我想用五张图来描述:指掌易ceo王伟的移动安全“理想国”
- 作者: zhizhangyi
- 分类:新闻
你可能愿意认识王伟,因为他是一个炽热的人。
十五个年头,他基本只做了一件事:移动安全。
说到他最知名的作品,也许要数 360 手机卫士。360 手机卫士的前身,就是他创立的信安易卫士。
2006年,王伟离开摩托罗拉,创建信安易。
2009年,信安易被360收购,成为了 360 手机卫士。
2012年,他离开 360。
2013年,他二次创业创建指掌易。
早年的创业成功,让他获得了不菲的财富,在很多人眼里,他已经可以任性地过上“退休生活”。但有意思的是,他生活简朴而忙碌,为了自己想做的事情,似乎连一秒钟都舍不得耽误。
有关他的江湖传说,不一而足。但有关他的技术理想,却少有人提及。
每次见到王伟,他言语间永远笑容满面。仔细想来,这种笑背后传达出一种坚定的心满意足。就像是他刚刚亲手为这个世界搭建了一座乌托邦。
指掌易的技术在他心中,是怎样的乌托邦呢?
▲ 王伟
在和王伟聊过之后,我决定用五张图来描述他的技术构想。
第一张图·虚拟安全域
对于一个企业来说,什么最重要?数据。
尤其是对大型企业来说,数据几乎是你的生命。以苹果公司为例,它的数据包括:新 iphone 的设计图纸、库克和高管的会议记录、员工之间对于新功能的讨论聊天记录。
无论怎样姿势的黑客攻击,绝大多数最终目的都是要拿到你的数据。
但是,一个企业的数据并不会好好地留在自己的服务器里,它会散落在云服务器上、员工的电脑上和员工的手机上。
你的电脑可能是在办公室里专用的,但手机绝不是。
你会在自己的手机上看美剧、刷新闻、订餐、撩妹,顺便工作。
企业的敏感数据就像一湖水,需要四周所有堤坝都坚如磐石。一旦你的手机被黑客入侵,就会成为一个缺口,让企业内部的资料像决堤的洪水一样涌出来。
一旦这件事情发生,对于企业来说,所有的防护努力都功亏一篑。
所以,王伟要做的事情很简单,就是在你的手机上,隔离出一个空间,专门和企业的内部系统相连。就像这张图所画的那样。
▲ 企业数据在员工的手机上开辟一块“飞地”,这些“飞地”虽然在员工的手机上,却属于企业所管理的一部分。看起来就像一个数据湖泊,伸出了一些触角。
这样,你的手机就分成了蓝色和黑色两个部分。蓝色部分的应用和企业相连,叫做虚拟安全域;黑色部分的数据是你的私人应用,二者之间耸立着一道“柏林墙”。
里面的数据出不来,外面的数据进不去。
王伟说。
就这样,无数个手机上的虚拟安全域,组成了企业数据“触角”的一部分。员工们在同一部手机上既可以安全地办公,又可以愉快地玩耍。
第二张图·把 app 装进虚拟安全域
这个构架看上去不能再简单,但要做好绝非易事。王伟这个技术疯子说:这是他带领着程序员们,用了将近2年的时间一行行代码敲出来的,纯人工成本就耗费了2000万。
纳尼?为什么需要2年2000万?
这是因为,他坚持要实现两个苛刻的要求:
1、一个 app 不经过任何修改,就要能跑在虚拟安全域里。
2、安全域可以跑在所有品牌所有型号的手机里。
打个比方:
既要把鸟儿装到笼子里,又要让它可以自由飞翔。
这大概就是指掌易面对的困难。
所以,针对每个应用,程序员都要在不做任何改动的基础上,对各个接口的工作方式了如指掌,然后再有针对性地进行优化适配。
单单是主流应用,就有5000多款;主流手机型的号也有几百款。
现在看来,这个最艰巨的部分已经被他们完成。
所有的 app,可以跑在所有主流手机上的虚拟安全域。
▲ 虚拟安全域,基本可以塞进所有的主流 app,区域内的数据和区域外的数据互不干扰,“井水不犯河水”。
王伟的蜜汁微笑里,大概就包含了这种打完“八年抗战”似的酸爽。
这还不够,为了更好的效果,这些技术宅们还自己开发了“专门”“完全”“深度”“特别”为虚拟安全域开发的办公套件,包括即时通讯、邮件、浏览器、云存储等等。
企业可以直接通过这些办公套件为员工下发文件,下达任务。
第三张图·在虚拟安全域中的 app 可以被管控
“安全域”对于企业管理自己的办公数据来说,确实是一个好选择。因为在这个区域内的“ app中的所有数据,企业是可以实现管控的。
简单打个比方:在虚拟安全域当中,所有的 app 都是透明的:
1、app 和 app 之间相互透明;
2、app 对管理者来说也是透明的。
也就是说,企业 app 外面被包了一层壳,所有“企业 app”的数据进出,都可以被看到。如果公司监管者认为你用这个 app 传递了不合规的信息,就可以完整记录下来,然后找你对质。
王伟强调,只有在虚拟安全域中的 app 才可能被管控,这些 app 需要员工在特定的企业应用商店来下载。
就像下图这样,app 在和服务器交流的时候,安全域是可以对信息流进行旁路监控的。
▲ 企业 app 被加了一层“壳”,通过这个精巧的技术设计,虚拟安全域可以让企业对自己的 app 进行实时数据监管。
举个栗子:
假如你是著名手机代工厂某某康的员工,
如果你想要在敏感的位置(例如 iphone 生产车间)使用照相机拍摄,那么系统会自动提示你相机在这个位置已经被禁用。
如果你想要对聊天记录截图,那么系统也会提示你这个对话无法截图,如果你用照相机照下自己的屏幕,那么你会发现满屏幕都有印着你自己名字的水印。
这种管控在技术上可以达到什么程度呢?有一种比较极端的应用场景,那就是在人民解放军内部。
现在战士们都配有手机,手机可以自由传递信息,但是军队内部几乎全是机密。
王伟告诉我,在这种场景下,如果不对手机进行“强管控”,会有很多种姿势泄露机密:
战士发一张自拍照,可能就暴露了背景中的武器装备。
战士在拉练的时候发一个朋友圈,可能就泄露了军队的定位位置。
战士在和朋友发微信聊天的时候,一不小心就可能泄露了部队的信息。
所以,对于解放军战士这样的特殊群体,必须配置所有应用都放进安全域的特殊手机,战士在手机上的一切行为,上级都可以监控,并且有权过问。
实际上,正因为指掌易可以提供这种强管控的能力,很多军队都邀请他们来做战士们的手机管控系统。
第四张图·安全域外面的安全
一个安全防护边界的宿命,似乎就是被人用各种方式攻击。
纵然王伟对自己的技术有百倍信心,但作为一个安全老兵,他永远承认一句话:没有绝对安全的系统。
安全区域可能被人用各种方法攻击,例如:
安卓手机被 root,iphone 手机被越狱,恶意软件很可能利用“上帝权利”直接撕开安全域;
某个恶意软件可能对虚拟安全域进行有针对性的攻击,这种情况下安全域也有可能失守。
王伟说,虚拟安全域技术,是公司大部分技术力量所维护的“城池”,所以一旦产生了对安全域新的攻击方法,安全域都可以在第一时间得到热补丁升级。
至于 root 和越狱,就像破坏了手机的免疫系统,无论再好的技术都无法保障数据的安全,面对这种情况,一旦软件探测到系统被越狱或者 root,就会自动锁死安全域,销毁重要的资料,并且向控制端报警。
只有当运行环境恢复之后,虚拟安全域才会重新启动。
如下图所示,安全域会随时“询问”手机,现在的手机是不是符合我所需要的运行环境,有没有被root,有没有运行我黑名单里的恶意软件,有没有被 gps 欺骗,等等。如果稍有不对,安全域马上采取对应措施,锁死或者自毁。
▲ 安全域会向手机芯片“询问”运行环境是不是安全,也会探测手机上有没有安装“可怕”的应用。一旦探测到运行环境有问题,虚拟安全域就会采取相应的对策。
除了这些, 安全域还会对操作手机的人进行识别。平时,当真正的机主在安全域内操作的时候,行为是有规律的。当一个操作明显不符合原来机主的习惯时,安全域还会弹出再次验证身份的要求。如果通不过,就会被从安全域中踢出来。
另外,如果安全域长时间没有连接到云服务器,它会认定自己处于“失控状态”。这种状态很可能是手机丢失,或者被关机重置。于是安全域也会自动锁死。
第五张图·安全域里面的加密
王伟和他的200位技术宅工程师们,用尽了一切力量把虚拟安全域围成了铁壁铜墙,就像特朗普所说的美墨边界的高墙一样,阻断了两个世界通讯的可能。
他把企业的数据,用一道逻辑的围墙围起来。这时候,风险就会收敛为一个可以控制的值,大概分成几个部分:
云端的安全,由云计算厂商和云安全厂商来解决;
端上的安全,由指掌易的虚拟安全域来解决;
但这二者之间,还存在着一个薄弱环节——传输。
王伟觉得,传输安全这件事情他要来解决。在传输环节,指掌易的方案采用了实时加密传输的技术。
简单说来,所有的信息在虚拟安全域本地存储的时候都是实时加密的,而在传输到云端的时候,同样用加密的形式传输。
就像下图:
▲ 虚拟安全域和云端的文件传输采用了加密的方式。秘钥被“藏”在手机上的安全位置,这就保护了文件在传递过程中不会被“偷窥”。
同理,公司服务器也使用加密的方式为各个手机推送工作文件。只有当虚拟安全域需要调用某个文件的时候,才会实时解密。
从这个角度上来说,一旦黑客攻进了虚拟安全域,拿到的绝大部分数据也是处于加密状态,无法被解读。
这也是数据安全的最后一道防线。
五张图说完了
图说完了,王伟的技术乌托邦也基本被勾勒。
“不碰云安全,不碰 pc 安全,只做移动终端的数据安全”,是王伟给指掌易画下的红线。
有人说,你之所以是你,是因为你的独特数据。
你的身高、体重,脸型、指纹、声纹、瞳纹、基因组数据、思维习惯、行为习惯、知识储备。这些组成你的信息,都可以被数据化。
一旦这些数据失窃,这个世界上就可能出现一个克隆的你。对于一个企业来说,更是如此。
可怕的是,一个人的数据失窃,只能毁掉这一个人。
而一个企业的数据失窃,却要毁掉依赖它生活的无数人。
千万年前,亚当夏娃走出上帝划定的伊甸园,时至今日,赛博世界盗匪猖獗险象环生。
也许王伟深知,夜不闭户小国寡民的时代,永远不会出现在互联网居民的眼前。每个企业守好自己的“水泊梁山”,是另一个向度上的完美。
2017/07.05 浅黑·史中