提升最终用户安全：实用建议

● 对于特定的服务，谁负责认证最终用户？需要支持什么认证协议？需要验证多少最终用户？

● 最终用户的保密需求是什么？他们的个人细节数据可以被用于第三方吗？

● 有没有规定的机制或协议，用来保护通信通道的完整性（如支持SSL、HT-TPS^[2]、加密和密码系统/PKI^[3]技术）？需要什么机制来确保数据传输的完整性不被破坏？

● 需要什么机制来防止会话劫持（session hijacking）？需要支持什么会话层安全机制（或安全协议）？

● 服务需要遵守什么隐私策略？我们怎样确保最终用户档案不被未授权者访问？

● 此项服务有什么数据保护法规方面的需求吗？

● 是否需要保护最终用户不遭受拒绝服务（Denial-of-Service，DoS）攻击？(www.xing528.com)

● 如果此项服务可以动态更新用户档案和服务包，那么有什么认证需求来确保用户是已授权的？改变服务档案可能涉及对附加服务的计费，如果因此和用户发生纠纷则是代价昂贵的。

● 对于升级和降级最终用户服务包来说，有什么不同的需求吗？

● 怎样保护语音和数据传输的私密性？

● 对于移动服务，你怎样保护最终用户的位置隐私（location privacy）？

● 有应用程序安全需求吗？如果有，那么需要什么安全机制？对于3G移动服务，IP多媒体系统（IP Multimedia Subsystem，IMS）是一种应用层安全的特例。