隨著越來越多的企業(yè)開始使用移動寬帶網(wǎng)絡，IT管理人員們也開始非常關注安全問題。保護數(shù)據(jù)在傳輸過程中的安全只能算是移動安全策略的一部分，企業(yè)也必須保護好設備和存儲數(shù)據(jù)的安全，但是從傳輸渠道安全抓起是個良好的開端。

　　關于無線安全的好消息就是，現(xiàn)在的移動寬帶網(wǎng)絡已經(jīng)增強了安全功能。最新的3G技術(包括WiMax等)包含很強大的加密功能。AT&T和T-Mobile采用128位的Kasumi加密算法能夠提供高速分包接入，而Sprint和Verizon提供的CDMA2000提供128位高級加密標準加密，WiMax使用的也是AES。

　　加密無法保障安全

　　壞消息就是，AES存在嚴重缺陷：首先，AES激活功能主要是運營商可選擇的功能。AT&T表示，他們的Kasumi加密總是運行的，但是Verizon并沒有透露是否其加密功能是可選的。此外，即使你的運營商使用了加密功能，你的用戶也可能漫游到?jīng)]有加密的網(wǎng)絡。

　　有些運營商提供網(wǎng)絡虛擬專用網(wǎng)(VPN)或者專用線路來處理未加密的數(shù)據(jù)，這樣當你與運營商有大量數(shù)據(jù)交換時在后端就有很多保護功能，但是這些保護功能可能會很復雜。即使你的無線連接是安全的，用戶也有可能通過其他接入網(wǎng)絡(如未受保護的Wi-Fi熱點等)。Wi-Fi功能是筆記本和智能手機常見的功能。

　　端到端安全

　　有安全意識的管理人員采用的方法就是部署一個端到端安全系統(tǒng)，這樣就可以使用移動中間件或者VPN，這兩種方式都能夠進行空中無線連接并保護互聯(lián)網(wǎng)連接。用戶數(shù)據(jù)最好采用通過測試的端到端解決方案(如VPN)。

　　你的VPN選擇包括IP安全專用網(wǎng)、安全套接字層專用網(wǎng)或者移動虛擬專用網(wǎng)。很多企業(yè)已經(jīng)對遠程接入使用了IPsec或者SSL VPN，雖然越來越多的企業(yè)也開始轉向移動專用網(wǎng)，特別是對于經(jīng)常不在辦公室辦公的員工。

　　移動寬帶網(wǎng)絡是基于IP網(wǎng)絡的，因此虛擬專用網(wǎng)絡是可行的，即使是那些為有線網(wǎng)絡設計的。只要用戶在固定位置操作系統(tǒng)，在信號好的情況下，現(xiàn)有的企業(yè)IPsec或者SSL VPN都能夠很好的運作。VPN需要增加一些通道，但是有了傳統(tǒng)的1Mbps吞吐量和大量的采購計劃，增加通道不會是問題。

　　有些無線網(wǎng)絡設有專用IP地址(除非要求公共IP地址)，專用IP地址確實需要IPsec來幫助在所謂的網(wǎng)絡地址轉換(NAT)穿越模式運行，幸運的是，NAT穿越模式對于大多數(shù)現(xiàn)代IPsec VPN都是自動的。

　　考慮會不斷變化的一個參數(shù)就是連接信息，這些信息允許VPN集中器能夠終止與客戶的會話不再連接。但是如果用戶是暫時離開網(wǎng)絡覆蓋范圍(如開車駛入隧道)，這可以通過禁用連接信息來實現(xiàn)更好的連接彈性。如果VPN采用了更復雜的連接方式，如Dead Peer Detection，則應該將其調(diào)整為最大允許值。

　　雖然這些變化可以使VPN更加穩(wěn)定，更重要的是要認識到，為客戶保持會話可能會帶讓集中器承受更大的負荷。從3G的速度來看，VPN數(shù)據(jù)壓縮功能通常都是凈值，你可能不希望為高速有線寬帶用戶打開壓縮功能。在某些時候，壓縮數(shù)據(jù)的所需時間比發(fā)送少量數(shù)據(jù)出去節(jié)省的時間要大得多，因此，你可能會想為移動用戶(不同于有線用戶)保持VPN檔案，連接管理信息也可以記錄在這些檔案中。

　　你可能碰到的另一個問題就是，你的VPN供應商可能不會為客戶提供特殊平臺。這些可以由第三方供應商提供(如NCP Engineering)，還可以提供集中器，使IT管理人員能夠執(zhí)行端點政策，如檢查更新防病毒保護和軟件的最新版本等。不符合政策安全要求的設備可以直接導向到特殊的子網(wǎng)來下載其所需要的文件。

　　很多集中器都支持SSL和IPsec，SSL VPN對于移動用戶來說有一個優(yōu)勢：他們可以支持所有手機上的基于瀏覽器的應用程序，從而支持更多移動平臺。SSL VPN供應商能夠支持移動門戶網(wǎng)站，直接將移動用戶導向到合適的資源。

　　使用SSL VPN支持非瀏覽器應用程序通常需要額外的客戶端代碼，因此需要支持手持設備上廣泛應用程序的企業(yè)仍然需要考慮能夠運行SSL VPN代碼的平臺。

　　數(shù)據(jù)傳遞的不同階段需要不同的保護

　　有線加密僅適用于移動設備到運營商網(wǎng)絡內(nèi)的支持節(jié)點，公共Wi-Fi接入點通常沒有安全加密，企業(yè)需要安裝VPN以確保端到端無線數(shù)據(jù)保護。

　　配置

　　除了保護連接安全，企業(yè)可能還想要控制企業(yè)移動設備上的行為，來自Trellis和其他供應商的配置管理系統(tǒng)讓這成為可能。這些產(chǎn)品可以控制設置，包括執(zhí)行企業(yè)VPN限制、防止網(wǎng)絡橋接(3G到企業(yè)網(wǎng)絡)以及確保適當?shù)拇�理配置�?/font>