和大多数操作系统一样，人们以前在提到iOS的时候几乎不会第一时间把它与安全设计联系在一起。然而，安全问题在现实生活中其实已经变得越发重要，特别是针对企业应用。对于苹果之前在安全问题上的“无动于衷”，人们大都选择了视而不见，这主要是因为大量的第三方安全厂商填补了这个大坑。

此前，苹果在安全管理的缺陷是由移动设备管理(MDM)和移动应用管理(MAM)弥补的，现在苹果通过对iOS 7的改善来主动解决了这个问题。其中最吸引眼球的就是Touch ID，第一次在手机上使用生物识别技术。第二个突破就是远程锁定(Remote Lock)，防止手机丢失或被盗。除了这两个广为人知的突破，接下来向大家介绍一下iOS 7在企业安全上的设计是如何发生一个质的飞跃。

Find My iPhone和远程锁

如果手机被偷或者被盗，可以通过Find My iPhone将手机定位。在iOS 7的iPhone上，用户只需要通过Find My iPhone就可以阻止其他人使用。不管用何种形式将手机进行wipe，只要iCloud的用户不是最开始设定的用户，手机就一直无法使用。

这项新技术不管是对商务人士还是普通消费者都会有巨大的帮助。现在用户要是丢失了手机，他们就可以有更大的几率失而复得。如果手机被偷，首先，丢失的数据是绝对安全的。其次，小偷望着这堆废铜烂铁也是无可奈何。

如果想要使用Find My iPhone的激活锁，用户需要先进行关闭设备上的Find My iPhone、抹掉(wipe)设备、重新激活设备并进行使用的顺序进行使用。

MDM、MAM、EMM，苹果在“三”管齐下

MDM最开始是由黑莓发明的，但是MDM业务是苹果“拿”走了黑莓的API之后公开化的。现在提供MDM服务的公司，例如MobileIron、AirWatch和Good Technology规模都很大。

虽然苹果的MDM API直到现在都是受限制的，这些第三方的MDM服务商设计出了新的技术来更好的管理设备，提供更精准的MDM服务。MDM也正在不断向MAM(Mobile Application Management)和MCM(Mobile Content Management )方向拓展。

现在通过MDM API，IT管理员可以将应用发送到设备上，并且在系统后台默默地安装。员工无需花费时间认证，应用会自动地出现在你的设备中。这一功能既适用于iTunes的所有应用，也适用于专门为公司打造的应用。

在iOS 7中，苹果大幅度地提高了iOS的设备管理能力。举例来说，企业IT用户可以改变或者移除设备上的账号、控制iOS 7设备想要通过蓝牙接入的设备、控制用户对手机的基本设置、强行禁用个人热点、查看设备设置更改情况和限制广告追踪等等。企业还可以在购买设备的时候直接进行MDM的登记。

苹果将以上这些功能捆绑出售，这是否给使用MDM的公司一种“强买强卖”的感觉呢?目前还不得而知。可以知晓的是，大公司中正式授权成为苹果客户的占极少数。小公司也在与Android和Windows Phone有合作的意向，这是因为大多数可以得到更好的服务。但是强大的基线安全(Baseline Security)对于安装基数的整体安全性总是一件好事。

多终端连接

多终端链接是iOS 7中的新功能，带有iOS 7及以上的设备之间可以通过蓝牙、基础Wi-Fi和点对点Wi-Fi进行交流。一旦连接上，设备之间可以相互发送信息类数据和流数据。必须要强调的是，这种多终端连接是支持安全验证和数据加密的。企业用户可以充分利用这一点。

修复了80个漏洞!之前到底错过了多少?

每一次新版本的iOS都会修复旧版本中的安全问题，但是iOS 7在安全问题上的改善远远要比历次多。之前有传出苹果的iOS 7修补了iOS 6的80多个漏洞，仅就这一点，用户的压力变得很大，因为苹果没有再去为iOS 6打补丁了。

每一款苹果设备的更新通常会把老设备列入“不支持”的名单中，3GS和第一代iPad就不支持iOS 7，这也就意味着这两款设备在安全性上存在风险。

80个漏洞中的两个最重要的漏洞彰显了事态的严重性，CVE-2013-1025是一个潜伏在iOS绘图系统CoreGraphics的缓冲区溢出。通过一个恶意的PDF文件就可以控制进程，好在只能发生在沙箱浏览器的环境中。CVE-2013-3953是一个特权扩大的漏洞(privilege escalation vulnerability)，恶意程序可以借此破坏整个沙箱。如果VE-2013-1025和CVE-2013-3953共同得到合理地利用，特权扩大的问题将会使缓冲区溢出的攻击发挥到极致。这恰恰就是著名的越狱软件JailbreakMe正在做的事情：将代码执行和特权扩大的漏洞结合在一起，通过一个简单的浏览器完成越狱。

打开方式控制

当用户点击分享去指定一个应用文件打开方式的时候，会产生许多潜在的软件问题，因为一些应用可能存在安全隐患。

iOS 7中的MDM带有可被管理的打开方式，IT人员能在共享面板中配置可用的app列表。这可确保工作文档始终以企业app运行，还可防止个人文档在被管理的app里打开。

默认加密类

在所有的iOS系统中，包括iOS 7，开发者可以把应用生成的相关文件用以下三种默认加密类完成加密：

无：文件无需加密

带有授权的完全加密：iOS重启后，在用户第一次输入验证密码之前，数据是完全加密的。输入密码之后数据就会彻底失去加密状态。

完全加密：简单来说，只要设备处于上锁状态，数据就会自动加密。

为每个应用单独设置VPN

移动端的系统级别VPN通常是不受欢迎的，一部分是因为安全问题，另一部分是因为公司没有必要通过他们的VPN帮助用户处理与工作无关的流量。

现在，IT人员可将应用设置为在启动时自动连接至VPN。通过为应用单独设置VPN，IT人员能对企业网络访问进行精确控制。它可确保由被管理的应用传输的数据总是经过VPN，而诸如员工的个人网络浏览活动等其它数据，则不会经过VPN。

简化企业登陆

没人愿意重复输入密码，更别提在在一块小屏幕上输入了。通过企业登录(Enterprise single sign-on)，IT人员可以允许用户通过一系列的企业认证就可以授权使用任意应用。之前版本的iOS对这一行为只是用于统一供应商，现在不管是哪个供应商的应用，IT管理员都可以用同一套认证系统就可以帮助用户轻松使用。

Touch ID，在争议中保护用户信息?

前几年，移动设备添加生物学也有过尝试，但是当时得出的结论是不好用、不可靠、不好卖。在那时就已经有言论预测，苹果会是先行者。

Touch ID是一个指纹识别器，内嵌在了Home键中，目前只有在iPhone 5S上可以看到它。用户的认证、授权和下指令都不会离开它。

之前一段时间确实有消息说Touch ID的安全性不敢恭维，特别是对于企业用户。值得强调的是，Touch ID不是一个双保险，与密码锁是不能同时共存的。从单一角度来看，先认证指纹再输入密码锁这种复杂、繁琐的登录方式同样会毁掉用户体验，苹果不希望这么干。

事实上，Touch ID带来的辅助功能也没有想象中的那么简单。使用Touch ID的用户需要再设置一个密码当做备份。当设备重启或者48小时之内没有被锁的话，用户就需要输入密码了。这种方式或许更加适合那些希望手机变得更安全的企业IT人士，在安全和繁琐操作中寻找一个平衡点。

从iOS4开始，苹果一直在企业领域通过硬件文件系统加密和MDM为企业服务。这次的iOS 7会大大强化iOS在企业应用中的功能。即使主要客户群仍然是普通消费者，苹果仍然在低调地将对企业的支持变得高调。