MSIA(信息安全保障硕士)、Gordon Merrill一直在思考有关操作系统移动性和云的安全问题。本文以及随后的4篇系列专栏主要取材于Merrill先生在诺威治大学攻读MSIA时的一些论文。以下的所有内容基本上都是Merrill自己的著述，仅做了一些微小的编辑上的改动。

　　* * *

　　信息安全保障这个专业如今越来越令人失望了，原因之一就是越来越多的移动设备正逐渐成为大多数人的计算工具。去年3月，Coda研究咨询公司曾经发布过一份研究报告，报告预测：“美国的手机数据流量将从2010年的每月8PB猛增到2015年的每月327PB。”这就是说，仅手机数据流量一项的年度复合增长率就高达每年110%。

　　PC不再是接入互联网的主要设备了。在常规计算领域，移动设备与PC的使用比例甚至已经不再是1:1了。要求员工只能使用企业发放的设备接入互联网的时代估计很快就会结束。而到2013年底之前，大约会有数十亿部移动设备在用，就连企业客户都将会手拿好几种移动设备来做商务了。

　　网名叫Cheesemunk的黑客发帖称，“我们如今已经不再选定一个目标开始疯狂攻击了，我们所需要的就是一个IP地址而已。”接着该贴的作者就演示了如何黑掉任意一个网站的细节，只要该网站的IP地址可以获得即可实施。

　　当我们有一套或者两套操作系统(OS)，比如说使用多台移动设备时，信息安全保障任务是相当艰巨的。在向移动互联迁移的过程中，最大的担忧就是：面对制造商、各种型号手机以及多种软件版本出现组合式激增时，我们如何才能保护自己的信息安全。

　　下面是对这种组合式激增的一种假设式的分析实例。假设我们有

　　● 10家不同的移动设备制造商

　　● 每家生产20种不同型号的手机

　　● 所有设备都可在任意移动网络中使用

　　● 每部设备都有自己的OS

　　● 大多数用户没有升级必要，所以每种情形下可能有多达5种版本的OS

　　在这样的假设场景中，我们将不得不应对如下的局面：

　　● 10 x 20 = 200种型号的设备

　　● 每部设备可用于10种不同的网络 = 200 x 10 = 2000种不同使用情形

　　● 每种情形下可能有多达5种不同的OS版本 = 5 x 2000 = 10000种不同的软硬件版本

　　那么，我们如何控制这1万种不同的设备/OS的连接配置，又能不疯掉呢?回答是，我们不能。

　　我们必须重新认识有关我们基础设施的内外概念。不应试图在用户千差万别的移动设备上强制执行统一的策略，而应该适当地限制哪些数据可以部署给授权用户。不应试图专门做特殊的配置，而应该测试移动设备与功能性安全需求是否合规。网络行业必须要为移动设备研发等效的网络接入控制，这样我们才能验证移动设备是否遵从一些最低的安全要求，例如阻止和拦截恶意软件。

　　一家拒绝在本文中提及其名称的研究机构最新发布了一份报告，对目前的移动设备管理软件进行了排名，排在前几位的分别是AirWatch、Good Technology、MobileIron、Sybase和Tangoe，但是这些公司的软件似乎只能在某些品牌和型号的移动设备上使用。其中有些软件用到了开放移动联盟(OMA)的设备管理规范。

　　我们需要安全软件专家们采取措施，让移动设备能够证明自己在连接到企业的系统时是值得信任的。

　　本文的第二部分将讨论数据系统是否已为4G连接做好了准备。

　　* * *

　　MSIA、Gordon Merrill目前在美国田纳西州生活和工作。他的职业足迹遍布美国50个州中的48个，以及美国以外的6个国家。Gordon的信息安全保障背景包括为一些大型电脑公司，如IBM工作，为财富250强企业管理着风险管理的IT项目，并拥有自己的企业，同时还是私人咨询师。他还出任过田纳西州查塔诺加ITT技术学院信息技术分校的校长三年。

　　M.E.Kabay、博士、CISSP-ISSMP(国际注册信息系统安全专家-信息系统安全管理专家)、安全与运营管理咨询服务专家兼培训专家。他还是Adaptive Cyber安全仪器公司的CTO，兼诺威治大学商业管理学院信息安全保障与统计学教授。(