【TechTarget中国原创】大多数人都知道移动系统有商业风险。知道这种情况之后，一些网络管理员采取一切措施禁止移动计算。没有笔记本电脑、没有无线网络、没有掌上电脑、什么移动设备都没有。另一方面，许多人公开允许使用移动设备，很少采用限制措施，以至于使用移动设备变成了员工的一种“权力”。在设法实现安全与应用性的平衡方面，这两种做法都属于极端的做法。但是，我经常看到这两种做法。无论你以哪一种方式支持移动性或者采取一种介于两种之间的做法，几乎都可以肯定安全问题仍然存在。

　　下面是我认为的一些重要的移动安全错误。要小心对待这些错误，并且要在将来控制这些错误。

　　1.不知道什么是真正的风险

　　大多数员工和经理人真的没有想到会丢失什么，特别是在涉及到对移动设备缺乏物理安全控制的问题时。简单地说，人们没有评估商业资产的价值，没有足够认真地对待威胁和安全漏洞问题。更糟糕的是，企业的许多人都不知道他们拥有什么信息，这些信息在什么地方或者不知道这些信息的价值。在大多数情况下，这是因为管理层没有向员工灌输有关隐私和安全的企业文化。这种情况经常导致安全疏漏以及造成企业级问题的令人遗憾的安全突破。

　　2.没有足够认真地对待有关的复杂性

　　很容易设想简单地解决移动安全问题。你仅仅加密无线通讯和笔记本电脑硬盘，然后就万事大吉了，对吗?实际并非如此。对于初学者来说，重要的问题是如何使用加密和什么时候加密。我多次看到和听说网络管理员采取错误的方法实施这些控制。他们的动机是迅速完成这个工作以便让用户满意。还有一个问题是没有结构的文件岛屿分散在笔记本电脑和掌上电脑的各个地方。这种文件到处都是，然后就出现了对这些敏感的数据实施的没有限制的攻击。

　　由于缺少物理控制，未经授权的使用是很难预防和跟踪的。最后，我强烈认为有关政策和人的全部问题都被低估了。也就是说，需要安全政策、流程和说服用户来保证移动系统的安全。移动安全的软件方面是复杂的，不能轻松地对待这方面的问题。

　　3.过分信赖人

　　谈到人，IT部门和高级管理层的许多人都过分信赖员工、甚至过于相信外部的承包商和其他访问者。他们经常被授予移动设备的许多权限，如入网和出网的权限。但是，没有人真正知道他们如何使用这些权限。我们经常依靠这些用户做正确的事情，帮助限制移动安全弱点。但是，这些人不可能帮助做有关安全的事情，因为这些人在工作日期间有数百件其它要关心的事情，根本想不到安全的事情。

　　4.不使用技术帮助

　　有许多过分依赖政策保证信息安全的情况，特别是在管理层。这种假定是政策已经制定了，因此一切都是安全的和很好的。有许多安全控制没有约束大多数计算机、掌上电脑和无线局域网系统。从Windows Vista中启动口令到BitLocker硬盘加密，从WPA加密到微软TTTP VPN，有许多解决方案。重要的是做出使用这些技术的选择。如果你需要的控制措施不是默认的措施，还有许多解决方案能够从根本上保证你的移动系统的安全。

　　5.不理解坏蛋是如何工作的

　　最令我气恼的事情之一是许多移动系统(包括无线局域网)没有适当地测试安全漏洞。事实上，移动系统经常在安全评估的范围之外。我们检查防火墙、操作系统、网络应用程序和数据库，但是，容易忽略移动系统，因为已经有一些基本的控制措施。在进行的测试中，人们通常测试检查列表，没有对黑客的攻击方法进行深入测试，以便发现哪些安全措施能够被绕过，哪些漏洞能够被利用。以恶意的态度和良好的工具检查移动系统对于发现真正的问题是绝对必要的。

　　移动安全问题不会消失。管理层无论是否支持移动性，移动性都会以某种形式存在。大多数移动安全漏洞都是看不到和想不到的。但是，不要被欺骗，移动安全漏洞仍然存在。

　　最后，有两项选择：

　　1.采取行动防止移动安全突破。

　　2.在安全突破之后做出反应。

　　根据我们看到的情况，前者比后者更容易和更便宜。要把移动安全当作一项最优先的事情，开始查出这些安全漏洞。最终，你将获得你需要的控制。