我们不一样!真正实现安全隔离的系列定制终端

原创文章 发布:思齐 日期:2019-04-28 10:46 定制终端   隔离   安全

在移动办公需求的催生之下,各类型的行业移动终端纷纷推出,移动终端市场变得格外“热闹”起来。移动终端可实现“一机两用”,很好地兼顾了工作和生活之需,携带便利,操作简捷,应用丰富,大幅提升了工作效率,逐渐得到用户认可,市场规模不断扩大。

 

由于用户在移动终端上同时处理生活和工作中的相关事宜,而办公自有其特殊属性,尤其是在政务、警务、司法、能源等行业,必须遵循安全和保密等严格规定,进行安全隔离,在安全的基础上实现便捷。


针对多模式移动终端不同模式的隔离要求,目前业界主要存在两种技术方案:双系统方案和双域方案。都是“一机两用”, 二者有何区别?会给用户带来哪些不同的体验?


作为行业引领者,鼎桥自主研发的双系统安全定制终端,基于华为畅销终端进行系统级加固,在安全的基础上提供定制化服务,为用户打造一个立体化的安全防护体系,在各个方面具备显著优势。本文将为此做一些粗浅的分析和阐释。


一  双系统隔离VS双域隔离

 

双系统隔离方案,属于操作系统级隔离方案,采用Linux容器技术,在一个Linux内核上创建两个容器,每一个容器内运行不同的安卓操作系统框架。两个模式之间的隔离由内核层的容器机制来实现,两个模式之间的关系完全对等,无法互相控制。此外,双系统隔离方案采用硬盘分区技术,对两个系统存储数据的区域进行物理隔离,使用各自的文件系统,互不可见、互不影响,相当于建了一堵“墙”。其技术框架如下图:

 

 双系统隔离方案技术框架

 

而双域隔离方案,属于应用层隔离方案,是在单一的安卓系统上,利用多用户技术创建多个用户并分配不同的用户权限。该方案赋予一个超级用户管理员权限,超级用户可以增删其他普通用户、修改普通用户权限。双域隔离方案的两个模式共享同一个文件系统,双域文件只是从权限的角度进行了隔离,如果突破权限限制或操作系统被攻破,就可以访问受控模式下的文件和数据。双域隔离方案相当于仅在两个模式之间划了一条“线”,其技术框架如下图:



 

双域隔离方案技术框架

 

由于技术上的局限性,双域隔离方案存在严重的安全隐患。举其要者,如下:


(一)系统设置隔离方面


针对常用外设WLAN、GPS、蓝牙、NFC、USB连接等,双域隔离方案可以按照个人模式和受控模式分别设置,形成两份配置文件,控制开启或关闭。但由于共享同一个设置系统服务,双域的配置信息是共享的,而这些关键信息一旦被恶意软件利用,就会造成无法预见的损失。


双域隔离方案中,不管在任何模式下进行恢复出厂设置,都会清空所有模式下的全部数据,造成关键信息丢失。


(二)应用隔离方面


由于两个域共用一个操作系统,因此系统应用的服务和进程在双域之间是共享的。如果个人模式下感染的病毒软件或恶意软件获取超级权限,就可利用共享的系统服务在受控模式下读取或修改敏感信息,造成信息安全事故。另外,在个人模式下安装的应用在后台运行,有可能会读取受控模式下的通讯录、通话记录和位置信息等,从而造成信息泄露。


(三)数据隔离方面


双域隔离方案使用同一个TF卡挂载系统服务,如果允许在个人模式下使用TF卡,受控模式下同样也可以访问TF卡进行读写操作,存在重大安全隐患。


而基于操作系统级隔离方案的双系统隔离,完全可以避免上述问题。因此,只有双系统隔离方案才能真正做到安全隔离。



二  全方位防护体系加持信息安全


移动终端对安全性技术要求是立体式和全方位的,其主要内容可参见下表:

 

全方位防护体系

 

(一)国产芯片


硬件设备是构筑信息安全大厦的基石。“求木之长者,必固其根本;欲流之远者,必浚其泉源。”鼎桥双系统安全定制终端采用国产麒麟芯片,以及符合国密标准的硬件/软密码模块,完全满足“信息产品国产化”要求。


(二)可信计算


鼎桥双系统安全定制终端运用可信化计算原理,可满足操作系统上的安全启动运行。在切换两种系统之时,会有镜像逐级验证环节,最后在启动前做安全校验程序。在操作中,整个系统运作动态度量,运行系统会根据整个系统存储的文件进行完整性检测和合法性判断。用户在执行工作命令过程中,系统会自动对敏感的数据进行安全存储和加密,为用户带来可靠的安全保障。


(三)安全接入


内置国密InSE芯片,适配空中发证安全接入方案;适配外置 TF/SIMKey加密卡安全接入方案,充分保障VPN链路建立稳定及加密数据传输安全。


在使用频繁的通信方面,实现VoIP加密通话,每一次生成单独密钥,全程施行保护,杜绝遭拦截被窃听的可能。更有专为通信安全研发的橙讯系列应用,成为内部协作的高效平台,包含即时消息、安全邮件及企业通讯录等,实现支持国密算法的端到端通话加密、信息加密、邮件加密、文档加密。


(四)多维管控


与EMM厂商合作定制解决方案,提供一整套完善的EMM云管控接口,以实现对移动终端的设备管控、应用管控、内容管控和权限管控。


由此可见,鼎桥双系统安全定制终端实现了从硬件到软件、从底层架构到上层应用、从端到云的闭环安全体系,全面达到防窃听、防刷机、防泄密、防破解的安全目标。


三  丰富的定制化服务

 

鼎桥定制终端产品的核心竞争力之一,在于能够根据不同客户的移动办公需要进行个性化定制。包括但不限于:


(一)专属定制


定制开机动画、开机logo、铃声、桌面壁纸、锁屏壁纸;还能根据客户需求定制特殊按键功能,例如长按音量下键一键报警。


(二)应用预置


预置办公应用,保障应用始终不被冻结;修改系统权限使其开机自启动、关联启动;删除不需要的系统原生应用,还原干净操作界面;定义应用安装策略,防止用户非法安装。


(三)外设控制


灵活设置 Bluetooth、WiFi、USB、NFC、GPS 对外连接功能,可增加 WiFi 热点及蓝牙白名单;还可使能或禁用通话、短信、相机、录音机、截屏、录屏等功能,满足客户的特定工作场景需要。


(四)安全策略


内网工作区预制政企内网APN,且不容许用户增删或修改;APN探测机制可防止内网工作区通过非法APN连接互联网;并具备境外IP访问控制功能。


据了解,在需求明确的情况下,开机动画、开机logo、桌面壁纸等需求,一星期即可完成定制;涉及APP、EMM的联调等深度定制需求也仅需三个星期。


四  强大的业务应用


精通的目的全在于应用。鼎桥长期深耕公网和专网,深刻理解客户需求,熟悉客户业务流程,因此联合合作伙伴,打造产业生态圈,开发了系列业务应用,并可根据用户需求进行应用拓展。


鼎桥双系统定制安全终端还进行了丰富的应用适配和外设扩展,通过适配充电/ NFC/二代身份证背夹、基站信息/红外数据采集仪、人脸识别眼镜、蓝牙打印机等,为用户带来事半功倍之效。


当前,鼎桥双系统安全定制终端已涵盖智能手机、平板、笔记本、手表、手环等多个品类序列,其定制终端的丰富性,在业界尚无出其右者。


据了解,截至2018年底,鼎桥定制行业终端累计发货量近100万台,覆盖中国三十多个省级行政区域,其市场份额遥遥领先,业务覆盖公安、司法、军队、政府、电力、企业多个行业领域,并建立了一个开放合作共赢的定制行业终端生态体系。



鼎桥一直以来坚持自主创新,为持续满足用户新的需求提供了源源不断的动力,并一直保持行业定制解决方案的市场领先地位。广泛的用户定制需求和实践使得鼎桥具备了丰富的行业经验和深厚的技术积累,随着定制终端的深入发展,鼎桥将会为我们呈现出更多的精彩。

相关文章
成为第一个评论的人
请填写申请人资料
姓名
手机号
邮箱
微信号
个人简介
微信
 咨询
置顶