引言：

包括Gartner在內的IT行業分析機構最新一系列的調查顯示，隨著無線網絡、智能手機、能聯網的個人數字助理（PDA）等工具的快速普及，幾乎所有具有前瞻性的企業開始部署或考慮部署對以移動的方式對應用程序訪問的支持，而這種支持活動將不僅僅限于對個人信息管理相關的應用程序，更多的企業希望能夠實現員工在任何地點對所需關鍵數據的訪問，比如當員工走在路上需要獲得最新的客戶聯系信息的情況，從長遠看，客戶和業務合作伙伴也有可能需要使用這樣的資源訪問。移動信息化、移動商務通過為行業客戶提供的量身定做的信息化解決方案和“一點接入、全網服務、一點結算”的服務，正在從根本上改變社會的生活和商業模式，而目前困擾并阻礙這一進程的最為重要的因素之一，就是移動設備的安全性，能否確保應用程序和敏感數據的無線訪問是受控的，是企業IT架構工程師在制定移動解決方案之初就應該納入到整個IT架構之中的重要組成部分。本文將通過詳細分析當前移動解決方案面臨的威脅和挑戰，具體的安全需求，以及微軟Forefront安全解決方案能夠在這一架構當中扮演的角色，力圖帶給讀者一個清晰的Forefront安全解決方案實施路線圖，尤其希望能夠給電信、通信領域安全解決方案實施，帶來新的設計和部署參考思路。

1、案例分析公司簡介及詳細安全需求

A公司是一家通信服務運營商，在A公司所在國家擁有數量龐大的用戶群，其主要業務為傳統的基于2G（Second Generation）數字通信技術的服務，主要是基于GSM（Global system for Mobile communications）全球移動通信系統提供的相關的服務，在新的應用趨勢和技術發展潮流面前，A公司向來以“創新推動業務”為企業發展理念，大力推動新的基于2.5G（2.5 Generation，第二代數字通信技術到第三代數字通信技術之間的過渡技術，）數字通信和新的3G（3 Generation）數字通信服務，并將為企業提供基于智能手機和WiMAX（Worldwide Interoperability for Microwave Access，全球微波互聯接入）技術的企業級移動商務解決方案納入到企業業務增長戰略之中。

在推動新的技術應用的同時，A公司非常關注對現有運營架構的安全性能的加固，定期對現有的技術架構安全性能進行評估，并制定、實施相應的安全措施，以確保現有的運營機制處于安全控制之下。A公司的整個應用服務架構體系可以粗略地分為以下區域：

用戶移動設備；
個人區域網絡（PAN，Personal Area Networks）；
無線局域網（WLAN，Wireless Local Area Networks）；
無線廣域網（WWAN，Wireless Wide Area Networks）。

其中，個人區域網絡的作用范圍最小，特指一個較為狹小的空間，憑借移動設備上的通信技術，如藍牙、紅外等短距離的通信技術進行設備之間信息傳遞和數據共享，其范圍在10米以內，由用戶的移動設備組成；無線局域網的范圍稍大，如辦公室、學校、機場、酒店等范圍內的無線局域網絡，其作用范圍在10-100米的范圍，基于小型無線路由等設備來構建，采用標準基于802.11b，A公司的業務構成當中的一部分為向客戶提供組件企業級無線局域網絡的解決方案，并與之基礎架構整合在一起開展。另外，在A公司的內部，也部署有同樣的無線局域網絡，并與有線網絡一起，構成整個A公司內部網絡的組成結構；無線廣域網指代一個寬泛的無線網絡應用領域，其作用范圍可達數千米，是A公司主要的業務范圍之一。

在這樣的應用架構中，存在有多種潛在的威脅和風險，設備自身的安全威脅、無線連接、弱加密技術、授權認證事件、嗅探、信息監聽等等。如圖1所示在移動設備安全領域所要面對的端到端的安全威脅和潛在風險需求。

圖1：移動設備應用領域端到端的安全需求

A公司作為一家大型的通信服務提供公司所擁有的IT基礎架構是非常龐大和復雜的，想要非常全面地介紹每個技術細節是不現實的，下面簡要分析在整個應用環境當中所占比例較大的各個環境的詳細安全需求。

1）、移動設備安全分析

移動設備以網絡環境客戶端的形式展現，當前的移動設備種類繁多，A公司全面支持所有符合第二代數字移動通信標準的設備，包括支持移動上網的筆記本、便攜筆記本、手機、智能手機、支持上網功能的個人數字助理（PDA）、汽車或其他電器設備上的嵌入式聯網設備等等，并且在所謂2.5G和3G應用上做了大量的技術和資本投入。對當前設備上所使用的操作系統進行分類，如同PC電腦的分類一樣，大致可以分為以下幾類：Palm OS、Pocket PC、Symbian、嵌入式Linux以及Windows Mobile等。

這些移動設備的共同點就是缺乏相對較弱的嵌入的安全防護，比如，一臺看來功能強大的智能手機，使用Windows Mobile操作系統但缺乏相應的安全防護機制，而目前移動客戶端的安全防護實現的也僅限于筆記本等具備強大處理能力、安裝有常見操作系統的客戶端，采用的防護策略也是與現有安全防護機制無異的PC防護機制。這也是一旦有手機病毒誕生，便可以在極短的時間內感染大量手機、并造成惡劣影響的重要原因之一。

手機的廣泛普及率遠超計算機的普及率，因此潛在的龐大的市場需求帶來的是市場驅動力，已經在PC領域占領相當份額的廠商不會坐失這一龐大的潛在市場，從硬件廠商到軟件廠商，紛紛開始制定策略以進入該領域。硬件領域涉及的范圍較高端，對于普通用戶難以有所選擇，芯片廠商可以通過研發加密處理器、智能卡等設備增強移動客戶端的加密和通信安全，甚至把部分現有的軍用通信加密技術引入到民用設備的生產當中，從硬件級別上提升整體的安全防護級別。

本文更為關注的是軟件領域的防護，盡管當前在針對輕便客戶端的防護軟件尚未形成規模，但有一系列的實施策略來指導軟件的開發和實施。

依據A公司的實施經驗，在該領域可以分為以下幾類：

①基于軟件的數據加密。能夠在客戶端移動操作系統上運行的基于軟件的數據加密工具。

②網絡層安全。針對具備強大計算能力的客戶端，提供網絡層客戶端強化功能，采用諸如IPSec/VPN之類的客戶端訪問安全保障以提供增強的安全訪問機制。

③傳輸層安全。在A公司的現行解決方案中，采用技術上成熟的TLS/SSL數據傳輸解決方案，盡管這兩項技術并沒有細化到支持“瘦”移動客戶端的程度，但在最優的技術標準出現之前，最大程度選擇并使用傳輸安全機制，能夠實現最大意義上的安全防護。

④應用程序級別數據加密。提高運行于客戶端上的特定應用程序自身的安全級別，例如運行于客戶端上的即時通信工具，應加強通信加密以防止潛在的無線嗅探與信息監聽。

除硬件層面和軟件層面的潛在安全威脅和提升安全的因素之外，更為重要的是作為客戶端使用者的人的安全意識的提升和安全防范支持的了解，從物理層面上做好客戶端的安全防護，并采用有效的軟件方法來提升整體的安全防護。