根據(jù)市場(chǎng)情報(bào)公司ABIResearch的報(bào)告，如今在全世界范圍內(nèi)，運(yùn)行安卓（Android）系統(tǒng)的設(shè)備數(shù)量已超過(guò)那些運(yùn)行iOS系統(tǒng)的設(shè)備數(shù)量，比例為2.4：1。因此，許多雇主被迫允許使用運(yùn)行消費(fèi)級(jí)移動(dòng)操作系統(tǒng)的設(shè)備進(jìn)行業(yè)務(wù)。幸運(yùn)地是，4.0版本的安卓系統(tǒng)支持本地防御。這里，我們考慮現(xiàn)有的方法來(lái)集中維護(hù)和執(zhí)行安卓系統(tǒng)設(shè)備上的安全策略。

揭開(kāi)安卓系統(tǒng)安全設(shè)置的面紗

安卓系統(tǒng)采用了許多人們對(duì)當(dāng)代移動(dòng)操作系統(tǒng)所期待的防御措施，包括沙箱技術(shù)（sandboxing）、代碼簽名技術(shù)（codesigning），OS級(jí)別強(qiáng)制執(zhí)行的權(quán)限管理以及（在安卓4.0系統(tǒng)中新推出的）地址空間布局隨機(jī)化（addressspacelayoutrandomization，ASLR）技術(shù)。在安卓2.2版本中新增密碼功能。在安卓3.0版本中增加了硬件加密功能，但是只限于平板電腦。安卓4.0版本為智能手機(jī)也添加了硬件加密功能。

為了防止由于設(shè)備丟失或是失竊造成的數(shù)據(jù)泄露，企業(yè)可以強(qiáng)制執(zhí)行密碼和加密策略，阻止業(yè)務(wù)通過(guò)不合規(guī)的設(shè)備進(jìn)行，且可遠(yuǎn)程擦除任何丟失設(shè)備上的數(shù)據(jù)。這些需求可以通過(guò)安卓系統(tǒng)的設(shè)備管理API來(lái)解決，該技術(shù)可以用來(lái)查詢和設(shè)置安卓系統(tǒng)安全設(shè)置的編號(hào)，包括密碼控制措施（例如最小長(zhǎng)度、字母數(shù)字混合要求、特殊符號(hào)要求、密碼過(guò)期期限、密碼歷史限制、***失敗的密碼嘗試次數(shù)等等）。

這些控制措施大部分在安卓3.0版本中被引入，攝像功能是在安卓4.0版本中添加。因此，IT管理人員可能只允許運(yùn)行安卓3.0或更高版本的設(shè)備。然而，IT管理人員還必須檢查設(shè)備確切的型號(hào)和模塊。因?yàn)槭歉系氖謾C(jī)即使升級(jí)到4.0版本后仍然無(wú)法加密數(shù)據(jù)。

此外，安卓系統(tǒng)提供的API能鎖定設(shè)備、提示密碼修改、或是重新設(shè)置設(shè)備到出廠默認(rèn)狀態(tài)（擦除內(nèi)部的存儲(chǔ)但不包括存儲(chǔ)音樂(lè)、照片和電子郵件的任何可移動(dòng)媒介）。重新設(shè)置設(shè)備到出廠默認(rèn)設(shè)備對(duì)沒(méi)有可移動(dòng)媒介的設(shè)備不會(huì)造成任何風(fēng)險(xiǎn)，這個(gè)功能也可作為業(yè)務(wù)使用的規(guī)范之一。

對(duì)安卓系統(tǒng)設(shè)備實(shí)施IT控制

有三個(gè)方法可用于對(duì)安卓系統(tǒng)設(shè)備的IT控制：

用戶能夠直接設(shè)置一些安卓系統(tǒng)自帶的安全策略——最顯著的是啟用加密功能，這個(gè)一次性能搞定的過(guò)程要花費(fèi)一小時(shí)。IT管理人員可以推薦安全設(shè)置，但是這個(gè)方法無(wú)法提供IT管理的強(qiáng)制性。

EAS（Exchange活動(dòng)同步，ExchangeActiveSync）屬性可用于企業(yè)郵箱同步時(shí)核查和設(shè)置一些策略。安卓4.0版本升級(jí)EAS到v14版本，后者擴(kuò)展了策略范疇。然而，設(shè)備的多樣性妨礙了EAS控制措施，由于型號(hào)/模塊不同，結(jié)果也不一樣。在常見(jiàn)的情況下，EAS可以要求設(shè)置PIN或密碼、強(qiáng)制要求密碼最小長(zhǎng)度、設(shè)置失敗次數(shù)和超時(shí)參數(shù)，并且恢復(fù)到出廠默認(rèn)設(shè)置。

能夠通過(guò)移動(dòng)設(shè)備管理（MDM）代理，或是其它安裝在智能手機(jī)或平板電腦上的安全程序，來(lái)強(qiáng)制實(shí)施安卓系統(tǒng)設(shè)備管理API中的每個(gè)策略。通常情況下，用戶從谷歌安卓市場(chǎng)上下載MDM代理，遵照提示授予權(quán)限并且訪問(wèn)他們公司的MDM登記入口。此后，IT管理人員能夠使用MDM來(lái)認(rèn)證用戶、發(fā)布設(shè)備證書(shū)、提供設(shè)備并且強(qiáng)制執(zhí)行組織的策略。

同安卓系統(tǒng)上的惡意軟件做斗爭(zhēng)

許多MDM產(chǎn)品提供更多的IT控制措施來(lái)補(bǔ)充原有的安卓系統(tǒng)控制，例如偵測(cè)和隔離被植入惡意軟件的安卓設(shè)備，查詢被列為黑名單的應(yīng)用，并且?guī)椭鶬T管理人員遠(yuǎn)程安裝要求的或是推薦的應(yīng)用。這些都有助于偵測(cè)安卓系統(tǒng)上的惡意軟件并且完善企業(yè)的安卓系統(tǒng)安全。

在過(guò)去一年中，安卓系統(tǒng)上的惡意軟件激增，惡意軟件的作者們利用Google公司開(kāi)放的安卓市場(chǎng)，以及安卓系統(tǒng)對(duì)來(lái)自第三方站點(diǎn)應(yīng)用的“門(mén)戶大開(kāi)”。因此，對(duì)于IT管理人員來(lái)說(shuō)，防范惡意軟件的***道防線是洞察用于業(yè)務(wù)的任何設(shè)備上的已安裝應(yīng)用。例如，MDM能用來(lái)阻擋運(yùn)行惡意軟件的設(shè)備對(duì)企業(yè)訪問(wèn)或是擦除其上的數(shù)據(jù)。

IT管理人員也能在安卓系統(tǒng)設(shè)備上安裝第三方的安全工具，包括防病毒掃描器、SMS反垃圾郵件過(guò)濾器、釣魚(yú)URL檢查器、高風(fēng)險(xiǎn)應(yīng)用掃描器以及遠(yuǎn)程鎖定/尋找/擦除工具。對(duì)這些安全程序來(lái)說(shuō)，支持好幾個(gè)功能很常見(jiàn)，然而大多數(shù)是設(shè)計(jì)用于消費(fèi)者使用——只有少數(shù)是迎合IT控制的需要。

創(chuàng)建你自己的沙箱

考慮到設(shè)備具有的不同功能，以及安卓惡意軟件的風(fēng)險(xiǎn)，IT管理人員可以選擇創(chuàng)建一個(gè)安全的（經(jīng)過(guò)加密和認(rèn)證的）業(yè)務(wù)環(huán)境。例如，在自加密的容器內(nèi)安裝安全的企業(yè)通信應(yīng)用來(lái)存儲(chǔ)郵件、聯(lián)系方式、計(jì)劃表和任務(wù)。通常通過(guò)EAS或是MDM來(lái)控制程序設(shè)置。

***，不缺少能幫助滿足企業(yè)安卓設(shè)備安全期望的方法和工具。盡管這些控制手段可能無(wú)法完全滿足每個(gè)組織的策略，但安卓4.0版本系統(tǒng)和MDM技術(shù)以及其他安全產(chǎn)品正在不斷地縮小這個(gè)差距。

【編輯推薦】

1. Android安全評(píng)測(cè)：360手機(jī)衛(wèi)士全球第二、國(guó)內(nèi)***
2. 八款必備Android安全程序