SecureIT Mobile企业版技术白皮书

　　在桌面系统中，因为出现新的恶意软件和攻击界面，防病毒软件销售商和平台及应用供应商也在不断提供更新和补丁。对于IT团队来说，最好的实践经验就是及时评估和应用这些补救措施。另一方面，对于移动设备软件来说，要跟上恶意软件不断演进的步伐则更加困难。现在的移动平台更多(Android有多个部署版本，iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等)，并且应用也日益增加(截至2011年1月末统计的数据，针对Android平台的应用就有20万种)。

　　对补救措施的支持问题同样重要——移动软件更新速度有待改进。虽然对于设备OEM厂商和运营商来说，移动软件现在能够达到供给平衡，但就其更新速度而言，还远远落后于桌面系统。这一频率上的差距是由最初的预装部署、推出和安装固件无线(FOTA)更新以及终端用户忽视软件维护造成的。此外，防病毒(和移动设备管理)方案自身也容易遭受侵袭和攻击，并成为被感染目标。

　　移动设备管理(MDM)

　　集成移动设备管理软件填补了许多企业移动方面的空白，涉及应用配置、安全策略执行、设备定位、支援、清扫和其他管理功能。由于MDM趋向于横向的综合方案，因此同一家厂商的方案是最好的选择。然而，这一趋势在简化购买支持过程的同时，也会导致集成的方案泛泛肤浅，忽略针对所有功能的顶尖性能集成。

　　MDM软件通常涉及底层固件、系统软件和应用中间件组件。就MDM自身而言，该系统至少在部分程度上是依赖移动操作系统(OS)集成和移动网络的完整性。因此，如果其中一个遭受攻击，也会严重影响到MDM软件。

　　SecureIT Mobile企业版介绍

　　SecureIT Mobile企业版利用移动虚拟化重塑企业移动性。

　　为了迎接企业移动的挑战和填补现有方案的空白，OK Labs公司推出了SecureIT Mobile企业版。通过基于OK Labs公司内核移动虚拟平台OKL4 Microvisor，SecureIT Mobile企业版重塑企业移动性。此外，该产品完善和巩固了MDM、防病毒和其他移动技术，并且实现了安全、隐私和功能的完美组合。

　　作为一款软件和服务方案，SecureIT Mobile企业版可以帮助企业与个人应用平行部署和管理企业应用及服务。利用OKL4安全HyperCells(虚拟机)，SecureIT Mobile企业版将关键业务应用与个人应用、服务和数据隔离开来。

　　通过在一部物理设备上同时支持开放个人域和可靠企业域，SecureIT Mobile企业版满足了个人和企业的双向需求。

　　背景

　　SecureIT Mobile企业版源自安全和认证的系统。2010年，OK Labs公司针对国家防御、紧急救援和公共安全发布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版，OK Labs公司帮助OEM厂商、集成商、政府承包商和政府部门使用COTS移动硬件，构建了类似奥巴马黑莓[1]的设备，并且价格只相当于传统定制系统成本的几分之一。

　　基于SecureIT Mobile企业版，OK Labs公司为企业移动带来了军用级安全性。

　　方案架构

　　移动虚拟化

　　SecureIT Mobile企业版基于成熟且广泛部署[2]的OKL4移动虚拟化平台架构。此外，该产品采用了片上存贮管理和ARM等现代微处理器的特殊执行功能，其核心和数据中心虚拟化一样，都是纯硬件管理程序。

　　坚固的隔离系统

　　该产品是一款虚拟化企业移动方案，实现了可信(企业)及非可信(个人)操作域之间的坚固隔离。

　　公司信息和个人数据应用被安排在了不同的OKL4安全

　　HyperCells里，这些区域之间相互隔离，并且在独有的

　　一个或更多移动操作系统(OSes)环境中运行。

安全基础

　　开发商在开发移动设备和移动软件时，需要最大的灵活性设计原型、开发和测试平台及应用程序。在可以“松绑”和实地部署设备和应用时，设备OEM厂商、集成商和运营商必须退后一步，再次确保整个软件栈的安全，包括操作系统(OS)、设备驱动、网络、中间件和应用程序——这就意味着数千万条源代码。鉴于安全挑战如此庞大，移动设备遭受日增攻击威胁的原因也就显而易见了。

　　相比较而言，SecureIT Mobile企业版基于底层安全性，以及专为OKL4 Microvisor开发的小巧、可信的计算基础。

　　基于微核的架构

　　OKL4 Microvisor以成熟高性能的微核技术为基础。微核确保了为小巧可信计算基础而设计的特权模式下运行的编码数量最少。简单一流的架构涵盖了精细的访问控制机制，这一机制在设计过程中(而不是事后)就确保了OKL4的安全，并为开发商和集成商提供了简易安全的机制，实现跨域共享资源，包括设备驱动和CODEC。

　　安全企业移动

　　通过隔离和保护，SecureIT Mobile企业版为企业安全策略提供了“坚固的”支持：

　　敏感文件和数据库

　　本地及远程应用及服务器

　　语音和文本通信(例如SMS)

　　防病毒和防恶意软件的软件

　　MDM和其他用于远程控制和管理的代理

　　让我们来了解一下提供这种保护的意义：

　　保护本地和上游数据

　　通过隔离用户和企业域，SecureIT Mobile企业版使本地和远程企业数据免遭攻击。就设备层面而言，SecureIT Mobile企业版为业务着急数据提供安全保障。

　　SecureIT Mobile企业版还保护了上游数据和基础设施。“Golden Master”软件涵盖了与公司数据实现交互的所有组件和服务，并且部署于企业域之中。该软件不会遭受来自用户域的恶意软件和攻击的威胁(图2)。即使移动用户下载和安装了包含病毒、间谍软件和其他危险的应用，恶意软件还是无法进入企业域，上行到存放企业数据、服务和MDM方案的服务器和网关。

　　为保护者提供保护

　　之前在这份白皮书里，我们注意到在帮助保护移动设备、防病毒、MDM及其他安全的同时，管理和远程控制软件自身也容易遭受攻击(图1)。通过在可信企业域里部署“保护器”，我们可以将其与用户下载软件中的威胁隔离。基于这一安全定位，防病毒软件可以扫描企业域和用户域。同样，MDM也可以选择性的管理一个或两个空间内的应用和内容。

　　为了实现更高的安全性，SecureIT Mobile企业版支持在专用虚拟机上部署防病毒、MDM及其他重要软件。基于微核的OKL4提供了应用程序接口，开发商利用OKL4轻量级执行环境，为安置现在的独立软件和推动与未来其他个人和企业软件的重新部署，包括不同的操作系统和应用。

　　完善移动设备管理

　　SecureIT Mobile企业版为MDM软件提供了增强的基础，完善——有时甚至是超越了——MDM功能。让我们来看看MDM的主要功能，以及SecureIT Mobile如何使这些功能更加安全和完善：

　　数据跟踪：SecureIT Mobile为资产跟踪软件和设备标识数据提供了一个安全的执行环境。定位软件运行可以远离下载间谍软件和其他攻击的探测系统。移动用户需要的定位信息(GPS数据、定位服务等)也可以在企业域和用户域上实现安全有选择性的共享。

　　备份：在企业域里，关键业务数据、应用和配置数据可以安全地备份到数据中心或云存贮空间，并且完全不受用户域操作的影响。

　　设备清扫/还原：万一设备丢失、被盗或用户部署状态变更，MDM软件可以完全清除(和还原)企业域中的数据和应用。同时，还可以保证用户的个人软件和数据不受影响，设备基本可以还原到他们投入业务应用之前的状态和操作。

　　FOTA：无线下载固件是众多移动设备中的功能，然而，很多时候这一功能都没有得到充分利用。在通常情况下，配置和管理软件运行于移动操作系统“下层”，通过限制FOTA的可见性和访问驻留在操作系统上软件的精度，这些软件可以帮助升级和操作系统自身运行。有了SecureIT Mobile企业版，FOTA代理软件可以驻留在特定虚拟机上，可以更容易管理和更新其他虚拟机内容，无需要消耗资源的补丁和补充。

　　的确，移动虚拟化还实现了新版本的无线虚拟化(VOTA)。其不仅将虚拟化引入了移动设备，还利用这一关键技术升级固件、系统软件和应用程序。

　　故障修复与诊断：基于在多虚拟机上的实践能力，基于OKL4的SecureIT Mobile企业版成为了诊断软件的最佳环境。软件探测可以与企业应用平行部署或占用特定虚拟机。

　　针对操作系统和应用程序的升级：SecureIT Mobile企