隨著越來(lái)越多的企業(yè)開始使用移動(dòng)寬帶網(wǎng)絡(luò)，IT管理人員們也開始非常關(guān)注安全問(wèn)題。保護(hù)數(shù)據(jù)在傳輸過(guò)程中的安全只能算是移動(dòng)安全策略的一部分，企業(yè)也必須保護(hù)好設(shè)備和存儲(chǔ)數(shù)據(jù)的安全，但是從傳輸渠道安全抓起是個(gè)良好的開端。

　　關(guān)于無(wú)線安全的好消息就是，現(xiàn)在的移動(dòng)寬帶網(wǎng)絡(luò)已經(jīng)增強(qiáng)了安全功能。最新的3G技術(shù)(包括WiMax等)包含很強(qiáng)大的加密功能。AT&T和T-Mobile采用128位的Kasumi加密算法能夠提供高速分包接入，而Sprint和Verizon提供的CDMA2000提供128位高級(jí)加密標(biāo)準(zhǔn)加密，WiMax使用的也是AES。

　　加密無(wú)法保障安全

　　壞消息就是，AES存在嚴(yán)重缺陷：首先，AES激活功能主要是運(yùn)營(yíng)商可選擇的功能。AT&T表示，他們的Kasumi加密總是運(yùn)行的，但是Verizon并沒(méi)有透露是否其加密功能是可選的。此外，即使你的運(yùn)營(yíng)商使用了加密功能，你的用戶也可能漫游到?jīng)]有加密的網(wǎng)絡(luò)。

　　有些運(yùn)營(yíng)商提供網(wǎng)絡(luò)虛擬專用網(wǎng)(VPN)或者專用線路來(lái)處理未加密的數(shù)據(jù)，這樣當(dāng)你與運(yùn)營(yíng)商有大量數(shù)據(jù)交換時(shí)在后端就有很多保護(hù)功能，但是這些保護(hù)功能可能會(huì)很復(fù)雜。即使你的無(wú)線連接是安全的，用戶也有可能通過(guò)其他接入網(wǎng)絡(luò)(如未受保護(hù)的Wi-Fi熱點(diǎn)等)。Wi-Fi功能是筆記本和智能手機(jī)常見(jiàn)的功能。

　　端到端安全

　　有安全意識(shí)的管理人員采用的方法就是部署一個(gè)端到端安全系統(tǒng)，這樣就可以使用移動(dòng)中間件或者VPN，這兩種方式都能夠進(jìn)行空中無(wú)線連接并保護(hù)互聯(lián)網(wǎng)連接。用戶數(shù)據(jù)最好采用通過(guò)測(cè)試的端到端解決方案(如VPN)。

　　你的VPN選擇包括IP安全專用網(wǎng)、安全套接字層專用網(wǎng)或者移動(dòng)虛擬專用網(wǎng)。很多企業(yè)已經(jīng)對(duì)遠(yuǎn)程接入使用了IPsec或者SSL VPN，雖然越來(lái)越多的企業(yè)也開始轉(zhuǎn)向移動(dòng)專用網(wǎng)，特別是對(duì)于經(jīng)常不在辦公室辦公的員工。

　　移動(dòng)寬帶網(wǎng)絡(luò)是基于IP網(wǎng)絡(luò)的，因此虛擬專用網(wǎng)絡(luò)是可行的，即使是那些為有線網(wǎng)絡(luò)設(shè)計(jì)的。只要用戶在固定位置操作系統(tǒng)，在信號(hào)好的情況下，現(xiàn)有的企業(yè)IPsec或者SSL VPN都能夠很好的運(yùn)作。VPN需要增加一些通道，但是有了傳統(tǒng)的1Mbps吞吐量和大量的采購(gòu)計(jì)劃，增加通道不會(huì)是問(wèn)題。

　　有些無(wú)線網(wǎng)絡(luò)設(shè)有專用IP地址(除非要求公共IP地址)，專用IP地址確實(shí)需要IPsec來(lái)幫助在所謂的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)穿越模式運(yùn)行，幸運(yùn)的是，NAT穿越模式對(duì)于大多數(shù)現(xiàn)代IPsec VPN都是自動(dòng)的。

　　考慮會(huì)不斷變化的一個(gè)參數(shù)就是連接信息，這些信息允許VPN集中器能夠終止與客戶的會(huì)話不再連接。但是如果用戶是暫時(shí)離開網(wǎng)絡(luò)覆蓋范圍(如開車駛?cè)胨淼?，這可以通過(guò)禁用連接信息來(lái)實(shí)現(xiàn)更好的連接彈性。如果VPN采用了更復(fù)雜的連接方式，如Dead Peer Detection，則應(yīng)該將其調(diào)整為最大允許值。

　　雖然這些變化可以使VPN更加穩(wěn)定，更重要的是要認(rèn)識(shí)到，為客戶保持會(huì)話可能會(huì)帶讓集中器承受更大的負(fù)荷。從3G的速度來(lái)看，VPN數(shù)據(jù)壓縮功能通常都是凈值，你可能不希望為高速有線寬帶用戶打開壓縮功能。在某些時(shí)候，壓縮數(shù)據(jù)的所需時(shí)間比發(fā)送少量數(shù)據(jù)出去節(jié)省的時(shí)間要大得多，因此，你可能會(huì)想為移動(dòng)用戶(不同于有線用戶)保持VPN檔案，連接管理信息也可以記錄在這些檔案中。

　　你可能碰到的另一個(gè)問(wèn)題就是，你的VPN供應(yīng)商可能不會(huì)為客戶提供特殊平臺(tái)。這些可以由第三方供應(yīng)商提供(如NCP Engineering)，還可以提供集中器，使IT管理人員能夠執(zhí)行端點(diǎn)政策，如檢查更新防病毒保護(hù)和軟件的最新版本等。不符合政策安全要求的設(shè)備可以直接導(dǎo)向到特殊的子網(wǎng)來(lái)下載其所需要的文件。

　　很多集中器都支持SSL和IPsec，SSL VPN對(duì)于移動(dòng)用戶來(lái)說(shuō)有一個(gè)優(yōu)勢(shì)：他們可以支持所有手機(jī)上的基于瀏覽器的應(yīng)用程序，從而支持更多移動(dòng)平臺(tái)。SSL VPN供應(yīng)商能夠支持移動(dòng)門戶網(wǎng)站，直接將移動(dòng)用戶導(dǎo)向到合適的資源。

　　使用SSL VPN支持非瀏覽器應(yīng)用程序通常需要額外的客戶端代碼，因此需要支持手持設(shè)備上廣泛應(yīng)用程序的企業(yè)仍然需要考慮能夠運(yùn)行SSL VPN代碼的平臺(tái)。

　　數(shù)據(jù)傳遞的不同階段需要不同的保護(hù)

　　有線加密僅適用于移動(dòng)設(shè)備到運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)的支持節(jié)點(diǎn)，公共Wi-Fi接入點(diǎn)通常沒(méi)有安全加密，企業(yè)需要安裝VPN以確保端到端無(wú)線數(shù)據(jù)保護(hù)。

　　配置

　　除了保護(hù)連接安全，企業(yè)可能還想要控制企業(yè)移動(dòng)設(shè)備上的行為，來(lái)自Trellis和其他供應(yīng)商的配置管理系統(tǒng)讓這成為可能。這些產(chǎn)品可以控制設(shè)置，包括執(zhí)行企業(yè)VPN限制、防止網(wǎng)絡(luò)橋接(3G到企業(yè)網(wǎng)絡(luò))以及確保適當(dāng)?shù)拇�理配置�?/font>