ZDNET安全频道 10月08日 国际新闻： 

企业安全领域迈出的一大步

从大多数角度来看，iOS的安全设计成效并不比其它操作系统好多少。不过事实上现实世界中的安全问题已经没那么可怕。苹果公司在安全领域做出的努力还远远达不到要求，但从另一方面看，这也是因为第三方安全供应商出手解决了这类难题。

苹果在安全管理工作中的不足催生出移动设备管理（简称MDM）与移动应用管理（简称MAM）两大产业。正是由于这些产业的存在，IT部门才能较为轻松地管理并控制移动设备的使用，这同时也是iOS 7安全改进的重要依托。

iOS 7为我们带来众多颇具吸引力的新型安全功能，例如Touch ID，这是生物识别技术首次被应用在手机平台上；远程锁定，为丢失或者被盗的手机继续提供保护。当然，此外还有其它一些重要改进，但比MDM改进还要复杂难懂。

在今天的文章中，我们将共同探讨七大改进，看看iOS 7在操作系统安全方面为企业带来哪些iOS 6所不具备的福音。

Find My iPhone 现在添加了远程锁定功能

如果您的手机丢失或者被盗，Find My iPhone允许大家对设备进行定位或者清除其中的数据。iOS 7对这一安全机制进行了大幅强化，允许用户在手机上显示一条消息并阻止其他人随意使用。即使是在手机数据被全部清除之后，iOS 7仍将继续保持这种阻止状态，直到使用者登陆正确的iCloud账户。

这是一项每位用户都有所了解的功能。在大多数情况下，此功能既适用于企业用户、也适用于普通消费者，毕竟没人希望自己的手机丢失或者被盗。在丢失的情况下，用户希望通过提醒帮助拾到者与自己联系。如果是被盗，用户则希望避免窃贼访问自己的数据、最好能让设备在对方手里变成一块废砖。

因为微软和谷歌也有相同或者相似的安全功能，所以我认为明年手机盗窃案可以得到一定数量上的控制。
如果IT部门想将设备设置成“丢失”模式，他们可以通过手机在新移动设备管理界面（前文中有所提及）进行Find My iPhone设置。但是，为了使其更加便于管理，手机用户（尤其是拥有 iCloud 证书认证的用户）首先需要禁用此项设置。清除手机内部信息同样可以移植到在远程锁定系统上，但是使用者仍然需要进入手机的iCloud 认证系统才能恢复手机内被清除的信息和数据。

MDM, MAM, EMM – 苹果正在迎头赶上

移动设备管理（简称MDM）是由黑莓发明的，但MDM业务却在苹果的领地内生根发芽——他们拿过黑莓的API并将其放开，从而与外部管理系统进行对接。目前许多企业都在出售移动管理方案，其中MobileIron、AirWatch以及Good Technology等公司已经成功做大做强。

不过苹果的MDM API仍然存在严重的局限性（直到不久之前）。前面提到的各大第三方安全厂商涌入iOS平台，为其设计了新型技术方案，旨在管理应用程序、成本并提供更为精确的设备管理流程。这类技术被统称为移动应用管理（简称MAM）以及企业移动管理（简称EMM）。

如今在iOS 7中，苹果极大地扩展了iOS系统自身的管理能力。举例来说，在新系统的帮助下，IT部门：能够防止iOS用户在设备上更改或者删除账户；可以控制哪些iOS 7设备属于受信设备，允许通过蓝牙连接；可以控制用户对设备设置的更改，例如壁纸；能够禁用个人热点、查询设备中的具体设置结果甚至能够限制广告追踪。企业方面甚至可以在购买时进行MDM指定注册。其它一些功能也值得讨论，我将在后面的内容中另行叙述。

目前我们还不清楚苹果在系统安全功能方面的提升会不会给现有MDM厂商带来威胁。目前只有少数几家大型客户打算托管iOS客户端，而且很多独立公司还需要为Android及Windows Phone提供支持，甚至不少厂商还推出了更为出色的具体功能。不过对于使用者来说，更强大的安全性总归是好事。

iOS 7修正了iOS 6中所存在的大量漏洞

每一个新的iOS版本都会修复原有版本中存在的安全漏洞，但iOS 7的表现比以往几代都要好。正如我在另一篇文章中所提到，iOS 7修复了iOS 6中的80个漏洞。对于打算继续坚守iOS 6的用户及IT人士来说，苹果拒绝为旧版本提供补丁的做法恐怕要让他们忙上一阵了。

每一台新的iOS设备通常也会让旧设备面临某些“不受支持”的问题。iPhone 3GS及iPad（第一代）就无法升级到iOS 7，也就是说它们将继续经受安全漏洞的折磨。

两个特定漏洞的存在证明了问题的严重性，这就是：CVE-2013-1025，iOS CoreGraphics中的缓冲区溢出问题，允许攻击者利用恶意PDF文件获得对处理流程的控制权，不过只作用于沙箱类浏览器环境下。CVE-2013-3953则是一个权限提升漏洞，允许恶意程序突破沙箱环境。在二者相结合的情况下，CVE-2013-1025与CVE-2013-3953能够在用户查看网站时取得完全的控制权。顺带一提，这正是著名的JailkbreakMe所利用的机制：将代码执行与权限提升漏洞相结合，通过单纯网页浏览实现攻击目的。

是的，CVE-2013-1025与CVE-2013-3953目前已经被补丁所修复，但问题的出现表明iOS确实存在严重的安全隐患。

管理“在……中打开”

当用户在特定应用程序中点击对应文档的“分享”按钮时，同时也引发了一系列潜在的软件问题：“在……中打开”会生成对应文档的副本，而应用程序本身并未考虑到可能由此导致的安全问题。

在iOS 7中，通过MDM界面，IT人士能够指定哪些应用程序有权处理哪些特定内容类型，这就从侧面限制了受管应用的访问机制。这种方式被称为“管理‘在……中打开’”。

为每款应用配备VPN

我们一般认为在移动平台上为全局系统配备VPN并不可取，这一方面是出于安全考量，另一方面是因为企业并不需要把用户的所有流量都通过VPN进行传输。

一段时间以来，MDM供应商已经开始允许IT人士为每款应用程序指定VPN：每款受管应用的每个实例都拥有自己的VPN通道。如今iOS 7允许用户通过MDM界面管理这些特定VPN。

VPN受到IT组织的全局管理。当应用程序启动时，与之匹配的VPN通道也将同时启动；而在应用进程结束时，通道也随之关闭。用户只需像往常一样打开并使用应用程序即可，VPN的介入应该不会给使用过程带来任何影响。

在企业方面，技术人员可以从F5、思科、瞻博或者其它厂商所提供的数十种VPN产品中做出选择，但具体产品需要升级到支持该功能的版本才能正常起效。

企业单点登录

没有人喜欢一遍遍重复输入密码，这一点在手机那小小的屏幕上显得尤其明显。有了企业单点登录功能，IT部门能够帮助用户输入一组企业证书，而后在任何一款应用上进行验证。

iOS的早期版本只允许用户在来自同一家供应商的不同应用之间使用单点登录机制，但在iOS 7当中，来自任何厂商的任何应用都可以享受这一便利。

IT部门还可以在单点登录机制中添加一组URL前缀。如果用户访问任何一个包含该前缀的网站(e.g. http://www.zdnet.com/topic-apple/)，iOS将自动向服务器端发送证书。

生物识别技术 - Touch ID

此前生物识别技术已经在移动设备上有所涉足，但其易用性、可靠性以及市场普及程度都不甚理想。很明显，苹果是第一家实现了三大目标的移动厂商。

Touch ID是一种指纹传感器，目前仅出现在iPhone 5S机型之上，被集成在Home按钮当中。它会处理生物学验证及授权，并以向iOS 7返回简单的“是”或者“否”结果。

围绕新机制也产生了不少话题，很多人会问Touch ID到底有多安全。它的安全程度对于企业而言也许还有所不足。但需要强调的是，Touch ID并不属于双因素验证机制。我们可以使用密码或者指纹，但无法同时使用两者。从某种角度来看，双因素验证的目的在于提高登录的难度，苹果公司对这样的主意显然不感兴趣。

不过实际情况比这更复杂。Touch ID用户还必须利用密码机制作为后备，而且一旦设备进行过系统恢复或者连续48小时未被锁定，则使用者必须输入密码。有鉴于此，IT部门可能需要采用安全性较高的密码，长度也许在七个字符以上，但同时还必须确保设备仍然可以访问。