安全419《业务安全解决方案》系列访谈——指掌易篇

受技术创新推动，企业用户们正在加快自身业务形态数字化转型的步伐，与之同时，业务安全风险也随之而来，网络黑灰产攻击、数据窃取等安全事件频繁发生，无论是那些有着丰富对抗经验的在线金融机构，还是走在科技前沿的互联网企业，在面向业务安全风险时都会感到捉襟见肘。

过去我们理解的业务安全场景主要有三大类，即账号安全、内容安全、运营活动安全。但随着数字化进程的加快，新的业务场景、新的产业形态和业务形态也在不断涌现，尤其在后疫情时代，如何在移动化办公的场景下解决数据全生命周期的安全防护问题，正在成为各家安全厂商业务安全解决方案中的侧重点。

为了帮助企业在应对当前复杂多变的业务安全场景时，快速找到适合自身的安全建设之路，安全419启动了《业务安全解决方案》系列调研，邀请业内细分领域内的代表厂商分享自身前沿观点、创新技术和最佳实践，以期为企业用户们提供参考借鉴。

本期访谈的主角是定位为「移动安全专家」的指掌易科技，我们邀请到了指掌易副总裁庞南来分享他们在业务安全领域的观察思考和自身的解决方案。

北京指掌易科技有限公司（下称“指掌易”）是成立于2013年的高科技软件企业，总部位于北京，分别在北京、南京、大连设立研发中心，业务覆盖全国所有省份以及部分海外市场。指掌易顺应数字化转型大势，针对万物互联场景，以各类数字化终端及业务为切入点，以零信任和移动化为技术基础，提供数字化安全、数字化联接、数字化智能与体验等软件产品和方案，打造更安全更易用的数字化工作环境，广泛服务于政府、金融、国防、运营商、能源、交通、制造、医疗等行业客户的数字化转型。

庞南谈到，从传统网络空间安全的视角来看，业务安全事实上是一个比较新的细分领域。在他看来，过去的传统安全更多关注的重心在于数据中心侧基础设施的安全，但随着攻防形势的不断演变，针对数据中心和基础设施的攻击难度变得越来越高，攻击者开始转向利用用户的人为因素的弱点，从终端侧或者从业务操作的层面展开攻击，通过窃取数据或中断业务的形式，给攻击目标造成实际的资金损失，面向业务的攻击风险剧增，使得业务安全逐渐成为了备受关注的安全细分领域。

他指出，业务安全有两个比较重要的特征，首先，业务安全是偏向针对特定的业务场景的应用跟数据安全保障的机制；其次，业务安全用到的技术手段和用户业务场景中的风险控制措施会有比较深的耦合，以安全的能力和风控的能力来共同服务于业务是第二特征。

“过去在传统安全体系中，身份访问控制、应用层的加密权限管理以及安全审计等通常会被认为是安全控制措施，跟具体的业务场景以及特定的业务应用系统的关联和耦合程度较为松散。业务安全实际上并没有催生出新的安全技术，更多是安全技术自身的演进，最终来面向业务安全方面的需求，解决场景化的问题。”

他表示，在数字化转型的大背景以及疫情带来的叠加因素影响下，以移动办公为代表的业务移动化需求的增长极为迅速，如政府、公安等行业都提出了移动化办公的需求，如移动政务应用、移动警务应用这样的新场景正在涌现出来。一些走在数字化改革前列的行业，如金融、运营商等行业也进一步提出了建设综合性移动办公门户应用的需求，将其作为业务移动化在终端上的入口。

图：典型的移动化办公场景示例

在各行业企业用户加速数字化转型的浪潮下，一大批业务移动化的全新场景正在涌现出来。指掌易也从中看到，企业用户正在提出全新的安全需求。在新的场景下，用户侧迫切需要解决如营销安全、邮件安全、账户安全、交易安全、内容安全等多方面业务安全风险。

“面向用户在业务安全方面的需求，指掌易提出了‘成为客户信赖的移动安全专家’的口号，其中有两个关键词，一个是移动，另外一个是安全，所以指掌易给自己的定位是，希望在业务移动化的场景里边，重点帮用户去解决安全的问题，这也是指掌易的一个最主要的标签”庞南谈到。

具体到解决方案层面，庞南为我们分享了一个股份制银行的案例。随着该银行业务移动化进程不断加快和疫情常态化的防控需要，通过移动办公APP完成远程办公、客户管理、邮件收发等工作成为了业务需求。在其移动办公的模式下，邮件安全是其中一个较为典型的业务安全场景。

在实际服务客户的过程中指掌易看到，很多单位和企业在开通手机端的企业邮件收发功能面前都十分谨慎。因为邮件附件中往往会包含大量跟业务往来关系密接的文件，一旦发生员工通过个人移动端设备转发敏感邮件内容或附件的情况，极有可能会造成敏感业务数据的泄露事件。

针对这一客户痛点，基于指掌易独创的虚拟安全域VSA（安全沙箱）技术和SDP零信任安全网关，指掌易打造了一套零信任移动办公平台，提供移动应用数据保护服务，零信任可信接入和数据安全传输服务，以及安全邮件、安全文档等标准办公套件，为该客户构成了一个独有的移动安全办公空间，在满足其员工各类通用移动办公需求，提供友好的用户体验的同时，基于该平台还能够帮助客户从用户、设备、应用、网络等多个维度来实现对移动终端高效、安全的统一管理，解决了终端数据泄露、网络准入等安全问题。

该方案部署后，企业员工只能通过使用沙箱化的移动邮件客户端实现邮件收发，通过安全沙箱还能有效限制员工进行截屏、拷贝、转发敏感的附件和数据的行为，在终端侧解决了敏感邮件数据泄露的问题。

在管道侧，该方案主要通过SDP零信任安全网关来提供用户可信接入服务，实现邮件服务对互联网的隐身，保证员工以安全可信的方式接入移动办公平台，并基于SDP零信任安全网关来为移动办公平台提供可靠的加密安全通道，进一步保证邮件业务数据在客户端跟邮件服务器之间安全传输。

庞南认为，指掌易这一套整体方案的优势在于具备较大的灵活性。其解决方案能够以移动办公空间入口的形式、或以SDK集成的形式，与用户的移动应用进行集成和耦合，为客户的移动端应用进行安全赋能。

图：指掌易移动业务安全部署方案

庞南表示，当前业内在谈到“移动安全”时，往往会先入为主将它界定为移动终端的安全或是移动应用的安全，但指掌易认为，移动安全是一个更大的范畴，他应该涵盖业务移动场景中的所有安全风险控制项。

“一个业务移动化的场景中，它一定是有终端侧，有网络传输的管道侧，还有数据中心的服务侧，因此，作为移动安全厂商不仅仅要解决端的问题，还要去关注在移动终端侧如何保护数据安全问题，在管道侧如何确保用户身份合法的授权，能够在安全的环境下去访问和使用对应的服务资源，这些都是移动化场景里边必须要考虑的问题。”

因此，相较于业内传统的移动应用安全检测加固类厂商而言，指掌易的产品和解决方案更为关注与业务移动化场景直接相关的身份认证、访问控制、敏感数据安全保护等层面的安全诉求，为企业用户提供一个覆盖云管端的完整解决方案。

在指掌易看来，相较于传统安全，移动化场景下的业务安全最大的不同之处在于，用户体验在这里是一个极为敏感的要素。因为业务安全最终要服务于业务，因此厂商提供的安全能力必须与业务应用进行紧耦合，去找到一个用户体验最佳的结合方式。

在传统以数据中心和基础设施为核心的安全场景中，企业客户关心的重点通常是攻防对抗的能力、安全防护能力和检测能力，但这些过程对于移动应用的用户而言往往是无法感知的，用户体验无需过多地考虑。

但是在业务移动化的场景下，通常在用户视角中，用户体验与安全能力二者几乎并重，只有在安全与用户体验之间完美结合的解决方案，往往才能够得到企业客户的青睐。“抛开用户体验谈安全，在业务安全领域是走不通的。”

在庞南看来，指掌易有着to B跟to C混合的技术基因，在用户体验这一点上，指掌易有着天然优势。

首先，指掌易创始人王伟及其创始团队的to C安全从业背景决定了其在产品的稳定性和极致的用户体验方面的追求。“在业务移动化场景中，移动应用往往面对着海量的用户和极为碎片化的终端环境，如何更好地兼容和适配不同的终端和系统，给到应用的用户更友好的体验其实是一项比较大的挑战。尤其指掌易选择了一条沙箱的技术路线，在打磨沙箱产品的过程中，创始团队在to C方面的研发经验做出了很大的贡献。”

其次，在to B方面，指掌易研发团队陆续吸引了具备深厚toB服务经验的专家加入，让指掌易对行业客户的核心诉求有了更深刻的理解，同时也让指掌易能够更深入地分析和解决企业用户数字化转型带来的安全痛点。

采访最后，在谈到当前业务安全领域的不足，以及指掌易自身的布局和规划时，庞南表示，进一步提升零信任架构的信任计算能力是下一步的主要工作。

“当一个可信的用户接入之后，在接下来持续的信任评估过程中，如何对用户的行为进行更深度的数据分析，更精准地检测出异常访问行为，动态地调整对单一用户身份的访问控制策略，这一点对于零信任架构而言至关重要，但纵观整个行业，目前提出的零信任方案还都处于比较初级的阶段，有较大的提升空间。”

因此，对于指掌易而言，在整个业务安全解决方案中下一步需要集中力量突破这一难点，基于UEBA用户和实体行为分析技术实现对异常行为的分析和发现，为持续信任评估引擎的信任算法来提供维度更广、更准确的数据，进一步加强SDP零信任安全网关的信任计算能力，与业内众多零信任安全厂商一同探索出一条更优的技术路径。