【消费电子实验室-2014/1/22】黑莓手机一向以安全著称。在2012年的一个商业安全评估中，综合了系统安全、应用程序安全、验证、设备重置、防火墙、虚拟化等一系列的评测标准之后，黑莓7系统获得2.89分，iOS 5得分1.7，Windows Phone 7.5得分1.61，安卓2.3以1.37的得分位列最后。

      在极端注重安全的美国国防部评估中，国防信息系统局（DISA）给黑莓10颁发了“Authority to Operate”（ATO）认证。黑莓也是首家获得国防信息系统局ATO认证的移动终端管理服务提供商。

      能够在安全方面出类拔萃，是因为黑莓系统在设计时就以安全为中心，以企业应用为目标客户。黑莓的安全体系是通过硬件识别、软件加密、私有服务器传输、企业端管理、封闭软件应用来实现的。

       一、完善的加密系统

       普通的手机通讯通过IMEI码来识别手机，通过SIM卡识别身份，通讯安全掌握在运营商手中。而黑莓除了IMEI码以外，还给每台黑莓设备设置了一个PIN码用于识别黑莓手机的身份。

      在传输黑莓加密邮件和信息的时候，信息传输采用AES-256位或3DES加密，先传输到黑莓的服务器上，然后黑莓服务器再传送给接收方。运营商只是一个管道的作用，看到的是加密之后的信息数据，无法看到信息内容是什么。

      AES-256位或3DES本身是安全级别非常高的加密算法，难以破解。而密钥需要发送方、服务器端、接收方三方的硬件信息，每一台黑莓设备和服务器都使用不同的密钥加密传输邮件。

      高强度的加密算法和结合硬件的密钥，让这种加密机制非常难以破解。在现行体系下，甚至黑莓自身都无法提供给政府一个能监控所有黑莓邮件的办法。

      而在服务器端本身，黑莓的服务器是单向出口，外部入侵也难以进入，就进一步增强了安全性。

      这样在用户端、传输端、服务器端层层防范，就保证黑莓加密系统的可靠性，这是iOS和安卓没有的。

      二、强大企业端管理

      黑莓BES(BlackBerry Enterprise Server)支持企业端对员工的黑莓手机进行管理。

      此时，手机就不再是员工个人的通讯工具，而是企业加密网络终端的一部分。管理员可以通过 IT Policy控制员工手中黑莓手机的所有功能。包括关闭 GPS 和摄像头功能、关闭外接存储功能、强制内存加密、仅允许浏览器通过公司内部网络浏览、强制设置密码、复杂性、甚至取消通话功能、短信功能、彩信功能。

      管理员还可以远程安装第三方程序，而且还能设置让用户无法删除，记录用户通话和短信记录。

      总之，加入企业端的黑莓手机一切以公司安全为重，管理权从用户到了管理员手中。管理员可以设置策略，保护公司的信息安全，从而避免了用户因个人使用不当或者其他原因造成公司机密的泄露，这也是iOS和安卓做不到的。

      三、封闭的软件应用

       黑莓系统基于C++，理论上也存在漏洞和破解可能。所以，早期黑莓系统的各种应用是封闭在JAVA沙箱里面运行的，各种权限有着非常严格的界限，对软件来源也有限制，通过封闭的应用保证系统的安全性，对应用的安全性要求远高于iOS和安卓。

       不过封闭应用是把双刃剑，提升安全系数的代价是黑莓系统的应用比较少，进而远离消费市场。

       黑莓系统新的Native Development Kit已经允许开发者创建运行于虚拟机之外的应用，基于QNX的黑莓10系统还支持来源庞杂的安卓应用，这使黑莓的安全性受到很大考验。但黑莓安全性的妥协能否带来市场份额的增加还需要时间来验证。