强化或保护 Android 设备

Question

有没有办法加固 Android 设备？例如，我的公司想为我们的客户提出申请。我们将在选定的 Android 设备上安装该应用程序。由于我们的应用程序具有敏感数据，因此我们不希望任何人能够在设备上安装我们提供的应用程序以外的任何内容。有没有办法强化或保护 Android 设备，使其为企业做好准备？任何链接或线索都会有帮助。

Answer 1

在 OS 2.2 中，Android 引入了从应用程序内强制执行设备级密码策略并远程擦除设备的功能，例如，从 OS 2.1 开始，默认 Android 电子邮件应用程序支持用于密码策略和远程擦除的 Microsoft Exchange 策略。

不幸的是，目前我认为没有办法强制在设备上安装哪些应用程序。

用于设备级密码策略和远程擦除的设备管理 API（在 OS 2.2 中引入）：
http://developer.android.com/guide/topics/admin/device -admin.html

有关 OS 2.2 功能的一般链接：
http://www.computerworld.com/s/article/9179423/With_2.2_release_Android_for_the_enterprise_deserves_a_second_look

Answer 2

互联网安全中心 http://cisecurity.org 正在起草一个关于如何做到这一点的基准。社区链接位于：https://community.cisecurity.org

这是 pdf 文件的链接
https://benchmarks.cisecurity.org/en-us/ ?route=downloads.form.android.100

Answer 3

听起来 SEAndroid 会很有趣，它被称为 Android 的安全增强版本，NSA 是很大的贡献者。

具体来说，Android SE 旨在提供：

• 对 yaffs2 的每个文件安全标记支持、
• 在构建时标记的文件系统映像（yaffs2 和 ext4）、
• 控制 Binder IPC 的内核权限检查、
• 由 init 创建的服务套接字和套接字文件的标记、
• 设备的标记由 ueventd 创建的节点，
• 灵活、可配置的应用程序和应用程序数据目录标签，
• 用户空间权限检查控制 Zygote 套接字的使用
  命令、
• SELinux 用户空间的最小端口、
• SELinux 对 Android 工具箱的支持、
• 从头开始为 Android 编写的小型 TE 策略、
• 系统服务和应用程序的受限域、
• 使用 MLS 类别来隔离应用程序。

Answer 4

为了实现您的建议，您需要构建操作系统的自定义版本并对系统进行必要的修改以阻止应用程序安装。您可以只允许安装一个应用程序，也可以将应用程序作为操作系统的一部分预安装，但不允许安装任何应用程序。不幸的是，修改 Android 来实现这一目标并非易事。

Answer 5

有一些公司提供 Android 设备安全框架，可以强化和保护您的 Android 系统。查看 https://mocana.com/dsf-android.html