【信息安全】重构企业移动安全

消失的企业边界

信息时代最显著的变化便是云和移动化的快速普及与深入应用，不久的将来移动智能终端的数量将超过全球人口的总和，万物互联的“长尾效应”会产生90%以上的未知威胁。它们将存在于生活的每个角落，在保持动态运作时产生无法预知的漏洞。

对于企业用户来说， 早期企业移动需求是以移动办公为代表的通用移动应用，而未来与日常业务紧密相关的行业应用将成为趋势，如移动巡检、移动医疗、移动数据采集等，企业移动管理需求进一步提高企业移动的建设重点也从员工移动化逐步过渡到业务流程移动化。在移动建设的初期，企业员工可以通过智能终端处理一些简单工作事务，摆脱对固定办公场所的依赖，实现员工个人的移动化。未来移动应用会进一步与企业的核心业务进行紧密集成，实现业务流程的移动化，提高企业销量、降低运营成本以及促进企业内部协同，给组织机构带来切实的商业价值回报。

据预测，2016年将有50%的企业员工自带设备上班进行业务办公，将有38%的企业预期停止提供计算设备。而到2018年，用户所使用的信息终端将会全面移动化，每个用户平均拥有1.4台接入网络的移动设备。在催生了海量的移动应用程序的同时，也为黑客提供了全新的攻击目标与手段，随着越来越多的终端接入网络，不良的开发习惯和数目庞大的终端会产生数量超乎想象的漏洞，这些漏洞将越来越多地被黑客利用，数据泄露将会随时发生，用户却全然不知，企业的信息资产处于越来越危险的境地。

从MDM到EMM

当前大部分企业的移动安全支出主要集中在移动设备管理（MDM）中，这种工具提供的功能包括设备资产管理、安全浏览、应用程序白名单、数据丢失防护、移动VPN、应用程序水平的VPN等。MDM通常情况下是一个底层解决方案，只关注于设备管理和操作系统层面的特性，所以一般来说MDM不能解决应用程序层面临的问题。

目前，业内如Gartner等知名咨询公司都认为移动管理市场已经从MDM进入了EMM(企业移动化管理)时代。Gartner 2014年度移动魔力象限报告的重点已经从MDM转移到了EMM，虽然Gartner仍然会发布关于MDM的研究指导，但不再会有魔力象限，这曾经引起了很多MDM供应商的不满。

根据Gartner的定义，EMM内容管理包括一个“安全容器”，可以让用户安全地将内容存储在移动设备上。“内容推送”允许基于推送的交付，“内容访问”是连接并访问后端存储库，用户可以传输内容到其设备中。

EMM还包括移动内容管理、移动配置管理、移动应用管理等。

移动配置管理指的是针对WiFi、 Email、VPN等的配置和设置，也都通过平台进行下发，移动内容管理则是保障分发和移动访问企业内容的安全，提供数据加密等安全保护机制。而移动应用管理相当于给企业构建一个应用商店，包括了应用的上传、远程安装部署，以及版本更新等功能。

EMM转移了IT的关注重点，从保护设备转移到保护数据以及控制企业数据如何在应用间流动，从而保障数据处于静止和移动状态的安全。EMM不仅能更好处理移动威胁，也使得IT部门可以只管理每部智能手机或平板电脑的“业务部分”。在BYOD设备上，不仅仅要确保静止内容的安全性，还需要具备擦除(仅企业)内容以及控制容器间内容流的能力。EMM能设置应用白名单，确定数据被允许流向何处，包括第三方应用、存储以及云计算。EMM提供的策略控制可以简单到阻断拷贝、粘贴、截屏或打印敏感内容，也可以更高级，如控制一个文件只被允许在企业版Box.net中打开而不能在iCloud或者Google Drive中打开。

根据计世资讯《2014～2015年中国企业级移动应用管理市场现状与发展趋势研究报告》的数据显示，自2012～2014年，EMM市场保持了110%左右的高增长。预计未来3年内，EMM的增长率将进一步提升，2016年有望达到16.6亿元的市场规模。

但实际情况是，在面对大量涌入办公领域的移动设备，企业在安全方面的防范并不到位。大多数企业只是简单搭建一个防火墙或者进行一些权限设置，肯花钱购买MDM产品的企业本就不多，对于EMM的投入更是少之又少。

其实这也不难理解，很少有企业在笔记本时代就进行严格的加密，甚至封存USB接口。在笔记本电脑普及过程以及最终涉及管理笔记本设备的产品及服务中，只会有很有限的特殊行业会对办公用的笔记本电脑设备进行管控。

因此，对于企业用户来说，未知的移动安全威胁听上去很吓人，但实际上大家将威胁消灭在萌芽中的愿望却并不迫切。这可能与中国用户的使用和购买习惯有关，也可能与企业安全预算有限有关。且并不是所有的企业都已经进入了可以推广EMM的时期，对于还没实施移动应用的中小型企业，对此几乎没有需求。EMM的管理是需要建立在移动业务已经满足了企业的业务需求，且企业还可能需要移动业务以外的服务的大型企业。

移动安全未到爆发期

与之相比，研究机构发布的市场分析数字要乐观的多。

IDC 2014年发布的研究报告《中国企业级移动安全软件市场2013~2017年预测与分析》显示2013年中国企业级移动安全软件市场规模为1150万美元，2017 年将达到5770万美元，复合增长率为49.5%。2013年是中国企业级移动应用快速发展的一年，根据IDC的研究，2013年该市场规模为9.3亿美元，预计2017年该市场规模将达到41.5亿美元，企业级移动应用市场2013年~2017年的复合增长率为45.3%。IDC认为与传统的信息安全市场相比，企业级移动安全软件市场规模较小。但是，随着企业级移动应用建设高峰期的到来，很多用户已经把移动应用纳入自身的IT规划中， 作为未来IT建设的战略重点。企业级移动安全软件市场未来将保持快速增长，远远超过传统信息安全市场12%的增长率。

易观智库所发布的《中国企业级移动管理市场研究报告2014》显示，尽管2014年中国EMM市场仍处于市场探索期，但从宏观环境看，随着近年来移动设备的广泛普及、移动办公应用、生活应用的日益深入及4G的到来，将有利于EMM市场呈现快速发展势头。尤其是随着国家最高层对于网络安全和信息安全的高度重视，并将网络信息安全上升到国家战略高度，也给国内专注于移动安全领域的企业创造了更多的市场机遇。

而根据信息安全产业“十二五”规划，到2015年我国信息安全产业规模将突破670亿元，保持年均30％ 以上的增速。随着政府、企业对安全的不断重视，究竟企业移动安全市场能不能成为一块诱人的蛋糕？

根据一些外资安全公司的数字显示，与国外企业移动安全市场相比，其在中国的企业移动安全方面获利甚少，甚至并没有赚到钱。而对于国内的安全厂商来说，日子也没有好过多少。一大批追逐政策红利的三产公司的成立将这个本就不大的市场利润摊得更薄。

同时，在大家都一门心思扎入企业移动安全这个蓝海的时候，用户的选择仿佛变得更加艰难。IDC中国负责企业级移动应用的研究经理王学亮认为，目前企业移动管理市场并无统一的规范，安全厂商、应用开发商都按照各自的出发点来研发产品。工信部或国家信息中心等相关政府主管机构未来会发布统一的移动信息化安全标准，引导厂商产品发展方向，切实满足中国客户，尤其是政府客户的安全诉求。

当前，多部门不断出台政策文件、联合开展专项行动，推动移动互联网应用的防篡改和可溯源等安全能力提升。通过移动互联网应用商店、智能终端生产厂商、CA认证机构、网络安全企业等产业链各方的共同努力，未来移动互联网应用全产业链的安全生态将会逐步构建。且随着政策法规的进一步完善，移动互联网应用全产业链会呈现一个全新的格局。

除了来自政策法规的正能量，随着新技术的进一步应用，一些新技术也可能对移动安全产生影响。

由于传统的静态防御手段已经不能应对新型的安全威胁，而大数据分析可以作为一个强有力的新武器来应对它们。基于大数据的安全分析技术，可以通过搜集来自多种数据源的信息安全数据，深入分析挖掘有价值的信息，对未知安全威胁做到提前响应，降低风险，实现最佳的安全防护，基于大数据的智能安全分析会成为安全领域的发展趋势。

而随着企业对云计算的进一步应用，越来越多的智能终端将被纳入云中，利用云计算的安全防护体系来应对不好控制的移动终端也成为应用云业务的附加福利。

显然，面对爆发的企业移动应用需求，企业移动安全市场还远未到爆发期。对于企业用户来说，先小规模投入移动应用管理领域，有助于建立完整的自身安全防护体系。对于安全企业来说，良好的市场机遇并不意味着一定能赚到钱，特别是面对还未迎来爆发期的移动安全市场，唯有认真探求用户需求，及时调整策略和技术才能立于不败之地。

　本文刊载于《中国信息化》杂志2015年第2期(2015年2月10日)，敬请关注！