健身APP 又雙叒叕泄露軍方數(shù)據(jù)了。

兵哥哥也很無(wú)奈，一波未平一波又起，繼今年1月Strava Labs的一款健身追蹤器暴露美軍士兵活動(dòng)等敏感信息后，健身軟件Polar也被發(fā)現(xiàn)利用程序中的活動(dòng)地圖，不僅可以找出軍事和情報(bào)機(jī)構(gòu)的用戶，還能準(zhǔn)確追蹤到其姓名和地址。

這就很可怕了，情報(bào)人員變幻莫測(cè)的行蹤和機(jī)密行動(dòng)在Polar上一覽無(wú)余，成了共享信息。就連美國(guó)國(guó)家安全局也毫不例外地“中招”了，沒錯(cuò)，就是那個(gè)被稱為“沒有這樣的機(jī)構(gòu)”的神秘組織。

空氣中有一絲尷尬。

出現(xiàn)數(shù)據(jù)泄露等安全問題的遠(yuǎn)不止軍隊(duì)，畢竟隨著移動(dòng)辦公的興起，金融、政府、交通運(yùn)輸、制造業(yè)、服務(wù)業(yè)都爭(zhēng)先當(dāng)起了“弄潮鵝”。

移動(dòng)業(yè)務(wù)需求與日俱增，但移動(dòng)安全技術(shù)保障卻沒跟上來(lái)。早期的安全措施大多集中在設(shè)備管理和對(duì)移動(dòng)業(yè)務(wù)應(yīng)用程序本身的代碼保護(hù)上，如以設(shè)備管理（MDM）為中心和以程序代碼安全為中心（App加固）。

但這些手段說(shuō)到底仍是從一個(gè)點(diǎn)上解決問題，企業(yè)真正支撐的業(yè)務(wù)框架卻有N個(gè)風(fēng)險(xiǎn)點(diǎn)。于是現(xiàn)在的場(chǎng)景就是企業(yè)在系統(tǒng)上打了一塊又一塊補(bǔ)丁，卻擋不住一個(gè)又一個(gè)新的漏洞出現(xiàn)。

此時(shí)企業(yè)的內(nèi)心：累了累了，奶不起奶不起。

解決“石頭”問題

好在這并不是連續(xù)劇中的大結(jié)局，安全公司開始思考，能否把之前單打獨(dú)斗的神器做個(gè)1+1＞2的合集？從原來(lái)的單點(diǎn)擴(kuò)展到整體？

巧的是，不久前雷鋒網(wǎng)宅客頻道編輯就參加了一場(chǎng)研究報(bào)告發(fā)布會(huì)，會(huì)上指掌易推出了一套整體的安全解決方案《移動(dòng)業(yè)務(wù)安全架構(gòu)（SAME）》。

SAME是什么？

簡(jiǎn)單說(shuō)就是基于移動(dòng)端虛擬化、移動(dòng)操作系統(tǒng)、移動(dòng)安全等技術(shù)，針對(duì)企業(yè)業(yè)務(wù)，通過各種安全機(jī)制和技術(shù)管理手段，在保障網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)的同時(shí)，幫助政企用戶快速構(gòu)建起一個(gè)靈活易用的移動(dòng)信息系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)快速交付。

比起還在琢磨怎么堵住“此起彼伏”的漏洞的企業(yè)來(lái)說(shuō)，安全公司在想的是到底怎么才能快速的感知漏洞、快速響應(yīng)漏洞、及時(shí)修復(fù)漏洞？

“不能因?yàn)榍懊嬗幸粔K石頭就不過去了，我們要先過去，同時(shí)想辦法解決掉這塊石頭。從這個(gè)角度來(lái)講，我們不光要解決眼前的問題，還需要隨時(shí)感知未來(lái)世界并快速響應(yīng)?！敝刚埔赘笨偛枚】∫徽f(shuō)道。

在這個(gè)過程中其實(shí)就需要解決三個(gè)核心問題：

第一，企業(yè)最主要的安全風(fēng)險(xiǎn)在哪里；

第二，到底需要什么樣的解決方案；

第三，怎么樣能夠讓這個(gè)方案成功落地。

經(jīng)過指掌易和第三方調(diào)研機(jī)構(gòu)研究，企業(yè)最主要的安全風(fēng)險(xiǎn)在業(yè)務(wù)的應(yīng)用和數(shù)據(jù)安全層面，而非設(shè)備、網(wǎng)絡(luò)、邊界。

那企業(yè)需要什么樣的方案？這個(gè)方案絕不僅僅是管住一個(gè)設(shè)備，或是對(duì)單個(gè)應(yīng)用進(jìn)行加固，更需要的是一個(gè)完整的，解決你安全風(fēng)險(xiǎn)的前提下，還能簡(jiǎn)化運(yùn)維，支撐你的業(yè)務(wù)優(yōu)化的創(chuàng)新方案。安全不是目的，業(yè)務(wù)才是目的。

怎樣保證它能成功落地？一方面在于IT架構(gòu)的建設(shè)，更重要的一方面是所有的業(yè)務(wù)要能夠在人的手持終端上實(shí)現(xiàn)。因此需要尊重人的體驗(yàn)，保護(hù)用戶的隱私。

在此基礎(chǔ)上，SAME架構(gòu)出現(xiàn)了。

SAME架構(gòu) 

為了在確保安全的基礎(chǔ)上，交付企業(yè)移動(dòng)化的業(yè)務(wù)，SAME架構(gòu)包括四個(gè)部分。

SAME架構(gòu)概覽

第一部分是底層安全基礎(chǔ)的支撐平臺(tái)。

這個(gè)支撐平臺(tái)的核心主要是移動(dòng)應(yīng)用的遠(yuǎn)程安全管理技術(shù)，基于技術(shù)還需要有相應(yīng)的工具，包括各種移動(dòng)安全產(chǎn)品、集成工具以及項(xiàng)目實(shí)施落地的方法論工具。有了相應(yīng)工具還需要與其匹配的服務(wù)。

總之，需要知道什么樣的場(chǎng)景，使用什么樣的技術(shù)和工具才能夠達(dá)到最佳的一個(gè)目的。

有了支撐平臺(tái)，如何將業(yè)務(wù)的應(yīng)用從組織內(nèi)部安全的傳遞到每一個(gè)移動(dòng)端？這就需要第二部分：安全業(yè)務(wù)的交付平臺(tái)。

“這是一個(gè)鏈路，我們要做的就是幫助每一個(gè)企業(yè)，在這個(gè)智能管道上構(gòu)建出保證自己業(yè)務(wù)的安全通路來(lái)。而這個(gè)交付平臺(tái)的核心，就是移動(dòng)業(yè)務(wù)安全的網(wǎng)關(guān)。它有別于傳統(tǒng)的接入、準(zhǔn)入、VPN、WAF等各種設(shè)備，通過整合這些設(shè)備的價(jià)值，在移動(dòng)端實(shí)現(xiàn)輕量級(jí)的接入，并面向最終用戶實(shí)現(xiàn)按需接入?！倍】∫桓嬖V雷鋒網(wǎng)，“我們希望在這個(gè)過程中，能夠去感知每一個(gè)用戶自身的狀態(tài)、設(shè)備的狀態(tài)以及網(wǎng)絡(luò)的狀態(tài)，實(shí)現(xiàn)自適應(yīng)保護(hù)?！?/p>

當(dāng)然最終的業(yè)務(wù)是運(yùn)行在每一個(gè)移動(dòng)終端上的，所以終端也需要構(gòu)建起高安全性的業(yè)務(wù)運(yùn)行環(huán)境。

這就需要依賴于核心的VSA（虛擬安全域）能力，在操作系統(tǒng)和移動(dòng)應(yīng)用之間構(gòu)建出一個(gè)微隔離環(huán)境。

最終為什么要使用VSA？因?yàn)檫^去的很多方法，比如用很多配發(fā)的終端，或者用雙域的環(huán)境，對(duì)設(shè)備都有非常大的依賴性，沒有辦法實(shí)現(xiàn)普適性，讓用戶在一個(gè)低感知的狀態(tài)下實(shí)現(xiàn)安全能力。

而通過VSA可以將業(yè)務(wù)數(shù)據(jù)和個(gè)人數(shù)據(jù)分離起來(lái)，并且在此層面上整合、集成、匯總各類更多的單點(diǎn)安全能力，讓用戶更加無(wú)感知的受到保護(hù)。

最后就是整個(gè)安全的感知和優(yōu)化平臺(tái)。

這四個(gè)部分相互支撐，安全基礎(chǔ)支撐平臺(tái)是業(yè)務(wù)安全架構(gòu)實(shí)現(xiàn)的奠基者，安全業(yè)務(wù)交付平臺(tái)是將業(yè)務(wù)從組織內(nèi)部安全傳遞到移動(dòng)端的傳播者，安全業(yè)務(wù)運(yùn)行環(huán)境是確保業(yè)務(wù)在移動(dòng)端能夠安全高效運(yùn)行的執(zhí)行者；安全感知優(yōu)化平臺(tái)則是開了上帝視角，揮著“小皮鞭”對(duì)業(yè)務(wù)安全優(yōu)化的驅(qū)動(dòng)者。

有意思的是，這整個(gè)方案其實(shí)是模塊化、可定制化的。

什么意思？

指掌易CEO王偉將其視為一個(gè)工程化的問題，你在玩樂高時(shí)候利用一塊塊的積木搭建出各種造型，這套方案也是如此，可以直接將搭好的模塊拿來(lái)排列組合。根據(jù)不同行業(yè)的不同需求，可能制造業(yè)需要甲乙丙丁四個(gè)模塊打包方案，而在金融業(yè)需要的是戊己庚辛這四個(gè)模塊。

但這套架構(gòu)并非將之前市場(chǎng)上的技術(shù)做了一個(gè)疊加打包，“我們將一些典型客戶的問題和方案提煉出一套方案，這并非簡(jiǎn)單疊加?！?/p>

“具體的模塊選擇需要根據(jù)企業(yè)自身需要，問題越多，業(yè)務(wù)越復(fù)雜的企業(yè)可能需要更多的功能模塊，相反，業(yè)務(wù)簡(jiǎn)單的企業(yè)可能只用一兩個(gè)模塊”。

磨刀之人

這與一次提供一個(gè)安全設(shè)備的傳統(tǒng)安全解決方案大相徑庭。

打個(gè)比方，一個(gè)很餓的人去飯店吃飯，他先點(diǎn)了一道菜，后廚一聽立馬做好了端上來(lái)。吃完后他又想點(diǎn)另一道菜，后廚還得做，可能永遠(yuǎn)不知道這個(gè)人下一道菜會(huì)點(diǎn)什么。此時(shí)就有人琢磨，既然單獨(dú)做菜每次都得手忙腳亂，那一次性做個(gè)滿漢全席不好嗎？酸的，辣的，甜的，咸的，要什么有什么。

琢磨這事的就是指掌易，最終琢磨出的就是SAME 架構(gòu)。

“說(shuō)的通俗一點(diǎn)，并不是我們有一把刀就可以一勞永逸。而是如果你想切菜，我們就幫你把刀磨成切菜刀，如果你想劈柴，我們就幫你把刀磨成一個(gè)斧頭。這是一個(gè)'見招拆招'的過程，總歸我們有刀，可以根據(jù)客戶真實(shí)的需求幫客戶解決問題，這是我們的目標(biāo)?！?nbsp;

但理想很豐滿，現(xiàn)實(shí)很骨感，練成這道磨刀大法并不容易。 

這套方案是個(gè)整體，就像蓋樓，單獨(dú)做一扇窗，一個(gè)門并不稀奇，難的是搭建整個(gè)大樓。

“我們?cè)谇?年一分錢不賺的情況下，先砸了2個(gè)多億的研發(fā)成本進(jìn)去，這一點(diǎn)也不夸張，哪個(gè)公司舍得？我舍得。因?yàn)槲铱春眠@件事情，也很堅(jiān)定的相信這能更好地服務(wù)客戶?！?/p>

事實(shí)上傳統(tǒng)安全行業(yè)大家所做的都較為分散，有人做防火墻，做殺軟，也有人做端點(diǎn)管理，但他們之間是缺乏協(xié)作的。安全是一個(gè)典型行業(yè)——這個(gè)行業(yè)遵循木桶理論，企業(yè)安全性取決于最薄弱的一環(huán)，賦予再多安全產(chǎn)品，一旦有短板和遺漏，也會(huì)帶來(lái)不可估量的影響。

同步到移動(dòng)端，依靠各類產(chǎn)品的疊加依然不能解決問題甚至拖慢了系統(tǒng)進(jìn)程。如果想要做整體安全需要重新鋪設(shè)，鋪設(shè)所有關(guān)鍵點(diǎn)。這其中哪個(gè)點(diǎn)最難？王偉也講不出，在他看來(lái)，每個(gè)點(diǎn)都不容易做，加在一起就更難了。但說(shuō)難到不可突破，也并沒有。 

關(guān)鍵還在于客戶，往往客戶要一個(gè)點(diǎn)的安全的時(shí)候，他可能更希望得到覆蓋整體的安全體系。

“如果沒有的話，做這個(gè)點(diǎn)可能要花一年，做第二個(gè)點(diǎn)可能又得花一年，用戶其實(shí)沒那么大的耐心，翻來(lái)覆去就不愿搭理你了。所以，我前面四年寧肯不賺錢來(lái)做出這套方案，當(dāng)然，在做出這套方案以后就形成了一個(gè)門檻，我有自信指掌易能保持這個(gè)競(jìng)爭(zhēng)門檻?！蓖鮽ハ蚶卒h網(wǎng)說(shuō)道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。