安全訪問(wèn) - SecureIT Mobile企業(yè)版技術(shù)白皮書

　　企業(yè)移動(dòng)的價(jià)值體現(xiàn)在提供訪問(wèn)業(yè)務(wù)數(shù)據(jù)和程序的通道，提高員工的工作效率。利用移動(dòng)設(shè)備危險(xiǎn)渠道打開關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫(kù)和應(yīng)用的可能性，是抑制企業(yè)移動(dòng)發(fā)展的關(guān)鍵因素之一。這個(gè)渠道的威脅來(lái)源于設(shè)備自身，并禍及本地?cái)?shù)據(jù)、應(yīng)用和瀏覽程序。此外，這些威脅還會(huì)殃及數(shù)據(jù)中心和云上的企業(yè)資產(chǎn)。

　　隔離資產(chǎn)

　　內(nèi)部主要安全威脅之一是個(gè)人和企業(yè)資產(chǎn)摻雜在一起。這些資產(chǎn)包括各種類型的應(yīng)用和數(shù)據(jù)，比如

　　個(gè)人財(cái)務(wù)與企業(yè)的財(cái)務(wù)信息，私人郵件與公司郵件，家電與企業(yè)工廠運(yùn)營(yíng)與自動(dòng)化。

　　隱私和功能性

　　如果必須攜帶功能受限的設(shè)備，且個(gè)人生活受到影響，用戶將只能繼續(xù)攜帶兩部設(shè)備：一部用于工作，另一部用于個(gè)人生活。

　　對(duì)企業(yè)移動(dòng)的大部分討論都以公司管理優(yōu)勢(shì)為起點(diǎn)和終點(diǎn)，涉及的話題包括如何提高員工工作效率和降低主要設(shè)備和操作成本。如果公司真的希望最大化自己的移動(dòng)投資回報(bào)(ROI)，就必須考慮移動(dòng)工作者的需求和習(xí)慣。公司如果忽視員工的愛好，企業(yè)自身發(fā)展也會(huì)受到威脅。如果必須攜帶功能受限的設(shè)備，且個(gè)人生活受到影響，用戶將只能繼續(xù)攜帶兩部設(shè)備：一部用于工作，另一部用于個(gè)人生活。

　　鎖定設(shè)備

　　企業(yè)移動(dòng)安全的一個(gè)捷徑是采用完全鎖定的設(shè)備，即該設(shè)備只能用于訪問(wèn)企業(yè)數(shù)據(jù)。在過(guò)去，這意味著公司提供一部電話;在今天，在攜帶個(gè)人設(shè)備(BYOD)這個(gè)概念出現(xiàn)以后，完全鎖定的設(shè)備就意味著限制員工使用自己的設(shè)備，以減少以上提到的安全威脅。

　　員工隱私

　　在企業(yè)移動(dòng)應(yīng)用中一個(gè)經(jīng)常被忽視的因素是企業(yè)安全的反面——員工隱私。如果為了在一部設(shè)備上保護(hù)企業(yè)數(shù)據(jù)，而向企業(yè)審查系統(tǒng)暴露私人用戶信息和應(yīng)用，那么用戶也不會(huì)使用這一設(shè)備。

　　應(yīng)用選擇

　　用戶在智能手機(jī)和數(shù)據(jù)計(jì)劃方面投入的主要?jiǎng)恿κ强梢栽L問(wèn)有趣的應(yīng)用和服務(wù)，這些應(yīng)用和服務(wù)包括游戲、生活方面應(yīng)用及視頻。如果將這些用戶喜愛的應(yīng)用和服務(wù)列入黑名單并阻止使用，打擊了用戶投入的積極性，那么企業(yè)的移動(dòng)制度也不會(huì)獲得成功。

　　現(xiàn)有方案的缺陷

　　當(dāng)今的企業(yè)移動(dòng)涉及終端安全、防病毒(AV)軟件和移動(dòng)設(shè)備管理(MDM)軟件套件，它們存放在設(shè)備中，以及數(shù)據(jù)中心和云的網(wǎng)關(guān)服務(wù)器中。這些技術(shù)很有必要且很強(qiáng)大，但卻滿足不了關(guān)鍵需求。尤其是MDM和安全性有賴于智能手機(jī)底層OS和軟件棧的完整性，而這恰恰是最易受攻擊的部分。

　　防病毒軟件

　　與網(wǎng)頁(yè)相關(guān)聯(lián)的桌面計(jì)算是惡意軟件的攻擊目標(biāo)。在過(guò)去十年中，全球每年因?yàn)閻阂廛浖斐傻膿p失高達(dá)150億美元(Computer Economics數(shù)據(jù))。隨著智能手機(jī)和平板電腦的興起，移動(dòng)惡意軟件也開始蠢蠢欲動(dòng)，妄圖步其后塵。同時(shí)，智能手機(jī)遭受攻擊的比例可能是Windows PC的兩倍(SANS Institute數(shù)據(jù))。

　　在桌面系統(tǒng)中，因?yàn)槌霈F(xiàn)新的惡意軟件和攻擊界面，防病毒軟件銷售商和平臺(tái)及應(yīng)用供應(yīng)商也在不斷提供更新和補(bǔ)丁。對(duì)于IT團(tuán)隊(duì)來(lái)說(shuō)，最好的實(shí)踐經(jīng)驗(yàn)就是及時(shí)評(píng)估和應(yīng)用這些補(bǔ)救措施。另一方面，對(duì)于移動(dòng)設(shè)備軟件來(lái)說(shuō)，要跟上惡意軟件不斷演進(jìn)的步伐則更加困難?，F(xiàn)在的移動(dòng)平臺(tái)更多(Android有多個(gè)部署版本，iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等)，并且應(yīng)用也日益增加(截至2011年1月末統(tǒng)計(jì)的數(shù)據(jù)，針對(duì)Android平臺(tái)的應(yīng)用就有20萬(wàn)種)。

　　對(duì)補(bǔ)救措施的支持問(wèn)題同樣重要——移動(dòng)軟件更新速度有待改進(jìn)。雖然對(duì)于設(shè)備OEM廠商和運(yùn)營(yíng)商來(lái)說(shuō)，移動(dòng)軟件現(xiàn)在能夠達(dá)到供給平衡，但就其更新速度而言，還遠(yuǎn)遠(yuǎn)落后于桌面系統(tǒng)。這一頻率上的差距是由最初的預(yù)裝部署、推出和安裝固件無(wú)線(FOTA)更新以及終端用戶忽視軟件維護(hù)造成的。此外，防病毒(和移動(dòng)設(shè)備管理)方案自身也容易遭受侵襲和攻擊，并成為被感染目標(biāo)。

　　移動(dòng)設(shè)備管理(MDM)

　　集成移動(dòng)設(shè)備管理軟件填補(bǔ)了許多企業(yè)移動(dòng)方面的空白，涉及應(yīng)用配置、安全策略執(zhí)行、設(shè)備定位、支援、清掃和其他管理功能。由于MDM趨向于橫向的綜合方案，因此同一家廠商的方案是最好的選擇。然而，這一趨勢(shì)在簡(jiǎn)化購(gòu)買支持過(guò)程的同時(shí)，也會(huì)導(dǎo)致集成的方案泛泛膚淺，忽略針對(duì)所有功能的頂尖性能集成。

　　MDM軟件通常涉及底層固件、系統(tǒng)軟件和應(yīng)用中間件組件。就MDM自身而言，該系統(tǒng)至少在部分程度上是依賴移動(dòng)操作系統(tǒng)(OS)集成和移動(dòng)網(wǎng)絡(luò)的完整性。因此，如果其中一個(gè)遭受攻擊，也會(huì)嚴(yán)重影響到MDM軟件。

　　SecureIT Mobile企業(yè)版介紹

　　SecureIT Mobile企業(yè)版利用移動(dòng)虛擬化重塑企業(yè)移動(dòng)性。

　　為了迎接企業(yè)移動(dòng)的挑戰(zhàn)和填補(bǔ)現(xiàn)有方案的空白，OK Labs公司推出了SecureIT Mobile企業(yè)版。通過(guò)基于OK Labs公司內(nèi)核移動(dòng)虛擬平臺(tái)OKL4 Microvisor，SecureIT Mobile企業(yè)版重塑企業(yè)移動(dòng)性。此外，該產(chǎn)品完善和鞏固了MDM、防病毒和其他移動(dòng)技術(shù)，并且實(shí)現(xiàn)了安全、隱私和功能的完美組合。

　　作為一款軟件和服務(wù)方案，SecureIT Mobile企業(yè)版可以幫助企業(yè)與個(gè)人應(yīng)用平行部署和管理企業(yè)應(yīng)用及服務(wù)。利用OKL4安全HyperCells(虛擬機(jī))，SecureIT Mobile企業(yè)版將關(guān)鍵業(yè)務(wù)應(yīng)用與個(gè)人應(yīng)用、服務(wù)和數(shù)據(jù)隔離開來(lái)。

　　通過(guò)在一部物理設(shè)備上同時(shí)支持開放個(gè)人域和可靠企業(yè)域，SecureIT Mobile企業(yè)版滿足了個(gè)人和企業(yè)的雙向需求。

　　背景

　　SecureIT Mobile企業(yè)版源自安全和認(rèn)證的系統(tǒng)。2010年，OK Labs公司針對(duì)國(guó)家防御、緊急救援和公共安全發(fā)布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版，OK Labs公司幫助OEM廠商、集成商、政府承包商和政府部門使用COTS移動(dòng)硬件，構(gòu)建了類似奧巴馬黑莓[1]的設(shè)備，并且價(jià)格只相當(dāng)于傳統(tǒng)定制系統(tǒng)成本的幾分之一。

　　基于SecureIT Mobile企業(yè)版，OK Labs公司為企業(yè)移動(dòng)帶來(lái)了軍用級(jí)安全性。

　　方案架構(gòu)

　　移動(dòng)虛擬化

　　SecureIT Mobile企業(yè)版基于成熟且廣泛部署[2]的OKL4移動(dòng)虛擬化平臺(tái)架構(gòu)。此外，該產(chǎn)品采用了片上存貯管理和ARM等現(xiàn)代微處理器的特殊執(zhí)行功能，其核心和數(shù)據(jù)中心虛擬化一樣，都是純硬件管理程序。

　　堅(jiān)固的隔離系統(tǒng)

?

　　該產(chǎn)品是一款虛擬化企業(yè)移動(dòng)方案，實(shí)現(xiàn)了可信(企業(yè))及非可信(個(gè)人)操作域之間的堅(jiān)固隔離。

　　公司信息和個(gè)人數(shù)據(jù)應(yīng)用被安排在了不同的OKL4安全

　　HyperCells里，這些區(qū)域之間相互隔離，并且在獨(dú)有的

　　一個(gè)或更多移動(dòng)操作系統(tǒng)(OSes)環(huán)境中運(yùn)行。