移动安全较量：iOS与Android的安全模型分析

"Symtec security report对比了iOS与Android的安全性，揭示了移动设备在企业环境中可能带来的安全威胁。报告详细介绍了苹果的iOS系统和谷歌的Android系统的安全模型，并通过5个关键支柱来阐述这些模型：传统的访问控制、应用来源验证、加密、隔离以及基于权限的访问控制。报告还对iOS与Android的安全概览进行了比较，强调了在当今互联的生态系统中，移动设备可能带来的数据保护挑战。" 正文: 随着越来越多的消费级设备进入企业环境，首席信息官（CIO）和首席信息安全官（CISO）面临着严峻的考验。用户现在常常使用移动设备访问公司服务、查看企业数据以及进行商务活动。尤其是，许多设备不受管理员直接控制，导致敏感的企业数据无法遵循现有的合规、安全和数据丢失防护（DLP）政策。 报告首先介绍了移动安全的目标，强调了在用户自主性的前提下如何确保企业数据的安全。接着，分别分析了Apple iOS和Android这两个主流操作系统的安全特性。 对于Apple iOS，其安全模型强调了以下几点： 1) 传统的访问控制：iOS系统拥有严格的权限管理系统，只有经过认证的应用才能访问特定的系统资源。 2) 应用程序来源证明（Application Provenance）：iOS App Store的严格审核机制确保了上架应用的来源可靠，降低了恶意软件的风险。 3) 加密：iOS设备默认使用全盘加密，保障了数据在设备丢失或被盗时的隐私。 4) 隔离：iOS系统通过沙箱机制实现了应用间的隔离，防止一个应用的问题影响到其他应用。 5) 基于权限的访问控制：应用程序必须获取用户的明确许可才能访问特定的数据或功能。 对于Android，尽管它提供了类似的保护机制，但其开放性可能导致更多的安全风险： 1) Android允许用户从非官方源安装应用，增加了恶意软件的可能性。 2) 加密虽然可用，但并非默认开启，需要用户主动启用。 3) 虽然也有权限管理，但用户可能不清楚哪些应用正在访问何种数据。 4) 隔离程度相对较低，一些应用可能能够跨过沙箱界限。 iOS与Android的安全概述对比指出，两者在安全策略上有显著差异，iOS通常被认为是更封闭且安全的选择，而Android则以其可定制性和灵活性吸引用户，但这也带来了更多的安全挑战。 结论部分指出，无论选择哪种平台，企业都需要面对移动设备与云服务和家用PC的互连所带来的安全问题。关键企业资产可能存储在不受企业直接管控的不安全位置，因此，建立跨平台的统一安全策略和DLP措施至关重要。企业应加强对移动设备的管理，确保数据保护措施能覆盖到这些“未受控”的设备。