在2007年Gartner公司无线与移动高层首脑会议上，分析师们描绘了一副可怕的场景来表述各公司陷入解决移动和无线安全问题的困境。按照John Girard的意思，超过三分之二的企业会经历由于移动用户不恰当地连接到不安全的服务或者下载恶意应用程序引起的安全问题。分析师John Pescatore预测说，在2007年移动恶意软件会变得司空见惯，在2009年上半年攻击会引起真正的业务中断。幸运的是，大部分这些恶意攻击利用的漏洞是可以确认并解决的。在本文中，我们会盘点一些使移动设备无线服务安全的策略。

　　网络犯罪：正在通过移动设备靠近你

　　无线PDA和智能手机已经使用了很多年，但很少有关于安全鞋漏的头条新闻爆出。Pescatore提出：不安全的移动设备已经飞到了雷达下面，因为移动设备恶意软件编写者受到了平台和操作系统多样化的限制。他说：“肯定已经存在了一些移动恶意软件，但是这些软件大部分没起作用，造成的实际破坏很小，而且也没有蔓延开来。”例如，最近McAfee调查了200个移动设备用户，发现83%的用户遇到过移动恶意程序的攻击，但是这些事件中只有五个影响超过了10万台移动设备。

　　然而，恶意软件的影响可能会发生变化，随着移动从业人员的增多，移动环境变得越来越统一，业务系统的连接面更广了。“现在已经到了企业开始部署安全进程、架构和控制来防御移动恶意软件的年头了”，Pescatore建议说，“大量蠕虫和病毒不是真正的威胁……移动恶意软件会更有针对性地对特定的设备，应用和业务出现。企业保护策略需要寻求新思路开发新方法”。

　　移动服务使用的无线接口是另一个病毒传递攻击的方向。John Girard相信存在范围很广的无线服务攻击很少，因为运营商会保证他们自己的网络安全。他说：“数字卫星和电台网络采用双向认证和强加密方式，阻碍试图窃听，跟踪通信或者解密数据和声音流的行为”。形成鲜明对比的是，Wi-Fi和蓝牙攻击频繁，这是由于遗留的漏洞未打补丁，也由于终端用户的配置不当。“智能手机Wi-Fi功能仍然不幸地是重复（那些相同的】老问题的另一个漏洞。”

　　逆转形势

　　大部分公司都很熟悉Win32恶意程序和无线漏洞。保护商业PDA和智能手机的一个有效策略是需要结合已有的最佳实践和新技术新工具。

1. 像Win32记事本程序一样，具备Wi-Fi和蓝牙接口的移动设备必须安全地配置好，利用健全的数据链路安全选项（如WPA2-Enterprise），禁用有风险的选项（比如发现蓝牙设备）。内部无线网络中的活动可以通过最佳实践（如802.1.X和WIPS）来监视和控制，它不依赖于客户端设备的类型。在从3G运营商漫游到公司无线局域网，到公共无线热点区域时，为了实现统一的端到端通信安全，将会需要像移动VPN这类新工具。在3G服务可用，而且比较廉价的地方，移动设备可能会为了降低风险考虑，把那里提升为热点区域（hotspot）。最终，公司应该设法给所有新移动商业应用和客户端服务器接口加上安全措施。
2. 移动设备可以配备客户端安全措施，类似于一直在Win32记事本上使用的安全措施，从加电验证，数据加密和备份恢复到防火墙、VPN以及防病毒。移动操作系统目前仍然处于追赶竞争对手的发展过程中，所以经常需要额外增加专门为移动设备上运行设计安全软件。Girard估计到2010年的时候，每年在所有这些移动安全工具上的花费将会超过一开始购买一台普通智能手机的成本。各公司可能想给在关键业务流程中使用的PDA在这方面做短期投资，所以就强烈要求在将来向供应商购买的移动设备中带上这些安全功能。然而，Pescatore警告不要单单依赖于客户端移动设备杀毒。他说：“在绝大部分同类的Windows平台上，这都是不够的， 将来在同类移动设备上也是不够的。”
3. 相反，移动客户端安全措施应该辅之以服务端保护，包括在公司邮件服务器和移动通信服务器上的恶意软件清除。“企业应该关注同步服务器，无线应用网关和从2007年开始提供服务的外部无线网络服务提供商，关注在这些方面恶意软件内容保护的投资，”Pescatore表示。企业还可以在服务端采取措施，比如：文件活动监视，数据库活动监视，用消息内容过滤来跟踪和控制移动设备对公司数据的使用。最后，网络网关可以使用网络访问控制（NAC）授权有选择的访问给属于员工的移动设备，或者阻止私自接入公司的移动设备访问。这些多样化的措施可以有效缓解大范围的问题，但是他们都需要在IT部门控制之下（至少在一定程度上）才起作用而且对移动设备用户是透明的。为减轻IT机构负担，一些公司可能采取从无线运营商或者第三方机构（比如iPass）外购一些移动安全方面的任务。

　　结论

　　现如今大部分商业用途的PDA和智能手机都是“自带便携”型的设备。许多雇主都没办法列举出所有访问他们网络、服务器和数据的设备，能快速采取行动阻止主流移动设备恶意软件爆发的就更少了。第一次爆发可能很快就会出现，也可能几年也不出现。不管是哪一种情况，开始考虑移动设备安全策略已经成为了一种简单的常识。你可以通过对你单位全体员工已经在用的移动设备建立清单来估计问题的大小，按照商业风险采取短期行动减轻当前移动环境中的脆弱性。然后在没有把安全策略纳入长期计划前，抵制住部署移动应用和设备的诱惑。