1、北京珊瑚灵御科技有限公司企业移动安全管理平台产品白皮书产品文档文档作者:珊瑚灵御 文档类型:对外合作文档文档版本: V1.0 创建日期:2016/03/03文档编号:Coralsec-20160309 完成日期:2016/03/09文档状态: 草稿 讨论稿正式发布本手册中全部内容为版权所有,未经授权不得复制、转发或公开传播。企业移动安全管理平台产品白皮书1目 录第一章 公司简介 .2第二章 产品概述及特点 .32.1 产品概述 .32.2 产品特点 .4第三章 产品技术架构与参数 .73.1 产品技术架构 .73.1.1 逻辑结构 .73.1.2 产品形态 .83.1.3 模块组成 .83.1
2、.4 工作原理 .93.2 产品技术参数 .103.2.1 兼容性参数 .103.2.2 安全性要求 .10第四章 产品功能 .124.1 安全隔离 .124.2 安全认证 .124.3 安全操作 .134.4 安全存储 .144.5 安全分发 .154.6 安全访问 .164.7 安全集成 .17第五章 行业应用准则 .19第六章 产品购买 .196.1 商务流程 .19企业移动安全管理平台产品白皮书2第一章 公司简介北京珊瑚灵御科技有限公司,简称珊瑚灵御,是一家专注于研究移动智能终端设备的应用运行安全、数据安全、存储安全和分发安全,面向企业用户及个人用户的移动互联网安全公司。 公司立足于对
3、移动智能终端操作系统的深入理解、应用开发流程的深度掌握、综合安全解决方案的全面积累,在端安全、云计算、大数据分析技术进行分阶段重点融合基础上,研发出具备自主知识产权的移动应用安全产品和综合解决方案。为客户提供覆盖“端、管、云”全方位、一体化的移动安全评估、安全检测、安全加固、安全沙箱、安管平台等产品和服务,可以有效保护开发者的自身权益、有力保障企业移动化办公的可靠性,最终保护个人用户的数据安全,产品广泛应用于互联网金融、电子商务、电子政务、智慧城市、智慧医疗等。公司目前已申请多项技术专利和软件著作权,并与金融、证券、科研机构、高校等行业从商业项目到科研项目形成了有机发展合作,一方面市场得到积极
4、开拓和发展,另一方面联合高校获取最新技术支持,为公司的发展注入强大动力。公司已获取 A 轮投资并处在高速发展阶段。公司初创人员有来自于信息安全的老兵,亦有来自蓬勃发展互联网行业的后起之秀,给用户提供高质量的产品和服务是珊瑚灵御一致追求的目标,充分理解并满足用户需求是珊瑚灵御一贯的做事态度,用户的满意就是对我们服务的最大认可。我们将以尖端的技术、专业的服务和前沿的营销理念共创珊瑚灵御美好未来,充当引领移动互联网安全的主力军。企业移动安全管理平台产品白皮书3第二章 产品概述及特点产品概述企业移动安全管理平台,产品由沙箱桌面、沙箱 APP SDK、沙箱管理平台组成,同时,支持沙箱应用黑盒方式的沙箱化
5、处理。沙箱桌面在移动终端通过隔离区域的方式,形成安全运行区域,保证在其中运行的移动应用数据安全、通信安全、运行安全,通过提供的密钥管理机制,保证在移动设备发生损坏情况下,可以做到通过集中管理实现对加密数据的安全恢复;通过沙箱数据的备份和恢复机制,可以满足用户在终端设备上的无缝迁移、数据备份、数据恢复,即使在不同的终端设备上,也可以实现办公环境的统一,避免因为设备切换时产生数据不对称。实现完全独立运行的沙箱桌面,支持基本的沙箱设置、应用管理,终端沙箱应用同时支持 APP SDK 和 Wrapping 两种移动应用沙箱化方式;沙箱桌面完全支持应用分发、内置沙箱应用、沙箱管理全部功能;实现可对沙箱桌
6、面进行控制的管理平台,可以对沙箱桌面和沙箱应用进行全面的平台总体、用户管理、数据管理、应用管理、设备管理、策略管理、密钥管理、备份恢复;支持本地化部署和云端部署两种典型方式; 企业移动安全管理平台产品白皮书4用户注册用户虚拟工作区应用管理 数据管理 策略管理 设备管理A P P S D K 管理备份恢复封装沙箱应用和第三方应用定制沙箱桌面设备信息采集安全策略管控报表管理 日志管理沙箱应用分发沙箱桌面分发图 1 产品总体工作逻辑图产品特点企业移动安全管理平台产品从终端到管理提供综合移动安全解决方案,以安全沙箱的隔离环境技术作为关键基础技术,通过管理平台的从设备、数据、应用三个主要角度出发,通过统
7、一安全策略管理,并通过沙箱桌面作为安全沙箱实现载体,为沙箱应用运行和策略控制提供统一运行环境。沙箱 APP SDK 通过提供全面开发 API 方式为需要在沙箱内运行的移动应用提供开发接口;沙箱桌面通过提供独立运行桌面的方式,为用户使用沙箱功能提供统一用户交互界面;沙箱管理平台通过对沙箱桌面、沙箱 APP SDK、沙箱 Wrapping 的集中安全管控,提供统一管理平台; 运行方式企业移动安全管理平台产品在移动终端上运行,通过安全沙箱的核心技术,通过对原有系企业移动安全管理平台产品白皮书5统深入理解和关键功能调用基础上,结合虚拟技术,形成原生终端系统上的安全隔离环境,以安全容器的方式运行,在同一
8、物理基础上,通过逻辑上的隔离,将容器内环境和容器外环境做到有效隔离; 控制方式企业移动安全管理平台产品通过安全策略控制和移动端灵御冰盾桌面配合工作,对沙箱内应用的安全控制通过对系统中的关键调用进行监控,当发生对这些关键调用进行操作的时候,即会触发相应的监控功能,并通过对安全策略的检索来判定和控制后续的操作行为是否可以继续,通过这种方式的安全控制,可以保证关键文件或数据不会被有意或无意泄露,实现DLP功能,满足企业级移动应用安全环境要求; 加密方式灵御冰盾实现的安全沙箱默认策略是对容器隔离环境中的所有操作产生的中间或最终数据,都将采取加密措施,保证临时或永久数据在操作过程中安全有效,不可被隔离环
9、境外或系统其他进程在非授权方式下的非法访问和操作,即使数据可以被非法第三方获取,但是在没有安全授权或安全身份条件下,关键数据或信息也无法被读取; 管理方式灵御冰盾通过策略管控模块,通过珊瑚灵御私有加密通信协议,接受企业移动安全管理平台产品的远程控制和管理,企业移动安全管理平台产品可以对容器内允许被运行的应用,各应用运行时应遵循的安全策略,安全通信时应当遵循的安全规范,按照企业安全标准,或,行业内指定安全标准,进行安全策略的统一定义,规范和下发,形成对该企业或用户环境内所有移动终端的统一管理;企业移动安全管理平台产品白皮书6 通信方式灵御冰盾以及灵御冰盾内沙箱应用对内网的访问通信方式通过SSL
10、VPN方法进行,在安全沙箱、沙箱应用和外部环境之间,通过安全协商后,形成双向安全隐秘的数据通道,保证数据在通道里进行传输和交互过程中,信息保密不可被非法窃取,实现通信全程的安全,协商和通讯数据传输方法参考IPSec算法和机制进行设计和实现; 集成方式企业移动安全管理平台产品将灵御冰盾中安全沙箱的核心功能,通过SDK方式将可被调用的功能接口开放给第三方产品,并形成可调用安全沙箱内部安全功能的所有接口规范,开放给第三方开发使用,保证可见安全沙箱功能可以被有机地集成到第三方应用整体安全解决方案中,再满足安全签名前提条件下,形成和企业等用户已有移动应用安全业务地有机结合。企业移动安全管理平台产品白皮书
11、7第三章 产品技术架构与参数产品技术架构逻辑结构珊瑚灵御从安全沙箱内移动应用的安全签名,到沙箱内移动应用运行时的安全管控,到与外部通信时的安全监管,完成企业移动安全管理平台产品的整体安全功能。 安全沙箱方案实现企业级应用的基础安全设施,为企业应用的策略控制提供管控接口。整个方案实现沙箱安全应用,安全控制,安全集成等沙箱服务功能,并可与企业移动安全管理平台管理平台进行有机集成,管理平台采用模块化设计主要由以下模块组成:用户管理模块、接入管理模块、应用管理模块、沙箱管理模块、数据管理模块、策略管理模块、设备管理模块、系统管理模块;各模块间管理如下图所示:图 2 企业移动安全管理平台产品总体架构图企
12、业移动安全管理平台产品白皮书83.1.2 产品形态企业移动安全管理平台产品形态通过移动终端上可被安装和运行的移动应用形成。企业移动安全管理平台产品安装包可以独立安装后,在移动终端上通过配置移动终端默认系统桌面的方式,将移动终端系统在系统启动后,在通过安全身份认证后,进行安全沙箱应用隔离环境,使用安全沙箱提供的全部安全功能。3.1.3 模块组成 沙箱 APP SDK 沙箱 Wrapping SDK 沙箱桌面 沙箱管理平台 安全签名 安全容器 访问身份认证 文件操作控制 数据安全存储 通信安全交互 访问安全控制 远程安全管理 安全集成 文件操作接口企业移动安全管理平台产品白皮书9 数据存储接口3.
13、1.4 工作原理企业移动安全管理平台产品的核心是安全沙箱,其原理是通过独立运行的容器方式实现沙箱化隔离环境更,通过隔离区域、专有签名、单独实例,形成移动终端隔离区域,容器内外应用互不可见、数据互不可随意访问;保密通讯机制,保证安全通信通道全封闭数据通讯访问,满足开放集成特性下,容器安全内聚同时提供集成接口共享安全特性,形成最终的安全沙箱产品,完全、深入、充分保护企业移动环境下的数据安全。珊瑚灵御企业移动安全管理平台产品工作原理如下图所示:图3 安全沙箱工作流程图1. 安装部署将安全沙箱应用在终端系统上安装后,通过独立桌面,形成隔离工作区域厚爱,保证安全沙箱内外环境相互隔离不可见;2. 移动应用在经过正常签名和安装后,可在安全沙箱内正常运行,并可通过远程管理系统的应用奋发功能,在将移动应用安全加固和签名后,可以集中进行分发;3. 在安全沙箱内运行的安全应用,在运行过程中,提供对访问安全容器请求进行身份认证的功能,