访谈嘉宾:指掌易副总裁 丁俊一
分析师:徐晓丽
“工作”通常是指一群人在同一时间、同一空间互相协作、共同配合的过程。今天,企业工作环境的一个重要变化就是其覆盖范围更广,各个分支机构之间通过网络和通信技术实现紧密连接,相互取得联系,而员工可以通过智能计算终端、电子邮件、即时通信软件、视频会议等应用,轻松实现跨地域的沟通和协作。
随着现代企业的工作空间从物理世界快速扩展到数字化世界。企业越来越多的终端系统和数据会转移到企业外部的网络环境中,让企业外部资产的管理需求和安全需求交织在一起,变得与企业内部资产同样重要。在新的数字化工作空间中,重构企业资产的防护能力变得紧急且重要。本次访谈邀请到北京指掌易科技有限公司副总裁丁俊一,就现代企业数字化工作空间的安全挑战与建设进行了探讨。
丁俊一
指掌易副总裁,硕士毕业于北京航空航天大学,目前负责指掌易产品规划。作为企业移动化领域的资深人士,丁俊一从2010年起就致力于企业移动信息化的工作,先后服务于黑莓、AirWatch等业内知名企业,具备深厚的企业移动信息化架构、方案及安全管理技术背景和管理经验。在此之前,还曾经作为软件技术专家在IBM服务近7年。
01
安全牛
移动通信及终端计算能力的增强,让现代企业进入到移动化办公的新时代。工作环境的变化会给企业业务发展带来哪些新的安全挑战?
丁俊一
首先,随着企业数字化转型的深入,越来越多的工作场景位于传统办公网络环境之外,传统安全边界在消失,原有的基于网络流量的边界安全防护失效,迫切需要在新的数字化系统上重新构建安全防护体系。
其次,传统安全风险转移并扩大,安全防护需要前置到离散分布的每个终端。数字化移动办公环境下,人员和终端的空间分布呈高度离散分布状态,安全防护需要应用到每一个终端,甚至每一个业务上,终端工作的地点、时间、业务场景存在差异,安全风险从类型到风险点数量上快速放大,过去那种固定、单一、静态的安全防护思维就不再适用了。
第三,安全防护需要深入到业务中并与业务深度结合。新兴的数字化工作基础设施对安全提出了更多要求,不仅需要通用的安全方案满足对应的安全基线要求,还需与各行业、各类细分工作场景更加匹配的安全方案,甚至与数字化工作基础设施建设融为一体,统一规划和建设。
02
安全牛
终端设备是现代企业数字化应用的重要组成,随着办公终端的不断扩展,终端安全的内涵是否也在重新定义,其核心能力您认为应该是什么?
丁俊一
原来的终端办公系统,多是使用Windows系统,但今天的终端类型、使用方式、归属权等多个角度都发生了很大变化,可以是移动设备、PC机;使用的系统可能是Mac或Linux,也可能是信创系统;应用形态上可能是个人单独使用,也可能是多人共享,还可能是无人值守的IoT终端设备,终端可能是企业的,也可能是个人的BYOD设备。
终端类型的复杂性,要求终端安全的技术方案要更加全面和多样化,但在最终实现效果上,又需要保持相对一致的安全能力,并为用户提供相对一致的体验。比如,无人终端,需要更多考虑可靠性、业务连续性,以及无人看守时的物理安全风险;而共享终端,则要考虑多用户之间数据的隔离、多用户切换的过程等,这些也是传统终端安全所未涉及到的内容;BYOD终端更多涉及用户个人信息的保护,为企业解决终端安全的同时,需要同时平衡用户的体验需求。
从这个角度看,终端安全应该是一个不依赖于类型、使用方式和归属,面向不同用户、多种终端构建的一个可信的、数字化的安全工作空间,以保护空间内的企业数据,同时又不影响空间外的个人信息利用和保护,并且可以远程灵活管理,满足不同业务场景需求。应用方式上可以是设备级别,也可以是用户级别,甚至是应用级别。
我们认为,现代企业构建安全的数字化工作空间,需要以下四个方面的核心能力:
- 具备较强的隔离能力。保护空间内的企业数据,不影响空间外的个人信息,并且可以远程灵活管理,满足不同业务场景需求;
- 确保数据安全的能力。终端的最大风险是数据泄露风险,敞口从个位数上升到上万个,安全隐患井喷式增长,所以一定要有数据防泄漏;
- 安全准备的能力。大多数企业业务需要终端与后台服务进行联通,因此要确保联通和接入过程的安全性;
- 保障业务连续性上,要确保终端的健壮性,比如在在线、离线状态下,都要保证终端的健壮性。
03
安全牛
数字化工作空间的安全能力建设,对传统计算环境安全的技术发展会产生哪些影响和变革?
丁俊一
传统计算环境安全的解决方案主要面向集中式办公、数据中心的PC和服务器。由于云计算、智能终端和4G/5G移动互联的广泛使用,计算的重心逐渐转移到分布式的、用户侧的终端用户计算环境中。因此,新终端安全主要是由混合办公推动的,面向用户侧解决终端用户计算安全问题。
在这个演变过程中,部分传统终端安全的理念、方案和产品组件将被继续应用到新的终端环境下,比如杀毒、EDR、漏洞检测等。但是由于数字化办公终端的外延,方案复杂度的提高,终端安全更多是要通过迭代新的终端安全技术、交付方式、服务体系及业务模式来满足用户侧高度分散和持续扩展的终端安全市场。这给传统的计算环境安全厂商带来了巨大挑战,由于这个市场空间足够大,也给一些有特色、在某一领域有专长的创新企业带来更多机会。以新一代终端安全为代表的产业生态或将重新洗牌,并出现一批新的能力代表性厂商。
04
安全牛
万物互联是未来发展的必然趋势,这也是使远程连接与安全应用耦合得越来越密切,传统移动终端管理模式应该如何适应这种变化?
丁俊一
传统工作环境下,移动终端管理主要以资产安全为中心来确保设备正常工作,而混合办公、万物互联环境下,用户是希望通过终端管理来保障业务和数据安全。资产管理不再是终端管理的唯一目的,而是退变为特定场景的功能性需求,而以业务和数据安全为核心的终端管理并不强依赖于资产管理,这不仅是技术上转变,也上用户规划意识的转变。
为了实现安全管理,就要根据具体的情况,采取合适的技术手段,我们看到,去年以来统一终端安全(UES)在行业备受关注。从长远看,它将整合新兴的零信任工作空间技术以及 EDR、EPP、MTD的部分能力,为客户提供新一代的终端安全方案,而不仅仅是资产管理。
05
安全牛
移动办公环境下,大量的业务数据会被在终端使用和存放,企业该如何有效保护移动办公环境下企业的数据资产?
丁俊一
新的数字化办公场景下,数据是流动的,不仅从数据中心、云端流向终端,也有很多是从智能终端产生或采集回传给后台,呈现出了多方、多流向的特性。因此,单纯的终端安全防护技术,并不能有效保护企业数据资产。
零信任的理念和模式匹配了当前远程办公环境的这一关键痛点,它通过可信验证的方式确保用户、设备以及数据的安全。因此,建议企业在移动办公环境下,结合终端安全和零信任技术,提供系统性的解决方案,包括零信任网络接入、零信任身份认证机制来保护企业数据资产。
06
安全牛
零信任理念已经受到行业广泛的关注和认同,在现代企业数字化工作空间的安全建设中,该如何与零信任安全理念融合发展?
丁俊一
现代企业数字化工作空间的安全建设一定是围绕业务来开展的,解决业务安全问题,不再是为某个设备或某一类设备解决安全问题。企业可以从以下几个方面进行规划和准备:
从需求角度,要基于业务场景充分调研终端系统的类型、来源、生命周期、归属、网络接入方式、管理方式以及对应的安全要求,尤其是要明确业务场景所使用的业务应用,不同应用的业务流程、数据使用方式、集成方式、分发方式等细节设计,都会决定最终方案实施的成功与否;
其次,在规划上,结合企业自身的战略发展和业务安全的目标,明确未来几年的目标,基于调研的结果,明确差距,确定分阶段的演进计划,从而建立整体的终端安全战略,指导具体的项目建设和方案选型。
最后,在项目落地时,务必围绕用户业务形成标准化交付和部署的方案,而不能为每个设备定制终端安全方案。在终端上构建零信任的工作空间是目前阶段实践中最有代表性的主流技术方案,它结合零信任SDP网关,采用关键零信任身份认证技术,作为新型终端安全建设的基础。方案的完整性、用户体验性都较好,且可规模化应用。有了这个基础,就可以根据企业实际情况,决定后续终端安全能力的演进。
安全牛评
终端作为数据生存和业务操作的承载体,其环境安全决定了企业的数据和业务安全。然而随着企业数字化转型的深入,业务与融合的云、网、端连接越来越紧密,外部终端、数据分布越来越多成了必然趋势。终端安全已不再是传统的计算环境安全,关注和布局企业外部工作空间的风险管理并为其选择合适的技术方案必须成为数字化转型中企业网络安全建设不可忽视的组成部分。
