通过保罗·帕金森

上周，我读了一篇BBC新闻报道(伦敦警察厅的技术“无效且过时”）关于伦敦的大都市警察队在伦敦，英国在违法行为时受到抵抗犯罪的阻碍。新闻故事讨论了伦敦大会报告(PDF)这凸显了一个事实，大多数警察在个人生活中使用智能手机和平板电脑，但在工作中他们依赖传统的无线电系统，不仅必须手动输入相同的数据到多达10个不同的系统。

很明显，对于像伦敦的IT基础设施这样复杂的问题，没有简单的解决方案，因为大部分的IT预算都花在了维护现有系统上，减少了可用于新基础设施的投资。然而，正如报告所强调的，不难想象警察使用安全的移动设备会如何受益，这使他们能够将他们的调查细节实时输入手持设备，使他们能够立即访问警方资源和数据，并减少了文件工作和数据重新输入的数量。

历史上，许多组织依赖定制设备来提供这种能力，虽然这对于一些高安全防御应用程序仍然是必要的，但这种方法通常有很高的非经常性工程成本，在当前的经济气候下可能被认为是无法负担的。智能手机和平板电脑在消费者市场的广泛采用为民间组织和政府提供了一个具有吸引力的低成本替代方案。

显然，这些设备需要以一种安全的方式配置和部署，以确保组织数据不被泄露和未经授权的访问，这是风河公司在定制和增强安卓(谷歌用于移动设备的Linux发行版)。这包括对集成的重要关注安全增强Linux到Android堆栈实现安全特性，如基于角色的访问控制(RBAC)、策略管理和安全引导(以及其他安全引导特性，提供针对安全漏洞的保护。

风河还扩展了SE Android的功能，甚至通过实施轻量级的分区。这提供了在不同安全域中安全地隔离Android应用程序和数据的能力，允许在同一设备上托管不同的安全分类。这为“自带设备”(Bring Your Own Devices, BYOD)的主要挑战提供了一种解决方案，即使用可上网移动设备的终端用户希望使用相同的设备用于企业使用和个人使用;公司数据需要与用户可能已经下载的应用程序安全地隔离。

我最近有机会使用风河的SE Android和轻量级分区华硕Nexus 7平板电脑。这是一个非常吸引人的触摸屏平板电脑，它足够大，可以输入数据和查看文档，但又足够小，可以放进我的夹克口袋。然而，为了使用带有风河SE Android的Nexus 7，我需要用包含风河SE Android和LWP的图像重新刷新OEM固件图像。我自己也经历过几分钟的恐怖在执行flash更新时，我担心如果失败了，我就会创建一个非常昂贵的镇纸!但我不需要担心，因为它运行得很完美，重新编程的设备第一次启动。

新的配置提供了演示SE Android基于角色的访问控制的能力，该控制可以防止特权升级利用获得设备上的超级用户/管理员特权(可以试图窃取机密数据，如联系信息)。设置MAC(强制访问控制)模式为执行，并显示一个利用应用程序将无法root它是在这种模式下的设备。

Wind River的轻量级分区还使我能够创建多个安全域(在本例中是a红色区域和一个绿色区域)，一个域用于安全地隔离公司应用程序和数据，另一个域分别用于最终用户的应用程序，并能够在它们之间快速切换。这两个安全域也可以配置不同的安全策略，例如，公司域可以用256bit AES加密并锁定，以防止最终用户下载/更新，而其他域可以允许最终用户下载应用程序。这表明，如果感染了恶意软件的应用程序被下载到最终用户域(绿色区域，假设它配置了一个宽容的策略)，它将无法危及保存在设备上的公司数据。

风河已经增强了这些SE Android功能进一步与安全启动它通过检测可能危及数据的恶意代码来确保设备的完整性。它通过实现信任链来实现这一点，其中引导过程中的每个组件都度量下一个组件;如果有组件签名验证失败，启动进程将停止。它可以加一个数安全的固件管理确保设备安全的技术，例如使用基于策略的保护，只允许授权和签名的更新包访问设备。

这些只是目前可用的安全加固技术的几个示例，这些技术可以使基于android的设备安全地部署在企业内部。SE Android准备加入打击犯罪的战斗。

有关风河的更多信息，请访问我们的网站脸谱网。