深信服EMM技术白皮书.docx

. EMM客户端aWork的使用
员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机 制，不需要Android系统、iOS系统的高权限。
EMM客户端aWork的使用流程如下：
. . EMM客户端aWork的使用
员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机 制，不需要Android系统、iOS系统的高权限。
EMM客户端aWork的使用流程如下：
. EMM沙箱客户端技术概述
非安全应用通过自动方式集成封装组件，成为安全应用。安全区应用间共享同一 个安全剪切板，共享同一个虚拟外置存储，安全应用间可以正在的互相访问；但是个 人区的的非安全应用禁止访问安全区应用的数据。
封装安全组件包括以下几个功能模块，安全剪切板、安全分享模块、安全文件系 统等，通过应用封装隔离组件后，封装的应用数据会与个人应用分离，安全应用间会 共享安全数据，同时个人应用禁止访问安全应用。
文件系统隔离将个人区与安全区的应用数据进行隔离存储，对企业的数据进行安 全加密重定向处理，达到安全区应用与非安全区应用无法互相访问的安全效果，具体 包括对企业应用数据进路径重定向、存储路径加密、存储数据加密；通过封装隔离组 件后，封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以 互相共享。
文件系统隔离主要包括两大功能：文件隔离和文件内容加密。通过隔离功能将文 件路径重定向到安全沙箱目录，方便对安全数据进行管理；通过加密功能对文件数据 进行加密，保证数据是加密存储，即使文件泄露也不会导致数据泄露。
文件隔离的工作流程如下所示：
拦截到OS系统的文件操作，判断访问的文件是否为重定向安全区数据;
如果不是访问安全工作区数据，直接返回系统调用，否则修改访问路径重定向 到安全数据区；
对访问到的数据进行加解密操作，完成后调用原系统调用。
分享和打开隔离
应用进行分享隔离主要包括如下场景：
安全应用向个人应用主动分享;
个人应用向安全应用进行分享;
安全应用向安全应用进行分享。 分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起 安全应用分享。
在某些客户场景下，处于便利性考虑，可以通过放开非安全应用到安全