应用层次化安全策略确保企业移动平台安全

　　随着Android、Apple的iOS等移动平台的出现，越来越多的终端用户和企业用户都热衷于采用他们作为自己的休闲娱乐，甚至是办公平台。然而，移动平台相对于传统较为成熟的Windows、Linux等操作系统平台，其安全性一直为用户尤其是为企业所诟病。在使用方便的同时，其安全性如何保障呢?企业是否能够放心地引入并普遍应用这些移动平台呢?本文以当前非常热门的Apple移动平台为例，来介绍该平台的安全策略及技术。

　　Apple移动平台是iOS(即Apple Operation System)，其代表产品是iPhone和iPad。其实，除了提供强大的娱乐功能外，iOS在系统层面为企业用户及其应用提供了许多安全机制，其中包括：防范对设备的未授权使用、对设备数据的全面保护(包括设备丢失或被偷的情况下)、安全的网络传输协议和数据加密算法、安全的平台等。由此为用户提供了一个安全的移动计算平台。

　　总的来说，企业用户可以根据如下4个大的层面(共计10余条具体措施)进行安全设置和加固。

　　一、系统保护层面

　　措施一：设定密码策略

　　iOS支持用户从一系列密码设计策略中根据安全需求来进行选择，包括超时设定、密码长度以及密码更新周期等。iOS支持Microsoft Exchange ActiveSync的密码策略，如最小密码长度、最大密码尝试次数、密码设定需要数字和字母组合、密码的最大非活动时间等。另外，iOS还支持Microsoft Exchange Server 2007中的密码策略，如：允许/禁止结案但密码、密码超时、密码历史、策略更新间隔、密码中复杂字母的最小数量等。

　　措施二：设定安全策略

　　在iOS中有2种方法可以对安全策略进行设定。如果设备配置为可访问Microsoft Exchange帐户，则Exchange ActiveSync的相应策略直接会推送到设备上，不需要用户设置;另外，用户可以通过配置文件的方式来对配置进行部署和安装。值得注意的是：删除该配置需要管理员密码。

　　措施三：配置安全设备

　　iOS通过XML(eXtensible Markup Language，可扩展的标记语言)格式的配置文件来对设备的安全策略和限制、VPN(Virtual Private Network)配置信息、Wi-Fi设置、邮件等进行设定。iOS对配置文件提供了签名和加密的保护。

　　措施四：应用设备限制

　　设备限制规定了用户可以访问和使用iOS的哪些feature，换句话说，设备限制主要是为了帮助企业来规范和限定雇员可以在企业环境中使用iOS的哪些指定服务。通常这些限制包括一些网络应用程序，例如Safari、YouTube、iTunes Store等等。当然，限制也可以包括是否允许安装应用程序等。

　　二、数据保护层面

　　措施一：数据加密

　　iOS提供了256位的AES(Advanced Encryption Standard)硬件加密算法来保护设备中的所有数据，并且加密是强制选项，不能被用户取消。

　　措施二：远程信息清除

　　iOS支持远程信息清除。当iOS为用户遗失或者被盗的情况下，管理员或者设备所有者可以触发远程信息清除命令，从而将设备上的数据进行消除并反激活设备，从而保证数据安全。

　　措施三：本地信息消除

　　iOS同时也支持本地信息清除。用户可以配置经过多次密码尝试失败后，iOS自动启动本地信息消除操作。默认情况下，10次密码尝试失败后，iOS将启动该机制。

　　三、网络通信层面

　　措施一：应用 VPN进行移动办公

　　iOS支持主流的VPN技术，包括Cisco IPSec、L2TP和PPTP，以确保手机通信内容的安全。同时，iOS也支持网络代理配置。另外，为了支持对现有VPN环境的安全访问，iOS支持基于标准x.509数字证书的认证，还支持基于RSA SecureID和CRYPTOCard的认证等。

　　措施二：应用SSL/TLS进行通信加密

　　iOS支持SSL(Secure Socket Layer)v3以及TLS(Transport Layer Security)v1。Safari、Calendar、Mail等其他互联网应用都会自动地使用这些安全机制来保证iOS和其他应用间的通信安全。

　　措施三：应用WPA/WPA2进行无线接入

　　iOS支持WPA(Wi-Fi Protected Access)/WPA2认证方式通过Wi-Fi接入企业网络。WPA2采用128位AES加密方式。同时，iOS支持802.1x协议族，因此也能应用于基于RADIUS认证的环境。

　　四、iOS平台层面

　　措施一：运行时保护

　　运行在iOS上的应用程序遵循“沙箱”安全原则，即不能够访问其他应用程序的数据。另外，系统文件、资源以及内核都与用户应用程序相隔离。若应用程序要访问其他程序的数据，则必须通过iOS提供的API进行访问。

　　措施二：强制签名

　　所有的iOS应用程序都必须签名。设备上自带的程序都由Apple公司签名。第三方的应用程序都必须由开发者使用Apple公司颁发的数字证书签名。

　　措施三：安全认证框架

　　iOS提供了一个安全、加密的认证框架来存储数字标识、用户名和密码，以此来保证对多种应用和服务的安全认证。

　　因此，当前的移动平台在其设计初始就在安全方面做了大量的工作，企业用户不必过分为安全性担忧。但是值得提醒的是：上述的安全措施需要企业用户认真、合理、全面地使用，否则，平台所提供的安全措施和策略也只是一个摆设，要使其真正地生效并保证企业用户的使用安全，还需要企业用户的高度重视和合理使用。