OK Labs技术白皮书——SecureIT Mobile企业版

理软件填补了许多企业移动方面的空白，涉及应用配置、安全策略执行、设备定位、支援、清扫和其他管理功能。由于MDM趋向于横向的综合方案，因此同一家厂商的方案是最好的选择。然而，这一趋势在简化购买支持过程的同时，也会导致集成的方案泛泛肤浅，忽略针对所有功能的顶尖性能集成。

MDM软件通常涉及底层固件、系统软件和应用中间件组件。就MDM自身而言，该系统至少在部分程度上是依赖移动操作系统（OS）集成和移动网络的完整性。因此，如果其中一个遭受攻击，也会严重影响到MDM软件。

SecureIT Mobile企业版介绍

为了迎接企业移动的挑战和填补现有方案的空白， OK Labs公司推出了SecureIT Mobile企业版。通过基于OK Labs公司内核移动虚拟平台OKL4 Microvisor，SecureIT Mobile企业版重塑企业移动性。此外，该产品完善和巩固了MDM、防病毒和其他移动技术，并且实现了安全、隐私和功能的完美组合。

作为一款软件和服务方案，SecureIT Mobile企业版可以帮助企业与个人应用平行部署和管理企业应用及服务。利用OKL4安全HyperCells（虚拟机），SecureIT Mobile企业版将关键业务应用与个人应用、服务和数据隔离开来。

通过在一部物理设备上同时支持开放个人域和可靠企业域，SecureIT Mobile企业版满足了个人和企业的双向需求。
背景

SecureIT Mobile企业版源自安全和认证的系统。2010年，OK Labs公司针对国家防御、紧急救援和公共安全发布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版，OK Labs公司帮助OEM厂商、集成商、政府承包商和政府部门使用COTS移动硬件，构建了类似奥巴马黑莓 的设备，并且价格只相当于传统定制系统成本的几分之一。

基于SecureIT Mobile企业版，OK Labs公司为企业移动带来了军用级安全性。

方案架构

移动虚拟化

SecureIT Mobile企业版基于成熟且广泛部署 的OKL4移动虚拟化平台架构。此外，该产品采用了片上存贮管理和ARM等现代微处理器的特殊执行功能，其核心和数据中心虚拟化一样，都是纯硬件管理程序。

坚固的隔离系统

该产品是一款虚拟化企业移动方案，实现了可信（企业）及非可信（个人）操作域之间的坚固隔离。
公司信息和个人数据应用被安排在了不同的OKL4安全
HyperCells里，这些区域之间相互隔离，并且在独有的
一个或更多移动操作系统（OSes）环境中运行。

安全基础

开发商在开发移动设备和移动软件时，需要最大的灵活性设计原型、开发和测试平台及应用程序。在可以“松绑”和实地部署设备和应用时，设备OEM厂商、集成商和运营商必须退后一步，再次确保整个软件栈的安全，包括操作系统（OS）、设备驱动、网络、中间件和应用程序 —— 这就意味着数千万条源代码。鉴于安全挑战如此庞大，移动设备遭受日增攻击威胁的原因也就显而易见了。

相比较而言，SecureIT Mobile企业版基于底层安全性，以及专为OKL4 Microvisor开发的小巧、可信的计算基础。

图 2: SecureIT Mobile企业版软件架构

基于微核的架构
OKL4 Microvisor以成熟高性能的微核技术为基础。微核确保了为小巧可信计算基础而设计的特权模式下运行的编码数量最少。简单一流的架构涵盖了精细的访问控制机制，这一机制在设计过程中（而不是事后）就确保了OKL4的安全，并为开发商和集成商提供了简易安全的机制，实现跨域共享资源，包括设备驱动和CODEC。

安全企业移动

通过隔离和保护，SecureIT Mobile企业版为企业安全策略提供了“坚固的”支持：

?敏感文件和数据库

?本地及远程应用及服务器

?语音和文本通信（例如SMS）

??防病毒和防恶意软件的软件

?MDM和其他用于远程控制和管理的代理

让我们来了解一下提供这种保护的意义：

保护本地和上游数据

通过隔离用户和企业域，SecureIT Mobile企业版使本地和远程企业数据免遭攻击。就设备层面而言，SecureIT Mobile企业版为业务着急数据提供安全保障。

SecureIT Mobile企业版还保护了上游数据和基础设施。“Golden Master”软件涵盖了与公司数据实现交互的所有组件和服务，并且部署于企业域之中。该软件不会遭受来自用户域的恶意软件和攻击的威胁（图2）。即使移动用户下载和安装了包含病毒、间谍软件和其他危险的应用，恶意软件还是无法进入企业域，上行到存放企业数据、服务和MDM方案的服务器和网关。

为保护者提供保护

之前在这份白皮书里，我们注意到在帮助保护移动设备、防病毒、MDM及其他安全的同时，管理和远程控制软件自身也容易遭受攻击（图1）。通过在可信企业域里部署“保护器”，我们可以将其与用户下载软件中的威胁隔离。基于这一安全定位，防病毒软件可以扫