受技術(shù)創(chuàng)新推動，企業(yè)用戶們正在加快自身業(yè)務(wù)形態(tài)數(shù)字化轉(zhuǎn)型的步伐，與之同時，業(yè)務(wù)安全風險也隨之而來，網(wǎng)絡(luò)黑灰產(chǎn)攻擊、數(shù)據(jù)竊取等安全事件頻繁發(fā)生，無論是那些有著豐富對抗經(jīng)驗的在線金融機構(gòu)，還是走在科技前沿的互聯(lián)網(wǎng)企業(yè)，在面向業(yè)務(wù)安全風險時都會感到捉襟見肘。

　　過去我們理解的業(yè)務(wù)安全場景主要有三大類，即賬號安全、內(nèi)容安全、運營活動安全。但隨著數(shù)字化進程的加快，新的業(yè)務(wù)場景、新的產(chǎn)業(yè)形態(tài)和業(yè)務(wù)形態(tài)也在不斷涌現(xiàn)，尤其在后疫情時代，如何在移動化辦公的場景下解決數(shù)據(jù)全生命周期的安全防護問題，正在成為各家安全廠商業(yè)務(wù)安全解決方案中的側(cè)重點。

　　為了幫助企業(yè)在應(yīng)對當前復(fù)雜多變的業(yè)務(wù)安全場景時，快速找到適合自身的安全建設(shè)之路，邀請業(yè)內(nèi)細分領(lǐng)域內(nèi)的代表廠商分享自身前沿觀點、創(chuàng)新技術(shù)和最佳實踐，以期為企業(yè)用戶們提供參考借鑒。

　　本期訪談的主角是定位為「移動安全專家」的指掌易科技，我們邀請到了指掌易副總裁龐南來分享他們在業(yè)務(wù)安全領(lǐng)域的觀察思考和自身的解決方案。

　　北京指掌易科技有限公司（下稱“指掌易”）是成立于2013年的高科技軟件企業(yè)，總部位于北京，分別在北京、南京、大連設(shè)立研發(fā)中心，業(yè)務(wù)覆蓋全國所有省份以及部分海外市場。指掌易順應(yīng)數(shù)字化轉(zhuǎn)型大勢，針對萬物互聯(lián)場景，以各類數(shù)字化終端及業(yè)務(wù)為切入點，以零信任和移動化為技術(shù)基礎(chǔ)，提供數(shù)字化安全、數(shù)字化聯(lián)接、數(shù)字化智能與體驗等軟件產(chǎn)品和方案，打造更安全更易用的數(shù)字化工作環(huán)境，廣泛服務(wù)于政府、金融、國防、運營商、能源、交通、制造、醫(yī)療等行業(yè)客戶的數(shù)字化轉(zhuǎn)型。

　　企業(yè)數(shù)字化轉(zhuǎn)型浪潮

　　催生出了全新的移動安全場景

　　龐南談到，從傳統(tǒng)網(wǎng)絡(luò)空間安全的視角來看，業(yè)務(wù)安全事實上是一個比較新的細分領(lǐng)域。在他看來，過去的傳統(tǒng)安全更多關(guān)注的重心在于數(shù)據(jù)中心側(cè)基礎(chǔ)設(shè)施的安全，但隨著攻防形勢的不斷演變，針對數(shù)據(jù)中心和基礎(chǔ)設(shè)施的攻擊難度變得越來越高，攻擊者開始轉(zhuǎn)向利用用戶的人為因素的弱點，從終端側(cè)或者從業(yè)務(wù)操作的層面展開攻擊，通過竊取數(shù)據(jù)或中斷業(yè)務(wù)的形式，給攻擊目標造成實際的資金損失，面向業(yè)務(wù)的攻擊風險劇增，使得業(yè)務(wù)安全逐漸成為了備受關(guān)注的安全細分領(lǐng)域。

　　他指出，業(yè)務(wù)安全有兩個比較重要的特征，首先，業(yè)務(wù)安全是偏向針對特定的業(yè)務(wù)場景的應(yīng)用跟數(shù)據(jù)安全保障的機制；其次，業(yè)務(wù)安全用到的技術(shù)手段和用戶業(yè)務(wù)場景中的風險控制措施會有比較深的耦合，以安全的能力和風控的能力來共同服務(wù)于業(yè)務(wù)是第二特征。

　　“過去在傳統(tǒng)安全體系中，身份訪問控制、應(yīng)用層的加密權(quán)限管理以及安全審計等通常會被認為是安全控制措施，跟具體的業(yè)務(wù)場景以及特定的業(yè)務(wù)應(yīng)用系統(tǒng)的關(guān)聯(lián)和耦合程度較為松散。業(yè)務(wù)安全實際上并沒有催生出新的安全技術(shù)，更多是安全技術(shù)自身的演進，最終來面向業(yè)務(wù)安全方面的需求，解決場景化的問題?！?/p>

　　他表示，在數(shù)字化轉(zhuǎn)型的大背景以及疫情帶來的疊加因素影響下，以移動辦公為代表的業(yè)務(wù)移動化需求的增長極為迅速，如政府、公安等行業(yè)都提出了移動化辦公的需求，如移動政務(wù)應(yīng)用、移動警務(wù)應(yīng)用這樣的新場景正在涌現(xiàn)出來。一些走在數(shù)字化改革前列的行業(yè)，如金融、運營商等行業(yè)也進一步提出了建設(shè)綜合性移動辦公門戶應(yīng)用的需求，將其作為業(yè)務(wù)移動化在終端上的入口。

　　圖：典型的移動化辦公場景示例

　　在各行業(yè)企業(yè)用戶加速數(shù)字化轉(zhuǎn)型的浪潮下，一大批業(yè)務(wù)移動化的全新場景正在涌現(xiàn)出來。指掌易也從中看到，企業(yè)用戶正在提出全新的安全需求。在新的場景下，用戶側(cè)迫切需要解決如營銷安全、郵件安全、賬戶安全、交易安全、內(nèi)容安全等多方面業(yè)務(wù)安全風險。

　　“面向用戶在業(yè)務(wù)安全方面的需求，指掌易提出了‘成為客戶信賴的移動安全專家’的口號，其中有兩個關(guān)鍵詞，一個是移動，另外一個是安全，所以指掌易給自己的定位是，希望在業(yè)務(wù)移動化的場景里邊，重點幫用戶去解決安全的問題，這也是指掌易的一個最主要的標簽”龐南談到。

　　以安全沙箱+零信任技術(shù)

　　為各行業(yè)客戶業(yè)務(wù)移動化安全賦能

　　具體到解決方案層面，龐南為我們分享了一個股份制銀行的案例。隨著該銀行業(yè)務(wù)移動化進程不斷加快和疫情常態(tài)化的防控需要，通過移動辦公APP完成遠程辦公、客戶管理、郵件收發(fā)等工作成為了業(yè)務(wù)需求。在其移動辦公的模式下，郵件安全是其中一個較為典型的業(yè)務(wù)安全場景。

　　在實際服務(wù)客戶的過程中指掌易看到，很多單位和企業(yè)在開通手機端的企業(yè)郵件收發(fā)功能面前都十分謹慎。因為郵件附件中往往會包含大量跟業(yè)務(wù)往來關(guān)系密接的文件，一旦發(fā)生員工通過個人移動端設(shè)備轉(zhuǎn)發(fā)敏感郵件內(nèi)容或附件的情況，極有可能會造成敏感業(yè)務(wù)數(shù)據(jù)的泄露事件。

　　針對這一客戶痛點，基于指掌易獨創(chuàng)的虛擬安全域VSA（安全沙箱）技術(shù)和SDP零信任安全網(wǎng)關(guān)，指掌易打造了一套零信任移動辦公平臺，提供移動應(yīng)用數(shù)據(jù)保護服務(wù)，零信任可信接入和數(shù)據(jù)安全傳輸服務(wù)，以及安全郵件、安全文檔等標準辦公套件，為該客戶構(gòu)成了一個獨有的移動安全辦公空間，在滿足其員工各類通用移動辦公需求，提供友好的用戶體驗的同時，基于該平臺還能夠幫助客戶從用戶、設(shè)備、應(yīng)用、網(wǎng)絡(luò)等多個維度來實現(xiàn)對移動終端高效、安全的統(tǒng)一管理，解決了終端數(shù)據(jù)泄露、網(wǎng)絡(luò)準入等安全問題。

　　該方案部署后，企業(yè)員工只能通過使用沙箱化的移動郵件客戶端實現(xiàn)郵件收發(fā)，通過安全沙箱還能有效限制員工進行截屏、拷貝、轉(zhuǎn)發(fā)敏感的附件和數(shù)據(jù)的行為，在終端側(cè)解決了敏感郵件數(shù)據(jù)泄露的問題。

　　在管道側(cè)，該方案主要通過SDP零信任安全網(wǎng)關(guān)來提供用戶可信接入服務(wù)，實現(xiàn)郵件服務(wù)對互聯(lián)網(wǎng)的隱身，保證員工以安全可信的方式接入移動辦公平臺，并基于SDP零信任安全網(wǎng)關(guān)來為移動辦公平臺提供可靠的加密安全通道，進一步保證郵件業(yè)務(wù)數(shù)據(jù)在客戶端跟郵件服務(wù)器之間安全傳輸。

　　龐南認為，指掌易這一套整體方案的優(yōu)勢在于具備較大的靈活性。其解決方案能夠以移動辦公空間入口的形式、或以SDK集成的形式，與用戶的移動應(yīng)用進行集成和耦合，為客戶的移動端應(yīng)用進行安全賦能。

　　圖：指掌易移動業(yè)務(wù)安全部署方案

　　在業(yè)務(wù)安全領(lǐng)域

　　不能拋開用戶體驗談安全

　　龐南表示，當前業(yè)內(nèi)在談到“移動安全”時，往往會先入為主將它界定為移動終端的安全或是移動應(yīng)用的安全，但指掌易認為，移動安全是一個更大的范疇，他應(yīng)該涵蓋業(yè)務(wù)移動場景中的所有安全風險控制項。

　　“一個業(yè)務(wù)移動化的場景中，它一定是有終端側(cè)，有網(wǎng)絡(luò)傳輸?shù)墓艿纻?cè)，還有數(shù)據(jù)中心的服務(wù)側(cè)，因此，作為移動安全廠商不僅僅要解決端的問題，還要去關(guān)注在移動終端側(cè)如何保護數(shù)據(jù)安全問題，在管道側(cè)如何確保用戶身份合法的授權(quán)，能夠在安全的環(huán)境下去訪問和使用對應(yīng)的服務(wù)資源，這些都是移動化場景里邊必須要考慮的問題。”

　　因此，相較于業(yè)內(nèi)傳統(tǒng)的移動應(yīng)用安全檢測加固類廠商而言，指掌易的產(chǎn)品和解決方案更為關(guān)注與業(yè)務(wù)移動化場景直接相關(guān)的身份認證、訪問控制、敏感數(shù)據(jù)安全保護等層面的安全訴求，為企業(yè)用戶提供一個覆蓋云管端的完整解決方案。

　　在指掌易看來，相較于傳統(tǒng)安全，移動化場景下的業(yè)務(wù)安全最大的不同之處在于，用戶體驗在這里是一個極為敏感的要素。因為業(yè)務(wù)安全最終要服務(wù)于業(yè)務(wù)，因此廠商提供的安全能力必須與業(yè)務(wù)應(yīng)用進行緊耦合，去找到一個用戶體驗最佳的結(jié)合方式。

　　在傳統(tǒng)以數(shù)據(jù)中心和基礎(chǔ)設(shè)施為核心的安全場景中，企業(yè)客戶關(guān)心的重點通常是攻防對抗的能力、安全防護能力和檢測能力，但這些過程對于移動應(yīng)用的用戶而言往往是無法感知的，用戶體驗無需過多地考慮。

　　但是在業(yè)務(wù)移動化的場景下，通常在用戶視角中，用戶體驗與安全能力二者幾乎并重，只有在安全與用戶體驗之間完美結(jié)合的解決方案，往往才能夠得到企業(yè)客戶的青睞?！皰侀_用戶體驗談安全，在業(yè)務(wù)安全領(lǐng)域是走不通的?！?/p>

　　在龐南看來，指掌易有著to B跟to C混合的技術(shù)基因，在用戶體驗這一點上，指掌易有著天然優(yōu)勢。

　　首先，指掌易創(chuàng)始人王偉及其創(chuàng)始團隊的to C安全從業(yè)背景決定了其在產(chǎn)品的穩(wěn)定性和極致的用戶體驗方面的追求?！霸跇I(yè)務(wù)移動化場景中，移動應(yīng)用往往面對著海量的用戶和極為碎片化的終端環(huán)境，如何更好地兼容和適配不同的終端和系統(tǒng)，給到應(yīng)用的用戶更友好的體驗其實是一項比較大的挑戰(zhàn)。尤其指掌易選擇了一條沙箱的技術(shù)路線，在打磨沙箱產(chǎn)品的過程中，創(chuàng)始團隊在to C方面的研發(fā)經(jīng)驗做出了很大的貢獻?！?/p>

　　其次，在to B方面，指掌易研發(fā)團隊陸續(xù)吸引了具備深厚toB服務(wù)經(jīng)驗的專家加入，讓指掌易對行業(yè)客戶的核心訴求有了更深刻的理解，同時也讓指掌易能夠更深入地分析和解決企業(yè)用戶數(shù)字化轉(zhuǎn)型帶來的安全痛點。

　　采訪最后，在談到當前業(yè)務(wù)安全領(lǐng)域的不足，以及指掌易自身的布局和規(guī)劃時，龐南表示，進一步提升零信任架構(gòu)的信任計算能力是下一步的主要工作。

　　“當一個可信的用戶接入之后，在接下來持續(xù)的信任評估過程中，如何對用戶的行為進行更深度的數(shù)據(jù)分析，更精準地檢測出異常訪問行為，動態(tài)地調(diào)整對單一用戶身份的訪問控制策略，這一點對于零信任架構(gòu)而言至關(guān)重要，但縱觀整個行業(yè)，目前提出的零信任方案還都處于比較初級的階段，有較大的提升空間?！?/p>

　　因此，對于指掌易而言，在整個業(yè)務(wù)安全解決方案中下一步需要集中力量突破這一難點，基于UEBA用戶和實體行為分析技術(shù)實現(xiàn)對異常行為的分析和發(fā)現(xiàn)，為持續(xù)信任評估引擎的信任算法來提供維度更廣、更準確的數(shù)據(jù)，進一步加強SDP零信任安全網(wǎng)關(guān)的信任計算能力，與業(yè)內(nèi)眾多零信任安全廠商一同探索出一條更優(yōu)的技術(shù)路徑。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<