SecureIT Mobile企業(yè)版技術白皮書

　　在桌面系統(tǒng)中，因為出現(xiàn)新的惡意軟件和攻擊界面，防病毒軟件銷售商和平臺及應用供應商也在不斷提供更新和補丁。對于IT團隊來說，最好的實踐經(jīng)驗就是及時評估和應用這些補救措施。另一方面，對于移動設備軟件來說，要跟上惡意軟件不斷演進的步伐則更加困難?，F(xiàn)在的移動平臺更多(Android有多個部署版本，iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等)，并且應用也日益增加(截至2011年1月末統(tǒng)計的數(shù)據(jù)，針對Android平臺的應用就有20萬種)。

　　對補救措施的支持問題同樣重要——移動軟件更新速度有待改進。雖然對于設備OEM廠商和運營商來說，移動軟件現(xiàn)在能夠達到供給平衡，但就其更新速度而言，還遠遠落后于桌面系統(tǒng)。這一頻率上的差距是由最初的預裝部署、推出和安裝固件無線(FOTA)更新以及終端用戶忽視軟件維護造成的。此外，防病毒(和移動設備管理)方案自身也容易遭受侵襲和攻擊，并成為被感染目標。

　　移動設備管理(MDM)

　　集成移動設備管理軟件填補了許多企業(yè)移動方面的空白，涉及應用配置、安全策略執(zhí)行、設備定位、支援、清掃和其他管理功能。由于MDM趨向于橫向的綜合方案，因此同一家廠商的方案是最好的選擇。然而，這一趨勢在簡化購買支持過程的同時，也會導致集成的方案泛泛膚淺，忽略針對所有功能的頂尖性能集成。

　　MDM軟件通常涉及底層固件、系統(tǒng)軟件和應用中間件組件。就MDM自身而言，該系統(tǒng)至少在部分程度上是依賴移動操作系統(tǒng)(OS)集成和移動網(wǎng)絡的完整性。因此，如果其中一個遭受攻擊，也會嚴重影響到MDM軟件。

　　SecureIT Mobile企業(yè)版介紹

　　SecureIT Mobile企業(yè)版利用移動虛擬化重塑企業(yè)移動性。

　　為了迎接企業(yè)移動的挑戰(zhàn)和填補現(xiàn)有方案的空白，OK Labs公司推出了SecureIT Mobile企業(yè)版。通過基于OK Labs公司內(nèi)核移動虛擬平臺OKL4 Microvisor，SecureIT Mobile企業(yè)版重塑企業(yè)移動性。此外，該產(chǎn)品完善和鞏固了MDM、防病毒和其他移動技術，并且實現(xiàn)了安全、隱私和功能的完美組合。

　　作為一款軟件和服務方案，SecureIT Mobile企業(yè)版可以幫助企業(yè)與個人應用平行部署和管理企業(yè)應用及服務。利用OKL4安全HyperCells(虛擬機)，SecureIT Mobile企業(yè)版將關鍵業(yè)務應用與個人應用、服務和數(shù)據(jù)隔離開來。

　　通過在一部物理設備上同時支持開放個人域和可靠企業(yè)域，SecureIT Mobile企業(yè)版滿足了個人和企業(yè)的雙向需求。

　　背景

　　SecureIT Mobile企業(yè)版源自安全和認證的系統(tǒng)。2010年，OK Labs公司針對國家防御、緊急救援和公共安全發(fā)布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版，OK Labs公司幫助OEM廠商、集成商、政府承包商和政府部門使用COTS移動硬件，構(gòu)建了類似奧巴馬黑莓[1]的設備，并且價格只相當于傳統(tǒng)定制系統(tǒng)成本的幾分之一。

　　基于SecureIT Mobile企業(yè)版，OK Labs公司為企業(yè)移動帶來了軍用級安全性。

　　方案架構(gòu)

　　移動虛擬化

　　SecureIT Mobile企業(yè)版基于成熟且廣泛部署[2]的OKL4移動虛擬化平臺架構(gòu)。此外，該產(chǎn)品采用了片上存貯管理和ARM等現(xiàn)代微處理器的特殊執(zhí)行功能，其核心和數(shù)據(jù)中心虛擬化一樣，都是純硬件管理程序。

　　堅固的隔離系統(tǒng)

　　該產(chǎn)品是一款虛擬化企業(yè)移動方案，實現(xiàn)了可信(企業(yè))及非可信(個人)操作域之間的堅固隔離。

　　公司信息和個人數(shù)據(jù)應用被安排在了不同的OKL4安全

　　HyperCells里，這些區(qū)域之間相互隔離，并且在獨有的

　　一個或更多移動操作系統(tǒng)(OSes)環(huán)境中運行。

安全基礎

　　開發(fā)商在開發(fā)移動設備和移動軟件時，需要最大的靈活性設計原型、開發(fā)和測試平臺及應用程序。在可以“松綁”和實地部署設備和應用時，設備OEM廠商、集成商和運營商必須退后一步，再次確保整個軟件棧的安全，包括操作系統(tǒng)(OS)、設備驅(qū)動、網(wǎng)絡、中間件和應用程序——這就意味著數(shù)千萬條源代碼。鑒于安全挑戰(zhàn)如此龐大，移動設備遭受日增攻擊威脅的原因也就顯而易見了。

　　相比較而言，SecureIT Mobile企業(yè)版基于底層安全性，以及專為OKL4 Microvisor開發(fā)的小巧、可信的計算基礎。

　　基于微核的架構(gòu)

　　OKL4 Microvisor以成熟高性能的微核技術為基礎。微核確保了為小巧可信計算基礎而設計的特權模式下運行的編碼數(shù)量最少。簡單一流的架構(gòu)涵蓋了精細的訪問控制機制，這一機制在設計過程中(而不是事后)就確保了OKL4的安全，并為開發(fā)商和集成商提供了簡易安全的機制，實現(xiàn)跨域共享資源，包括設備驅(qū)動和CODEC。

　　安全企業(yè)移動

　　通過隔離和保護，SecureIT Mobile企業(yè)版為企業(yè)安全策略提供了“堅固的”支持：

　　敏感文件和數(shù)據(jù)庫

　　本地及遠程應用及服務器

　　語音和文本通信(例如SMS)

　　防病毒和防惡意軟件的軟件

　　MDM和其他用于遠程控制和管理的代理

　　讓我們來了解一下提供這種保護的意義：

　　保護本地和上游數(shù)據(jù)

　　通過隔離用戶和企業(yè)域，SecureIT Mobile企業(yè)版使本地和遠程企業(yè)數(shù)據(jù)免遭攻擊。就設備層面而言，SecureIT Mobile企業(yè)版為業(yè)務著急數(shù)據(jù)提供安全保障。

　　SecureIT Mobile企業(yè)版還保護了上游數(shù)據(jù)和基礎設施?！癎olden Master”軟件涵蓋了與公司數(shù)據(jù)實現(xiàn)交互的所有組件和服務，并且部署于企業(yè)域之中。該軟件不會遭受來自用戶域的惡意軟件和攻擊的威脅(圖2)。即使移動用戶下載和安裝了包含病毒、間諜軟件和其他危險的應用，惡意軟件還是無法進入企業(yè)域，上行到存放企業(yè)數(shù)據(jù)、服務和MDM方案的服務器和網(wǎng)關。

　　為保護者提供保護

　　之前在這份白皮書里，我們注意到在幫助保護移動設備、防病毒、MDM及其他安全的同時，管理和遠程控制軟件自身也容易遭受攻擊(圖1)。通過在可信企業(yè)域里部署“保護器”，我們可以將其與用戶下載軟件中的威脅隔離。基于這一安全定位，防病毒軟件可以掃描企業(yè)域和用戶域。同樣，MDM也可以選擇性的管理一個或兩個空間內(nèi)的應用和內(nèi)容。

　　為了實現(xiàn)更高的安全性，SecureIT Mobile企業(yè)版支持在專用虛擬機上部署防病毒、MDM及其他重要軟件?；谖⒑说腛KL4提供了應用程序接口，開發(fā)商利用OKL4輕量級執(zhí)行環(huán)境，為安置現(xiàn)在的獨立軟件和推動與未來其他個人和企業(yè)軟件的重新部署，包括不同的操作系統(tǒng)和應用。

　　完善移動設備管理

　　SecureIT Mobile企業(yè)版為MDM軟件提供了增強的基礎，完善——有時甚至是超越了——MDM功能。讓我們來看看MDM的主要功能，以及SecureIT Mobile如何使這些功能更加安全和完善：

　　數(shù)據(jù)跟蹤：SecureIT Mobile為資產(chǎn)跟蹤軟件和設備標識數(shù)據(jù)提供了一個安全的執(zhí)行環(huán)境。定位軟件運行可以遠離下載間諜軟件和其他攻擊的探測系統(tǒng)。移動用戶需要的定位信息(GPS數(shù)據(jù)、定位服務等)也可以在企業(yè)域和用戶域上實現(xiàn)安全有選擇性的共享。

　　備份：在企業(yè)域里，關鍵業(yè)務數(shù)據(jù)、應用和配置數(shù)據(jù)可以安全地備份到數(shù)據(jù)中心或云存貯空間，并且完全不受用戶域操作的影響。

　　設備清掃/還原：萬一設備丟失、被盜或用戶部署狀態(tài)變更，MDM軟件可以完全清除(和還原)企業(yè)域中的數(shù)據(jù)和應用。同時，還可以保證用戶的個人軟件和數(shù)據(jù)不受影響，設備基本可以還原到他們投入業(yè)務應用之前的狀態(tài)和操作。

　　FOTA：無線下載固件是眾多移動設備中的功能，然而，很多時候這一功能都沒有得到充分利用。在通常情況下，配置和管理軟件運行于移動操作系統(tǒng)“下層”，通過限制FOTA的可見性和訪問駐留在操作系統(tǒng)上軟件的精度，這些軟件可以幫助升級和操作系統(tǒng)自身運行。有了SecureIT Mobile企業(yè)版，F(xiàn)OTA代理軟件可以駐留在特定虛擬機上，可以更容易管理和更新其他虛擬機內(nèi)容，無需要消耗資源的補丁和補充。

　　的確，移動虛擬化還實現(xiàn)了新版本的無線虛擬化(VOTA)。其不僅將虛擬化引入了移動設備，還利用這一關鍵技術升級固件、系統(tǒng)軟件和應用程序。

　　故障修復與診斷：基于在多虛擬機上的實踐能力，基于OKL4的SecureIT Mobile企業(yè)版成為了診斷軟件的最佳環(huán)境。軟件探測可以與企業(yè)應用平行部署或占用特定虛擬機。

　　針對操作系統(tǒng)和應用程序的升級：SecureIT Mobile企