人人都相信IT消費化是一列即將來臨的火車。很多文章都描述了這種使用趨勢。移動化是最新的消費化運動——大型和小型的組織正在擁抱移動化來吸引消費者的注意力并提升企業(yè)的生產(chǎn)率和協(xié)作性。

　　熱衷于采用移動化的行業(yè)之一是支付及銀行業(yè)。每個消費者銀行和金融機構(gòu)具有某些形式的移動化支付/銀行業(yè)務策略。然而在沒有咨詢安全團隊，甚至在邀請了安全團隊參與討論卻根本不聽取他們的意見的情形下，這些組織做出了許多關于移動銀行業(yè)務的重要決策，因為每個人都感覺到移動化趨勢的緊迫性。

　　例如，有許多壓力使得通過短信服務(SMS)推送信息。短信服務賬戶告警、余額查詢等等正在成為習以為常的事情。在北美有一個獨一無二的現(xiàn)象最好地形容了短信服務到Web服務。設想你的銀行給你發(fā)送賬戶透支短信告警并且包含一個URL來讓你存更多的資金。如果你點擊該鏈接，然后你的移動瀏覽器跳轉(zhuǎn)到銀行主頁。這是一個從短信服務到Web服務的典型應用案例。短信服務不是安全的和認證的通信媒介，并且通過短信服務發(fā)送的鏈接是存在問題的。騙子們能輕易地偽造一個短信，對于消費者來說在移動屏幕上來區(qū)分釣魚和真實的URL是很有挑戰(zhàn)性的。

　　類似地，每個人都想讓移動銀行與金融機構(gòu)的單點登錄(SSO)設施集成。確實，那樣做是件好的事情。但是我知道許多短信銀行業(yè)務的部署，從手機號碼到用戶賬戶的映射信息——包括用戶憑證——是存儲在DMZ中的服務器上的，從而實現(xiàn)有效的短信服務訪問。這些部署沒有經(jīng)過完整的安全架構(gòu)評審;一個勝任的安全架構(gòu)絕對不會允許這種設計。對于短信服務器來說，正確的方法是通過一套安全的SSO API連接到位于內(nèi)部網(wǎng)絡的受到正確防護的SSO服務器。但是做出這個設計決定時沒有牽涉到安全。

　　另一個令人不安的趨勢是企業(yè)中安卓(Android)操作系統(tǒng)設備的快速擴增。來自comScore和Nielsen的最新統(tǒng)計數(shù)據(jù)都表明，安卓操作系統(tǒng)是現(xiàn)在最暢銷的智能手機平臺。盡管這些統(tǒng)計數(shù)據(jù)來自消費者的銷售，但企業(yè)也目睹了安卓操作系統(tǒng)迅速滲入。

　　當許多開發(fā)人員偏好安卓操作系統(tǒng)時，安卓也為IT帶來了一些任何時候都不太可能迅速解決的獨一無二的安全挑戰(zhàn)。比如下面兩個：

　　市場細分化：由于安卓操作系統(tǒng)市場的細分化，如果你所有的安卓操作系統(tǒng)設備來自不同的廠家，沒有一個簡單的辦法做一個通用的補丁來更新它們。這個問題會將終端管理一直回退到80年代!

　　天生缺乏對安全的支持：人們期待安卓3支持盼望已久的終端加密特色功能，但是安卓3的發(fā)布日期尚不明確。

　　IT的移動化可能是無法避免的。你最好為此進行準備。但是如果你在采用和應用決策中沒有考慮到安全，很可能這列即將來臨的火車在到達車站前會造成一些破壞。