随着包括智能手机在内的各种移动设备的广泛普及，以及基于云计算的应用的增多，移动设备越来越多地被应用到组织的业务中。移动设备已经成为组织/企业/公司的整个网络基础设施的一个基本要素。智能手机、平板电脑和移动存储媒体等移动设备为个人提供了更多便利，并能够提高工作效率。由于移动设备的特性和广泛的使用，其面临的安全问题也越来越突出。移动设备面临的安全威胁包括：

（1）企业缺乏对移动设备的物理安全控制。

移动设备通常完全在用户的控制之下，很多时候会在企业控制之外的各种地方使用，这可能会导致设备被盗或其中的数据遭到修改。

（2）员工可能会使用不可信的移动设备。

除了公司分发和公司控制的移动设备外，几乎所有的员工都有个人的智能手机或平板。公司必须假定那些设备并不是可信的。也就是说，设备可能没有使用加密，用户或第三方可能安装了某种旁路机制来绕过内置的安全及使用限制，等等。

（3）设备可能会通过不可信的网络访问企业网络。

如果在企业内部使用移动设备，它可以通过企业的内部无线网络来访问企业的资源。但是，如果在企业外部使用设备，用户通常会通过Wi-Fi或蜂窝网络连接到Internet来访问企业的资源。移动设备和企业网络之间的网络并不是可信的，其上的网络流量很容易遭到窃听或中间人攻击。

（4）设备会使用来源不明的应用程序。

在移动设备上很容易安装第三方应用程序，用户可能会安装包含有恶意代码的程序。

（5）设备会与其他系统交互。

智能手机和平板电脑上的一项常见功能是自动地将数据、应用程序、联系人、照片等同步到其他计算设备和云存储上。这可能会将企业的数据保存到不安全网络中，还可能会引入恶意程序。

（6）设备可能会使用不可信的内容。

移动设备可以访问和使用其他计算设备不会遇到的内容，如访问二维码。恶意二维码可以将移动设备引导到恶意的网站。

（7）位置服务可能会被攻击者利用。

移动设备上的GPS功能在给用户带来便利的同时，也可能会带来安全风险。攻击者能够利用位置信息来确定设备和使用者所在的位置，这可能对攻击者有用。

针对以上移动设备可能会遇到的安全威胁，以下是一些建议的应对策略。这些策略涉及3个方面：① 设备安全；② 客户端/服务器流量安全；③ 网络边界安全。

（1）移动设备安全。

企业可以为员工配备设备，并将其配置为符合企业的安全策略。如果允许员工使用自己的移动设备，企业IT管理人员应该在这些设备进行检查之后才允许其访问企业网络。禁止获得Root权限的Android设备或已“越狱”的苹果设备访问企业网络。禁止将企业内部的联系方式保存在本地。(www.daowen.com)

无论哪一类设备，都应该做到：

① 启用自动锁定功能，同时启用口令或PIN码保护。

② 避免让程序记住用户名和口令。移动设备上的很多程序默认会自动记住用户输入的用户名和口令，以减轻重新输入的麻烦。但是，如果设备被盗或丢失，其他人会很容易登入你的账户。所以，应该避免使用这类自动记住功能。

③ 启用远程擦除。这样，当设备丢失或被盗，可以远程删除设备上的重要数据。

④ 如果可用，启用SSL保护。

⑤ 保持软件是最新的，包括操作系统和应用软件。

⑥ 安装恶意软件防范软件。

⑦ 要么禁止在设备上存储敏感数据，要么加密存储。

⑧ 禁止安装第三方应用；或者使用白名单机制来阻止安装未被认可的程序，任何被认可的程序都应该带有数字签名；或者实现一个安全沙盒，将企业的数据和应用与设备上的其他数据和应用隔离开来。

⑨ 可以对设备的同步功能和云存储的使用进行适当的限制。

⑩ 小心恶意的二维码。必要时，禁用相机功能。

⑪ 必要时，禁用定位服务。

（2）流量安全。

流量安全主要依靠加密和认证技术实现。所有的流量都应该被加密并通过安全的方式（如TLS或IPSec）进行传输。可以配置虚拟专用网络（VPN），以便移动设备和企业网络之间的所有流量都受到VPN的保护。采用合适的身份认证技术来限制设备对企业网络的访问。最好既对设备认证，也对使用设备的用户认证。

（3）边界安全。

采用合适的安全机制保护网络免受未经授权的访问，如防火墙、入侵检测系统（IDS）和入侵防护系统（IPS）。可以针对特定的移动设备流量来配置防火墙规则。配置防火墙来限制所有移动设备可访问的数据和应用程序。