程中的安全,设备丢失后的安全等等,最终还是我们的方案得到了认可,院方对我们的方案评价非常高,曾表示是“最适合医院的移动安全解决方案”。
陈战:那时毕竟BYOD安全还属于新鲜事物,其他公司要么偏向链路安全如VPN,要么偏向MDM设备管控,只有我们的东西是经过很长时间的打磨,而且还是专注安全。最终这个医院将近7000医护人员的移动设备,基本全部装上了我们的终端,承载着医院的移动办公安全。
三、从BYOD到移动化整体解决方案
陈战:简单的说就是搭建一个移动应用的基础支撑平台,通过后台的应用商店,实现对应用的安全管理。这个平台包括了安全中心、管控中心、推送或说消息中心、认证中心,以及威胁感知中心等,医院每上一个移动应用的时候,都能够直接从这个平台上调取这些功能,无需应用厂商的再开发。
这个安全解决方案是一个闭环,应用放到应用商店之后,往下推走的是我们的安全隧道,然后装到个人手机上是装在一个安全空间里,相当于一个保险箱。个人的应用在安全空间之外,与空间里的应用不发生任何可能危害安全的联系。
陈战:安全空间在手机上的呈现方式就是一个APP,企业的应用从刚才说的支撑平台上推下来。空间里的数据与个人的数据与应用完全隔离。这个空间有点类似于沙箱,因为有虚拟的运行环境,也有点像Docker,因为精简了好多功能。
空间中的应用和数据在使用和存储过程中是加密的,空间本身内嵌VPN通信。而且密钥分开存储,本地云端各存一半,即使设备上的文件被拷走解密,也顶多只能拿到一半的密钥。同时还集成了水印功能,即使手机屏被拍照也可追踪责任。最后,如果设备丢失,还可远程擦除数据,把手机恢复到出厂设置。
这样,从私有的应用商店到安全隧道,再到安全空间,既有加密也有隔离和防泄漏,包含了应用安全、传输安全、系统安全和数据安全,形成了一整套安全机制。
需要强调的是,这套体系中最核心的点是平台的标准接口。它意味着用户可以基于一个标准化的接口,不管是协议还是框架,可对接所有应用厂商开发的应用。因此,用户可以在安全空间里实现数据的打通。这一点非常关键,因为数据的流动才能带来更大的价值。
因此,启迪思创的核心理念是基于安全为用户解决业务需求,解决的是如何提高企业的移动化工作效率,即能够保障企业的安全,又能够帮助企业提高移动化的工作效率。顺着这个概念延伸,我们还可以做统一身份认证,只要进到安全空间里,就不需要再输入用户名密码。终端部署完之后,还可以对大数据做呈现,提供多功能多样化用户行为画像,威胁态势感知等。
所以我们给用户提供的不光是一个BYOD的安全问题,而是基于移动化的一揽子安全能力的提供,是一个整体解决方案。这就是我们真正的企业战略定位,要做以安全为核心的企业级移动化支撑平台服务商。
陈战:在MDM盛行的时期,大家都面临一个共同的难题,就是适配。不说操作系统版本或硬件芯片,单说分辨率和屏幕大小,适配起来都非常麻烦。但我们的技术是基于应用层来做的,这样适配的工作量就会小很多。
举个例子,我们有一个银行大客户,将近4万台个人移动设备,基本上把主流的手机和系统覆盖了,我们的这套系统运行的很稳定,也没有什么问题。我们只关注操作系统的升级换代即可,至于硬件机型适配的问题,那是MDM的事情。要想做到全方位的设备管控,那种适配量可想而知。
四、移动化呈爆发性增长 推动全行业共同发展
陈战:首先是医院,刚才说过,我们最早的大客户就是医院,现在已经有了300多个医疗行业的客户。然后是银行,因为金融的信息化一直走在国内的前沿,所以对移动化的需求也比较强。目前四大行已经做了,还有一些城商行,其中有两个项目都是接近60万的用户量。
另外还有一类客户是政府。包括中央办公厅、全国人大、安监总局等。这些政府部门现在对移动办公安全也有比较大的需求,一是电子政务的普及,公务人员要提高工作效率。二是政府内部即时通讯保密性很强,微信、QQ之类的大众IM工具并不适用。
最后还有央企、国企、生产制造等大型企业。总之,从市场的角度来看,移动化的趋势非常明显,呈爆发性增长。
陈战:是这样,但MDM的问题在于强管控。先不说企业需要给每个员工都配备终端的成本问题,只考虑个人隐私就是一个大问题。哪个员工想把自己的位置、爱好、活动等隐私信息暴露给企业呢?如果拿着企业的设备却不敢用,这种移动化的最终效果一定是失败的。我们的平台则是弱管控模式,非常注重个人隐私的保护,个人的应用我们决不会碰。
陈战:在我来看,那业内很多公司还是基于MDM来做。本质上来讲,我们的差异还是在对安全理解不同。设备管控是企业的设备资产保护,而数据保护是企业的信息资产保护。前者员工会感到非常别扭,因为各种审计和使用上的不便,而后者的方式就很容易受到接纳了。
但无论怎样,我非常希望有更多的公司或厂商,以共同的安全理念为基础,大家探讨出更多的解决方案,一起推动全行业移动化的发展。
五、未来更广泛的意义在于物联网
陈战:在企业级移动化市场,远不止手机、平板电脑,它要解决的是更多的智能设备连接问题,未来更广泛的意义在于物联网。我们一直把安全作为对企业级市场的一个切入口,而物联网对安全的需求会更大。虽然物联网的需求目前还没有那么强烈,但是我们已经基于移动端的业务开始延伸。
比如已经在给汽车厂商做一些技术支持工作,即车辆中控系统互联网接入安全。还有一些支付终端,如pos机厂商,以及智能家居厂商。我们原来APP形态改成另一种形态放到这些设备系统中,承载上面的个人信息,并对系统和数据进行保护和加密。
未来我们将会把技术开放,降低使用门槛,让更多的用户使用移动安全平台,把安全能力赋予到各个行业,促进整全行业的移动化发展。
陈战:2017年我们的BYOD业务,收入比去年增长了600%,未来两年的收入计划是每年都要翻番,19年营业收入要过亿。从行业客户来看,我们已经有很多标杆客户,接下来要做的就是纵深,因此今后全国各个区域的渠道和销售团队建设是未来两年的重点,市场推广工作也要跟上配合。
