8 月 16 日 MIUI 6 發布會上，洪鋒在介紹 MIUI 系統的安全能力時，用了好幾頁 PPT 講「系統級的安全才是真正的安全」。那麼什麼是「系統級的安全」？小米為了打造「系統級的安全」做了哪些工作？「系統級的安全」是不是真正的安全？我們邀請小米 MIUI 安全中心負責人馬骥來深入解讀「系統級安全」這個概念，及他們對手機安全有哪些不一樣的認識。

第三方應用無法做到「系統級安全」

安全是系統的核心，很多真正的安全功能第三方應用無法做到。為什麼？因為安全防護的很多功能需要系統級權限才能做到。

例如病毒查殺，第三方安全軟件的殺毒功能隻能對已安裝應用或手機裡存儲的安裝包進行查殺。MIUI 怎麼做的呢？除了對已安裝應用和對安裝包進行掃描，它還會在應用安裝時就進行病毒掃描，它把病毒木馬扼殺在了搖籃裡；另一層保障機制，是小米應用商店，小米應用商店上架的應用都經過了多個殺毒引擎的掃描，确保安全。

第三層機制，是主動防禦。有些情況下，用戶可能順手就點了同意安裝應用，帶來了病毒和木馬，MIUI 的主動防禦機制，會讓這些病毒木馬在實施惡意行為，如調用聯系人、短信、電話、聯網能力的時候露出原形。舉一個例子，不久前在全國範圍爆發的「xx 神器」病毒，它通過對用戶通訊錄群發包含了下載鍊接的短信，緻使短時間内大量手機感染病毒，但小米手機對此病毒完全免疫。背後的機制，正是主動防禦——當「xx 神器」試圖讀取聯系人記錄時，MIUI 會提示用戶「xx 神器」正在試圖讀取你的聯系人和發送短信，用戶可以清楚知道它的行為，看清它的惡意。而且我們團隊響應速度也很快，「xx 神器」病毒爆發後數小時内，MIUI 安全中心就已經可以全面查殺。

再拿網絡防火牆功能舉例，要監測和控制某個應用是否允許聯網，防止流量使用超标，第三方安全軟件在沒有系統權限情況下是做不到的，這種能力隻有系統級安全才具備。

但是，也有一些第三方安全産品在功能上實現了相似的能力，他們是怎麼做的？這些産品在開啟網絡防火牆功能的時候，首先要求用戶對手機進行 ROOT，即通過利用系統漏洞，獲得系統的最高控制權，從而接管「保護」手機的任務。

這個過程其實是比較諷刺的：要實現某些安全功能，要先破壞系統的安全機制，讓手機處于最不安全的環境之下。這就好比我要保護你的健康，首先要破壞你自身的免疫系統，才能賜予你健康。這種自相矛盾的做法，對系統安全性隻有破壞作用，沒有任何安全可言。

系統安全應由手機廠商自己來解決

手機廠商應該肩負起保護用戶「身體安全」的重任來，而不是把這個任務交給用戶，讓他們自己找各種第三方安全軟件來解決問題。

小米是怎麼做的？MIUI 一開始就高度重視手機安全。剛開始安全相關的服務叫「系統與安全」，是桌面上一個聚合的文件夾，裡面放了網絡助手、騷擾攔截、病毒掃描、權限管理四個功能模塊。提供了最基礎的安全保障和網絡服務。

去年年中我加入小米後，對這塊業務重新做了梳理，把各個模塊統一到了「安全中心」單個 APP 下。做這樣的調整，一方面我認為安全是一個體系，各個功能模塊之間是有強聯系的；另一方面，也有用戶反饋幾個模塊分開來放，用起來有點亂，而且覺得功能還不夠豐富。聚焦于「安全中心」一個平台後，統一了入口，方便了用戶集中管理，對于樹立 MIUI 統一的安全品牌也有裨益。

所以大概在去年 10 月份，我們把「系統與安全」文件夾改為獨立 APP——「安全中心」。整合了原有的安全相關的功能，同時，新的安全中心，在原有 4 個服務上，增加了省電管理、垃圾清理（816 發布會上，洪鋒的 PPT 介紹垃圾清理功能每天有超過 900 萬人在用，每天可清理 2550TB 垃圾文件）兩個功能模塊。新的安全中心基本涵蓋了傳統安全領域的主要功能，用戶無需再安裝第三方安全軟件，MIUI 主動承擔起了保護手機安全的責任。

MIUI 安全中心團隊與谷歌保持着緊密聯系，谷歌發布的所有安全更新，我們都會在第一時間進行修複并發布。硬件廠商發布的驅動程序如果發現漏洞，我們也一直跟他們有合作，會以最快速度修複漏洞。同時，我們還會對系統應用和第三方應用進行定期掃描，一旦發現安全風險會報告相關團隊。正是有這樣的機制保障，今年四月 OpenSSL 爆出「心血」漏洞，MIUI 在谷歌發出官方補丁前就實現了全面封堵。

由内到外的立體保護，才是系統級安全

MIUI 是基于谷歌安卓系統深度定制的移動操作系統，我們為系統在安全機制上做了大量優化。

首先是權限管理。原生安卓系統是開放的，在開放、靈活的同時賦予第三方應用的權限非常大，比如可以随意讀取聯系人、發送短信、拍照等，這給了病毒、木馬可乘之機。MIUI 為此做了權限管理，對應用行為進行監控，當應用讀取或使用敏感權限時，我們會提醒用戶，讓用戶清楚知道風險行為的發生，讓他對避免風險有決定權。

其次是自啟動管理。安卓系統是多任務系統，應用們可以随時通過各類消息接口把自己運行起來，而幾乎所有 APP 都希望自己能夠啟動起來以便在用戶面前多晃幾眼。據我們分析統計，下載量排名前 1000 的應用中，有超過 70% 的應用都會自啟動。這些自啟動會導緻安卓手機待機時間大大縮短，甚至在後台偷偷跑數據流量，花用戶的錢。

洪鋒在 816 發布會上介紹了 MIUI 6 的自啟動管理能力。我們默認禁止絕大多數應用自啟動，甚至包括系統自帶的應用。隻有它們真正需要運行的時候，才允許啟動，不需要的時候則一鍵清理掉。這最大程度地保障了系統資源不被濫用，對電量、流量、防打擾形成全面保護。MIUI 的機制也遠優于第三方内存清理工具——第三方工具清理完進程後，很多被關閉的應用又馬上自動運行起來了，做不到徹底清理。

我們還做了對齊喚醒機制，這是去年 MIUI V5 發布會對外發布的一個功能。MIUI 的對齊喚醒機制，會将 APP 們分散喚醒系統進行工作的方式，統一到某個時間節點來運行，避免了手機始終無法進入休眠狀态而大量消耗電量。這個功能做完後，據我們的實測，手機的待機時間增加到了未優化前的兩倍。

事實上，MIUI 的安全防護不僅僅隻有是安全中心入口，MIUI 作為一個操作系統，安全應該是無處不在。比如當用戶套餐流量的數據即将耗盡時，我們會提醒用戶流量不足，需要謹慎使用流量或及時購買流量包（安全中心下的「網絡助手」功能現已支持了部分省市購買流量包），在流量耗盡時我們自動幫用戶斷開數據網絡連接，避免産生高額的流量費用。用小米手機是不會出現開了一夜之後，因為跑流量，房子就歸移動運營商的問題的。

類似這樣的系統級優化在 MIUI 裡面數不勝數。所以說，MIUI 的系統安全提供的是内外兼修的系統級的安全體系。

安全是一個系統工程

從 MIUI 安全中心第一次進到 MIUI 穩定版，到今年 8 月 16 日正式對外亮相，過去的八個月間，我們增加了許多功能，進行了上百項功能優化改進。我們不斷完善了安全中心基礎安全模塊，還提供了各種貼心的安全網絡服務，提高用戶體驗的性能優化等等，安全中心作為一個獨立的産品，擔當起了「系統級安全」的入口。

從數據上來看，安全中心的使用率僅次于撥号、通訊錄、拍照、浏覽器、圖庫等這些基礎應用，用戶使用非常頻繁。誰能想到，八九個月前，「安全中心」這款産品還不存在呢。過去的八九個月時間，我們做了一般公司幾年要幹的事情。當然，我們還在不斷改進和豐富産品的功能，并與行業内最頂尖的廠商進行合作，借助于成熟領先的解決方案讓 MIUI 的系統安全做到最好。

MIUI 對安全産品的設計，首先無處不在。MIUI 将系統安全與 MIUI 其他模塊深度結合。比如自動攔截垃圾短信，響一聲電話攔截，用戶接電話時可以看到被其他用戶标記過的廣告、詐騙号碼，小米的雲服務可以安全地備份照片、聯系人、短信等，找回手機功能可以在手機丢失時通過小米雲服務定位和鎖定手機，浏覽器的惡意網址識别，上網過程中壓縮流量……大量功能都滲透在系統的整體運行過程中。

将來，安全與系統級應用場景的整合，将組成 MIUI 安全的大生态圈，而這也正是我們的「星辰大海」。

來自:geekpark

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!