企業(yè)安全領(lǐng)域邁出的一大步

從大多數(shù)角度來看，iOS的安全設(shè)計成效并不比其它操作系統(tǒng)好多少。不過事實上現(xiàn)實世界中的安全問題已經(jīng)沒那么可怕。蘋果公司在安全領(lǐng)域做出的努力還遠(yuǎn)遠(yuǎn)達(dá)不到要求，但從另一方面看，這也是因為第三方安全供應(yīng)商出手解決了這類難題。

蘋果在安全管理工作中的不足催生出移動設(shè)備管理(簡稱MDM)與移動應(yīng)用管理(簡稱MAM)兩大產(chǎn)業(yè)。正是由于這些產(chǎn)業(yè)的存在，IT部門才能較為輕松地管理并控制移動設(shè)備的使用，這同時也是iOS 7安全改進(jìn)的重要依托。

iOS 7為我們帶來眾多頗具吸引力的新型安全功能，例如Touch ID，這是生物識別技術(shù)首次被應(yīng)用在手機平臺上;遠(yuǎn)程鎖定，為丟失或者被盜的手機繼續(xù)提供保護。當(dāng)然，此外還有其它一些重要改進(jìn)，但比MDM改進(jìn)還要復(fù)雜難懂。

在今天的文章中，我們將共同探討七大改進(jìn)，看看iOS 7在操作系統(tǒng)安全方面為企業(yè)帶來哪些iOS 6所不具備的福音。

Find My iPhone 現(xiàn)在添加了遠(yuǎn)程鎖定功能

如果您的手機丟失或者被盜，F(xiàn)ind My iPhone允許大家對設(shè)備進(jìn)行定位或者清除其中的數(shù)據(jù)。iOS 7對這一安全機制進(jìn)行了大幅強化，允許用戶在手機上顯示一條消息并阻止其他人隨意使用。即使是在手機數(shù)據(jù)被全部清除之后，iOS 7仍將繼續(xù)保持這種阻止?fàn)顟B(tài)，直到使用者登陸正確的iCloud賬戶。

這是一項每位用戶都有所了解的功能。在大多數(shù)情況下，此功能既適用于企業(yè)用戶、也適用于普通消費者，畢竟沒人希望自己的手機丟失或者被盜。在丟失的情況下，用戶希望通過提醒幫助拾到者與自己聯(lián)系。如果是被盜，用戶則希望避免竊賊訪問自己的數(shù)據(jù)、最好能讓設(shè)備在對方手里變成一塊廢磚。

因為微軟和谷歌也有相同或者相似的安全功能，所以我認(rèn)為明年手機盜竊案可以得到一定數(shù)量上的控制。

如果IT部門想將設(shè)備設(shè)置成“丟失”模式，他們可以通過手機在新移動設(shè)備管理界面(前文中有所提及)進(jìn)行Find My iPhone設(shè)置。但是，為了使其更加便于管理，手機用戶(尤其是擁有 iCloud 證書認(rèn)證的用戶)首先需要禁用此項設(shè)置。清除手機內(nèi)部信息同樣可以移植到在遠(yuǎn)程鎖定系統(tǒng)上，但是使用者仍然需要進(jìn)入手機的iCloud 認(rèn)證系統(tǒng)才能恢復(fù)手機內(nèi)被清除的信息和數(shù)據(jù)。

MDM, MAM, EMM – 蘋果正在迎頭趕上

移動設(shè)備管理(簡稱MDM)是由黑莓發(fā)明的，但MDM業(yè)務(wù)卻在蘋果的領(lǐng)地內(nèi)生根發(fā)芽——他們拿過黑莓的API并將其放開，從而與外部管理系統(tǒng)進(jìn)行對接。目前許多企業(yè)都在出售移動管理方案，其中MobileIron、AirWatch以及Good Technology等公司已經(jīng)成功做大做強。

不過蘋果的MDM API仍然存在嚴(yán)重的局限性(直到不久之前)。前面提到的各大第三方安全廠商涌入iOS平臺，為其設(shè)計了新型技術(shù)方案，旨在管理應(yīng)用程序、成本并提供更為精確的設(shè)備管理流程。這類技術(shù)被統(tǒng)稱為移動應(yīng)用管理(簡稱MAM)以及企業(yè)移動管理(簡稱EMM)。

如今在iOS 7中，蘋果極大地擴展了iOS系統(tǒng)自身的管理能力。舉例來說，在新系統(tǒng)的幫助下，IT部門：能夠防止iOS用戶在設(shè)備上更改或者刪除賬戶;可以控制哪些iOS 7設(shè)備屬于受信設(shè)備，允許通過藍(lán)牙連接;可以控制用戶對設(shè)備設(shè)置的更改，例如壁紙;能夠禁用個人熱點、查詢設(shè)備中的具體設(shè)置結(jié)果甚至能夠限制廣告追蹤。企業(yè)方面甚至可以在購買時進(jìn)行MDM指定注冊。其它一些功能也值得討論，我將在后面的內(nèi)容中另行敘述。

目前我們還不清楚蘋果在系統(tǒng)安全功能方面的提升會不會給現(xiàn)有MDM廠商帶來威脅。目前只有少數(shù)幾家大型客戶打算托管iOS客戶端，而且很多獨立公司還需要為Android及Windows Phone提供支持，甚至不少廠商還推出了更為出色的具體功能。不過對于使用者來說，更強大的安全性總歸是好事。

iOS 7修正了iOS 6中所存在的大量漏洞

每一個新的iOS版本都會修復(fù)原有版本中存在的安全漏洞，但iOS 7的表現(xiàn)比以往幾代都要好。正如我在另一篇文章中所提到，iOS 7修復(fù)了iOS 6中的80個漏洞。對于打算繼續(xù)堅守iOS 6的用戶及IT人士來說，蘋果拒絕為舊版本提供補丁的做法恐怕要讓他們忙上一陣了。

每一臺新的iOS設(shè)備通常也會讓舊設(shè)備面臨某些“不受支持”的問題。iPhone 3GS及iPad(第一代)就無法升級到iOS 7，也就是說它們將繼續(xù)經(jīng)受安全漏洞的折磨。

兩個特定漏洞的存在證明了問題的嚴(yán)重性，這就是：CVE-2013-1025，iOS CoreGraphics中的緩沖區(qū)溢出問題，允許攻擊者利用惡意PDF文件獲得對處理流程的控制權(quán)，不過只作用于沙箱類瀏覽器環(huán)境下。CVE-2013-3953則是一個權(quán)限提升漏洞，允許惡意程序突破沙箱環(huán)境。在二者相結(jié)合的情況下，CVE-2013-1025與CVE-2013-3953能夠在用戶查看網(wǎng)站時取得完全的控制權(quán)。順帶一提，這正是著名的JailkbreakMe所利用的機制：將代碼執(zhí)行與權(quán)限提升漏洞相結(jié)合，通過單純網(wǎng)頁瀏覽實現(xiàn)攻擊目的。

是的，CVE-2013-1025與CVE-2013-3953目前已經(jīng)被補丁所修復(fù)，但問題的出現(xiàn)表明iOS確實存在嚴(yán)重的安全隱患。

管理“在……中打開”

當(dāng)用戶在特定應(yīng)用程序中點擊對應(yīng)文檔的“分享”按鈕時，同時也引發(fā)了一系列潛在的軟件問題：“在……中打開”會生成對應(yīng)文檔的副本，而應(yīng)用程序本身并未考慮到可能由此導(dǎo)致的安全問題。

在iOS 7中，通過MDM界面，IT人士能夠指定哪些應(yīng)用程序有權(quán)處理哪些特定內(nèi)容類型，這就從側(cè)面限制了受管應(yīng)用的訪問機制。這種方式被稱為“管理‘在……中打開’”。

為每款應(yīng)用配備VPN

我們一般認(rèn)為在移動平臺上為全局系統(tǒng)配備VPN并不可取，這一方面是出于安全考量，另一方面是因為企業(yè)并不需要把用戶的所有流量都通過VPN進(jìn)行傳輸。

一段時間以來，MDM供應(yīng)商已經(jīng)開始允許IT人士為每款應(yīng)用程序指定VPN：每款受管應(yīng)用的每個實例都擁有自己的VPN通道。如今iOS 7允許用戶通過MDM界面管理這些特定VPN。

VPN受到IT組織的全局管理。當(dāng)應(yīng)用程序啟動時，與之匹配的VPN通道也將同時啟動;而在應(yīng)用進(jìn)程結(jié)束時，通道也隨之關(guān)閉。用戶只需像往常一樣打開并使用應(yīng)用程序即可，VPN的介入應(yīng)該不會給使用過程帶來任何影響。

在企業(yè)方面，技術(shù)人員可以從F5、思科、瞻博或者其它廠商所提供的數(shù)十種VPN產(chǎn)品中做出選擇，但具體產(chǎn)品需要升級到支持該功能的版本才能正常起效。

企業(yè)單點登錄

沒有人喜歡一遍遍重復(fù)輸入密碼，這一點在手機那小小的屏幕上顯得尤其明顯。有了企業(yè)單點登錄功能，IT部門能夠幫助用戶輸入一組企業(yè)證書，而后在任何一款應(yīng)用上進(jìn)行驗證。

iOS的早期版本只允許用戶在來自同一家供應(yīng)商的不同應(yīng)用之間使用單點登錄機制，但在iOS 7當(dāng)中，來自任何廠商的任何應(yīng)用都可以享受這一便利。

IT部門還可以在單點登錄機制中添加一組URL前綴。如果用戶訪問任何一個包含該前綴的網(wǎng)站(e.g. http://www.zdnet.com/topic-apple/)，iOS將自動向服務(wù)器端發(fā)送證書。

生物識別技術(shù) - Touch ID

此前生物識別技術(shù)已經(jīng)在移動設(shè)備上有所涉足，但其易用性、可靠性以及市場普及程度都不甚理想。很明顯，蘋果是第一家實現(xiàn)了三大目標(biāo)的移動廠商。

Touch ID是一種指紋傳感器，目前僅出現(xiàn)在iPhone 5S機型之上，被集成在Home按鈕當(dāng)中。它會處理生物學(xué)驗證及授權(quán)，并以向iOS 7返回簡單的“是”或者“否”結(jié)果。

圍繞新機制也產(chǎn)生了不少話題，很多人會問Touch ID到底有多安全。它的安全程度對于企業(yè)而言也許還有所不足。但需要強調(diào)的是，Touch ID并不屬于雙因素驗證機制。我們可以使用密碼或者指紋，但無法同時使用兩者。從某種角度來看，雙因素驗證的目的在于提高登錄的難度，蘋果公司對這樣的主意顯然不感興趣。

不過實際情況比這更復(fù)雜。Touch ID用戶還必須利用密碼機制作為后備，而且一旦設(shè)備進(jìn)行過系統(tǒng)恢復(fù)或者連續(xù)48小時未被鎖定，則使用者必須輸入密碼。有鑒于此，IT部門可能需要采用安全性較高的密碼，長度也許在七個字符以上，但同時還必須確保設(shè)備仍然可以訪問。