安全访问 - SecureIT Mobile企业版技术白皮书

　　企业移动的价值体现在提供访问业务数据和程序的通道，提高员工的工作效率。利用移动设备危险渠道打开关键业务数据库和应用的可能性，是抑制企业移动发展的关键因素之一。这个渠道的威胁来源于设备自身，并祸及本地数据、应用和浏览程序。此外，这些威胁还会殃及数据中心和云上的企业资产。

　　隔离资产

　　内部主要安全威胁之一是个人和企业资产掺杂在一起。这些资产包括各种类型的应用和数据，比如

　　个人财务与企业的财务信息，私人邮件与公司邮件，家电与企业工厂运营与自动化。

　　隐私和功能性

　　如果必须携带功能受限的设备，且个人生活受到影响，用户将只能继续携带两部设备：一部用于工作，另一部用于个人生活。

　　对企业移动的大部分讨论都以公司管理优势为起点和终点，涉及的话题包括如何提高员工工作效率和降低主要设备和操作成本。如果公司真的希望最大化自己的移动投资回报(ROI)，就必须考虑移动工作者的需求和习惯。公司如果忽视员工的爱好，企业自身发展也会受到威胁。如果必须携带功能受限的设备，且个人生活受到影响，用户将只能继续携带两部设备：一部用于工作，另一部用于个人生活。

　　锁定设备

　　企业移动安全的一个捷径是采用完全锁定的设备，即该设备只能用于访问企业数据。在过去，这意味着公司提供一部电话;在今天，在携带个人设备(BYOD)这个概念出现以后，完全锁定的设备就意味着限制员工使用自己的设备，以减少以上提到的安全威胁。

　　员工隐私

　　在企业移动应用中一个经常被忽视的因素是企业安全的反面——员工隐私。如果为了在一部设备上保护企业数据，而向企业审查系统暴露私人用户信息和应用，那么用户也不会使用这一设备。

　　应用选择

　　用户在智能手机和数据计划方面投入的主要动力是可以访问有趣的应用和服务，这些应用和服务包括游戏、生活方面应用及视频。如果将这些用户喜爱的应用和服务列入黑名单并阻止使用，打击了用户投入的积极性，那么企业的移动制度也不会获得成功。

　　现有方案的缺陷

　　当今的企业移动涉及终端安全、防病毒(AV)软件和移动设备管理(MDM)软件套件，它们存放在设备中，以及数据中心和云的网关服务器中。这些技术很有必要且很强大，但却满足不了关键需求。尤其是MDM和安全性有赖于智能手机底层OS和软件栈的完整性，而这恰恰是最易受攻击的部分。

　　防病毒软件

　　与网页相关联的桌面计算是恶意软件的攻击目标。在过去十年中，全球每年因为恶意软件造成的损失高达150亿美元(Computer Economics数据)。随着智能手机和平板电脑的兴起，移动恶意软件也开始蠢蠢欲动，妄图步其后尘。同时，智能手机遭受攻击的比例可能是Windows PC的两倍(SANS Institute数据)。

　　在桌面系统中，因为出现新的恶意软件和攻击界面，防病毒软件销售商和平台及应用供应商也在不断提供更新和补丁。对于IT团队来说，最好的实践经验就是及时评估和应用这些补救措施。另一方面，对于移动设备软件来说，要跟上恶意软件不断演进的步伐则更加困难。现在的移动平台更多(Android有多个部署版本，iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等)，并且应用也日益增加(截至2011年1月末统计的数据，针对Android平台的应用就有20万种)。

　　对补救措施的支持问题同样重要——移动软件更新速度有待改进。虽然对于设备OEM厂商和运营商来说，移动软件现在能够达到供给平衡，但就其更新速度而言，还远远落后于桌面系统。这一频率上的差距是由最初的预装部署、推出和安装固件无线(FOTA)更新以及终端用户忽视软件维护造成的。此外，防病毒(和移动设备管理)方案自身也容易遭受侵袭和攻击，并成为被感染目标。

　　移动设备管理(MDM)

　　集成移动设备管理软件填补了许多企业移动方面的空白，涉及应用配置、安全策略执行、设备定位、支援、清扫和其他管理功能。由于MDM趋向于横向的综合方案，因此同一家厂商的方案是最好的选择。然而，这一趋势在简化购买支持过程的同时，也会导致集成的方案泛泛肤浅，忽略针对所有功能的顶尖性能集成。

　　MDM软件通常涉及底层固件、系统软件和应用中间件组件。就MDM自身而言，该系统至少在部分程度上是依赖移动操作系统(OS)集成和移动网络的完整性。因此，如果其中一个遭受攻击，也会严重影响到MDM软件。

　　SecureIT Mobile企业版介绍

　　SecureIT Mobile企业版利用移动虚拟化重塑企业移动性。

　　为了迎接企业移动的挑战和填补现有方案的空白，OK Labs公司推出了SecureIT Mobile企业版。通过基于OK Labs公司内核移动虚拟平台OKL4 Microvisor，SecureIT Mobile企业版重塑企业移动性。此外，该产品完善和巩固了MDM、防病毒和其他移动技术，并且实现了安全、隐私和功能的完美组合。

　　作为一款软件和服务方案，SecureIT Mobile企业版可以帮助企业与个人应用平行部署和管理企业应用及服务。利用OKL4安全HyperCells(虚拟机)，SecureIT Mobile企业版将关键业务应用与个人应用、服务和数据隔离开来。

　　通过在一部物理设备上同时支持开放个人域和可靠企业域，SecureIT Mobile企业版满足了个人和企业的双向需求。

　　背景

　　SecureIT Mobile企业版源自安全和认证的系统。2010年，OK Labs公司针对国家防御、紧急救援和公共安全发布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版，OK Labs公司帮助OEM厂商、集成商、政府承包商和政府部门使用COTS移动硬件，构建了类似奥巴马黑莓[1]的设备，并且价格只相当于传统定制系统成本的几分之一。

　　基于SecureIT Mobile企业版，OK Labs公司为企业移动带来了军用级安全性。

　　方案架构

　　移动虚拟化

　　SecureIT Mobile企业版基于成熟且广泛部署[2]的OKL4移动虚拟化平台架构。此外，该产品采用了片上存贮管理和ARM等现代微处理器的特殊执行功能，其核心和数据中心虚拟化一样，都是纯硬件管理程序。

　　坚固的隔离系统

　　该产品是一款虚拟化企业移动方案，实现了可信(企业)及非可信(个人)操作域之间的坚固隔离。

　　公司信息和个人数据应用被安排在了不同的OKL4安全

　　HyperCells里，这些区域之间相互隔离，并且在独有的

　　一个或更多移动操作系统(OSes)环境中运行。