安全视野：3G时代 安全仍是头号公敌

随着越来越多的企业开始使用移动宽带网络，IT管理人员们也开始非常关注安全问题。保护数据在传输过程中的安全只能算是移动安全策略的一部分，企业也必须保护好设备和存储数据的安全，但是从传输渠道安全抓起是个良好的开端。

关于无线安全的好消息就是，现在的移动宽带网络已经增强了安全功能。最新的3G技术(包括WiMax等)包含很强大的加密功能。AT&T和T-Mobile采用128位的Kasumi加密算法能够提供高速分包接入，而Sprint和Verizon提供的CDMA2000提供128位高级加密标准加密，WiMax使用的也是AES。

加密无法保障安全

坏消息就是，AES存在严重缺陷：首先，AES激活功能主要是运营商可选择的功能。AT&T表示，他们的Kasumi加密总是运行的，但是Verizon并没有透露是否其加密功能是可选的。此外，即使你的运营商使用了加密功能，你的用户也可能漫游到没有加密的网络。

有些运营商提供网络虚拟专用网(VPN)或者专用线路来处理未加密的数据，这样当你与运营商有大量数据交换时在后端就有很多保护功能，但是这些保护功能可能会很复杂。即使你的无线连接是安全的，用户也有可能通过其他接入网络(如未受保护的Wi-Fi热点等)。Wi-Fi功能是笔记本和智能手机常见的功能。

端到端安全

有安全意识的管理人员采用的方法就是部署一个端到端安全系统，这样就可以使用移动中间件或者VPN，这两种方式都能够进行空中无线连接并保护互联网连接。用户数据最好采用通过测试的端到端解决方案(如VPN)。

你的VPN选择包括IP安全专用网、安全套接字层专用网或者移动虚拟专用网。很多企业已经对远程接入使用了IPsec或者SSL VPN，虽然越来越多的企业也开始转向移动专用网，特别是对于经常不在办公室办公的员工。

移动宽带网络是基于IP网络的，因此虚拟专用网络是可行的，即使是那些为有线网络设计的。只要用户在固定位置操作系统，在信号好的情况下，现有的企业IPsec或者SSL VPN都能够很好的运作。VPN需要增加一些通道，但是有了传统的1Mbps吞吐量和大量的采购计划，增加通道不会是问题。

有些无线网络设有专用IP地址(除非要求公共IP地址)，专用IP地址确实需要IPsec来帮助在所谓的网络地址转换(NAT)穿越模式运行，幸运的是，NAT穿越模式对于大多数现代IPsec VPN都是自动的。

考虑会不断变化的一个参数就是连接信息，这些信息允许VPN集中器能够终止与客户的会话不再连接。但是如果用户是暂时离开网络覆盖范围(如开车驶入隧道)，这可以通过禁用连接信息来实现更好的连接弹性。如果VPN采用了更复杂的连接方式，如Dead Peer Detection，则应该将其调整为最大允许值。

虽然这些变化可以使VPN更加稳定，更重要的是要认识到，为客户保持会话可能会带让集中器承受更大的负荷。从3G的速度来看，VPN数据压缩功能通常都是净值，你可能不希望为高速有线宽带用户打开压缩功能。在某些时候，压缩数据的所需时间比发送少量数据出去节省的时间要大得多，因此，你可能会想为移动用户(不同于有线用户)保持VPN档案，连接管理信息也可以记录在这些档案中。

你可能碰到的另一个问题就是，你的VPN供应商可能不会为客户提供特殊平台。这些可以由第三方供应商提供(如NCP Engineering)，还可以提供集中器，使IT管理人员能够执行端点政策，如检查更新防病毒保护和软件的最新版本等。不符合政策安全要求的设备可以直接导向到特殊的子网来下载其所需要的文件。

很多集中器都支持SSL和IPsec，SSL VPN对于移动用户来说有一个优势：他们可以支持所有手机上的基于浏览器的应用程序，从而支持更多移动平台。SSL VPN供应商能够支持移动门户网站，直接将移动用户导向到合适的资源。

使用SSL VPN支持非浏览器应用程序通常需要额外的客户端代码，因此需要支持手持设备上广泛应用程序的企业仍然需要考虑能够运行SSL VPN代码的平台。

数据传递的不同阶段需要不同的保护

有线加密仅适用于移动设备到运营商网络内的支持节点，公共Wi-Fi接入点通常没有安全加密，企业需要安装VPN以确保端到端无线数据保护。

配置

除了保护连接安全，企业可能还想要控制企业移动设备上的行为，来自Trellis和其他供应商的配置管理系统让这成为可能。这些产品可以控制设置，包括执行企业VPN限制、防止网络桥接(3G到企业网络)以及确保适当的代理配置。

专为移动设备使用的移动虚拟专用网可以在断开连接的时候保持会话以及提供不同网络类型间(如Wi-Fi到3G)的无缝漫游，并可以优化数据传输量。处理断开连接问题和IP地址变化问题是IPsec VPN的主要挑战。除了连接外，NetMotion Wireless公司的Mobility XE的新功能侧重在加强政策管理、端点控制、网络访问控制和双重因素认证的支持方面。如果你需要为手持式平台开发应用程序，考虑拥有完整开发花精的移动中间件，可以让你使用相同的程序代码配置多个移动平台。这些系统拥有强大的综合管理能力以及安全功能(如通信加密、存储加密、接入政策以及禁用丢失或者被盗设备的功能)，这些系统包括Antenna软件、Dexterra、MobileAware、Sybase等。

综述

Alcatel Lucent的移动安全方法就是将安全功能直接嵌入调制解调器卡上，该卡实际上作为VPN客户端以及政策管理客户端执行，并且需要Alcatel Lucent VPN集中器。即使笔记本断开电源线，该卡仍然能使用电池进行运作，并能够接收软件补丁，直到笔记本再次通电后再安装到笔记本上。当通过Wi-Fi或者以太网连接时，数据包仍然在卡上被处理来执行VPN功能。该卡还可以实现智能卡的双因素验证功能。

现在的移动宽带网络有很多内置的增强安全功能，但是大多数公司还应该确保设备安全以及设备通信方式的安全性，所幸的是，现在有很多实用的解决方案可供选择。

未经允许不得转载：DOIT » 安全视野：3G时代 安全仍是头号公敌