繁
扩展现实(Extended Reality, XR)——包括虚拟现实(VR)、增强现实(AR)和混合现实(MR)——正迅速从消费市场转向企业核心业务。现在,不只是普通用户佩戴VR眼镜玩游戏,越来越多的企业开始使用这些设备进行新员工入职培训、团队协作、前线员工支持以及产品演示。
这意味着,企业在评估并选择 XR 平台时,必须更加谨慎地考虑安全性与数据保护问题。
XR 解决方案正变得越来越像“数据海绵”,不断吸收来自你的办公室环境、员工的眼动轨迹、心率数据、语音指纹等各类敏感信息。虽然这些数据可能被用于优化体验、个性化设置或辅助管理决策,但企业绝不能忽视其中潜藏的安全风险。
遗憾的是,尽管全球对 XR 的投资正在快速增长,但用于保护这些环境的安全解决方案却并未同步发展。如果你希望投资一个既具备创新性又足够安全的 XR 平台,那么这份指南将为你提供实用建议。
任何面向企业的 XR 厂商都会声称自己的平台是“安全”的,但这远远不够。真正重要的是企业能否根据自身的风险场景,用一套标准去评估和比较不同平台。以下是你应该关注的核心功能:
如果你的工厂数字孪生模型在演示过程中未经加密就在云端传输,那就意味着它暴露在外。完整的空间流加密至关重要。
在 VR 头显中输入密码并不方便。但正因为操作不便就跳过安全验证是鲁莽的。应寻找支持生物识别登录(如虹膜扫描)或无缝集成多因素认证(MFA)的平台。
不是每个人都能访问所有内容。你需要更细粒度的权限控制,而不仅仅是“管理员 vs 普通用户”。建议采用项目制访问,并保留审计日志。
如果有人带走了头显设备,你能远程清除数据吗?能远程升级固件吗?ArborXR、Meta Quest for Business 和 pico 都提供此类功能,只是成熟度不一。
总部防火墙无法保护位于 400 英里外工厂车间中的 XR 设备。要假设系统随时可能受到攻击,并验证每一次访问请求。
GDPR、SOC 2 Type II、FedRAMP —— 如果供应商无法清楚说明他们如何满足这些合规要求,那说明他们并没有真正重视企业需求。
以下是一些主流厂商在企业安全方面的能力分析,供你参考:
微软的 XR 解决方案,例如 Microsoft Mesh,依托 Azure 安全架构构建,这是其一大优势。你可以获得:
与 Azure Active Directory 的紧密集成
对多因素认证的全面支持
支持 FedRAMP 和 ISO/IEC 27001 等合规标准的基础设施
安全设置与大多数 IT 团队已经在使用的 Microsoft 365 系统一致,部署更为顺畅。Mesh 还支持会话数据加密和访问日志记录,便于管理员进行追踪和审计。
如果你的组织已经深度依赖 Azure 和 Teams,Mesh 是一个自然延伸的选择。不过你可能仍需借助第三方工具来实现设备管理。
Meta 正在向企业领域全力转型,“Quest for Business”就是其主打产品。它提供了:
全套设备管理功能(远程锁定、策略执行、应用限制)
数据静态和传输状态下的加密
可基于企业策略锁定会话
然而,Meta 作为一家以消费者为主导的公司,其数据流向和后端存储方式仍让部分企业感到担忧,尤其是在受监管行业,这可能会成为法律或安全团队的顾虑点。
此外,Meta 的工具在批量部署和设备管理方面并不总是理想,一些公司最终仍需依赖第三方解决方案。
Android XR(首次发布于 Google I/O 2024)是谷歌对开放、可扩展的 XR 操作系统的全新尝试,具有高度灵活性。主要特性包括:
应用沙盒机制
Play Store 审核流程
标准 Android 安全层(如 Verified Boot 和 SELinux)
但要注意的是,Android XR 是一个框架,而非即插即用的完整平台。因此,它的安全性取决于你选择的集成商、硬件合作伙伴以及配置方式。需要谨慎对待。
如果你拥有强大的工程能力,Android XR 能提供自由度;但如果没有严格的内部控制,它也可能打开更多潜在的安全漏洞。
Varjo 在企业市场定位清晰,特别适合那些对安全有高要求的公司。例如其 XR-4 Secure Edition 版本专为国防、航空航天等行业设计,具备:
本地化数据处理能力
符合美国《贸易协定法案》(TAA)
高级生物识别防护机制
他们的设备不仅加密,还实现了数据隔离,这对处理机密数据、研发资料或高价值知识产权的团队非常有价值。
当然,这也意味着 Varjo 是一种“高端”选择:无论是硬件、支持还是价格都属于顶级水平。但如果你最看重的就是安全性和控制权,Varjo 的确做到了极致。
PICO 正在企业市场稳步拓展,尤其在医疗、培训和现场服务领域表现突出。PICO 提供了:
企业设备管理器(Business Device Manager)
SSO 登录支持
远程擦除和配置策略
安全性方面基本覆盖了企业所需的基础功能。但在 SOC 2 或 ISO 等认证方面的文档透明度略逊于其他竞争者。对于高度监管行业的企业来说,这可能是一个障碍。
但对于中型企业而言,PICO 提供了一个平衡易用性与可控性的良好选择。而且其企业管理工具易于上手,开发者生态也在持续进化,具备较高灵活性。
选择安全的 XR 平台只是第一步,还需要考虑部署方式:是本地部署?还是云部署?或者两者结合?
优点:完全掌控数据存储位置、访问权限及安全实施方式。
适用场景:医疗、国防、制造业等对数据主权要求极高的行业。
缺点:需要前期投入基础设施、维护硬件、打补丁,还需内部技术力量支撑。
优点:部署速度快、成本低、基础设施由提供商承担。
缺点:你不能将责任全部转嫁给服务商。仍需关注配置、访问管理和数据保护。
推荐方式:将敏感数据保留在内部,非关键任务负载迁移至云端。例如,可在云端运行培训模拟,而在安全数据中心中保存数字孪生模型或生物识别日志。
选择 XR 平台时,合规性认证是你必须重点关注的内容之一。以下是一些常见的认证标准:
| 认证名称 | 适用范围 | 说明 |
|---|---|---|
| SOC 2 | 数据保护 | 表明供应商已采取实际措施保护你的数据与系统,适用于涉及员工、客户或其他敏感数据的场景。 |
| GDPR | 欧盟公民数据 | 若平台收集欧盟用户的数据(如眼动、生物识别、位置),则必须符合 GDPR。 |
| FedRAMP | 美国联邦机构合作 | 若你与美国政府合作,平台需符合 FedRAMP 标准,涵盖加密、监控、身份管理和安全审计。 |
| ISO/IEC 27001 | 信息安全管理体系 | 更广泛的国际标准,适用于多种行业。 |
| HIPAA | 医疗健康数据 | 若你在医疗环境中使用 XR,HIPAA 是必须考虑的合规项。 |
| PCI-DSS | 支付卡数据 | 若平台涉及支付行为,则需符合此标准。 |
再先进的硬件和沉浸式图形也无法弥补一个不安全的 XR 平台带来的风险。安全性不应是 XR 部署后的补充项,而应是整个架构的根基。
随着 XR 技术在企业工作方式中的进一步嵌入,如果你想走在技术前沿,就必须从第一天起就选择一个安全、可靠的 XR 平台。
VR52网成立于2015年,平台提供VR头显、AR眼镜、配件外设、厂商、测评、行业资讯、游戏与应用、展会活动等。
