许多媒体在展望 2008 年时称 2008 年是“移动年”，包括：移动办公、移动商务、移动生活、移动银行、移动支付、移动证券、移动基金、移动娱乐、移动奥运、移动电视等等，似乎一切都要“移动”起来。的确，随着 3G 网络、 WiFi 网络的普及覆盖以及各种高端智能手机的普及，使得各种原先只能在电脑和固网上运行的应用都可以在无线网和移动终端设备上运行，将大大方便用户任何时候 (Anytime) 、在任何地方 (Anywhere) 获得任何信息和处理任何事务 (Anything) ，可以说是生活和工作的最高境界 ( “ AAA ” ) 。但是，就像电脑和固网 ( 互联网 ) 的普及应用一样，在享受网络的方便的同时，将伴随着许多信息安全风险，而且毫不夸张地讲，无线移动应用比有线固网应用更不安全，更需要采取更严格的信息安全保护措施。

     移动应用的信息安全问题主要体现在如下 3 个方面：

     (1) 首先是智能手机的普及，各种病毒也开始瞄准移动终端设备，病毒发作后轻则让手机瘫痪，重则让移动银行帐户的巨款不翼而飞；移动设备由于无法向电脑一样方便系统重装而更加脆弱，更加容易遭到攻击而无法恢复；

     (2) 移动网络是一个开放的网络，无线信道是一个开放的信道，没有传输加密机制，没有身份验证机制，甚至可以认为比固网的互联网还要开放，所传输的信息还要容易被非法截获、非法窃听和非法篡改。所以，如果不采取任何加密措施，基于 GPRS 数据传输的各种移动应用的机密数据可以说真的是毫无安全性可言，非常非常的不安全；

     (3) 各种移动应用的身份验证问题，仅仅像其他电脑上的应用一样基于用户名 / 密码是非常不安全的，因为这些无线传输的用户名和密码太容易被截获了。

     以上三个方面的信息安全问题绝对不是笔者危言耸听，是实实在在存在的风险，而目前各种移动应用服务提供商还只顾得上开发各种移动应用而迅速抢占市场，还没有顾得上考虑其信息安全问题，而用户往往由于信息安全知识有限而由于方便就使用了。如果移动网络运营商和移动应用服务提供商不能认识到这点而及时采取相应措施，迟早会出大问题的。

     笔者就仅从信息安全专业出发，就以上三大问题提出可行的解决方案和建议，希望能对业界的健康发展有所帮助。具体包括：

     (1) 针对手机病毒问题，许多杀病毒软件提供商也开始提供手机防病毒软件，但“防”绝对是防不胜防的，关键的是智能手机要支持数字签名安全机制，目前基于 Symbian 操作系统的诺基亚和索爱手机在这方面支持很好，没有数字签名的软件是不允许安装的，这样才能彻底杜绝用户可能安装恶意软件而感染病毒的可能，是治本的解决方案。而国产手机在这方面还有相当大的差距，可以说，不支持数字签名安全机制的手机就不能称之为智能手机，所以笔者认为“ 中国手机制造业需要支持数字签名安全机制与制定行业标准 ”。

     (2) 无论是基于 WAP 还是 Web 的无线访问移动应用系统，同互联网一样都是明文传输的，所以各种机密信息在无线网络中传输时是很不安全的，必须部署 SSL 证书来加密传输的机密信息。这不仅要求服务器端部署 SSL 证书，还要求移动终端设备也要支持 SSL 加密 ( 即：支持 https 浏览 ) ，而目前也只有一些著名品牌 ( 如：诺基亚和索爱等 ) 的手机才支持，国产手机基本上都还不支持。

     (3) 由于无线网的开放性，所以用户名 / 密码方式的身份验证方式非常不安全，最可行的方案是在手机 SIM 卡中集成客户端证书 ( 个人证书或设备证书 ) ，用客户端证书实现强身份验证、数字签名和数据加密。这当然更需要移动网络运营商和手机制造商的支持，但从技术上来讲是非常容易实现的，需要的是业界有一个标准来统一部署实施。

     总的来讲，移动应用的确方便和精彩，但作为普通用户要注意其不安全问题，尽量不要进行太重要的应用操作 ( 如果没有数字签名和没有部署 SSL 证书的话 ) ；而作为移动服务提供商则一定要给自己的软件代码签名来确保不会被非法篡改和让用户放心使用；而作为移动网络运营商则应该牵头建立一套数字签名和加密传输的安全机制，使得每个参与者能共同打造一个安全的移动应用网络；而作为国产手机制造商，需要向国际著名品牌学习，联合业界共同制定一个中国自己的手机数字签名安全机制行业标准，从而打造出高端的安全的移动终端设备。