警惕移动信息化的安全隐患

安全是移动信息化一个难解的心结，也是移动信息化成功必须逾越的一个障碍。

2006年9月，一个名叫Phage的病毒在欧美爆发，引起一阵恐慌。Phage专门攻击Palm掌上电脑操作系统并使其感染，导致许多手机程序均被破坏，更严重的是，Phage还会尝试禁用并删除移动设备上的所有数据，使欧美许多手机用户、企业无线网络受损严重。

在此后的2007年5月，一个名为Timofoniac的蠕虫通过电子邮件快速蔓延，并进入西班牙的蜂窝电话网络，它经常自动拨打恶作剧电话并在电话上留下文本消息。以上只是众多类似案例中的两个，事实上，随着移动信息化的深化，许多专家预测未来会有更多的病毒和蠕虫蔓延到智能手机等移动设备，严重威胁移动信息化的安全。隐患主要体现在以下一些方面:

首先是无线网络自身的隐患。无线信道是一个开放性的信道，通信标准安全性不高，缺乏身份验证，没有统一制定加密标准，对GSM通信的安全性产生了严重的影响，手机号码及密码等很容易被破译、窃听、假冒、篡改，从而带来了诸多不安全因素。

其次是无线网络技术应用的隐患。无线网络装置Ad hoc给移动性和通信媒体带来了新的安全问题。Ad hoc网络和传统的移动网络有着许多不同，其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施，而是通过移动节点间的相互协作来进行网络互联。由于它具有开放的媒质、分布式的合作、动态的拓扑结构和受限的网络能力等特点，缺乏物理保护，尤其容易受到攻击，使得Ad Hoc网络的安全问题尤为突出。

再者是移动设备丢失所带来的物理安全隐患。由于没有建筑、门锁和看管保证的物理边界安全保护和其更小的体积，移动无线设备（笔记本电脑、PDA、智能电话等）相对于固定设备更容易丢失和被窃，密码容易被攻破，企业的销售数据、财务信息、库存资料等重要资料会被破解、泄露，从而可能引发重大损失。

如今摆在用户单位面前的当务之急是如何最有效地保护所有移动设备上存储的各种敏感信息，如何在获得工作效率和竞争优势的同时，有效保障数据安全？笔者提出如下建议:

一是做好信息安全管理、审查，设定单一控制台集中管理所有桌面电脑、笔记本电脑、手持设备和U盘的安全政策，无缝、自动地加密所有移动端点和外部介质上的敏感数据，确保单位数据安全; 同时提供用户验证、受控制的端口访问及应用限制措施，并针对丢失或者失窃的设备执行数据控制，以防损失进一步扩大。

二是对无线访问的内部网页进行安全性认证的整合，在网络环境中加强防火墙、入侵侦测和弱点扫描，使用户单位交易内部的主机得到完全的保护，以确保资料安全以及人员存取合法与保密。针对移动的特性，可通过VPN（虚拟专用网）来解决移动上网中的安全问题，就是在公用的Internet网络上通过隧道协议建立起安全的私有网络。

三是移动数据安全防护系统能自动检测、审查及控制连接到网络上的所有移动端点，系统应支持简易、全面的移动安全部署，针对整个环境有选择地自动执行保护机制，防范有人未经授权访问多用户操作系统，同时数据恢复要既快速又可靠。

四是移动数据安全系统应提供自动、实时的安全政策和软件更新，确保迅速堵住安全漏洞、符合法规以及保证移动员工的工作效率，并针对加密数据的访问与针对操作系统的访问应互相隔离。

五是移动运营商今后要不断升级以保证其信息传输网络的安全性，并不断增强保证客户信息安全的责任意识，为用户单位提供成熟的产品及方案，同时不断进行安全测试及功能升级，让用户单位能真正用得安心。

总体而言，无线移动领域的安全防护之路还有很长时间需要探索、解决，但随着3G和WLAN新无线标准中集成了无线安全协议和机制，我们有理由期待移动信息化的美好未来。