企業移動三大支柱

　　有效的企業移動需要三大支柱：安全、隱私及自由。該白皮書探討了支撐這些支柱所遇到的挑戰，以及OK Labs的新產品，SecureIT Mobile企業版如何能夠滿足以下實際需求：

　　安全部署企業應用和安全接入企業數據服務

　　保護用戶隱私以及隔離員工與企業資產

　　使用所有設備功能的自由，包括安裝應用和自由瀏覽網頁

　　該白皮書提出了一種重塑現有企業移動實踐的方案，該方案鞏固并加強了這三大支柱，且基于移動虛擬化而構造。

　　誰應該閱讀這份白皮書

　　該白皮書旨在幫助以下企業和個人理解企業移動的定義及推出將會遇到的挑戰：

　　企業: 首席信息官(CIO),首席安全官和IT主管

　　移動運營商: 方案設計師和企業細分市場專家

　　設備OEM廠商: 產品經理和系統軟件設計師

　　芯片方案提供商: 產品經理和系統軟件設計師

　　企業移動

　　“企業移動”這個詞逐漸占據了商業和技術報道的頭條，究其原因主要是移動/無線生態系統正努力為以下兩個交叉的現象營造有利環境：

　　與日俱增的移動勞動力

　　無處不在的移動設備和運行在這些設備上的應用

　　企業移動的條件究竟是什么?讓我們來看看Forrester Research給出的定義：

　　企業在任意地點保持聯絡和控制資產的能力。支持企業移動的技術包括無線網絡、移動應用、中間件、設備、安全和管理軟件。

　　這個定義不僅準確，還留有豐富的想象空間——包括聯系什么人、聯系這些人的原因以及因為什么原因而控制哪方面的資產?此外，這個定義還提出了更深層面的問題——企業移動與傳統企業連接有什么不同?對于這些問題，我們可以從以下趨勢中找到一些答案：

　　移動趨勢—2011年

　　移動勞動力:當今許多員工都在公司總部以外的區域辦公——這一移動員工的群體數量超過了十億，相當于全球勞動力人口的三分之一(Forrester數據)。這些人員同樣需要訪問公司數據、建立文檔、通過公司郵件進行交流，以及利用智能手機和平板電腦遠程訪問公司應用，這些都是他們在辦公桌前所要進行的日常工作。

　　企業IT的消費化趨勢: 在十年間或者更長的時間內，企業員工享受到了在辦公環境和工作往返途中公司提供辦公設備的便利，包括移動電話、筆記本電腦和其他設備。現在，公司和員工都愿意利用員工自己的設備——40%的公司已經實現了這一目標(Juniper Networks數據)。用自己的設備工作(BYOD)不僅節省了購買和維護成本，還可以讓員工選擇和使用符合自己生活方式和工作習慣的智能手機和平板電腦。

　　開放移動操作系統(OSes): 當今越來越多的智能手機和平板電腦開始部署開放及開源操作系統(OSes)——包括Android、Linux等。在加速開發和鼓勵創新的同時，當今構建于社區的平臺逐漸主宰了移動領域。

　　應用市場: 2010年是移動應用年，開發商們為iPhone、Android和其它平臺打造了成千上萬的應用，智能手機和平板電腦所有者們也相應地進行了數十億次的下載。然而不幸的是，這些市場提供的應用在質量和安全性能方面參差不齊。因此，首席信息官(CIO)難免會擔心員工喜愛的游戲、應用和社交媒體客戶端會直接導入病毒、間諜軟件和其它威脅。

　　云計算的應用: 就企業和SMB而言，IT部門越來越傾向于將數據中心虛擬化，因為這些數據中心往往會占據整個地下室甚至是整座建筑。將企業應用和數據過渡到云的過程與企業移動緊密相連——訪問分散的財產同樣也可以分散進行。

　　挑戰

　　以上趨勢反應了一個令人振奮、日益凸顯的現實。然而，這些趨勢——主要是企業移動的趨勢——也為企業IT帶來了新的挑戰和顧慮。

　　移動設備配置和管理

　　從企業IT的角度來說，智能手機、平板電腦以及其它移動/無線設備對配置和管理所帶來的挑戰是我們熟悉的筆記本電腦和臺式電腦不會有的：

　　部署路徑——許多移動設備必須通過運營商渠道來配置——而不是直接通過企業IT人員進行編程。

　　部署機制——在移動設備上安裝軟件和實現服務通常涉及“空中”交易，而不是磁盤安裝或本地配置——許多移動設備甚至沒有用戶能夠看到的文件系統。

　　設備管理——移動設備管理(MDM)通常屬于要么全有要么全無的狀態：IT人員或管理整個設備，或退一步完全讓運營商或用戶全權負責。MDM軟件在不斷變革，以為IT人員提供更為精細的控制。然而，因為他們很難或者無法控制工廠安裝(預裝)的軟件，移動和桌面管理功能之間還是存在一大片空白。

　　安全

　　在過去十年中，企業IT已經解決了桌面系統的安全性。現在，移動設備是公認的企業安全鏈中最薄弱的環節

　　手機、平板電腦和其它無線設備是公認的企業安全鏈中最薄弱的環節。盡管桌面系統的安全性也還存有諸多變數，但是企業IT已經能夠應對這個環境，而且擁有優越的工具和程序來保護運行Windows和其它桌面操作系統(OSes)的PC、工作站和筆記本電腦。

　　然而，保障移動設備的安全性使IT專家們想起了十年前應對桌面系統的情景。現存的威脅已經不容忽視——在過去12個月中，移動軟件遭受的威脅上升了250% (Juniper Networks數據)。

　　惡意軟件和其它攻擊

　　隨著移動設備變得更為強大和復雜，這些設備也成為世界黑暗勢力更大、更具誘惑的“攻擊界面”。

　　危險的內容和從應用商店下載的程序、基于網絡的攻擊和無線網絡的破壞等更增加了移動設備的復雜性。因此針對移動設備軟件的威脅包括：

　　下載應用中的病毒和間諜軟件

　　系統和用戶軟件中的零時差攻擊

　　Android等開放平臺的操作系統(OS)級別攻擊

　　防病毒軟件和MDM軟件自身面臨的威脅

?

　　安全訪問

　　企業移動的價值體現在提供訪問業務數據和程序的通道，提高員工的工作效率。利用移動設備危險渠道打開關鍵業務數據庫和應用的可能性，是抑制企業移動發展的關鍵因素之一。這個渠道的威脅來源于設備自身，并禍及本地數據、應用和瀏覽程序。此外，這些威脅還會殃及數據中心和云上的企業資產。

　　隔離資產

　　內部主要安全威脅之一是個人和企業資產摻雜在一起。這些資產包括各種類型的應用和數據，比如

　　個人財務與企業的財務信息，私人郵件與公司郵件，家電與企業工廠運營與自動化。

　　隱私和功能性

　　如果必須攜帶功能受限的設備，且個人生活受到影響，用戶將只能繼續攜帶兩部設備：一部用于工作，另一部用于個人生活。

　　對企業移動的大部分討論都以公司管理優勢為起點和終點，涉及的話題包括如何提高員工工作效率和降低主要設備和操作成本。如果公司真的希望最大化自己的移動投資回報(ROI)，就必須考慮移動工作者的需求和習慣。公司如果忽視員工的愛好，企業自身發展也會受到威脅。如果必須攜帶功能受限的設備，且個人生活受到影響，用戶將只能繼續攜帶兩部設備：一部用于工作，另一部用于個人生活。

　　鎖定設備

　　企業移動安全的一個捷徑是采用完全鎖定的設備，即該設備只能用于訪問企業數據。在過去，這意味著公司提供一部電話;在今天，在攜帶個人設備(BYOD)這個概念出現以后，完全鎖定的設備就意味著限制員工使用自己的設備，以減少以上提到的安全威脅。

　　員工隱私

　　在企業移動應用中一個經常被忽視的因素是企業安全的反面——員工隱私。如果為了在一部設備上保護企業數據，而向企業審查系統暴露私人用戶信息和應用，那么用戶也不會使用這一設備。

　　應用選擇

　　用戶在智能手機和數據計劃方面投入的主要動力是可以訪問有趣的應用和服務，這些應用和服務包括游戲、生活方面應用及視頻。如果將這些用戶喜愛的應用和服務列入黑名單并阻止使用，打擊了用戶投入的積極性，那么企業的移動制度也不會獲得成功。

　　現有方案的缺陷

　　當今的企業移動涉及終端安全、防病毒(AV)軟件和移動設備管理(MDM)軟件套件，它們存放在設備中，以及數據中心和云的網關服務器中。這些技術很有必要且很強大，但卻滿足不了關鍵需求。尤其是MDM和安全性有賴于智能手機底層OS和軟件棧的完整性，而這恰恰是最易受攻擊的部分。

　　防病毒軟件

　　與網頁相關聯的桌面計算是惡意軟件的攻擊目標。在過去十年中，全球每年因為惡意軟件造成的損失高達150億美元(Computer Economics數據)。隨著智能手機和平板電腦的興起，移動惡意軟件也開始蠢蠢欲動，妄圖步其后塵。同時，智能手機遭受攻擊的比例可能是Windows PC的兩倍(SANS Institute數據)。

　　在桌面系統中，因為出現新的惡意軟件和攻擊界面，防病毒軟件銷售商和平臺及應用供應商也在不斷提供更新和補丁。對于IT團隊來說，最好的實踐經驗就是及時評估和應用這些補救措施。另一方面，對于移動設備軟件來說，要跟上惡意軟件不斷演進的步伐則更加困難。現在的移動平臺更多(Android有多個部署版本，iPhone, Linux, RIM OS, Symbian, WindowsMobile/Phone等)，并且應用也日益增加(截至2011年1月末統計的數據，針對Android平臺的應用就有20萬種)。

　　對補救措施的支持問題同樣重要——移動軟件更新速度有待改進。雖然對于設備OEM廠商和運營商來說，移動軟件現在能夠達到供給平衡，但就其更新速度而言，還遠遠落后于桌面系統。這一頻率上的差距是由最初的預裝部署、推出和安裝固件無線(FOTA)更新以及終端用戶忽視軟件維護造成的。此外，防病毒(和移動設備管理)方案自身也容易遭受侵襲和攻擊，并成為被感染目標。

　　移動設備管理(MDM)

　　集成移動設備管理軟件填補了許多企業移動方面的空白，涉及應用配置、安全策略執行、設備定位、支援、清掃和其他管理功能。由于MDM趨向于橫向的綜合方案，因此同一家廠商的方案是最好的選擇。然而，這一趨勢在簡化購買支持過程的同時，也會導致集成的方案泛泛膚淺，忽略針對所有功能的頂尖性能集成。

　　MDM軟件通常涉及底層固件、系統軟件和應用中間件組件。就MDM自身而言，該系統至少在部分程度上是依賴移動操作系統(OS)集成和移動網絡的完整性。因此，如果其中一個遭受攻擊，也會嚴重影響到MDM軟件。

　　SecureIT Mobile企業版介紹

　　SecureIT Mobile企業版利用移動虛擬化重塑企業移動性。

　　為了迎接企業移動的挑戰和填補現有方案的空白，OK Labs公司推出了SecureIT Mobile企業版。通過基于OK Labs公司內核移動虛擬平臺OKL4 Microvisor，SecureIT Mobile企業版重塑企業移動性。此外，該產品完善和鞏固了MDM、防病毒和其他移動技術，并且實現了安全、隱私和功能的完美組合。

　　作為一款軟件和服務方案，SecureIT Mobile企業版可以幫助企業與個人應用平行部署和管理企業應用及服務。利用OKL4安全HyperCells(虛擬機)，SecureIT Mobile企業版將關鍵業務應用與個人應用、服務和數據隔離開來。

　　通過在一部物理設備上同時支持開放個人域和可靠企業域，SecureIT Mobile企業版滿足了個人和企業的雙向需求。

　　背景

　　SecureIT Mobile企業版源自安全和認證的系統。2010年，OK Labs公司針對國家防御、緊急救援和公共安全發布了SecureIT Mobile 政府版。利用SecureIT Mobile政府版，OK Labs公司幫助OEM廠商、集成商、政府承包商和政府部門使用COTS移動硬件，構建了類似奧巴馬黑莓[1]的設備，并且價格只相當于傳統定制系統成本的幾分之一。

　　基于SecureIT Mobile企業版，OK Labs公司為企業移動帶來了軍用級安全性。

　　方案架構

　　移動虛擬化

　　SecureIT Mobile企業版基于成熟且廣泛部署[2]的OKL4移動虛擬化平臺架構。此外，該產品采用了片上存貯管理和ARM等現代微處理器的特殊執行功能，其核心和數據中心虛擬化一樣，都是純硬件管理程序。

　　堅固的隔離系統

?

　　該產品是一款虛擬化企業移動方案，實現了可信(企業)及非可信(個人)操作域之間的堅固隔離。

　　公司信息和個人數據應用被安排在了不同的OKL4安全

　　HyperCells里，這些區域之間相互隔離，并且在獨有的

　　一個或更多移動操作系統(OSes)環境中運行。

　　安全基礎

　　開發商在開發移動設備和移動軟件時，需要最大的靈活性設計原型、開發和測試平臺及應用程序。在可以“松綁”和實地部署設備和應用時，設備OEM廠商、集成商和運營商必須退后一步，再次確保整個軟件棧的安全，包括操作系統(OS)、設備驅動、網絡、中間件和應用程序——這就意味著數千萬條源代碼。鑒于安全挑戰如此龐大，移動設備遭受日增攻擊威脅的原因也就顯而易見了。

　　相比較而言，SecureIT Mobile企業版基于底層安全性，以及專為OKL4 Microvisor開發的小巧、可信的計算基礎。

　　基于微核的架構

　　OKL4 Microvisor以成熟高性能的微核技術為基礎。微核確保了為小巧可信計算基礎而設計的特權模式下運行的編碼數量最少。簡單一流的架構涵蓋了精細的訪問控制機制，這一機制在設計過程中(而不是事后)就確保了OKL4的安全，并為開發商和集成商提供了簡易安全的機制，實現跨域共享資源，包括設備驅動和CODEC。

　　安全企業移動

　　通過隔離和保護，SecureIT Mobile企業版為企業安全策略提供了“堅固的”支持：

　　敏感文件和數據庫

　　本地及遠程應用及服務器

　　語音和文本通信(例如SMS)

　　防病毒和防惡意軟件的軟件

　　MDM和其他用于遠程控制和管理的代理

　　讓我們來了解一下提供這種保護的意義：

　　保護本地和上游數據

　　通過隔離用戶和企業域，SecureIT Mobile企業版使本地和遠程企業數據免遭攻擊。就設備層面而言，SecureIT Mobile企業版為業務著急數據提供安全保障。

　　SecureIT Mobile企業版還保護了上游數據和基礎設施。“Golden Master”軟件涵蓋了與公司數據實現交互的所有組件和服務，并且部署于企業域之中。該軟件不會遭受來自用戶域的惡意軟件和攻擊的威脅(圖2)。即使移動用戶下載和安裝了包含病毒、間諜軟件和其他危險的應用，惡意軟件還是無法進入企業域，上行到存放企業數據、服務和MDM方案的服務器和網關。

　　為保護者提供保護

　　之前在這份白皮書里，我們注意到在幫助保護移動設備、防病毒、MDM及其他安全的同時，管理和遠程控制軟件自身也容易遭受攻擊(圖1)。通過在可信企業域里部署“保護器”，我們可以將其與用戶下載軟件中的威脅隔離。基于這一安全定位，防病毒軟件可以掃描企業域和用戶域。同樣，MDM也可以選擇性的管理一個或兩個空間內的應用和內容。

　　為了實現更高的安全性，SecureIT Mobile企業版支持在專用虛擬機上部署防病毒、MDM及其他重要軟件。基于微核的OKL4提供了應用程序接口，開發商利用OKL4輕量級執行環境，為安置現在的獨立軟件和推動與未來其他個人和企業軟件的重新部署，包括不同的操作系統和應用。

　　完善移動設備管理

　　SecureIT Mobile企業版為MDM軟件提供了增強的基礎，完善——有時甚至是超越了——MDM功能。讓我們來看看MDM的主要功能，以及SecureIT Mobile如何使這些功能更加安全和完善：

　　數據跟蹤：SecureIT Mobile為資產跟蹤軟件和設備標識數據提供了一個安全的執行環境。定位軟件運行可以遠離下載間諜軟件和其他攻擊的探測系統。移動用戶需要的定位信息(GPS數據、定位服務等)也可以在企業域和用戶域上實現安全有選擇性的共享。

　　備份：在企業域里，關鍵業務數據、應用和配置數據可以安全地備份到數據中心或云存貯空間，并且完全不受用戶域操作的影響。

　　設備清掃/還原：萬一設備丟失、被盜或用戶部署狀態變更，MDM軟件可以完全清除(和還原)企業域中的數據和應用。同時，還可以保證用戶的個人軟件和數據不受影響，設備基本可以還原到他們投入業務應用之前的狀態和操作。

　　FOTA：無線下載固件是眾多移動設備中的功能，然而，很多時候這一功能都沒有得到充分利用。在通常情況下，配置和管理軟件運行于移動操作系統“下層”，通過限制FOTA的可見性和訪問駐留在操作系統上軟件的精度，這些軟件可以幫助升級和操作系統自身運行。有了SecureIT Mobile企業版，FOTA代理軟件可以駐留在特定虛擬機上，可以更容易管理和更新其他虛擬機內容，無需要消耗資源的補丁和補充。

　　的確，移動虛擬化還實現了新版本的無線虛擬化(VOTA)。其不僅將虛擬化引入了移動設備，還利用這一關鍵技術升級固件、系統軟件和應用程序。

　　故障修復與診斷：基于在多虛擬機上的實踐能力，基于OKL4的SecureIT Mobile企業版成為了診斷軟件的最佳環境。軟件探測可以與企業應用平行部署或占用特定虛擬機。

　　針對操作系統和應用程序的升級：SecureIT Mobile企業版可以幫助執行和協調軟件升級機制。系統軟件和關鍵業務應用的升級可以在企業域中進行，不會影響用戶域中應用的運行，反之亦然。既然每個域都由獨一無二的虛擬機負責，那么每個域都可以在不互相影響的前提下重新啟動。

　　結論

　　本白皮書闡述了OK Labs公司的SecureIT Mobile企業版如何支持企業移動三大支柱——安全、隱私和自由——在移動虛擬化的幫助下。此外，該白皮書還從企業管理、企業IT和移動辦公等多個方面分析了企業移動面臨的挑戰，也為這一寶貴的體系進行新的可行性研究.