1.1.EMM客户端aWork的使用
员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机制，不需要Android系统、iOS系统的高权限。

EMM客户端aWork的使用流程如下：
1.2.EMM沙箱客户端技术概述
非安全应用通过自动方式集成封装组件，成为安全应用。

安全区应用间共享同一个安全剪切板，共享同一个虚拟外置存储，安全应用间可以正在的互相访问；但是个人区的的非安全应用禁止访问安全区应用的数据。

封装安全组件包括以下几个功能模块，安全剪切板、安全分享模块、安全文件系统等，通过应用封装隔离组件后，封装的应用数据会与个人应用分离，安全应用间会共享安全数据，同时个人应用禁止访问安全应用。

1.3.沙箱文件系统
文件系统隔离将个人区与安全区的应用数据进行隔离存储，对企业的数据进行安全加密重定向处理，达到安全区应用与非安全区应用无法互相访问的安全效果，具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密；通过封装隔离组件后，封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。

文件系统隔离主要包括两大功能：文件隔离和文件内容加密。

通过隔离功能将文件路径重定向到安全沙箱目录，方便对安全数据进行管理；通过加密功能对文件数据进行加密，保证数据是加密存储，即使文件泄露也不会导致数据泄露。

文件隔离的工作流程如下所示：
1.拦截到OS系统的文件操作，判断访问的文件是否为重定向安全区数据；
2.如果不是访问安全工作区数据，直接返回系统调用，否则修改访问路径重定向
到安全数据区；
3.对访问到的数据进行加解密操作，完成后调用原系统调用。

1.4.分享和打开隔离
应用进行分享隔离主要包括如下场景：
1.安全应用向个人应用主动分享;
2.个人应用向安全应用进行分享;
3.安全应用向安全应用进行分享。

分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。

在某些客户场景下，处于便利性考虑，可以通过放开非安全应用到安全应用的文件分享，如在个人App中的有用的工作文件希望传递到工作域中的OA App中，提升工作效率。

1.5.剪切板隔离
剪切板隔离通过构建虚拟安全剪切板，主要控制
1.个人应用和安全应用复制粘贴；
2.安全应用与安全应用之间的复制粘贴。

默认情况下，从个人App粘贴到安全应用是禁止的，但是出于工作便利性考虑，可以配置放开，保障工作效率。

1.6.与SDK沙箱技术的对比
SDK沙箱隔离主要依靠SDK生态，通过API调用的控制来实现相关的隔离。

深信服沙箱基于关键的核心组件，不依赖SDK API接口，可以通过底层封装技术，将安全应用的相关调用重定向到沙箱组件中，通过组件进行安全隔离策略进行控制。

1.7.Android与iOS实现区别
Android和iOS沙箱的实现原理基本相同，除了文件加密功能有所差别：
1.Android是通过隔离加密组件实现文件加密，见文件系统隔离；
2.iOS是依赖于系统自身的加密机制实现。