企业业务移动化慎待安全威胁 部署 iOS 平台化解危机

越来越多的企业选择了将业务迁移到移动化的平台上，不论是在迁移前还是在使用过程中，企业用户都存在一些对安全的担忧，作为两大移动终端操作系统， Android 与 iOS 究竟谁更安全？业界众说纷纭，从而导致用户很难真正分辨其中的事实真相。

企业移动互联顾问团认为，有必要澄清一些情况，还原真实的安全格局，告诉企业用户应该选择哪个平台部署业务移动化。

我们认为，更加成熟稳定的 iOS 相比于 Android ，会更加安全可靠，更加适用于企业搭建业务移动化平台。我们有充足的决心做出这个判断的依据来源于以下几个事实：

恶意软件主要目标为 Android

思科刚刚发布了一份2014年度安全报告，在这份报告中，我们看到了一个触目惊心的事实，根据思科 TRAC/SIO 的调研结果表明，在过去的一年中，有99%的移动端恶意软件，所针对的目标是 Android 设备。排名第二的 Java 平台只有0.84%，而 iOS 显然令网络罪犯们望之却步。

在如此密集当然攻击面前， Android 就像是一个在危机重重沼泽中前行的旅人，随时可能被黑暗吞没。

当然，企业用户完全可以说，我们不安装任何恶意软件，只安装企业需要的应用，我们姑且不讨论这个说法是否可以真正实现，即便如此，在与应用无关的网络攻击下，有多少设备能够幸存呢？

同样在思科的安全报告上，我们找到了这个数据，71%的 Android 用户会遭受到这样的攻击，而 iPhone 的只有14%，即便算上 iPad 的数字，Android 设备仍是最大的攻击目标：

图1：思科给出的网络安全威胁数据， Android 一骑绝尘

面对这样的安全格局，我们建议行业用户应该谨慎考虑在关键业务领域部署 Android 解决方案，采用更加安全的 iOS 解决方案将能够天然的规避大量的攻击。

开源是把双刃剑

众所周知， Android 是一个开源的操作系统，开源一方面让 Android 快速发展，但另一方面也带来了潜在的威胁：

1. 种类繁多的 Android 应用商店。几乎每一个 Android 手机、平板厂商都会在他们的设备中添加自己或者第三方的应用商店，比如三星的三星应用商店，联想的乐商店， LG 的更新中心等，而市面上也存在大量的第三方应用分发市场，例如用户量最多的豌豆荚。每一个应用商店都会有自己的应用推荐、审核体系，这也导致了同一个应用在不同的商店中可能出现不同的版本，甚至一些网络罪犯会将正常无害的 App ，如微信等，植入恶意代码，再放到不同的商店中，用户根据软件名称根本无法判断这个 App 究竟是官方提供的还是被修改过的版本，造成风险隐患。而 iOS 平台的 App Store 是唯一的应用分发入口，苹果也对软件进行了严格的安全审查，每一款 App Store 中下载的 App 都能够保证是纯净无毒害的。

2. Android 操作系统参差不齐。作为一个开源的平台，手机和平板厂商们自然要对 Android 大刀阔斧的改动，不仅每一个厂商的操作系统都不相同，甚至市面上还有大量的民间系统存在，每一个操作系统质量良莠不齐，姑且不论稳定性的问题，安全上有着极大的挑战。在国内已经形成了一个产业链，这就是在操作系统中通过植入推广的 App 来获取收益，在手机厂商官方植入的 App 中，效果尚可，大多数情况下只不过消耗一些系统资源，但对于第三方 ROM 中的植入 App ，危害就很明显，这些 App 轻则消耗移动网络流量，重则在后台悄悄发送短信，窃取用户隐私。作为对比，iOS 是一个软硬件整合的操作系统，仅由苹果独家推送，并不存在植入第三方 App 来获取报酬这样的问题。

3. Android 漏洞问题难以控制。操作系统是由人工编写的一段段代码组成，既然是人的工作，就必然有漏洞的存在，尤其是对于现在这样复杂的交互式操作系统而言，动辄数千万行代码，规模非常庞大，漏洞是不可避免的。所谓的安全其实并没有绝对的安全，安全都是相对的，举个简单的例子，我们在使用 Windows 的过程中，几乎每天都会收到微软提供的安全补丁，实际上， Windows 存在的漏洞远不止于这些数目，只不过没有人发现而已，所有的操作系统均是如此，安全的博弈就在于当一个漏洞被发现之后，厂商能否及时进行修补。当然，不论是苹果、 Google 还是微软，都有足够强的财力、人力对 0-Day 漏洞进行快速修补，但对于 Android 来说，一个致命的问题仍然是开源。除了 Google Nexus 系列产品，市面上几乎没有使用原生 Android 系统的手机、平板，也意味着 Google 提供的更新根本无法准时到达最终用户，甚至需要半年或者一年才能由 OEM 厂商分发，到达最终用户手中，而且低端或老旧的机型甚至享受不到更新，这代表了，Android 用户的平台将会长期，甚至永远暴露在漏洞攻击下。iOS 则没有这个问题，根据 Chitika 的报告显示，在 iOS 7 发布之后的一周内，北美地区52%的老用户已经升级到这个平台，推送非常流畅，毫无障碍。

Android 不具备的快速指纹解锁

说了这么多关于 Android 的安全问题，我们有必要来回顾下 iOS 上的一个使用简单但是对业务价值巨大的安全功能，这就是 Touch ID。

Touch ID 说的通俗些就是指纹识别，目前在 iPhone 5s 上已经应用，当我们激活这功能的时候，录入一次指纹，之后每一次解锁就只要将手指放在 Home 键，系统就可以自动识别指纹，并开启。

一般谈到双因素认证，会都让我们感觉到非常的麻烦，而 Touch ID 完全没有这个困扰，它不仅安全，同时操作非常简单，甚至比传统的输入密码更加简单高效，对于行业用户来说，这个功能将有效的保障数据安全，同时提升企业业务效率。

图2：Touch ID 模型图，不需要按下 Home 键就可以解锁 iPhone 5s 了

结论

对于一些数据安全敏感的行业应用来说，成本固然是解决方案的一个重要考量要素，但安全不可忽视，一旦发生数据泄露事件，将造成难以挽回的损失。

正如我们之前提到的，世界上不存在绝对的安全，不可能存在一扇小偷撬不进去的门，如何保障安全，一方面你要关好门，第二方面，如果你家里的门比邻居家的难撬，你的风险就会降低很多。如果一个小偷发现撬门所花费的时间成本、金钱成本远超过他撬开门之后获得的，他的兴趣就会消失的无影无踪了。

以我们的观察，iOS 平台就是那扇最难撬的门。

因此，企业移动互联顾问团推荐企业采用 iOS 平台来搭建业务移动化解决方案，以保障企业敏感数据的安全，将风险与漏洞降到最低。