引言：

包括Gartner在內(nèi)的IT行業(yè)分析機(jī)構(gòu)最新一系列的調(diào)查顯示，隨著無線網(wǎng)絡(luò)、智能手機(jī)、能聯(lián)網(wǎng)的個(gè)人數(shù)字助理（PDA）等工具的快速普及，幾乎所有具有前瞻性的企業(yè)開始部署或考慮部署對(duì)以移動(dòng)的方式對(duì)應(yīng)用程序訪問的支持，而這種支持活動(dòng)將不僅僅限于對(duì)個(gè)人信息管理相關(guān)的應(yīng)用程序，更多的企業(yè)希望能夠?qū)崿F(xiàn)員工在任何地點(diǎn)對(duì)所需關(guān)鍵數(shù)據(jù)的訪問，比如當(dāng)員工走在路上需要獲得最新的客戶聯(lián)系信息的情況，從長(zhǎng)遠(yuǎn)看，客戶和業(yè)務(wù)合作伙伴也有可能需要使用這樣的資源訪問。移動(dòng)信息化、移動(dòng)商務(wù)通過為行業(yè)客戶提供的量身定做的信息化解決方案和“一點(diǎn)接入、全網(wǎng)服務(wù)、一點(diǎn)結(jié)算”的服務(wù)，正在從根本上改變社會(huì)的生活和商業(yè)模式，而目前困擾并阻礙這一進(jìn)程的最為重要的因素之一，就是移動(dòng)設(shè)備的安全性，能否確保應(yīng)用程序和敏感數(shù)據(jù)的無線訪問是受控的，是企業(yè)IT架構(gòu)工程師在制定移動(dòng)解決方案之初就應(yīng)該納入到整個(gè)IT架構(gòu)之中的重要組成部分。本文將通過詳細(xì)分析當(dāng)前移動(dòng)解決方案面臨的威脅和挑戰(zhàn)，具體的安全需求，以及微軟Forefront安全解決方案能夠在這一架構(gòu)當(dāng)中扮演的角色，力圖帶給讀者一個(gè)清晰的Forefront安全解決方案實(shí)施路線圖，尤其希望能夠給電信、通信領(lǐng)域安全解決方案實(shí)施，帶來新的設(shè)計(jì)和部署參考思路。

1、案例分析公司簡(jiǎn)介及詳細(xì)安全需求

A公司是一家通信服務(wù)運(yùn)營(yíng)商，在A公司所在國(guó)家擁有數(shù)量龐大的用戶群，其主要業(yè)務(wù)為傳統(tǒng)的基于2G（Second Generation）數(shù)字通信技術(shù)的服務(wù)，主要是基于GSM（Global system for Mobile communications）全球移動(dòng)通信系統(tǒng)提供的相關(guān)的服務(wù)，在新的應(yīng)用趨勢(shì)和技術(shù)發(fā)展潮流面前，A公司向來以“創(chuàng)新推動(dòng)業(yè)務(wù)”為企業(yè)發(fā)展理念，大力推動(dòng)新的基于2.5G（2.5 Generation，第二代數(shù)字通信技術(shù)到第三代數(shù)字通信技術(shù)之間的過渡技術(shù)，）數(shù)字通信和新的3G（3 Generation）數(shù)字通信服務(wù)，并將為企業(yè)提供基于智能手機(jī)和WiMAX（Worldwide Interoperability for Microwave Access，全球微波互聯(lián)接入）技術(shù)的企業(yè)級(jí)移動(dòng)商務(wù)解決方案納入到企業(yè)業(yè)務(wù)增長(zhǎng)戰(zhàn)略之中。

在推動(dòng)新的技術(shù)應(yīng)用的同時(shí)，A公司非常關(guān)注對(duì)現(xiàn)有運(yùn)營(yíng)架構(gòu)的安全性能的加固，定期對(duì)現(xiàn)有的技術(shù)架構(gòu)安全性能進(jìn)行評(píng)估，并制定、實(shí)施相應(yīng)的安全措施，以確?，F(xiàn)有的運(yùn)營(yíng)機(jī)制處于安全控制之下。A公司的整個(gè)應(yīng)用服務(wù)架構(gòu)體系可以粗略地分為以下區(qū)域：

用戶移動(dòng)設(shè)備；
個(gè)人區(qū)域網(wǎng)絡(luò)（PAN，Personal Area Networks）；
無線局域網(wǎng)（WLAN，Wireless Local Area Networks）；
無線廣域網(wǎng)（WWAN，Wireless Wide Area Networks）。

其中，個(gè)人區(qū)域網(wǎng)絡(luò)的作用范圍最小，特指一個(gè)較為狹小的空間，憑借移動(dòng)設(shè)備上的通信技術(shù)，如藍(lán)牙、紅外等短距離的通信技術(shù)進(jìn)行設(shè)備之間信息傳遞和數(shù)據(jù)共享，其范圍在10米以內(nèi)，由用戶的移動(dòng)設(shè)備組成；無線局域網(wǎng)的范圍稍大，如辦公室、學(xué)校、機(jī)場(chǎng)、酒店等范圍內(nèi)的無線局域網(wǎng)絡(luò)，其作用范圍在10-100米的范圍，基于小型無線路由等設(shè)備來構(gòu)建，采用標(biāo)準(zhǔn)基于802.11b，A公司的業(yè)務(wù)構(gòu)成當(dāng)中的一部分為向客戶提供組件企業(yè)級(jí)無線局域網(wǎng)絡(luò)的解決方案，并與之基礎(chǔ)架構(gòu)整合在一起開展。另外，在A公司的內(nèi)部，也部署有同樣的無線局域網(wǎng)絡(luò)，并與有線網(wǎng)絡(luò)一起，構(gòu)成整個(gè)A公司內(nèi)部網(wǎng)絡(luò)的組成結(jié)構(gòu)；無線廣域網(wǎng)指代一個(gè)寬泛的無線網(wǎng)絡(luò)應(yīng)用領(lǐng)域，其作用范圍可達(dá)數(shù)千米，是A公司主要的業(yè)務(wù)范圍之一。

在這樣的應(yīng)用架構(gòu)中，存在有多種潛在的威脅和風(fēng)險(xiǎn)，設(shè)備自身的安全威脅、無線連接、弱加密技術(shù)、授權(quán)認(rèn)證事件、嗅探、信息監(jiān)聽等等。如圖1所示在移動(dòng)設(shè)備安全領(lǐng)域所要面對(duì)的端到端的安全威脅和潛在風(fēng)險(xiǎn)需求。

圖1：移動(dòng)設(shè)備應(yīng)用領(lǐng)域端到端的安全需求

A公司作為一家大型的通信服務(wù)提供公司所擁有的IT基礎(chǔ)架構(gòu)是非常龐大和復(fù)雜的，想要非常全面地介紹每個(gè)技術(shù)細(xì)節(jié)是不現(xiàn)實(shí)的，下面簡(jiǎn)要分析在整個(gè)應(yīng)用環(huán)境當(dāng)中所占比例較大的各個(gè)環(huán)境的詳細(xì)安全需求。

1）、移動(dòng)設(shè)備安全分析

移動(dòng)設(shè)備以網(wǎng)絡(luò)環(huán)境客戶端的形式展現(xiàn)，當(dāng)前的移動(dòng)設(shè)備種類繁多，A公司全面支持所有符合第二代數(shù)字移動(dòng)通信標(biāo)準(zhǔn)的設(shè)備，包括支持移動(dòng)上網(wǎng)的筆記本、便攜筆記本、手機(jī)、智能手機(jī)、支持上網(wǎng)功能的個(gè)人數(shù)字助理（PDA）、汽車或其他電器設(shè)備上的嵌入式聯(lián)網(wǎng)設(shè)備等等，并且在所謂2.5G和3G應(yīng)用上做了大量的技術(shù)和資本投入。對(duì)當(dāng)前設(shè)備上所使用的操作系統(tǒng)進(jìn)行分類，如同PC電腦的分類一樣，大致可以分為以下幾類：Palm OS、Pocket PC、Symbian、嵌入式Linux以及Windows Mobile等。

這些移動(dòng)設(shè)備的共同點(diǎn)就是缺乏相對(duì)較弱的嵌入的安全防護(hù)，比如，一臺(tái)看來功能強(qiáng)大的智能手機(jī)，使用Windows Mobile操作系統(tǒng)但缺乏相應(yīng)的安全防護(hù)機(jī)制，而目前移動(dòng)客戶端的安全防護(hù)實(shí)現(xiàn)的也僅限于筆記本等具備強(qiáng)大處理能力、安裝有常見操作系統(tǒng)的客戶端，采用的防護(hù)策略也是與現(xiàn)有安全防護(hù)機(jī)制無異的PC防護(hù)機(jī)制。這也是一旦有手機(jī)病毒誕生，便可以在極短的時(shí)間內(nèi)感染大量手機(jī)、并造成惡劣影響的重要原因之一。

手機(jī)的廣泛普及率遠(yuǎn)超計(jì)算機(jī)的普及率，因此潛在的龐大的市場(chǎng)需求帶來的是市場(chǎng)驅(qū)動(dòng)力，已經(jīng)在PC領(lǐng)域占領(lǐng)相當(dāng)份額的廠商不會(huì)坐失這一龐大的潛在市場(chǎng)，從硬件廠商到軟件廠商，紛紛開始制定策略以進(jìn)入該領(lǐng)域。硬件領(lǐng)域涉及的范圍較高端，對(duì)于普通用戶難以有所選擇，芯片廠商可以通過研發(fā)加密處理器、智能卡等設(shè)備增強(qiáng)移動(dòng)客戶端的加密和通信安全，甚至把部分現(xiàn)有的軍用通信加密技術(shù)引入到民用設(shè)備的生產(chǎn)當(dāng)中，從硬件級(jí)別上提升整體的安全防護(hù)級(jí)別。

本文更為關(guān)注的是軟件領(lǐng)域的防護(hù)，盡管當(dāng)前在針對(duì)輕便客戶端的防護(hù)軟件尚未形成規(guī)模，但有一系列的實(shí)施策略來指導(dǎo)軟件的開發(fā)和實(shí)施。

依據(jù)A公司的實(shí)施經(jīng)驗(yàn)，在該領(lǐng)域可以分為以下幾類：

①基于軟件的數(shù)據(jù)加密。能夠在客戶端移動(dòng)操作系統(tǒng)上運(yùn)行的基于軟件的數(shù)據(jù)加密工具。

②網(wǎng)絡(luò)層安全。針對(duì)具備強(qiáng)大計(jì)算能力的客戶端，提供網(wǎng)絡(luò)層客戶端強(qiáng)化功能，采用諸如IPSec/VPN之類的客戶端訪問安全保障以提供增強(qiáng)的安全訪問機(jī)制。

③傳輸層安全。在A公司的現(xiàn)行解決方案中，采用技術(shù)上成熟的TLS/SSL數(shù)據(jù)傳輸解決方案，盡管這兩項(xiàng)技術(shù)并沒有細(xì)化到支持“瘦”移動(dòng)客戶端的程度，但在最優(yōu)的技術(shù)標(biāo)準(zhǔn)出現(xiàn)之前，最大程度選擇并使用傳輸安全機(jī)制，能夠?qū)崿F(xiàn)最大意義上的安全防護(hù)。

④應(yīng)用程序級(jí)別數(shù)據(jù)加密。提高運(yùn)行于客戶端上的特定應(yīng)用程序自身的安全級(jí)別，例如運(yùn)行于客戶端上的即時(shí)通信工具，應(yīng)加強(qiáng)通信加密以防止?jié)撛诘臒o線嗅探與信息監(jiān)聽。

除硬件層面和軟件層面的潛在安全威脅和提升安全的因素之外，更為重要的是作為客戶端使用者的人的安全意識(shí)的提升和安全防范支持的了解，從物理層面上做好客戶端的安全防護(hù)，并采用有效的軟件方法來提升整體的安全防護(hù)。