安全基礎(chǔ) - SecureIT Mobile企業(yè)版技術(shù)白皮書(shū)

　　開(kāi)發(fā)商在開(kāi)發(fā)移動(dòng)設(shè)備和移動(dòng)軟件時(shí)，需要最大的靈活性設(shè)計(jì)原型、開(kāi)發(fā)和測(cè)試平臺(tái)及應(yīng)用程序。在可以“松綁”和實(shí)地部署設(shè)備和應(yīng)用時(shí)，設(shè)備OEM廠商、集成商和運(yùn)營(yíng)商必須退后一步，再次確保整個(gè)軟件棧的安全，包括操作系統(tǒng)(OS)、設(shè)備驅(qū)動(dòng)、網(wǎng)絡(luò)、中間件和應(yīng)用程序——這就意味著數(shù)千萬(wàn)條源代碼。鑒于安全挑戰(zhàn)如此龐大，移動(dòng)設(shè)備遭受日增攻擊威脅的原因也就顯而易見(jiàn)了。

　　相比較而言，SecureIT Mobile企業(yè)版基于底層安全性，以及專為OKL4 Microvisor開(kāi)發(fā)的小巧、可信的計(jì)算基礎(chǔ)。

　　基于微核的架構(gòu)

　　OKL4 Microvisor以成熟高性能的微核技術(shù)為基礎(chǔ)。微核確保了為小巧可信計(jì)算基礎(chǔ)而設(shè)計(jì)的特權(quán)模式下運(yùn)行的編碼數(shù)量最少。簡(jiǎn)單一流的架構(gòu)涵蓋了精細(xì)的訪問(wèn)控制機(jī)制，這一機(jī)制在設(shè)計(jì)過(guò)程中(而不是事后)就確保了OKL4的安全，并為開(kāi)發(fā)商和集成商提供了簡(jiǎn)易安全的機(jī)制，實(shí)現(xiàn)跨域共享資源，包括設(shè)備驅(qū)動(dòng)和CODEC。

　　安全企業(yè)移動(dòng)

　　通過(guò)隔離和保護(hù)，SecureIT Mobile企業(yè)版為企業(yè)安全策略提供了“堅(jiān)固的”支持：

　　敏感文件和數(shù)據(jù)庫(kù)

　　本地及遠(yuǎn)程應(yīng)用及服務(wù)器

　　語(yǔ)音和文本通信(例如SMS)

　　防病毒和防惡意軟件的軟件

　　MDM和其他用于遠(yuǎn)程控制和管理的代理

　　讓我們來(lái)了解一下提供這種保護(hù)的意義：

　　保護(hù)本地和上游數(shù)據(jù)

　　通過(guò)隔離用戶和企業(yè)域，SecureIT Mobile企業(yè)版使本地和遠(yuǎn)程企業(yè)數(shù)據(jù)免遭攻擊。就設(shè)備層面而言，SecureIT Mobile企業(yè)版為業(yè)務(wù)著急數(shù)據(jù)提供安全保障。

　　SecureIT Mobile企業(yè)版還保護(hù)了上游數(shù)據(jù)和基礎(chǔ)設(shè)施?！癎olden Master”軟件涵蓋了與公司數(shù)據(jù)實(shí)現(xiàn)交互的所有組件和服務(wù)，并且部署于企業(yè)域之中。該軟件不會(huì)遭受來(lái)自用戶域的惡意軟件和攻擊的威脅(圖2)。即使移動(dòng)用戶下載和安裝了包含病毒、間諜軟件和其他危險(xiǎn)的應(yīng)用，惡意軟件還是無(wú)法進(jìn)入企業(yè)域，上行到存放企業(yè)數(shù)據(jù)、服務(wù)和MDM方案的服務(wù)器和網(wǎng)關(guān)。

　　為保護(hù)者提供保護(hù)

　　之前在這份白皮書(shū)里，我們注意到在幫助保護(hù)移動(dòng)設(shè)備、防病毒、MDM及其他安全的同時(shí)，管理和遠(yuǎn)程控制軟件自身也容易遭受攻擊(圖1)。通過(guò)在可信企業(yè)域里部署“保護(hù)器”，我們可以將其與用戶下載軟件中的威脅隔離?；谶@一安全定位，防病毒軟件可以掃描企業(yè)域和用戶域。同樣，MDM也可以選擇性的管理一個(gè)或兩個(gè)空間內(nèi)的應(yīng)用和內(nèi)容。

　　為了實(shí)現(xiàn)更高的安全性，SecureIT Mobile企業(yè)版支持在專用虛擬機(jī)上部署防病毒、MDM及其他重要軟件。基于微核的OKL4提供了應(yīng)用程序接口，開(kāi)發(fā)商利用OKL4輕量級(jí)執(zhí)行環(huán)境，為安置現(xiàn)在的獨(dú)立軟件和推動(dòng)與未來(lái)其他個(gè)人和企業(yè)軟件的重新部署，包括不同的操作系統(tǒng)和應(yīng)用。

　　完善移動(dòng)設(shè)備管理

　　SecureIT Mobile企業(yè)版為MDM軟件提供了增強(qiáng)的基礎(chǔ)，完善——有時(shí)甚至是超越了——MDM功能。讓我們來(lái)看看MDM的主要功能，以及SecureIT Mobile如何使這些功能更加安全和完善：

　　數(shù)據(jù)跟蹤：SecureIT Mobile為資產(chǎn)跟蹤軟件和設(shè)備標(biāo)識(shí)數(shù)據(jù)提供了一個(gè)安全的執(zhí)行環(huán)境。定位軟件運(yùn)行可以遠(yuǎn)離下載間諜軟件和其他攻擊的探測(cè)系統(tǒng)。移動(dòng)用戶需要的定位信息(GPS數(shù)據(jù)、定位服務(wù)等)也可以在企業(yè)域和用戶域上實(shí)現(xiàn)安全有選擇性的共享。

　　備份：在企業(yè)域里，關(guān)鍵業(yè)務(wù)數(shù)據(jù)、應(yīng)用和配置數(shù)據(jù)可以安全地備份到數(shù)據(jù)中心或云存貯空間，并且完全不受用戶域操作的影響。

　　設(shè)備清掃/還原：萬(wàn)一設(shè)備丟失、被盜或用戶部署狀態(tài)變更，MDM軟件可以完全清除(和還原)企業(yè)域中的數(shù)據(jù)和應(yīng)用。同時(shí)，還可以保證用戶的個(gè)人軟件和數(shù)據(jù)不受影響，設(shè)備基本可以還原到他們投入業(yè)務(wù)應(yīng)用之前的狀態(tài)和操作。

　　FOTA：無(wú)線下載固件是眾多移動(dòng)設(shè)備中的功能，然而，很多時(shí)候這一功能都沒(méi)有得到充分利用。在通常情況下，配置和管理軟件運(yùn)行于移動(dòng)操作系統(tǒng)“下層”，通過(guò)限制FOTA的可見(jiàn)性和訪問(wèn)駐留在操作系統(tǒng)上軟件的精度，這些軟件可以幫助升級(jí)和操作系統(tǒng)自身運(yùn)行。有了SecureIT Mobile企業(yè)版，F(xiàn)OTA代理軟件可以駐留在特定虛擬機(jī)上，可以更容易管理和更新其他虛擬機(jī)內(nèi)容，無(wú)需要消耗資源的補(bǔ)丁和補(bǔ)充。

　　的確，移動(dòng)虛擬化還實(shí)現(xiàn)了新版本的無(wú)線虛擬化(VOTA)。其不僅將虛擬化引入了移動(dòng)設(shè)備，還利用這一關(guān)鍵技術(shù)升級(jí)固件、系統(tǒng)軟件和應(yīng)用程序。

　　故障修復(fù)與診斷：基于在多虛擬機(jī)上的實(shí)踐能力，基于OKL4的SecureIT Mobile企業(yè)版成為了診斷軟件的最佳環(huán)境。軟件探測(cè)可以與企業(yè)應(yīng)用平行部署或占用特定虛擬機(jī)。

　　針對(duì)操作系統(tǒng)和應(yīng)用程序的升級(jí)：SecureIT Mobile企業(yè)版可以幫助執(zhí)行和協(xié)調(diào)軟件升級(jí)機(jī)制。系統(tǒng)軟件和關(guān)鍵業(yè)務(wù)應(yīng)用的升級(jí)可以在企業(yè)域中進(jìn)行，不會(huì)影響用戶域中應(yīng)用的運(yùn)行，反之亦然。既然每個(gè)域都由獨(dú)一無(wú)二的虛擬機(jī)負(fù)責(zé)，那么每個(gè)域都可以在不互相影響的前提下重新啟動(dòng)。

　　結(jié)論

　　本白皮書(shū)闡述了OK Labs公司的SecureIT Mobile企業(yè)版如何支持企業(yè)移動(dòng)三大支柱——安全、隱私和自由——在移動(dòng)虛擬化的幫助下。此外，該白皮書(shū)還從企業(yè)管理、企業(yè)IT和移動(dòng)辦公等多個(gè)方面分析了企業(yè)移動(dòng)面臨的挑戰(zhàn)，也為這一寶貴的體系進(jìn)行新的可行性研究.