信息化觀察網

“工作”通常是指一群人在同一時間、同一空間互相協(xié)作、共同配合的過程。今天，企業(yè)工作環(huán)境的一個重要變化就是其覆蓋范圍更廣，各個分支機構之間通過網絡和通信技術實現(xiàn)緊密連接，相互取得聯(lián)系，而員工可以通過智能計算終端、電子郵件、即時通信軟件、視頻會議等應用，輕松實現(xiàn)跨地域的溝通和協(xié)作。

隨著現(xiàn)代企業(yè)的工作空間從物理世界快速擴展到數(shù)字化世界。企業(yè)越來越多的終端系統(tǒng)和數(shù)據(jù)會轉移到企業(yè)外部的網絡環(huán)境中，讓企業(yè)外部資產的管理需求和安全需求交織在一起，變得與企業(yè)內部資產同樣重要。在新的數(shù)字化工作空間中，重構企業(yè)資產的防護能力變得緊急且重要。本次訪談邀請到北京指掌易科技有限公司副總裁丁俊一，就現(xiàn)代企業(yè)數(shù)字化工作空間的安全挑戰(zhàn)與建設進行了探討。

“

丁俊一：

指掌易副總裁，碩士畢業(yè)于北京航空航天大學，目前負責指掌易產品規(guī)劃。作為企業(yè)移動化領域的資深人士，丁俊一從2010年起就致力于企業(yè)移動信息化的工作，先后服務于黑莓、AirWatch等業(yè)內知名企業(yè)，具備深厚的企業(yè)移動信息化架構、方案及安全管理技術背景和管理經驗。在此之前，還曾經作為軟件技術專家在IBM服務近7年。

安全牛：

移動通信及終端計算能力的增強，讓現(xiàn)代企業(yè)進入到移動化辦公的新時代。工作環(huán)境的變化會給企業(yè)業(yè)務發(fā)展帶來哪些新的安全挑戰(zhàn)？

丁俊一：

首先，隨著企業(yè)數(shù)字化轉型的深入，越來越多的工作場景位于傳統(tǒng)辦公網絡環(huán)境之外，傳統(tǒng)安全邊界在消失，原有的基于網絡流量的邊界安全防護失效，迫切需要在新的數(shù)字化系統(tǒng)上重新構建安全防護體系。

其次，傳統(tǒng)安全風險轉移并擴大，安全防護需要前置到離散分布的每個終端。數(shù)字化移動辦公環(huán)境下，人員和終端的空間分布呈高度離散分布狀態(tài)，安全防護需要應用到每一個終端，甚至每一個業(yè)務上，終端工作的地點、時間、業(yè)務場景存在差異，安全風險從類型到風險點數(shù)量上快速放大，過去那種固定、單一、靜態(tài)的安全防護思維就不再適用了。

第三，安全防護需要深入到業(yè)務中并與業(yè)務深度結合。新興的數(shù)字化工作基礎設施對安全提出了更多要求，不僅需要通用的安全方案滿足對應的安全基線要求，還需與各行業(yè)、各類細分工作場景更加匹配的安全方案，甚至與數(shù)字化工作基礎設施建設融為一體，統(tǒng)一規(guī)劃和建設。

安全牛：

終端設備是現(xiàn)代企業(yè)數(shù)字化應用的重要組成，隨著辦公終端的不斷擴展，終端安全的內涵是否也在重新定義，其核心能力您認為應該是什么？

丁俊一：

原來的終端辦公系統(tǒng)，多是使用Windows系統(tǒng)，但今天的終端類型、使用方式、歸屬權等多個角度都發(fā)生了很大變化，可以是移動設備、PC機；使用的系統(tǒng)可能是Mac或Linux，也可能是信創(chuàng)系統(tǒng)；應用形態(tài)上可能是個人單獨使用，也可能是多人共享，還可能是無人值守的IoT終端設備，終端可能是企業(yè)的，也可能是個人的BYOD設備。

終端類型的復雜性，要求終端安全的技術方案要更加全面和多樣化，但在最終實現(xiàn)效果上，又需要保持相對一致的安全能力，并為用戶提供相對一致的體驗。比如，無人終端，需要更多考慮可靠性、業(yè)務連續(xù)性，以及無人看守時的物理安全風險；而共享終端，則要考慮多用戶之間數(shù)據(jù)的隔離、多用戶切換的過程等，這些也是傳統(tǒng)終端安全所未涉及到的內容；BYOD終端更多涉及用戶個人信息的保護，為企業(yè)解決終端安全的同時，需要同時平衡用戶的體驗需求。

從這個角度看，終端安全應該是一個不依賴于類型、使用方式和歸屬，面向不同用戶、多種終端構建的一個可信的、數(shù)字化的安全工作空間，以保護空間內的企業(yè)數(shù)據(jù)，同時又不影響空間外的個人信息利用和保護，并且可以遠程靈活管理，滿足不同業(yè)務場景需求。應用方式上可以是設備級別，也可以是用戶級別，甚至是應用級別。

我們認為，現(xiàn)代企業(yè)構建安全的數(shù)字化工作空間，需要以下四個方面的核心能力：

具備較強的隔離能力。保護空間內的企業(yè)數(shù)據(jù)，不影響空間外的個人信息，并且可以遠程靈活管理，滿足不同業(yè)務場景需求；

確保數(shù)據(jù)安全的能力。終端的最大風險是數(shù)據(jù)泄露風險，敞口從個位數(shù)上升到上萬個，安全隱患井噴式增長，所以一定要有數(shù)據(jù)防泄漏；

安全準備的能力。大多數(shù)企業(yè)業(yè)務需要終端與后臺服務進行聯(lián)通，因此要確保聯(lián)通和接入過程的安全性；

保障業(yè)務連續(xù)性上，要確保終端的健壯性，比如在在線、離線狀態(tài)下，都要保證終端的健壯性。

安全牛：

數(shù)字化工作空間的安全能力建設，對傳統(tǒng)計算環(huán)境安全的技術發(fā)展會產生哪些影響和變革？

丁俊一：

傳統(tǒng)計算環(huán)境安全的解決方案主要面向集中式辦公、數(shù)據(jù)中心的PC和服務器。由于云計算、智能終端和4G/5G移動互聯(lián)的廣泛使用，計算的重心逐漸轉移到分布式的、用戶側的終端用戶計算環(huán)境中。因此，新終端安全主要是由混合辦公推動的，面向用戶側解決終端用戶計算安全問題。

在這個演變過程中，部分傳統(tǒng)終端安全的理念、方案和產品組件將被繼續(xù)應用到新的終端環(huán)境下，比如殺毒、EDR、漏洞檢測等。但是由于數(shù)字化辦公終端的外延，方案復雜度的提高，終端安全更多是要通過迭代新的終端安全技術、交付方式、服務體系及業(yè)務模式來滿足用戶側高度分散和持續(xù)擴展的終端安全市場。這給傳統(tǒng)的計算環(huán)境安全廠商帶來了巨大挑戰(zhàn)，由于這個市場空間足夠大，也給一些有特色、在某一領域有專長的創(chuàng)新企業(yè)帶來更多機會。以新一代終端安全為代表的產業(yè)生態(tài)或將重新洗牌，并出現(xiàn)一批新的能力代表性廠商。

安全牛：

萬物互聯(lián)是未來發(fā)展的必然趨勢，這也是使遠程連接與安全應用耦合得越來越密切，傳統(tǒng)移動終端管理模式應該如何適應這種變化？

丁俊一：

傳統(tǒng)工作環(huán)境下，移動終端管理主要以資產安全為中心來確保設備正常工作，而混合辦公、萬物互聯(lián)環(huán)境下，用戶是希望通過終端管理來保障業(yè)務和數(shù)據(jù)安全。資產管理不再是終端管理的唯一目的，而是退變?yōu)樘囟▓鼍暗墓δ苄孕枨?，而以業(yè)務和數(shù)據(jù)安全為核心的終端管理并不強依賴于資產管理，這不僅是技術上轉變，也上用戶規(guī)劃意識的轉變。

為了實現(xiàn)安全管理，就要根據(jù)具體的情況，采取合適的技術手段，我們看到，去年以來統(tǒng)一終端安全（UES）在行業(yè)備受關注。從長遠看，它將整合新興的零信任工作空間技術以及EDR、EPP、MTD的部分能力，為客戶提供新一代的終端安全方案，而不僅僅是資產管理。

安全牛：

移動辦公環(huán)境下，大量的業(yè)務數(shù)據(jù)會被在終端使用和存放，企業(yè)該如何有效保護移動辦公環(huán)境下企業(yè)的數(shù)據(jù)資產？

丁俊一：

新的數(shù)字化辦公場景下，數(shù)據(jù)是流動的，不僅從數(shù)據(jù)中心、云端流向終端，也有很多是從智能終端產生或采集回傳給后臺，呈現(xiàn)出了多方、多流向的特性。因此，單純的終端安全防護技術，并不能有效保護企業(yè)數(shù)據(jù)資產。

零信任的理念和模式匹配了當前遠程辦公環(huán)境的這一關鍵痛點，它通過可信驗證的方式確保用戶、設備以及數(shù)據(jù)的安全。因此，建議企業(yè)在移動辦公環(huán)境下，結合終端安全和零信任技術，提供系統(tǒng)性的解決方案，包括零信任網絡接入、零信任身份認證機制來保護企業(yè)數(shù)據(jù)資產。

安全牛：

零信任理念已經受到行業(yè)廣泛的關注和認同，在現(xiàn)代企業(yè)數(shù)字化工作空間的安全建設中，該如何與零信任安全理念融合發(fā)展？

丁俊一：

現(xiàn)代企業(yè)數(shù)字化工作空間的安全建設一定是圍繞業(yè)務來開展的，解決業(yè)務安全問題，不再是為某個設備或某一類設備解決安全問題。企業(yè)可以從以下幾個方面進行規(guī)劃和準備：

從需求角度，要基于業(yè)務場景充分調研終端系統(tǒng)的類型、來源、生命周期、歸屬、網絡接入方式、管理方式以及對應的安全要求，尤其是要明確業(yè)務場景所使用的業(yè)務應用，不同應用的業(yè)務流程、數(shù)據(jù)使用方式、集成方式、分發(fā)方式等細節(jié)設計，都會決定最終方案實施的成功與否；

其次，在規(guī)劃上，結合企業(yè)自身的戰(zhàn)略發(fā)展和業(yè)務安全的目標，明確未來幾年的目標，基于調研的結果，明確差距，確定分階段的演進計劃，從而建立整體的終端安全戰(zhàn)略，指導具體的項目建設和方案選型。

最后，在項目落地時，務必圍繞用戶業(yè)務形成標準化交付和部署的方案，而不能為每個設備定制終端安全方案。在終端上構建零信任的工作空間是目前階段實踐中最有代表性的主流技術方案，它結合零信任SDP網關，采用關鍵零信任身份認證技術，作為新型終端安全建設的基礎。方案的完整性、用戶體驗性都較好，且可規(guī)?；瘧?。有了這個基礎，就可以根據(jù)企業(yè)實際情況，決定后續(xù)終端安全能力的演進。

安全牛評：

終端作為數(shù)據(jù)生存和業(yè)務操作的承載體，其環(huán)境安全決定了企業(yè)的數(shù)據(jù)和業(yè)務安全。然而隨著企業(yè)數(shù)字化轉型的深入，業(yè)務與融合的云、網、端連接越來越緊密，外部終端、數(shù)據(jù)分布越來越多成了必然趨勢。終端安全已不再是傳統(tǒng)的計算環(huán)境安全，關注和布局企業(yè)外部工作空間的風險管理并為其選擇合適的技術方案必須成為數(shù)字化轉型中企業(yè)網絡安全建設不可忽視的組成部分。