苹果在上周推出了新版的 “平台安全指南”。这〗份指南中，苹果全面讲述了有关 iOS14、iPadOS 14、macOS Big Sur、tvOS 14、watchOS 7 等平㊣台的最新安全特性。

苹果在十年前首次推出了平台安全指南，主要用来描述苹果在安全方面的投入和做法，初期的安全指南只是一份很短的文件。随着时间的累计，这份指南得到不断的更新和丰富。而本次苹果升△级的 “安全指南”，是有史以来最大的一次更新。这次更新，苹果为企业和开发者提供了非常详细和全面的说明，帮助他们使用相关的技术和功能来保护用户的设备▂和数据。

具体来说，本次◤更新内容主要分为以下几个主题：

硬︽件安全性和生物识别：构成苹果设备安全性根基的硬件包括安全隔区、专用 AES 加密引擎、触控 ID 和面容 ID。

系统安全性：包括集成的硬件和软件功能，针对苹果设备∩操作系统的安全启动、更ω新和持续运行而提供。

加¤密和数据保护：一种对用户数据进行保护的架构和设计。在设备丢失或被盗，或有未授权人员或进程尝试使用或修改设备时◥◥，能够保护设备上的用户数据。

App 安全性：提供☆安全的 App 生态系统并确保 App 安全运行且不破坏平台完整性。

服务安全性：针对苹果相关的软件服务，主要用于身份认证◣、密码管理、支付、通信以及查找丢→失设备。

网络安全性：针对传输中的数据提供安全认证和加密的行业标准联网协议。

开发者︻套件：安全私密的↑家庭和健康管理框架，以及苹果设备和第三方 App 服务功能的扩展框架↘。

安全设备管理：允许对苹果设备进行管理、防止未经授权的使用以及在设备丢失或被盗时启用远程擦除的方法。

安全和隐私√认证：ISO 认证、加密验证、通用标准认『证和涉密项目商业解决方案 (CSfC) 计划的信息。

而目前，IT之家从苹果处了解到了关于此次平台安全指南重要更新的背景和一些重点信息。

在很多●网友的印象中，苹果很少会与外界就平台安全方面的问题做系统性的分享。而随着 M1 芯片在 Mac 平台●上的使用，苹果已经能够在旗下几乎所有设备中都采用自主研发的芯片，随之在安全策略方⊙面也有所变动，因此眼下正是外界卐了解苹果平台安全策ξ略的良好契机。

安全，从芯片层级做起

在介绍中，苹果首先以 iPhone 的安全策略为例来讲解自身的安全理念。在 iPhone 上，苹果的思考是，怎样从最基♀础、最根本的层级来重ㄨ新建构安全体系，然后，他们◤的结论是，从芯片的层面开始做ξ　起。

具体来说，苹果给自己设定了几个目标：

第一个是要让设备拥有一种内置的强大♀安全防护能力，默认情况下就可以时刻保护终端的安全。

第二个是终端必须拥有广泛◥的使用基数，这样安全的样本才有意义。而目前苹果拥有 10 亿部 iPhone 的使用基数，这显然已经不是问题。

至于打造安全↘能力的理念，苹果表示，所有的ぷ设计都是要以用户为核心。为此，苹果特▓别以 Touch ID 指纹识别这个功能为例，做了详细介绍。

在早年的 iPhone 中，苹果打造的是静态的数据保护系统，这个系统已经非常【先进，涉及到非常多层级的保护，比如可》以让设备在上锁的情况下去下载和加密数据。但是苹果后来发现，虽然他们在数据保护方面做了很大投入，但仍然有大量的用户并没有得到保护。因为←这些用户经常需要对设备进行解锁，久而久之就会觉得设置密码太麻烦了，所以▅很多用户，特别是一些企业用户就会主动放弃设置密码。

了解到这个现象，苹果就思考如何找到更好的方法来处理这个问题，后来，我们就看到苹╱果在 iPhone 5s 这代产品上推出了 Touch ID。由此可见，强大的安全性和出色的便捷性并非鱼和熊掌不可兼得。

而关于 Touch ID，它的安全保障其实需要非常多的投入，因为生物特征识别需要众多关键因素到位，包括精准的传♂感器、强大⌒　的数据保护架构、以及支持这些技术的芯片，同时还要有软件让这一系列功能可以运行，做法非常复杂。无论是 Touch ID 还是 Face ID，都□　是要通过硬件、软件和服务进行深层级的集成，才有办法实现』出色的安全效果。

苹果做到的关键，是因为他们从最基础的芯片层级一路向上打造。因此我们看到，自研芯片（Apple Sillcon）正在〓成为苹果越来越重要的关键词，因为这不仅仅可以为苹果带来更统一、更自主的硬件生态和强大的性能，更能带来更完整的安全防护体系，从这一点看，Apple Sillcon 的意义十分重大。

通常，芯片在设备里】被叫做 SoC，SoC 通常会包含众多独立的元件，而∏苹果自研 SoC 里有非常多的元件是和安全有关的，包括很多定制的 SoC 或者子系统。

苹果称，正是因为需要从这样基础的层级就开始着手安全▲性设计，所以他们在推出一个设备之前好几年，就要开始ぷ做安全相关的规划。

利用 SoC 中众多服务于安全的子元件，苹果就可以让他们执行非常多的关键操作，执行这些操作时，会和 SoC 中的主要 CPU 区隔开来，避免任何危害操作系统的行为影响到整个子系统的安全功能。

其中最重要的部件要数╲安全隔区了。安全隔区就是一个独立于主处理器外的安全协处理器，其中包括基于硬件的密钥管理器，还可以保护和存储来自用户的生物识别数据，从而提供〓额外的安全性保护。

事实上，从 iPhone 5s 开始的 Touch ID 拥有很强的安全性，很大程度上就是得益于安全隔区◤功能。

除了这些，在苹果芯片中还有很多其他的安全元件。

例如为为安全隔区建立硬件信任根的 Boot ROM，同时，每台搭载安全隔区的苹果设备都具有专用的 AES-256 加密引擎，内置于闪存与主系统内存之间的 DMA 路径中，可以实现高效的■文件加密。

这些元件卐都可以实现很多关键的安全功能，比如安全开机、安全启动，还有对设备上的用户数据的加密，以及保护设备密码的元件、系统完整性保护的措施等等。

M1芯片是这样◇让Mac更加安全的

上述种种，都是自研芯︻片带来的安全性优势。说到这里，我们不得不围绕苹果全新的 M1 芯片来讲解一下他在安全性方面有何不同。这也是苹果这次平台安全指南更新的重要内容。

简单来说，有了 M1 芯片之后，苹果就可以将之前从芯片层级⌒打造安全特性的的方式带到 Mac 平台上，这对于 Mac 平台的安全来说是非常大的进步。

在过去，苹果一直以来针对 Mac 平台安全性所做的方法基本是 “添加”。具体来说就是通过引入额◣外的 T2 芯片来支撑Ψ 安全特性。但是我们知道，macOS 不是在 T2 芯片上运行的，所以就无法将芯片级别的安全防护带到 Mac 设备上。

不过有了 M1 之后，苹果就可以为 macOS 也带来最好的防护，例如通过数据保护的功能实现静态的档案加▲密，还有基于 CPU 系统的全面的安全防护。

再进一步说，在 M1 Mac 上，“数据保护”功能可以提供档案层级做加密的技术，在 M1 系统中的 FireWire 就是用数据保护的方式来实施的。此外，macOS 一直以∞来都是使用基于软件的系统完整性保护，而 M1 则可以推动 Mac 实现基于 CPU 的执行时间反漏洞利用技术，提供新的安全保护。这样的安全保护是深入建构在芯片底层架构上→的。

M1 Mac，包括最新 iPhone 中的 A14 处理器，都包含▓第二代安全存储元件。这个元件是特别设计用以保护♀用户在设备中密码的，也可以保护所有通过这个密码来加密的信息，包括生物识别相关的信息。这个元件的加入，可以▼强化本来就已经非常坚强的密码保护体系，让恶≡意软件无法猜测密码，或者当遇到暴力攻击时，也可以通过这个元件进行保护。

苹果正在打︽造的安全生态体系

上面这些措施以外，苹果也在努力打造坚固的安㊣全生态系统。通过这样的〖生态系统，苹果可以更好地保护用户设备的安全，并且适应外部环境中持续变化的威胁因素。

比如说，苹果最新的安全措施和防护技术也需要通过第三方应用软件更新支持到设备上，如果¤用户不安装这些更新，那么一切也就都是〒空谈。因此，苹果最开始就积极和应用提供商合作，共同将软件更新以更快的速度提供给用户。

此外，业界对于安全问题一直都有赏金计划，来奖励对企业产品安全防护方面作◣出贡献的独立安全专家和研究人员。苹果表示，虽然他们不是第一个参与这种赏金制☆度的公司，但一直有提供优渥的酬劳来吸引安全专家来参与苹果的计划。比如说苹果就有自己的 Security Bounty Program，其∩奖金可以高达百万美元。

这样的计划可以协助苹果ω建立非常强健的安全网络，这个网络里，所有相关的人彼此协作，可以非常快速地找到软件当中的问题，甚至也可以№诊断到苹果内部 IP 系统相关的弱点。

最后，苹果还重点讲到了《iMessage》，也就是《信息》应用。去年 12 月，苹果就已经♂揭露《信息》应用新的安全防护方式，而在这次平台安全指南更新中，这个安全防护方式得到了更详细的介绍。

具体来说，这个新的防▽护就是 BlastDoor。BlastDoor 是一个※全新的系统，这个系统可以针对《信息》应用的流量进行隔离，而且可以分析和追踪流量，进而防堵危险。

《信息》应用在架构上做了全新设↑计，可以将新进来的短信流量进行隔离，现在隔】离的区域由 BlastDoor 进行分析、追踪等操作，BlastDoor 会将其和其他短信以及整个操作系统进行分离，然后进ξ行转码等操作，这一切都是在 swift 上进行的，可以保证安全」。

其实《信息》应用在一推出的时候就已经有端到端的加密，一路发展过来，这次 BlastDoor 是其诞生以来最大的安全提升。同时苹果表示，设备只要◤更新到 iOS14、 iPadOS 14 或者 macOS Bigsur 的，都可以享受到 BlastDoor 带来的保护█。

总体来说，苹果在这份全新的平台安全指南中描述了过去不曾披露过的众多安全策略和思路，同时我们看到，苹果对于自身安全体□系的建设也正变得◇越来越开放，这无论是对于消费者，还是对于整个网络、硬件安全领域来说，都是好事。而IT之家认为，这背后的一个重要推动因素就是 M1 芯片①的产生，它意味着苹果自研芯片（Apple Sillcon）已经可以覆∮盖自家绝大多数产品设备，在芯片底层上的统一对于苹果整个安全体系的建设是一个巨大的促进作用，这也是苹果努力推进自研芯片的动力之一。