移动安全大潮正兴，身份认证、业务风险控制、应用加固等移动技术风起云涌。在本次的安全企业访谈中，安全牛采访了一家移动安全领域初创企业的首席运营官，许铭。

许铭

个人简介

许铭，中国电信行业资深专家，中国科学院计算机研究所计算机结构系统99级研究生。2002-2012年，供职于北京移动，先后在数据部研发中心、业务部、集团产品部、西区分公司大客户部等部门任职，其中2004年-2006年担任中国移动飞信项目总负责人。
2012年创办屹立雄风（北京）科技有限公司，2015年加入指掌易科技，任首席运营官。

一、指掌易如何做移动安全？

安全牛：您如何看待目前移动安全的主流技术？你们的专注点在哪里？

许铭：安全是一个很大的概念，涵盖很多东西，放到移动安全上，也有许多不同的方向。

比如，现在就有好多初创安全做移动身份认证或准入，还有移动应用加固，还有移动应用的检测等。总之，每一类的细分领域都有自己市场。虽然由于需求非常明确，比如做应用加固只要不被破解就可以，这个很容易讲清楚，技术上也不难实现，因此能够快速的切入市场。

但是移动端与PC端的差别很大，尤其是移动端想在这么小的屏幕上做很多事情，比PC要难的多。比如，移动端的权限问题。PC上的权限，如Windows是足够开放的，每一个程序都可以拿到底层权限，不管是病毒还是杀毒程序。

但是在移动端，由于没有权限，虽然每一个应用本身可以做许多事情，但是一个应用是不能接管另外一个应用的。想要做到的话，只有两个方法。第一个就是所谓的Root，它实际上是利用后门还获得权限的。举个不太恰当的例子，为了治病，把免疫系统破坏了。病可能治好了，但是给日后埋下了更多的健康风险。尤其对于企业来说，这个方向是完全不可取的。

第二条路，就是去做定制的操作系统，去做手机。但做手机非常复杂，定制成本又高，很少有厂商都承担得起。于是，我们采取了全新的做法。不需要任何特殊权限，就能相当于得到了操作系统最底层的能力。

我们现在的产品几乎适配所有的手机，不管是安卓4.0还是5.0、6.0，不管是32位还是64位，iOS我们也跑通了。

安全牛：如何不通过获取权限，具备“相当得到操作系统最底层的能力”呢？

许铭：是这样，我们在操作系统和应用之间插了一层，这是一个类似于虚拟机的概念。在这个虚拟环境里面运行的应用，它所有的通信行为，所有调用底层操作系统的行为，全都要通过这个环境，从而对这个应用做到各种系统级的管控。这种技术可以叫做扩展的安全沙箱。

谈到移动应用的沙箱，以前主要有两类传统意义上的沙箱，而我们做的是第三类。第一类所谓的沙箱其实就是在开发应用时把SDK嵌进去，以实现加密或其他等安全能力。这种方案的缺点是要做二次开发，二次开发则意味着要有源代码。因此，安全能力只能实现到自己做的应用上，很难做到第三方的应用上，比如说微信、浏览器。

另一类是反编译，就是逆向。许多移动应用都是用JAVA开发的，反编译起来比较容易。说白了就是通过破解逆向得到源代码，然后再往里面插入代码，形成新的APK，这也是种沙箱。

它的缺点在于，由于它通过逆向的方式实现，严格的说是盗版的一种形式，它的技术实现是灰色的。另外，能够逆向的应用非常有限，稍微复杂一点，比如说用C语言写的或是做过加固的应用，典型的如微信、支付宝这些应用，是无法逆向的。

我们则采用了全新的做法，对应用程序一个字节都不去动，可以理解成在它的外面加了一个壳，应用和壳在同一个进程里面运行。应用程序在调用操作系统的时候，它所有的行为，包括通信等都需要经过这个壳。而且，这种做法不去对应用产生任何的改动，理论上可以适用所有的移动应用。事实上，我们也已经适配了国内排名前50万款的应用。

二、99.99%：通过大众测试来判断产品适用性

安全牛：50万款？这个数字是怎么得到的？

许铭：这个数字的来源很有意思。在推出这套方案之前，为了验证它的适用性，我们做了一个POC（概念验证）应用，并于去年6月份上线各大应用商店。到现在为止，这个POC应用已经被全球150多万用户下载。

安全牛：是到应用商店上付费推广吗？

许铭：我们没有做过付费推广，就是放在应用商店上供大家自由下载。这个POC应用针对的是解决安卓手机卡慢、耗电和个人隐私等问题。从产品实现上来讲，通过大家的免费下载使用，因为底层架构是完全一致，所以可以验证我们正式产品的适用性。

我们自己还建了一个应用商店，把全球排名前50万款的应用都拿到我们应用商店里面来做测试。结果不支持的应用不超过50款，适用性达到了99.99%。而且，如果我们想支持这50款非常小众的应用也完全可以做到，投入点成本去做就可以了。

除了适配一个应用本身外，另一个是做手机的适配。这150万用户包括手机和操作系统大约有三千多种型号，当用户在使用中发生问题的时候，会通过各种方式反馈给我们，我们再去做相应的调整，所以现在这个方案才能做到这么稳定、成熟，兼容性好。

同时我们还做了移动端全套的安全能力，包括应用的透明加解密、VPN，和数据防泄露。防泄露可以做到防拷贝、防粘贴、防截屏、防蓝牙传输，再结合时间围栏、地理围栏等功能，可以说这套技术架构是我们在移动安全领域一个非常大的技术壁垒。

安全牛：什么是时间和地理围栏？

许铭：就是指在特定的时间范围和特定的位置，用户才能使用我们的解决方案管理起来的应用。比如，学生在上课时间就不可以使用手机。而一些保密单位的人员，一进入特定的区域就不能使用社交或其他往外联系的应用。

安全牛：听上去你们的技术方案的确不错，那实现这个方案的核心技术团队是怎样的呢？

许铭：指掌易的核心技术团队从零几年就做安全，十多年了一直在都这个圈内。

创始人及核心技术人员王伟，最早在摩托罗拉。其他的有从360过来的，还有从阿里、金山、小米和网秦过来的人。还有几个是播思以前的技术骨干，播思就是之前给中国移动做第一款定制手机系统Ophone的那家公司。这些对移动操作系统和安全非常牛的人，带着将近百人的研发团队才能将产品做好做稳定，做到适配绝大多数应用，安全稳定是我们的优势。

三、市场认可度

安全牛：这套方案出来之后，市场的认可度是怎样的？

许铭：公司现在才刚刚开始，但仅短短这几个月，进展就非常好，不管是资本还是合作伙伴都对我们都非常认可。拿资本来说吧，最早在我们的技术理念刚出来之前，产品连一行代码都没写就有资本投入进来，而且是照一个多亿的估值来做的。

至于市场方面，仅在这两个月我们就已经在多个行业拥有了成功案例，并在全国成立了8个办事处，到年底还会再成立2个，明年则计划发展到30个

安全牛：你们现在多少人？销售和研发人员的比例是怎样的？

许铭：总共不到150人，研发将近80%，销售人员还不到20人。

安全牛：客户方面呢？

许铭：我们的客户目前军队和公检法比较多，因为他们对移动设备的安全管控需求很大。还有一大块是金融客户，包括证券、保险和银行。最后就是政府和教育。前者移动办公需要安全解决方案，后者则是刚才提到的，使用时间和地理围栏来管理控制学生使用手机，这个问题是学校和家长双方一直都在头痛的问题。

说到这里，我补充一下刚才在技术介绍中忘记提到的一个价值点。就是说，其他的移动安全厂商在一般只能做到应用的分发加上黑白名单等，做不到高级的管控。但我们的技术，可以把应用完全管控起来。比如打开某个应用后，不可以访问当前的位置、不允许拍照等，还可以对应用所有的数据进行加密。

目前对应用级的管控，我们是唯一一家做到得，甚至在国外都没有同质化的产品。

安全牛：我觉得你们的这个方案，可以看作是移动操作系统和应用之间的一个代理，国外也没有类似的安全厂商吗？

许铭：硬要说类似的，美国有一个移动安全厂商。但他也用的是反编译的方式，而且价格超贵，开工费都要十万美金，一个license几百美金。当时，我们有个合作伙伴跟这家厂商谈。做测试的时候十个应用，只测了前五个，另外五个测不了。

其实，国内的手机应用环境跟国外很不一样，国外的相对单纯，安卓就是原生安卓，而且国内则复杂多了。小米、锤子、华为、OPPO、魅族、360⋯⋯哪个不是自己改系统。这就是为什么我们用两年的时间闷头做这个事，光投入就两千多万。

四、移动安全的发展空间

安全牛：也就是说你们经过了两年的静默期，潜心研发产品，当初为什么考虑做这个事情？你们对安全的现状和未来的发展趋势是如何理解的呢？

许铭：我和公司创始人王伟在上研究生时是同班同学，他在约十年前做了信安易。信安易在2009年被360收购，即现在的360手机卫士，我以前则在中国移动，都算得上是移动安全领域里的资深了。

我们认为，移动安全经历了三个阶段。第一是通信安全，就是手机垃圾文件、信息骚扰等问题。第二是系统安全，就是保障安卓、iOS等移动系统的安全和稳定。第三个阶段就是我们现在做的，数据安全。

安全牛：前两个阶段都是 To C 的，现在的数据安全则是 To B 的，两者转换的原因是什么呢？

许铭：这里面的逻辑是这样，首先从大的环境来看，To B 我们认为是未来非常大的一个趋势。以美国为例，美国现在的市场份额，To B 与 To C 基本上是4:6的比例。而中国呢？有调查报告显示，这个比例是0.5:9.5。

安全牛：这也太悬殊了吧？

许铭：情况可能真的是这样。你看，中国最牛的一波企业，大都在做C端。如以BAT、360为首的公司，他们圈走一大批的人才。然后，我们再想一下，在B端市场上真正市值比较高，如上百亿的公司有哪些呢？屈指可数。

至于原因，我认为主要是中国的IT基础或普及程度相比发达国家而言比较差。比如在传统行业，不会用电脑的人太多了。但美国不一样，美国基本上在六七十年代就已经非常发达了。但是这种情况我反而觉得是一个机会，是一个弯道超车的机会。

在互联网时代，中国可能发展的不够快，因为很多传统的IT架构基础比较差。但现如今已经进入移动互联网时代，情况有所反转。中国人用手机比老外用的多，虽然至今很多人不会用电脑，但是却很少有人不会用手机。

互联网时代只是改变了通信关系，增加了信息的连通性和方便传输性。但移动互联网真正改变了人类的生活，创造出很多新的需求。比如地理定位、手机打车、快捷支付等很多服务，在之前的互联网时代是不可能有的。互联网时代，我们差的比较远。但在移动互联网时代，我们很有可能追上来。

另外一个很重要的原因就是全球大的政策形式，不仅是中国，各个国家政府都在提倡安全。美国在IT投入上，安全的占比达到15%，而中国也就2%左右。因此我们国家去年提出来，要把这个数字在几年之内提到5%到8%，然后再逐渐达到发达国家的水平。从国家的投入上来说，包括提倡国产化和自主可控，这是一个对安全非常利好的态势，对国内的安全公司来说，更是一个非常好的机会。

刚才也提到过，在安全领域有很多细分，也许很多厂商在做。但我们认为在手机上，最终需要一套相对大而全的解决方案来做。因为手机不像PC，它无法像PC那样一下子装好多种软件，每个程序分别满足用户不同的需求，这是不可能的。所以我们指掌易的技术思路，就是要做一套比较全的方案，来解决安全里面各个环节的问题。

五、移动安全的四条产品线

安全牛：刚才谈技术的时候，您介绍了指掌易的技术实现思路，正好借着现在的话题，可以谈谈你们的产品线，如何“来解决安全里面各个环节的问题”？

许铭：好的，回到刚才的技术话题。基于我们对移动操作系统的深度了解，我们开发了一个大的架构，在这个架构上有四条产品线，以满足客户的不同需求。

首先是EMM（企业移动管理）。其实，国内已经有大概二三十家公司都在做这个领域。但目前国内的EMM还处于一个非常初级的阶段，主要集中在MDM移动设备管理这个领域。MDM比较简单，操作系统开放什么API就能管什么。比如蓝牙开放出来就可以做蓝牙，摄像头开放出来就可以管理摄像头等。由于技术壁垒低，大家的能力相近，最终这块市场就是拼价格。这样的市场是有问题的。

除了MDM，EMM还包括MAM（移动应用管理）和MCM（移动内容管理）。我们通过在操作系统和移动应用之间建立虚拟层以实现应用的全方位管理，具体的技术原理实现刚才已经讲过了。在MCM方面，我们能做到文档的加密，并指定受控的文档是否可以被打开，或是可以打开多长时间，之后就自动销毁等，这是我们非常强的地方。

第二条产品线是移动的DLP（数据防泄露）。PC时代的DLP已经做了好多年，国内厂商也不少，像明朝万达、亿赛通等。但在移动互联网时代，移动端的防泄露需求越来越大。我们的做法是与传统DLP厂商进行合作，因为客户要全套解决方案，即要有PC端又要有手机端。目前我们与国内主流的DLP厂商合作非常紧密，有不少的客户都是合作伙伴带来的。

第三条产品线是移动端的上网行为管理。上网行为也是一个老的概念，但在移动端又有着一些不同的地方，比如刚才讲过的时间和地量围栏，还有针对浏览器、即时通迅工具的管理。浏览器的管理可以做到记录访问足迹，拦截非法站点，微信、QQ、微博等社交工具，同样也可以记录和审计，并可匹配关键做到报警和拦截。上网行为这套产品线也是在和传统厂商紧密合作，帮助我们引入更多的客户。

第四个产品线非常有意思，叫做移动端的安全办公套件。移动办公已经是趋势，目前其需求主要集中在邮件处理、浏览器访问内外网，以及文档的查看等三个方面。传统的做法，为了保障安全，需要自己去开发邮件客户端、浏览器和文档处理器，因为别人的程序自己无法搞定。这样做先不也开发成本，就是稳定性和用户体验上也很难达到专业软件厂商的水平。

但使用我们的方案之后，就根本用不着开发了。不管你是WPS还是Office，不管你是Outlook还是Foxmail，也不管是IE还是UC，拿过来直接在我们的沙箱里面运行，即可自动做到传输加密的、数据防泄露，所有的都是安全的。浏览器、邮件、文档，全部打包成一个套件，集中到移动办公的方案里。

我们认为，未来最好的安全方案一定是大一统的解决方案，能够系统全面地解决各个环节的安全问题，这是趋势。