平台安全沙箱机制说明.docx

平台安全沙箱机制说明

安全沙箱实际上是在存储上建立一个逻辑分区，将设备上的企业应用及存储区域与个人的应用及存储区域进行分开。限制个人应用与企业应用之间的数据间互相通信，从而加固了企业应用的数据安全性。当设备丢失、员工离职，在产生泄露或数据不在合法授权时可以的进行远程抹除。同时在抹除时企业员工的个人隐私数据进行保护，比如禁止将个人照片、短信、通讯录的个人数据进行删除。解决企业员工在BYOD场景下使用的安全。

在存储层面：设备如果屏保没有设置，iOS设备在进行越狱后、Android设备在进行root过后将直接访问存储数据。而数据存储在安全沙箱中虽然可被读出，但是数据经过一高强度的加密，截取者无法破解文件内容。这样就高效的阻止了可能产生的安全隐患。在加密层采用aes256高强度加密，在密钥层采用双因子加密方式进行加密，保证各终端的存储安全。

在应用层面：来自公共、越狱网站的个人应用是不能在安全沙箱中存储。对于企业内部的应用可以集成管理平台提供的SDK转换成安全的APP。安全沙箱中的应用可以与企业的安全管控略有效的配合，可以进行远程的销毁。

在通信层面：安全沙箱中的数据在存储部分进行了高效加密，如果在网络层传输过程被攻击者捕获包进行反码，那在整个安全环节也是不安全的。管理平台在应用与服务端层建立类VPN安全隧道。这个安全隧道的连接器建立某个设备的APP与安全网关的加密隧道。不需要类似系统VPN使在整个设备层建立VPN，在用户操作层不需要手工切换VPN去连企业应用。

在数据解析方面：采用文件解密、读取、删除的方式，通过与知名集成厂家的SDK对文件进行读取，防止软件另存对沙箱数据进行泄露；也支持文档在服务端进行解析成图片在客户端预览，结合MDM的截屏策略的控制进行多方位的数据防泄露DLP管控体系。

最后企业安全容器，能够很好的解决，企业应用延伸到移动设备时，设备上的数据安全问题。同时还尽量保留了各OS的原生操作体验，减少了用户接受难度。

安全沙箱示意图

企业安全应用

企业安全应用

个人应用

企业安全应用

个人应用

安全应用SDK

个人应用

安全存储

个人存储

核心安全技术框架

烽火ark示意图

DLP

应用隧道

MDM