移動計算是一種範式轉變,從個人計算機及其基礎設施轉向由鬆散連接的平台組成的大型且靈活的網絡。
它擁有新的平台、操作系統、應用程序和解決老問題的令人興奮的新方法。隨著範式轉變的勢頭增強,該技術的應用範圍不斷擴大,涵蓋了該技術設計時從未考慮過的領域。風險緩解要求往往被忽視,因為設備的易用性、經濟性和可負擔性迫使其使用。用戶往往對其信息的風險很天真,只享受使用信息帶來的好處,而沒有過多考慮潛在的危險。
不需要對用戶進行識別和驗證的移動設備被視為匿名用戶。
匿名是一個問題,因為不可能對用戶操作強制實施責任或根據先前授予的訪問權限來調解對資源的訪問。實際上,任何匿名用戶都可以僅根據對設備的物理訪問來使用所有移動設備資產。隨著移動設備支持的應用程序擴展到包括電子商務交易和管理隱私相關數據,可用性非常重要。
應用程序的透明度是一個問題,存儲機密信息的應用程序被發現將信息存儲在與第三方共享的中間文件中,而原始信息的用戶不知情或未同意。
計算技術的範式轉變往往會忽略可能使其複雜化或延遲其接受的問題,信息安全就是一個例子。向客戶端-服務器和無線網絡的轉變經歷了一段時期,保護要求仍未得到解決,並且出現了嚴重的問題。移動計算正在走類似的道路,忽視舊的經驗教訓並不會降低它們的重要性,而只是意味著必須重新學習它們。至此,保護措施已得到充分了解,因此通往安全解決方案的道路不必像過去的經驗所表明的那樣痛苦。
繞過上一代的保護措施對平台來說有實實在在的好處。
管理大大簡化,並且消除了大量處理和其他開銷,從而提高了性能。消除了與用戶刺激相關的措施,提高了用戶體驗和滿意度,促進接受。
移動設備的大部分通信都依賴於互聯網,互聯網竊聽或劫持是眾所周知的,並且常見的攻擊是為了竊取數據而進行的,當使用加密措施時,加密將擊敗這種攻擊。通信的可靠性是一個重要問題,因為時間敏感的應用程序依賴它來完成創收交易並為各種活動提供令人滿意的用戶體驗。我們正在迅速解決掉線問題。
缺乏共同的保護措施是一個不小的問題,增加了長期以來被認為已經最小化的風險。允許竊賊將設備用於其預期目的的設備盜竊正在讓位於以訪問特定數據為目的的盜竊,通常與其他被盜數據打包出售給別有用心的客戶。與出於大規模欺詐或身份盜用目的而竊取數據相比,竊取郵件列表以出售給垃圾郵件發送者是一件令人討厭的事情。
公司實體正在向對應用程序了解很少或根本沒有了解的當前和潛在客戶提供應用程序,依賴提供商來滿足提供商的要求或關注範圍之外的數據安全要求。隨著提供商的期望發展到關鍵業務級別,滿足客戶期望對於提供商來說將變得越來越重要,從而使需求變得更加複雜,並且需要越來越複雜的應用程序。
公司還向員工提供移動設備作為生產力工具,而沒有認真考慮設備將處理、存儲或傳輸的公司數據。
移動計算平台的配置管理充其量是非正式的。
每次引入新應用程序時,輕鬆訪問應用程序都會帶來風險。如果不鼓勵的話,允許在平台上使用敏感信息會使這些信息面臨一系列很大程度上未定義且知之甚少的風險,包括妥協、完整性喪失和不可用。
管理交易和支付信息的電子商務應用程序受到支付卡行業數據安全標準 (PCI DSS) 的關注。如果主機移動設備不提供基本保護措施,則不太可能遵守 DSS,從而引發許多嚴重問題。與下一代交易處理應用程序相關的信息價值正在增加,鼓勵執行複雜的攻擊來竊取最有價值的資產。
我們繼續早期針對移動設備的惡意活動。最近至少發生了一次針對移動目標的大規模攻擊,隨著技術使用的增長和攻擊策略的完善,可能會發生更複雜的攻擊。使用惡意軟件的攻擊繼續出現,儘管除了缺乏可利用的公認算法漏洞之外,似乎不存在嚴重的技術障礙。
將移動計算集成到支持關鍵業務應用程序的架構中仍然是一個尚未開發的機會。
這種情況能持續多久是一個嚴肅的問題,更換台式電腦有著令人信服的經濟驅動力——它必鬚髮生。將移動應用程序鏈接到服務器已經在實驗階段進行。這將顯著提高平板電腦和其他不斷發展的移動設備的風險。企業對強大解決方案的需求將給技術提供商帶來壓力,要求他們能夠將應用程序平台安全擴展至消息傳遞和電子商務之外,而這又回到了解決傳統的保護需求。
移動計算技術是否已在大規模應用中“準備好迎接黃金時期”還有待觀察。顯然,應用程序開發人員和架構師需要在遵守法定隱私要求以及對用戶機密性的非正式期望方面吸取大量經驗教訓。在擁有大量用戶和大量公司收入的生產環境中,早期採用者不太可能容忍可能被解釋為技術故障的問題。
由於移動計算還處於起步階段,跨平台存儲和傳輸的信息處理、存儲和傳輸缺乏有意義的保障措施是一個嚴重的問題。在不考慮用戶和技術提供商風險的情況下將技術用於新應用程序會增加經過深思熟慮和執行的攻擊造成潛在損害的可能性和範圍。上課鈴響了,上課了。