安全基础 - SecureIT Mobile企业版技术白皮书

　　开发商在开发移动设备和移动软件时，需要最大的灵活性设计原型、开发和测试平台及应用程序。在可以“松绑”和实地部署设备和应用时，设备OEM厂商、集成商和运营商必须退后一步，再次确保整个软件栈的安全，包括操作系统(OS)、设备驱动、网络、中间件和应用程序——这就意味着数千万条源代码。鉴于安全挑战如此庞大，移动设备遭受日增攻击威胁的原因也就显而易见了。

　　相比较而言，SecureIT Mobile企业版基于底层安全性，以及专为OKL4 Microvisor开发的小巧、可信的计算基础。

　　基于微核的架构

　　OKL4 Microvisor以成熟高性能的微核技术为基础。微核确保了为小巧可信计算基础而设计的特权模式下运行的编码数量最少。简单一流的架构涵盖了精细的访问控制机制，这一机制在设计过程中(而不是事后)就确保了OKL4的安全，并为开发商和集成商提供了简易安全的机制，实现跨域共享资源，包括设备驱动和CODEC。

　　安全企业移动

　　通过隔离和保护，SecureIT Mobile企业版为企业安全策略提供了“坚固的”支持：

　　敏感文件和数据库

　　本地及远程应用及服务器

　　语音和文本通信(例如SMS)

　　防病毒和防恶意软件的软件

　　MDM和其他用于远程控制和管理的代理

　　让我们来了解一下提供这种保护的意义：

　　保护本地和上游数据

　　通过隔离用户和企业域，SecureIT Mobile企业版使本地和远程企业数据免遭攻击。就设备层面而言，SecureIT Mobile企业版为业务着急数据提供安全保障。

　　SecureIT Mobile企业版还保护了上游数据和基础设施。“Golden Master”软件涵盖了与公司数据实现交互的所有组件和服务，并且部署于企业域之中。该软件不会遭受来自用户域的恶意软件和攻击的威胁(图2)。即使移动用户下载和安装了包含病毒、间谍软件和其他危险的应用，恶意软件还是无法进入企业域，上行到存放企业数据、服务和MDM方案的服务器和网关。

　　为保护者提供保护

　　之前在这份白皮书里，我们注意到在帮助保护移动设备、防病毒、MDM及其他安全的同时，管理和远程控制软件自身也容易遭受攻击(图1)。通过在可信企业域里部署“保护器”，我们可以将其与用户下载软件中的威胁隔离。基于这一安全定位，防病毒软件可以扫描企业域和用户域。同样，MDM也可以选择性的管理一个或两个空间内的应用和内容。

　　为了实现更高的安全性，SecureIT Mobile企业版支持在专用虚拟机上部署防病毒、MDM及其他重要软件。基于微核的OKL4提供了应用程序接口，开发商利用OKL4轻量级执行环境，为安置现在的独立软件和推动与未来其他个人和企业软件的重新部署，包括不同的操作系统和应用。

　　完善移动设备管理

　　SecureIT Mobile企业版为MDM软件提供了增强的基础，完善——有时甚至是超越了——MDM功能。让我们来看看MDM的主要功能，以及SecureIT Mobile如何使这些功能更加安全和完善：

　　数据跟踪：SecureIT Mobile为资产跟踪软件和设备标识数据提供了一个安全的执行环境。定位软件运行可以远离下载间谍软件和其他攻击的探测系统。移动用户需要的定位信息(GPS数据、定位服务等)也可以在企业域和用户域上实现安全有选择性的共享。

　　备份：在企业域里，关键业务数据、应用和配置数据可以安全地备份到数据中心或云存贮空间，并且完全不受用户域操作的影响。

　　设备清扫/还原：万一设备丢失、被盗或用户部署状态变更，MDM软件可以完全清除(和还原)企业域中的数据和应用。同时，还可以保证用户的个人软件和数据不受影响，设备基本可以还原到他们投入业务应用之前的状态和操作。

　　FOTA：无线下载固件是众多移动设备中的功能，然而，很多时候这一功能都没有得到充分利用。在通常情况下，配置和管理软件运行于移动操作系统“下层”，通过限制FOTA的可见性和访问驻留在操作系统上软件的精度，这些软件可以帮助升级和操作系统自身运行。有了SecureIT Mobile企业版，FOTA代理软件可以驻留在特定虚拟机上，可以更容易管理和更新其他虚拟机内容，无需要消耗资源的补丁和补充。

　　的确，移动虚拟化还实现了新版本的无线虚拟化(VOTA)。其不仅将虚拟化引入了移动设备，还利用这一关键技术升级固件、系统软件和应用程序。

　　故障修复与诊断：基于在多虚拟机上的实践能力，基于OKL4的SecureIT Mobile企业版成为了诊断软件的最佳环境。软件探测可以与企业应用平行部署或占用特定虚拟机。

　　针对操作系统和应用程序的升级：SecureIT Mobile企业版可以帮助执行和协调软件升级机制。系统软件和关键业务应用的升级可以在企业域中进行，不会影响用户域中应用的运行，反之亦然。既然每个域都由独一无二的虚拟机负责，那么每个域都可以在不互相影响的前提下重新启动。

　　结论

　　本白皮书阐述了OK Labs公司的SecureIT Mobile企业版如何支持企业移动三大支柱——安全、隐私和自由——在移动虚拟化的帮助下。此外，该白皮书还从企业管理、企业IT和移动办公等多个方面分析了企业移动面临的挑战，也为这一宝贵的体系进行新的可行性研究.