你别指望企业的管理层看了以上的调查结果后,会出手扑灭这股势头.因为74%的用户都是自付手机话费,65%的人甚至是自掏腰包购买智能手机.公司不花一分钱,却能让他们在业余时间还能上线干活,哪个老板不乐翻了天?

　　没错,移动设备确实提高了员工的生产力,但如果没有相关的IT安全人员参与,那就会带来极大的风险.调查中只有31%的读者表示他们的智能手机和PDA有公司IT部门的支持.这是我们意料之中的,因为要为五花八门的手机系统提供支持,无疑会耗费大量的人力和财力.企业不是设备的所有者,也无权干涉员工选购什么产品.但是,企业却拥有许多终端用户储存的数据,一旦这些有关公司的信息下载到个人的手机上,那企业就必须引起足够的重视,毫不迟疑地插手进行干预以保证信息的安全.

　　面对这种情况,企业的首席信息官(CIO)有两种方法可供选择:第一种是禁止安装ActiveSync等同步程序,并切断移动设备与公司服务器之间的连接,然后封死公司电脑上的USB接口.当然,这样一来员工们肯定不会罢休,他们会绞尽脑汁地研究突破这些障碍的方法.第二种办法则要人性化得多:公司继续享受移动带来的好处,但同时也投入相当的技术力量,并制订适当的安全政策来保证数据的安全.

　　移动加密技术已经走过了很长的一段路,不过,要保证安全,仅靠技术是不行的.在目前的电子港湾网站(eBay)上,大约有3,300多部二手黑莓手机出售.如果其中的哪一部手机中存有敏感的数据,那再强大的技术恐怕也无能为力.因此,为保证信息安全,企业首先应当出台相关的政策,对设备的选购、设置、使用、维修以及遗失处理等问题进行详细的规定.不要对高管的手机搞特殊化.一个桶能盛多少水关键取决于组成桶身最短的那块木板,同样,一个系统的安全性如何关键取决于它最薄弱的环节,越是高管,他们手机中的商业信息很可能就越重要,并且,高管丢失手机的几率并不比一般员工低.

　　当你在制订政策时,注意从基本的数据保护措施入手,如加密、开机密码等,并保证设备遗失或被盗时可以远程删除数据.许多电子邮件推送服务、设备管理技术及安全系统服务都提供这一功能.另外,你还应当设置更细化的政策,包括强制VPN加密,要求用户必须安装杀毒软件、防火墙或其他安全软件等.再者,你必须定期向用户们敲响警钟,告诫他们设备的遗失不仅仅关乎到个人,更涉及到整个公司的安全利益.最后你需要记住的一点是,安全政策不能一成不变,必须时常更新,以便应对不断变化的商业和技术需求.

　　贯彻设备使用政策是否意味着企业应当为员工代劳,统一采购设备?也许吧.如果企业拥有了设备的所有权,那安全政策的执行和软件的设置也就不会引起太多的纷扰了.当然,由于在这个消费者驱动型的智能手机市场上,硬件的更新换代非常之快,替员工采购手机会为企业增加不小的成本负担,因此许多企业还没有这样做.目前市场上的流行机型都获得了移动安全和管理厂商的大力支持,因此在软件方面问题不大,但是,一些高级的硬件安全功能,如锁定照相机或SD插槽,则不太尽如人意.如果你允许员工在他们自己的手机上储存数据资料,那保证安全的最佳办法,就是向员工派发一组你的移动安全厂商支持的硬件,并保持及时的更新升级.

　　谈到安全厂商,他们的宣传材料会告诉你,要规避手机配置的缺陷需要相当大的资金投入,因此,在你买单之前,你需要确定企业真正面临的威胁到底有多少.

　　数据丢失当然是头号大敌.那么,每部手机上一般会储存多少信息数据呢?让我们先来看看.虽然大部分智能手机都有无线上网功能,但许多用户还是会在手机中储存大量的公司数据,这样即使手机不在服务区或是无线信号关闭(如在飞机上)时,也能访问到这些数据.电子邮件在手机中肯定会有的,相关网站的网页也会被保存到本地硬盘,此外,还有公司的全套应用程序,如表现层、数据库访问系统等等.

　　安全的第一道防线是加密,包括各文件夹加密和整个设备(含SD卡之类的移动存储设备)加密.不过,这道防线有利也有弊:加密整个设备的储存器虽然可以防止数据丢失,但同时也会影响整体的性能;加密文件夹虽然不会影响性能,但却需要你不断地对资料进行分类,以保证在加密数据时不会搞错.人总会有疏忽的时候,有的敏感数据难免会被放入未被加密的文件夹中,考虑到这一点,再加上随着科技的发展手机性能总是不断提高,因此我们建议用户最好采用整体加密.

　　移动设备上的病毒防护在近年来一直是个焦点问题.卡巴斯基实验室(Kaspersky Lab)、迈克菲公司(McAfee)、赛门铁克公司(Symantec)以及趋势科技公司(Trend Micro,下称趋势科技)这些大型安全厂商的产品体系中都有移动病毒防护产品.到目前为止,大部分漏网的病毒和恶意软件攻击的主要目标都是Symbian操作系统,也有一些瞄准了Windows Mobile平台.

　　不过,苹果公司(Apple,下称苹果)的iPhone可能为未来的战斗打响了第一枪.为了能在iPhone上安装第三方软件,或是在其他运营商的网络上使用iPhone,很多人已经将手机解锁当成了一项乐此不疲的事业,这当然就引发了缓冲溢出攻击等安全威胁.苹果虽然在兢兢业业地为 iPhone打上一个又一个的补丁,但这一事件却让我们看到,一些解锁iPhone的方法可以同样移植到其他手机上,冲破这些设备的整套防线.

　　“最让我担忧的是,移动设备实在是太容易感染恶意软件了.就算是用黑莓手机下载彩铃这样普通的事情,也有可能带来病毒.”福赛思解决方案集团 (Forsythe Solutions Group)的技术顾问大卫·布朗(David Brown)表示.他这句话的关键词是“可能”.就目前而言,还没有像他描述的那种安全漏洞,手机平台上也没有出现像Blaster或是Code Red这样有杀伤力的蠕虫病毒.从某种程度上说,手机平台正是由于关注度不高,才免遭病毒的大规模袭击.然而,随着电脑安全性能的不断提升,入侵者们便掉转枪头,把目标对准了与电脑联网的智能手机,以此作为企业网络的突破口.现在你可能还用不到移动病毒防护技术,但一两年之后可就难说了,因此你最好提前做好相应的准备.如果在你的公司中智能手机发挥作用的空间越来越大,那你就更应当有所防范了.

　　目前市场上针对企业移动安全问题的产品有很多,该领域内的多数知名厂商也都有自身的拳头产品.为了初步了解它们的大致功能,我们简单地考察了其中的一些产品.Trust Digital公司是一些政府机关和私人企业的安全服务商,我们考察了该公司最新的智能手机安全客户软件,以及趋势科技的一套即将推出的移动安全产品.

　　不管是Trust Digital公司的智能手机安全管理软件(SSMS)还是趋势科技的移动安全5.0(TMMS 5.0),都为客户的移动设备提供了各种各样的保护措施.其中最有趣的一个功能是SSMS的可信程序模式.该功能并不是简单地设置一些黑名单来禁止哪些文件在某一程序上运行,它能够对应用程序和数据类型进行匹配.例如,我们可以规定,只有微软的Word可以打开Word文档.这对防止恶意软件入侵非常有效.这两款软件之间的最主要区别是,趋势科技的TMMS 5.0与它的桌面电脑安全产品相同,都是从同一控制台对软件进行管理.

　　谈到加密模式,这两款软件都不错.企业既能对个人设备单独设置密码,也能对某一团队的设备进行统一加密,后者保证了数据的共享.唯一的问题是,每件设备上只能采取一种加密方式,也就是说,你不能在本地硬盘上使用一套私人密码,而在可以拿给同事的SD卡上使用另一套共享密码.当然,两家公司的产品中还包括锁定硬件和远程删除等必备功能.Trust Digital公司还在SSMS中加入了软件分发功能,但由于这是一款以安全为重点的产品,它便不具备移动设备管理系统中的一些高级目录和报告功能.

　　1.制订安全政策,对可以带出公司的数据进行严格的规定.不要对高管搞特殊化.

　　2.加密外带的数据.许多移动安全管理产品都具备这样的加密功能.

　　3.随时准备加强病毒防护.与企业系统平台相连的移动设备已逐渐成为了病毒攻击的目标.

　　4.密切关注智能手机的发展.

　　5.如果你拒绝采取以上措施,那就考虑锁定公司的电脑,让员工无法安装同步软件,这样一来他们也就无法用手机访问敏感数据了.

　　在保卫智能手机安全体系的战斗中,出现了一些新的问题.其中之一与密码有关:在手机那巴掌大不到的键盘上,按错键输错密码是常有的事.因此,笔记本电脑指纹读取器的领先供应商AuthenTec公司就宣称,它已经看到了智能手机领域对生物测量技术的需求,并认为在未来的18个月内,带有此种技术的手机就将在美国诞生.该公司已被美国政府选中,为2010年美国人口普查中使用的PDA提供安全服务.日本电子公司OKI也瞄上了生物测量技术,但他们选择的不是指纹,而是眼睛.目前他们正在为手机开发眼睛识别功能.该公司的想法是,运用一系列定制软件以及手机中的摄像头来对用户的眼睛进行扫描,以确定用户是否有权使用手机.目前这一想法还在初级的探索阶段,OKI公司预计此类产品要到2010年才能推向市场.

　　以上措施均是为物理访问把关,除此之外,可信计算组织(Trusted Computing Group)也正在着手开发适用于移动设备的可信平台模块——“移动可信模块”.据了解,可信计算组织开发这一模块的目的,是为了制订移动设备的安全标准,而这一领域一直被各大安全厂商所统治.

　　“令牌”把关 安全无患

　　OATH的开放标准旨在降低多重认证的成本和复杂性.

　　我们早就知道,多重认证带来的安全性远胜于简单的一行密码.然而,多重认证却一直没能得到广泛的应用,这是为何?原因有很多,首先是相关的产品太少,人们缺乏选择;其次是成本和共用性问题让客户们犹豫不决;再有就是IT部门的人员觉得这样一来他们的工作量就会大大增加.开放式认证推广组织 (Initiative for Open

　　“标准”是这里的关键词.基于OATH架构的系统允许用户令牌(user token)的共用,并支持各种需要认证的服务.而最终的目标则是:单个用户令牌与多个供应商的多种服务相兼容.这是一个很好的设想,但目前还无法完全实现.因为现在令牌的执行都需要事件来激活,如果一个令牌与一些不相关的服务配套使用,那么和这些服务相对应的事件就无法匹配令牌的状态,从而导致认证失败.让系统正常运行的唯一办法,就是让所有的服务都使用相同的确认后台,以保证令牌状态的一致.威瑞信公司(VeriSigng,下称威瑞信)的身份验证保护(Verified

　　封闭系统的市场一直都是由RSA公司占据着无可撼动的领袖地位,但多重认证领域就热闹多了.WiKID公司和PhoneFactor公司就是最具实力的两股新生力量.前者靠的是基于手机的软件令牌,而后者则是向用户的手机发送认证代码.在这一领域内,有的是大把大把的机会,因此,OATH的研发队伍是越来越大了,各种类型的公司都在往里钻.除了威瑞信之外,还有美国在线公司(AOL)、BMC公司、思杰公司(Citrix)、Entrust公司、惠普公司(Hewlett-Packard)、国际商业机器公司(IBM)、Imprivata公司以及SanDisk公司等等.

　　使用密码的单重认证很容易被攻破,而一次性密码在每次使用后,都会生成新的密码,这样就提高了安全.在这种方法诞生之初,人们往往是先打印出一组复杂的密码,然后每用一个就划去一个.但如此一来,工作的效率也就大大降低了.基于令牌的系统使用钥匙挂链式的电子设备,在液晶屏幕上显示出所需的下一个密码,这样便提高了效率.问题是,这些系统配置起来都不便宜,因为目前的市场完全被少数几个专属系统所把持.不过,由于共用性是OATH开放标准的必然产物,因此我们已看到许多厂商在开发各种各样的令牌,包括信用卡大小的令牌、带USB接口的令牌、甚至有可在手机上运行的基于纯软件的密码产生器,这就省去了随身携带令牌的麻烦.

　　生成一次性密码的办法有两种.一是事件激发型,即密码每使用一次,就自动更换;二是定时更换型,即每过一段固定的时间,就自动产生新的密码, RSA公司的SecurID令牌采用的就是这种方式.两种办法孰优孰劣还暂无定论,不过第一种生成密码的方法更加简单,实施起来成本也相对较低.定时更换密码的令牌对时间的要求非常精确,它必须与服务器同时改变密码,而事件激发型令牌在每次显示新密码之前,只需进行一次运算即可.这就意味着,事件激发型令牌可以做得更加小巧,并且待机时间也更长,因为它们只在每次使用时才会启动.

　　令牌只是一切的开始

Force,下称IETF)来提交和修改用于认证架构的其他组件的标准,包括密钥设置、Challenge Response Algorithm等.它还开发了两个版本的参考架构,为安全认证所需的其余基础设施搭好了框架,这包括新令牌的设置、多重认证类型的确认以及授权和审核等等.

2.0中有一个风险模块,它会为每次操作进行风险评估并打分,然后以此为参考为以后的操作挑选合适的认证方法.例如,如果一台可识别的电脑在工作时间发来账户余额查询,那将获得比较低的风险评分,只需用户名和密码之类的简单认证即可,而如果在非工作时间,一个陌生的IP地址发来大额转帐的请求,则会获得较高的风险评分,因而也就需要更严格的认证方法,并很有可能需要使用特殊的密码令牌进行签字才能完成交易.

　　如今,政府在安全方面不断对企业施压,而消费者对企业的安全要求也越来越高,因此许多企业迫于压力都将认证后台外包,各大电子商务网站和在线金融网站便是个中的代表.这一外包趋势或许是各大安全厂商展示功夫的最好机会.

　　企业的IT部门如果想推出针对内部用户的多重认证方案,可以看看市场上基于OATH的产品.虽然眼下企业在这方面的选择不是太多,但在大量 OATH框架开发商的不懈努力下,过不了几年就一定会有各种价格适中、功能强大的产品出现.目前,市面上最出色的两款基于OATH的产品来自于Card Technologies公司和Authenex公司.

　　希望:多重认证的标准诞生,大量安全认证产品走向市场,导致安全认证的总体成本下降

　　力量:包括业内巨头美国在线、Entrust公司、IBM和VeriSign公司,以及一些名气不大的专业认证公司.

　　前景:在线服务供应商,尤其是金融服务公司,希望加强安全措施,以达到国家鼓励的双重认证机制.建立统一的标准可以减少成本,简化执行流程.从目前来看,OATH很有希望.但最大的问题是,令牌能否真正解决在线欺诈问题.

对于从事移动互联网的人士来说，过去的一年不如想象中的美好，App“任性” 收集使用个人信息的时代已经过去，随之而来的是贯穿整年的“App违法违规收集使用个人信息专项治理”行动。与此同时，一些行业也开始进行乱象治理，2019年的教育App和移动金融App需要合规。

游戏领域，各地警方加大了对私服、外挂的打击力度。另外，对于手游辅助脚本到底违法不违法，此前似乎众说纷纭，而这一年法律给了最终的答案。政策层面，人民网起草《游戏适龄提示草案》，开始搭建网上提示平台……

网易易盾一直关注和记录移动安全领域，每周一次对事件和相关大事进行整理，在2019年远去，迎来2020年之际，对全年大事记进行盘点，希望获得行业的共同关注，更好地打造生态环境。

1. 四部委联合开展“App违法违规收集使用个人信息专项治理”行动

2019年1月25日，包括中央网信办、工信部、公安部、市场监管总局四部门召开新闻发布会，联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。

2019年下半年几乎每个月都会有一批违法违规App被曝光，而在年底监管部门对外晒出一年内治理成果，据不完全统计大约有近万款App在今年进行了整改，下架App超过百款。

也是在年底，中央网信办、工信部、公安部、市场监管总局四部门则印发了《App违法违规收集使用个人信息行为认定方法》，明确了6大类31种行为属于APP违法违规收集使用个人信息，进一步加强App违法违规收集使用个人信息的治理。

补充说明：2019年的315晚会上，央视曝光了智能骚扰产业链和神奇的探针盒子，这一切的源头是数字时代App过度索权、过度用权。违法违规收集使用个人信息已经到了必须整治的地步，而2019年违法违规收集使用个人信息专项治理动可谓非常及时，而且范围广、评估深入、治理体系完整。

2.教育APP有了严规范！监管部门出台《关于引导规范教育移动互联网应用有序健康发展的意见》

2019年8月，教育部等八部门《关于引导规范教育移动互联网应用有序健康发展的意见》发布。开始了全面治理教育移动应用乱象，补齐监督短板，规范全生命周期管理，提高开发供给质量，营造优良发展生态，促进教育移动应用有序健康发展。2019年9月5日，教育部召开新闻发布会对《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》进行解读，以示重视。

11月份，教育部办公厅又印发《教育移动互联网应用程序备案管理办法》，要求各单位要在2019年12月1日至2020年1月31日前，完成对现有教育移动应用的备案工作。

补充说明：《关于引导规范教育移动互联网应用有序健康发展的意见》是中国国家层面发布的首个全面规范教育App的政策文件，覆盖各学段教育和各类教育App，引导规范教育App 促进“互联网+教育”有序健康发展。而《教育移动互联网应用程序备案管理办法》建立了健全教育移动应用管理制度、规范和标准，形成了常态化的监管机制，初步建成科学高效的治理体系。

3. 不止教育 移动金融App安全要求也进一步加强

2019年，相关部门对移动金融App的安全要求进一步加强。2019年11月份，互金协会发出《关于增强个人信息保护意识依法开展业务的通知》，12月份，中国人民银行发布237号文《关于加强移动金融客户端应用软件安全管理的通知》。

补充说明：个人信息保护是全年的一个大基调，在这个前提下，相关部门也要求对个人金融信息加强保护。此外，也要求金融机构提升安全防护能力，包括客户端软件设计、开发、发布、维护等环节的安全管理，构建覆盖全生命周期的管理机制，切实保障客户端软件安全。

4. 手游辅助脚本违法！叉叉助手停运，70余名员工被警方抓获

根据网易新闻报道，张家港警方在“净网2019”专项行动中，破获全国首例“聚合脚本外挂平台”案件，抓获公司相关人员、脚本作者等70余人，查获电子数据4TB，各类脚本60余万个，追缴非法所得上千万元。

补充说明：有人说，手游辅助脚本不属于外挂类，因为其并不会非法修改游戏数据，来使玩家获取不正当利益……“净网2019”行动显然表明，法律和有些游戏厂家并不认可这一说法。

5. 被抓判刑！富二代“IT男”运营大话西游私服获利千万

2019年4月，杭州滨江警方在市局的支持下，在北京一高档写字楼一举抓获了以闫某为首的犯罪团伙，查扣大量计算机、手机，并在计算机上发现了大量正版手游的美术、音乐资源。据民警查证，闫某某在未取得网易（杭州）网络有限公司授权的情况下，于2018年11月开始运营私服，并以道具收费、招募代理商等方式，通过向玩家、代理商收费获利，截至案发，累积非法经营数额1020万余元。

补充说明：很多人认为，只是复制了一些东西，参与了市场不正当竞争而已，属于民事纠纷。然而不是这样，实则已经触犯了刑事。

重要的事情说三遍，开设私服违法！开设私服违法！开设私服违法！

6. 人民网起草《游戏适龄提示草案》 将搭建网上提示平台

人民网起草的《游戏适龄提示草案》，是根据中国现行法律规定和青少年成长过程中的生理特征、认知能力、道德水平综合考虑，将游戏适龄范围划分为“18岁以上（18+）”“16岁以上（16+）”“12岁以上（12+）”“6岁以上（6+）”四级。其中，因6岁以下儿童正处于视力发育等的关键时期，不建议他们单独使用电子产品进行游戏。

补充说明：就媒体报道来看，“游戏适龄提示”旨在辅助主管部门提升监管力度，有效排查违规游戏内容；体现更加细分的用户群体和清晰的市场结构，便于企业更具针对性地开发产品；有效减少未成年玩家接触含有暴力、色情内容的几率，为未成年玩家提供健康的游戏环境。

7. DDoS+外挂 上海警方侦破《守望先锋》外挂案

2019年，上海公安网安部门接报称，上海网之易公司代理运营的《守望先锋》游戏服务器频繁遭受DDOS攻击。

上海公安网安部门迅速展开侦查，发现一款名为“炸房”的游戏外挂程序有重大作案嫌疑。进行抓捕后，嫌疑人郑某供认称，其自幼喜欢编程，通过自学熟练掌握编程技术，因喜欢“守望先锋”游戏，出于好胜心和炫耀的目的，制作了具有DDOS攻击功能的游戏外挂，并销售给他人牟利。

补充说明：对于游戏外挂的打击，逐年加强。2019年，除了上海警方外，包括锦州凌河、蓬安、宿迁、赣榆等地方警方也进行了游戏外挂的打击。

2019年，苹果的漏洞似乎有点多，结合外媒和国内的报道来看：

iOS漏洞在整个2019年都有出现，其中包括“ AirDoS”漏洞，该漏洞能够让附近的黑客可以通过文件交换功能AirDrop，使iPhone和iPad无法使用。在6月，发现了一个iMessage漏洞，使运行旧版本iOS的iPhone运行速度变慢。另外发现了其他5个iMessage漏洞，这些错误不需要用户进行交互，其中一个漏洞允许远程攻击者访问iOS设备上存储的内容。在一次历经数年的水坑攻击中，发现有5个漏洞利用连用到了14个iPhone漏洞，其中2个在2月被披露为0

补充说明：随着近几年各种iOS安全隐患的频频出现，大家逐渐认识到，iOS和Android一样，也会面临严重安全问题，因此保护iOS应用安全变得非常重要，不可轻视。

一个名为“ StrandHogg”的Android漏洞，可使现实生活中的恶意软件伪装成合法应用程序，并同时请求权限，包括SMS、照片、麦克风和GPS，从而允许他们阅读消息，查看照片，进行窃听和跟踪受害者的活动。而用户对此毫无察觉，没有意识到他们是在授予黑客权限，而不是他们认为正在使用的真实应用程序。

补充说明：这个漏洞影响范围非常大，据悉所有的Android都受影响，不需要Root权限，并且所有前500个最受欢迎的应用都有可能被“伪装”。

10.2019年游戏公司和游戏安全厂商开展联合行动

一直以来，知名游戏公司英雄互娱在反外挂问题上都十分的重视。从2018年初起，人气FPS手游《全民枪战2》便开始对游戏内进行大范围的外挂清扫，并新增信誉积分系统，来协助打造绿色游戏环境。

而在2019年，为了进一步保障玩家权益，英雄互娱又和网易易盾展开合作，对《全民枪战2》的反外挂系统进行了全面的升级。

补充说明：打击外挂，游戏公司此前都是自己发力——做好安全和运营，偶尔也会寻求警方帮助。而在2019年开始有不少游戏公司与专业的游戏安全厂商展开联合行动，捍卫玩家和自己的利益。当下游戏版号审批较严，有不少游戏公司的重心开始从不断开发新的游戏向运营好现有的游戏转移，可以预见的是，未来和游戏安全厂商的合作将会越来越紧密和频繁。

看起来表现效果十分前沿的虚幻引擎5，离实际应用并不遥远。

虚幻引擎5不是中小团队能玩得转的吧？

虚幻引擎5是针对下一代主机开发的，用到手游上是不是还遥遥无期？

前不久，虚幻引擎公布了在PS5平台上实时运行的技术演示，展示了针对下一代主机硬件环境的一些新技术。在次时代的硬件平台上，该演示表现出了惊艳的视觉效果。出现这样的疑问也是自然而然的

“但这些是对虚幻引擎的误解。”Epic Games技术负责人王祢说，“大家看到品质上的提升，恰恰是因为虚幻引擎提供的技术是在降低开发门槛，而不是提高。”据他介绍，除了少数几项最尖端的新技术，虚幻引擎5的大部分新技术，很快能在移动端实装。引擎准入门槛对于中小团队也会更友好。

今年ChinaJoy期间，我们采访了Epic Games大中华区总经理（商务与市场）吴灏，以及技术负责人王祢。他们向我们介绍了近两年Epic Games、虚幻引擎在国内市场的发展。

近年虚幻引擎开发的手游大作越来越多。《PUBG MOBILE》、《和平精英》常年占据畅销榜榜首的成绩，都验证了虚幻引擎的游戏制作品质。而后祖龙的《龙族幻想》面市，大家也看到了国内最熟悉的MMO品类，在虚幻引擎支持下的表现。

不过在此之前，虚幻引擎在国内游戏产业里也确实经历了一些质疑，比如虚幻引擎4能做手游吗？更适合做哪些类型？同时，对一些厂商来说，转向虚幻引擎4有不小的技术切换成本。因此很多工作室、项目组都还处于观望状态。

但是《和平精英》和《龙族幻想》接连成功之后，有更多厂商认识到了虚幻引擎4在手游开发上的表现上限，开始转向虚幻引擎4。并且在后续的开发中更多地使用虚幻引擎。

“做过一款虚幻引擎4项目的公司，大概率会把更多产品都转向虚幻引擎。”吴灏介绍道，“此外，从接触到的合作案例来看，国内开发者正在变得更注重产品个性化表达，这也让品类前景看起来很乐观。”

以下是葡萄君整理的采访实录。

虚幻5对中小团队更友好

发布后很快能应用到手游

虚幻引擎5公布之后，很多人表示这不是小团队、小项目能玩得转的，Epic计划怎么让他们也能用上新一代引擎的技术？

王祢：这可能是一个误解，（虚幻引擎5）提供这些技术其实是为了降低门槛，希望大家不要过多关注很多技术细节。

Nanite技术不单单能帮助美术人员减少和省去制作低模、烘焙法线贴图以及制作LOD的工作，又可以让制作人员不再关心面数和绘制对象数量，甚至还能进一步提升阴影的品质。在不占用太多内存显存的基础上，达到非常高精度高细节的大范围投影，同时还省去了开发人员为了阴影效率和效果需要调整的很多参数。（例如cascade的数量，重合边界比例，分配衰减系数，阴影的Bias等）

我们推动的技术都是这类帮大家节省成本的。不论对于成熟团队，还是没那么多资源的中小团队，大家看到的这些品质提升，并不是在抬高制作门槛，反而是降低了。

虚幻引擎5主要是在强化哪些新功能，针对哪些问题？

王祢：我们公布了虚幻引擎5，大家也看到了震撼的技术demo，除了配合次世代主机，我们主要目标有三个：

第一，进一步改善画面品质，不单单是渲染效果，而是希望整个世界更生动，能跟更多的元素交互，所以引擎的一个提升方向就是画面品质和交互性。

第二，大幅提高项目迭代效率，现在虚幻引擎4在较大项目中迭代效率还是比较慢的。我们希望通过大量的研发投入，让虚幻引擎5上整体的产品迭代有更大改进。

比如说你的项目在场景里面做了一些变化，调整以后，重新按一个键，打包发布到设备上，就能提供目标设备预览。最终目标是，不管移动设备还是主机设备，整个迭代过程和直接在编辑器里面预览效率是一样的。

第三是我们希望能提供更丰富、更好的工具，让中小团队甚至个人，也能做出高品质、大规模的游戏，或是大世界类型的游戏。这是一个从编辑器、工具、用户体验到功能性和应用性的全面提升。这是虚幻引擎5的三个目标，也是当前开发的重点。

这几点会从哪些层面上影响游戏开发过程？

王祢：讲得大一点，我们想进一步降低门槛，同时提升品质上限——你不需要那么多专业背景知识，因为做游戏更重要的是，让大家来体验你设计的玩法。我们其实希望能有更多人把自己有趣的想法，在游戏里表达出来，而不需要每个人都有那么专业的引擎背景知识。这是我们的目标。

能举一个具体的例子吗，某项新功能实装会怎样提高开发便捷性？

王祢：比如说，大家都看到了虚幻引擎5技术演示中的光照。它能在开发过程中节省大量因为光照烘焙而产生的迭代时间。我们还有新的功能可以靠GPU去做烘焙，但那就需要更大的显存。以后你可以不需要这么大的显存去做间接光的预览，也可以借助GI提供更高品质的画面、包装效果，我觉得这是非常大的提升，一是提升画面表现，二是同时改善项目开发的效率。

所以对于中小团队、体量不大的游戏来说，虚幻5比过去更有吸引力。那么对于他们，Epic有怎样的预期？

吴灏：2014、2015年我们在中国刚开设子公司，到2017年这几年时间，那时国内手游大厂还处于技术升级前夕，对虚幻引擎并没有那么高的热情，不少studio都在沿用自研引擎或其他商业引擎。那段时间，我们周围的虚幻引擎小伙伴多数是中小团队。很多国内中小团队反而没有在做手游，而是在尝试做PC、主机游戏，坚持做国际化的游戏。这一点和西方游戏市场恰恰相反。

所以使用虚幻引擎的中小团队一直不少，如今中小团队转到虚幻引擎的绝对数量肯定更多。只不过这两年转向用虚幻引擎4开发的手游大厂越来越多，所以中小团队在我们的客户和社区的比重有所降低。从个人角度来说，我希望更多中小团队能做出国际水准的作品，在国外也获得好的成绩和口碑。这几代国内游戏人可能都多少有点这样的梦想，这部分Epic也会持续提供协助，譬如，除了技术支援，我们还有Epic MegaGrants这种资金援助计划。希望这些举措能从不同维度帮助到开发团队。

虚幻引擎5演示新技术，应用到移动端还要多久，目前来看有什么困难？

王祢：虚幻引擎5的技术演示里，除了渲染技术，还有很多物理、粒子特效，动画和音效相关的技术。这些技术都可以直接在移动端使用。

而Nanite和Lumen两项技术，目前移动端还实现不了。我们在积极跟移动硬件厂商交流，看看未来的产品能否达到这两项技术的最低门槛。考虑到移动硬件发展非常快，头部硬件产品其实算力相当不错，可能用不了多久，就能用上这些功能了。

也就是说，虚幻引擎5上线之后有很多新的技术都是移动端直接可用的？

王祢：是的。例如虚拟几何体，它能渲染无限多边形和全场景无限多的对象，虽然移动平台还不支持这项技术，但我们也会提供一套统一的自动化内容工具管线，帮助开发者在移动端上直接用这样的资产，从而生成能在移动端渲染的资产。

比如，你要做一个像《堡垒之夜》一样跨平台的项目，你可以只提供一套影视级的资产，通过引擎工具和一些设置直接打包发布到移动端。这样的游戏照样能有效运行起来，而且还能有不错的画面表现。当然技术的各种细节完全不一样，但核心思想类似，这是我们移动端上会提供的工具技术方案。

“做过一款虚幻4项目的公司

大概率会把更多产品都转向虚幻引擎”

《和平精英》和《龙族幻想》的成功，对虚幻引擎在国内市场的拓展有没有什么帮助？

吴灏：促进作用非常大，《PUBG MOBILE》，《和平精英》和《龙族幻想》成功之前，多数厂商没有把握——甚至一些国内技术储备相当强的公司也非常犹豫，很大程度上是因为他们有现成的生产管线，不管是过去用惯的商业引擎还是相关技术储备，他们都觉得够用了。所以当时国内多数大厂还是倾向于观望，等待某个本土studio在虚幻引擎4上获得成功了，才相信国内具备了相关技术和人才储备，然后开始内部技术升级转型。

而《PUBG MOBILE》在海外100多个国家的下载、畅销榜都做到第一。《PUBG MOBILE》与《和平精英》的成功带给市场的信心是：虚幻引擎4不但可以做手游，而且可以做出全球第一的手游。这两款虚幻引擎4手游是突破性的。

相比光子开发《和平精英》的时间，其实祖龙娱乐使用虚幻引擎还要更早一些。国内做商业手游的厂商里，最早使用虚幻引擎的，是西山居和祖龙。2017年祖龙做这个决定的时候，国内使用虚幻引擎4做手游的客户还非常少，而且祖龙上手使用虚幻引擎就做MMORPG。

在《和平精英》获得成功之后，祖龙的《龙族幻想》是我们又一个大力支持并投入了很大技术资源的项目。《龙族幻想》给市场最大的印象就是，虚幻引擎不仅能做手机上的射击游戏，而且能做各种类型的手游，尤其是中国玩家喜欢的MMO，也被证实是可行的。

当然这也有很多天时地利的因素。一是手机硬件迭代非常快，2017年“吃鸡”这一股风刮过来的时候，当年国内即使是“千元机”的水准已经是相当不错的机型了；二是我们公司内部有技术支持团队，都是由很资深的技术、美术人员组成。所以虚幻引擎这个时候能派出“地面部队”到这些客户公司给他们支持。

国内很多厂商此前对虚幻引擎有疑虑，他们主要都担心什么？

吴灏：各层面都有，大概说一下我的理解。首先是要放弃之前的技术积累，每个公司过去有那么多项目的经验，技术积累复用，是最高效率继续产出新游戏的一个方式。但技术转型的时候，这恰恰是最大痛点，放弃过去的积累，意味着得重头再来。

其次人才上的顾虑也显而易见。三五年前市场上的人才储备真的不多。第一波虚幻引擎4人才小爆发是2015年、2016年，很多公司——特别是小团队做VR之后，觉得虚幻引擎做出来的内容效果好、效能高，带来了一波人才，但这远远不够。所以人才短缺曾经是各公司转型到虚幻引擎另一个很大的阻碍。

那为什么后来会切换到虚幻引擎，其实是成功产品让大家看到虚幻引擎4做出的产品品质明显高于平均水平。这会刺激大家，如果要做更好的精品，就要有勇气离开舒适区，挑战现有安逸的生产管线。

虚幻引擎4虽然看起来切换成本较高，但是本身开发管线非常成熟，自带工具链很多。所以一旦迈出这一步，等开发团队上手后，后续开发不管是从迭代效率上，还是从产品表现和运行效率上都更好。

这也是为什么我们会看到那么多新产品会采用虚幻引擎开发。尤其是已经做过一款虚幻引擎4项目的公司，大概率会把更多产品都转向虚幻引擎4。

《和平精英》和《龙族幻想》都是重点合作案例，Epic会派遣人力入驻项目组。同时和几个大项目合作的时候，也会采用这种深入到项目组的方式吗，人力分配会不会不够？

吴灏：深入到项目组，并不是说我们把所有技术支持都放在合作的大厂上，小厂、小作品就不去支持了。

我们会依据客户的不同需求提供相应的支持。有些大厂客户，本身开发实力很强，经验丰富，对我们技术支持的需求不是很大。而且现在疫情的关系，很多onsite的技术支持转移到了线上，效率也很高。

之前进驻过一些大厂，一起加班加点把项目完成时，我们也感到很自豪。我们一直都会有这类支持，但具体是给哪个公司、项目，还是要看具体情况。值得强调的是我们这支技术支援团队相比三年前已经翻了两三倍，人力也越来越充足。

同时对Epic来说，中国市场作为全球最大的手机游戏市场，研发人才非常多，而且质素也很高。说中国是一个大而全的百科全书式的手游市场也不夸张。所以我们也希望将来围绕虚幻引擎手机平台的这部分工作，能够越来越多地把重心转移到国内来。

深入项目组的过程都解决了哪些难题？对虚幻引擎适配国内手游起有什么帮助？

王祢：《和平精英》和《龙族幻想》是中国区技术团队最早花费较多人力做技术支持的两个项目。我们帮开发团队做的，一个是优化，一个是适配，以及少部分技术方案的选择。

《和平精英》开发时间非常短，周期只有三个月，当时技术团队在现场提供了将近两个月的技术支持，做了不少优化，和他们的技术团队一起开会，定下了一些优化的方案。

《龙族幻想》开发周期比较长，我们在一些关键节点都给出了优化相关的建议，还有一些特定技术在引擎层面怎么实施的技术选型建议。此外，我们还帮助祖龙解决了一些定制自己引擎中某些模块时遇到的问题。

对Epic来说比较好的经验是，我们能更好地对接国内的各种硬件了。这些设备用的SOC在厂商定制的时候会有哪些问题，虚幻引擎在对接移动平台的时候就考虑到了。不同硬件上遇到不同的问题，其实很多时候是同一类问题，可能解决了一个问题之后，很多同类问题就都解决了。所谓的兼容性其实就是在磨合其中的某些小问题。

大家讨论引擎的时候，一般谈到虚幻引擎也会提及Unity和其他游戏引擎，你们怎么看待不同引擎的覆盖面和竞争？

吴灏：我觉得无论是虚幻引擎还是其他商业引擎，商业引擎的存在，本身对行业就有贡献。

虚幻引擎做的比较早，从1998年开始，那时候虚幻引擎带给行业的贡献，主要在于开发早期，将游戏从2D过渡到3D这一过程中。让很多没有3D引擎技术经验的厂商，可以用Epic的技术来做。当然那时候也有其他的一些商业引擎，也做出过同样的贡献。

其他引擎，比如Unity，我觉得在智能手机普及的阶段，将手机游戏开发生态从0到1，从1到N的这个阶段，他们做出过很大的贡献。当时在手机平台的确要找这样一个工具。从这个角度上，我们必须要说Cocos2d和Unity都曾经为这个行业做出了很大贡献。

而市占率其实是另一个话题，商业引擎各有所长。有自己的相对固定的客群，综合来看是一个很健康的生态。虚幻引擎过去在手机端市占率比较低，现在逐步在精品的手游，或者说2A/3A手游的领域，有了越来越高的市占率和影响力。也是前面说到天时地利带来的迟到的增长。所以我们也非常开心虚幻引擎能在不同的平台上，从PC到手机，形成一个全面开花的状态。

新生代的游戏公司会做出

这两年Epic在国内遇到过什么开发者需求上的挑战？比如对一些团队来说，虽然虚幻引擎做出的游戏通常画面表现很好，但美术工作可能压力也会很大。

王祢：其实对美术的压力不见得很大，因为虚幻引擎自带的工具，像刚才提到的生产管线都非常成熟。比如引擎里边有一些基础的自动合并网格体的工具，还有各类性能统计分析工具——它们能让开发者直接在编辑器里查看场景GPU开销是否过高，或者哪些地方可能成为瓶颈——这种分析工具是非常全面的。

团队慢慢熟悉以后，通过引擎自带的管线和工具，就能很方便地实现以前可能要很多人才能完成的任务，而这就是虚幻引擎的优势所在。

至于挑战，我觉得更多的是因为，早期用虚幻引擎的那些团队，本身对于产品品质有很高要求。他们对于画面表现的期待非常高，比如他们甚至会觉得，虚幻引擎自带的、为移动端市场优化过的效果还不够好，会追求一些更好的特定效果。这就会促使客户对我们提出很多需求，比如引擎移动端的生产管线能不能加入某个功能。

国内的开发者对画质的需求上，是不是比欧美、日韩的开发者还要更明显一些？

王祢：的确是这样。这是因为在移动平台的开发上，国内是走在全球最前列的。国内市场还是移动游戏为主，所以行业里一些资深的开发者，希望把以前主机游戏的一些经验带进来，比如引入更高级的渲染功能，再比如引入AI物理这类模拟交互、动画等效果。这些想法都是源自于提升游戏品质的需求。我们感受到了对这些功能的需求，也在积极推动这些技术的跨平台实现，尤其是针对移动平台实现特定优化。

从Epic和国内厂商合作经历来看，看到的这两年国内行业最大的变化是什么？

吴灏：变化非常大。在我个人看来，过去端游时代或者手游时代早期，国内开发的游戏更多是用一种迎合当时国内互联网用户口味的心态去做互联网产品，较少能感受到创作人员的理念和想法，也欠缺对精品的追求。

而现在技术上的进步是毫无疑问的。虚幻引擎这样的商业引擎，对游戏品质的提升的确做出了贡献。从策划、游戏性还有其他方面，综合来说，现在国内做的产品，不论是Steam上的PC游戏，还是移动游戏，都越来越有精品的调调，也有不少国产作品会在海外市场取得佳绩。

现在越来越多的开发者会想把游戏做成一个作品，试着去影响到玩家，把自己的理念、思想放到游戏里。当下出海成功的公司非常多，包括上海的米哈游、莉莉丝这样的公司，新生代的游戏公司他们会做出更多有灵魂的内容，会在海外获得更大成功，也会让中国游戏更国际化。

在你们看来，近几年中小团队里，单机向的、更注重表达的作品明显更多了？

吴灏：对，我们看到越来越多这样的作品。不管是正式的商业客户，还是平时接触的社区开发者，做这样内容的越来越多。

Epic刚刚在中国落地的时候，我们每次看到这样一个小团队很有追求去做一些偏独立的作品，那时候看到都会有点感动。因为很不容易，也确实少吧。

但现在就有很多，量化的话，那时候可能一年只看到两三个，现在可能一年可能看到十几个甚至几十个这样的作品。在数量上明显多了很多。

那么从接触到的这些来看，使用虚幻引擎开发的游戏内容有什么新的趋向吗？

吴灏：我看到的其实还是越来越多的小团队和独立作品，因为虚幻引擎越来越成熟以后，更方便那些没有太多引擎开发基础的开发者，来实现自己想法。

除了工具本身外，我们的技术文档，各种教学视频，商店里的免费素材，都是在降低开发门槛，帮助有想法但未必有足够经验的开发者来实现自己的想法。这也是Epic的一个愿景。基于这些，我们能看到越来越多有想法的开发者，做出很多风格化的、偏独立的游戏。

另外，不管虚幻引擎本身，还是我们近几年收购的一些工具公司，都在各自的领域做到了最前沿的水准。过去可能会觉得“这个太高大上了没必要”，“在国内做个游戏何必呢”。而现在国内开发者更愿意拥抱这些顶尖技术。

回答你的问题就是，现在应用这些顶尖的技术，是一个很明显的趋势。这也从另一个侧面说明了游戏玩家对好内容的追求，用户口味和五年前已经是大相径庭了，这也是市场变化带来的。

发行大困局｜对话马晓轶｜荒野乱斗｜动森经济学

最强蜗牛｜二次元游戏困局｜游戏设计书籍