引言:
包括Gartner在内的IT行业分析机构最新一系列的调查显示,随着无线网络、智能手机、能联网的个人数字助理(PDA)等工具的快速普及,几乎所有具有前瞻性的企业开始部署或考虑部署对以移动的方式对应用程序访问的支持,而这种支持活动将不仅仅限于对个人信息管理相关的应用程序,更多的企业希望能够实现员工在任何地点对所需关键数据的访问,比如当员工走在路上需要获得最新的客户联系信息的情况,从长远看,客户和业务合作伙伴也有可能需要使用这样的资源访问。移动信息化、移动商务通过为行业客户提供的量身定做的信息化解决方案和“一点接入、全网服务、一点结算”的服务,正在从根本上改变社会的生活和商业模式,而目前困扰并阻碍这一进程的最为重要的因素之一,就是移动设备的安全性,能否确保应用程序和敏感数据的无线访问是受控的,是企业IT架构工程师在制定移动解决方案之初就应该纳入到整个IT架构之中的重要组成部分。本文将通过详细分析当前移动解决方案面临的威胁和挑战,具体的安全需求,以及微软Forefront安全解决方案能够在这一架构当中扮演的角色,力图带给读者一个清晰的Forefront安全解决方案实施路线图,尤其希望能够给电信、通信领域安全解决方案实施,带来新的设计和部署参考思路。
1、案例分析公司简介及详细安全需求
A公司是一家通信服务运营商,在A公司所在国家拥有数量庞大的用户群,其主要业务为传统的基于2G(Second Generation)数字通信技术的服务,主要是基于GSM(Global system for Mobile communications)全球移动通信系统提供的相关的服务,在新的应用趋势和技术发展潮流面前,A公司向来以“创新推动业务”为企业发展理念,大力推动新的基于2.5G(2.5 Generation,第二代数字通信技术到第三代数字通信技术之间的过渡技术,)数字通信和新的3G(3 Generation)数字通信服务,并将为企业提供基于智能手机和WiMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)技术的企业级移动商务解决方案纳入到企业业务增长战略之中。
在推动新的技术应用的同时,A公司非常关注对现有运营架构的安全性能的加固,定期对现有的技术架构安全性能进行评估,并制定、实施相应的安全措施,以确保现有的运营机制处于安全控制之下。A公司的整个应用服务架构体系可以粗略地分为以下区域:
用户移动设备;
个人区域网络(PAN,Personal Area Networks);
无线局域网(WLAN,Wireless Local Area Networks);
无线广域网(WWAN,Wireless Wide Area Networks)。
其中,个人区域网络的作用范围最小,特指一个较为狭小的空间,凭借移动设备上的通信技术,如蓝牙、红外等短距离的通信技术进行设备之间信息传递和数据共享,其范围在10米以内,由用户的移动设备组成;无线局域网的范围稍大,如办公室、学校、机场、酒店等范围内的无线局域网络,其作用范围在10-100米的范围,基于小型无线路由等设备来构建,采用标准基于802.11b,A公司的业务构成当中的一部分为向客户提供组件企业级无线局域网络的解决方案,并与之基础架构整合在一起开展。另外,在A公司的内部,也部署有同样的无线局域网络,并与有线网络一起,构成整个A公司内部网络的组成结构;无线广域网指代一个宽泛的无线网络应用领域,其作用范围可达数千米,是A公司主要的业务范围之一。
在这样的应用架构中,存在有多种潜在的威胁和风险,设备自身的安全威胁、无线连接、弱加密技术、授权认证事件、嗅探、信息监听等等。如图1所示在移动设备安全领域所要面对的端到端的安全威胁和潜在风险需求。
 |
|
图1:移动设备应用领域端到端的安全需求 |
A公司作为一家大型的通信服务提供公司所拥有的IT基础架构是非常庞大和复杂的,想要非常全面地介绍每个技术细节是不现实的,下面简要分析在整个应用环境当中所占比例较大的各个环境的详细安全需求。
1)、移动设备安全分析
移动设备以网络环境客户端的形式展现,当前的移动设备种类繁多,A公司全面支持所有符合第二代数字移动通信标准的设备,包括支持移动上网的笔记本、便携笔记本、手机、智能手机、支持上网功能的个人数字助理(PDA)、汽车或其他电器设备上的嵌入式联网设备等等,并且在所谓2.5G和3G应用上做了大量的技术和资本投入。对当前设备上所使用的操作系统进行分类,如同PC电脑的分类一样,大致可以分为以下几类:Palm OS、Pocket PC、Symbian、嵌入式Linux以及Windows Mobile等。
这些移动设备的共同点就是缺乏相对较弱的嵌入的安全防护,比如,一台看来功能强大的智能手机,使用Windows Mobile操作系统但缺乏相应的安全防护机制,而目前移动客户端的安全防护实现的也仅限于笔记本等具备强大处理能力、安装有常见操作系统的客户端,采用的防护策略也是与现有安全防护机制无异的PC防护机制。这也是一旦有手机病毒诞生,便可以在极短的时间内感染大量手机、并造成恶劣影响的重要原因之一。
手机的广泛普及率远超计算机的普及率,因此潜在的庞大的市场需求带来的是市场驱动力,已经在PC领域占领相当份额的厂商不会坐失这一庞大的潜在市场,从硬件厂商到软件厂商,纷纷开始制定策略以进入该领域。硬件领域涉及的范围较高端,对于普通用户难以有所选择,芯片厂商可以通过研发加密处理器、智能卡等设备增强移动客户端的加密和通信安全,甚至把部分现有的军用通信加密技术引入到民用设备的生产当中,从硬件级别上提升整体的安全防护级别。
本文更为关注的是软件领域的防护,尽管当前在针对轻便客户端的防护软件尚未形成规模,但有一系列的实施策略来指导软件的开发和实施。
依据A公司的实施经验,在该领域可以分为以下几类:
①基于软件的数据加密。能够在客户端移动操作系统上运行的基于软件的数据加密工具。
②网络层安全。针对具备强大计算能力的客户端,提供网络层客户端强化功能,采用诸如IPSec/VPN之类的客户端访问安全保障以提供增强的安全访问机制。
③传输层安全。在A公司的现行解决方案中,采用技术上成熟的TLS/SSL数据传输解决方案,尽管这两项技术并没有细化到支持“瘦”移动客户端的程度,但在最优的技术标准出现之前,最大程度选择并使用传输安全机制,能够实现最大意义上的安全防护。
④应用程序级别数据加密。提高运行于客户端上的特定应用程序自身的安全级别,例如运行于客户端上的即时通信工具,应加强通信加密以防止潜在的无线嗅探与信息监听。
除硬件层面和软件层面的潜在安全威胁和提升安全的因素之外,更为重要的是作为客户端使用者的人的安全意识的提升和安全防范支持的了解,从物理层面上做好客户端的安全防护,并采用有效的软件方法来提升整体的安全防护。
| 共4页: 1 [2] [3] [4] 下一页 | ||||||
|
