3G時代我國移動電子商務(wù)的安全問題與應(yīng)對策略

梁少娥，蔡振治

（1.肇慶科技職業(yè)技術(shù)學院，廣東肇慶526114；2.肇慶學院教務(wù)處，廣東肇慶526061）

3G時代我國移動電子商務(wù)的安全問題與應(yīng)對策略

梁少娥1，蔡振治2

（1.肇慶科技職業(yè)技術(shù)學院，廣東肇慶526114；2.肇慶學院教務(wù)處，廣東肇慶526061）

從技術(shù)、管理和法律三個角度出發(fā)，闡述了目前我國移動電子商務(wù)存在著無線通信技術(shù)自身缺陷、無線網(wǎng)絡(luò)標準缺陷、病毒和黑客攻擊、移動終端安全管理、移動商務(wù)平臺運營管理漏洞、網(wǎng)絡(luò)交易信用缺失以及基于位置的服務(wù)等造成的安全問題和安全威脅，分析了造成移動電子商務(wù)安全問題的技術(shù)、市場、配套政策等原因及其危害性和造成的損失，最后針對性地提出了端到端策略、安全技術(shù)防護、安全管理等治理策略。

3G；移動電子商務(wù)；安全問題

隨著3G時代的到來，移動通信技術(shù)的不斷更新，推動了移動電子商務(wù)的發(fā)展。大屏幕、多功能的智能手機、PDA、掌上電腦等移動終端產(chǎn)品紛紛上市，各類3G業(yè)務(wù)不斷推出試行，使得企業(yè)和用戶可隨時隨地開展移動商務(wù)，如移動訂購、網(wǎng)上炒股、移動商務(wù)管理和辦公等。目前擁有手機等移動終端的人數(shù)遠遠超過擁有臺式電腦的人數(shù)。據(jù)CNNIC統(tǒng)計報告顯示，我國網(wǎng)民規(guī)模達3.84億，手機網(wǎng)民年增過億，規(guī)模已達到2.33億，占整體網(wǎng)民的60.8%，商務(wù)交易類應(yīng)用增幅高達68%，增速十分迅猛。這龐大市場以及移動商務(wù)隨身化的優(yōu)勢，讓移動電子商務(wù)成為下一個金礦。

目前我國移動電子商務(wù)正處于從試點示范階段走向規(guī)模應(yīng)用階段的一個關(guān)鍵點上，但是由于無線技術(shù)的應(yīng)用而面臨著信息保密、身份認證、移動終端安全等一系列新的安全問題和隱患，給企業(yè)和用戶造成很大的心理障礙，影響移動商務(wù)活動的順利進行，成為移動電子商務(wù)更進一步發(fā)展的瓶頸。因此，提高移動電子商務(wù)的安全性能，消除移動用戶的安全隱患，促進移動電子商務(wù)健康發(fā)展成為當務(wù)之急。

一、移動電子商務(wù)安全問題的主要表現(xiàn)

總的來說，移動電子商務(wù)的安全面臨著技術(shù)、管理和法律幾方面的挑戰(zhàn)。

（一）技術(shù)上的安全問題

1.無線通信網(wǎng)絡(luò)本身的安全問題。從GPRS、CDMA發(fā)展到3G通信技術(shù)，無線通信網(wǎng)絡(luò)提高速率高達2Mbit/s，給用戶支持高質(zhì)量的話音、分組數(shù)據(jù)、多媒體業(yè)務(wù)和多用戶速率通信，徹底改變了人們的通信和生活方式。但是，無線網(wǎng)絡(luò)是通過一個開放的信道進行通信，無法像有線網(wǎng)絡(luò)那樣依靠信道的安全加以保護。攻擊者正是利用此點假冒某合法用戶的身份，或通過對傳輸媒介的監(jiān)聽，非法獲取傳輸信息，達到破壞的目的。如用戶的合法身份被竊取、通信內(nèi)容容易被竊聽、對數(shù)據(jù)完整性和保密性的威脅、移動IP網(wǎng)路漫游的威脅、針對無線應(yīng)用協(xié)議WAP的攻擊等。這對于無線用戶的信息安全、個人隱私和個人安全都構(gòu)成了潛在的威脅。

2.無線網(wǎng)絡(luò)標準的缺陷。移動電子商務(wù)涉及到很多無線網(wǎng)絡(luò)標準，其中使用較廣泛的是實現(xiàn)手機無線訪問因特網(wǎng)的WAP標準和構(gòu)建WLAN (無線局域網(wǎng))的802.11標準。WAP中WTLS（無線傳輸層安全）協(xié)議僅僅加密由WAP設(shè)備到WAP網(wǎng)關(guān)的數(shù)據(jù)，數(shù)據(jù)通過SSL傳送至網(wǎng)關(guān)上有短暫的時間處于明文狀態(tài)；802.11標準使用的WEP（無線等效協(xié)議）安全機制存在密鑰容易泄露且難以管理等缺陷；許多WLAN在跨越不同子網(wǎng)時往往不需要第二次的登陸驗證。這些缺陷容易造成數(shù)據(jù)被攔截和竊取，給移動商務(wù)的應(yīng)用帶來了很大的安全隱患。

3.病毒和黑客攻擊造成的安全威脅。自從世界上第一個針對Symbian操作系統(tǒng)的手機病毒出現(xiàn)后，如同打開了潘多拉的盒子，各種新型的手機病毒層出不窮，呈加速增長的趨勢。無線設(shè)備、操作系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)技術(shù)的多樣性和不成熟以及客戶群規(guī)模等因素，更是加劇了病毒和黑客攻擊的威脅。特別是用戶在使用移動終端設(shè)備進行網(wǎng)上購物和交易支付時，缺乏網(wǎng)絡(luò)安全操作的規(guī)范性和警惕性，瀏覽下載和安裝一些不安全的插件、程序或軟件致使終端設(shè)備不安全。黑客則借機利用依附在軟件的木馬程序、操作系統(tǒng)的漏洞及缺陷等，從網(wǎng)絡(luò)的外部非法侵入，進行干擾和不法行為，給移動電子商務(wù)造成很大的安全威脅。

（二）管理上的安全問題

1.移動終端的安全管理問題。隨著移動終端及其功能的完善、信息存儲量的加大，用戶習慣性將大量的商務(wù)數(shù)據(jù)和個人信息資料存儲于移動終端。移動終端體積小、重量輕，便于隨身攜帶使用，也使其容易丟失或被盜。除此之外，用戶缺少安全使用方法和防范意識，在上網(wǎng)交易過程中操作不規(guī)范，事后又沒有及時對商務(wù)數(shù)據(jù)備份、恢復(fù)以及對非法入侵者的追蹤。因此，移動終端的安全性及其存儲的大量商業(yè)秘密（如私鑰）的保密性都將面臨日益嚴峻的安全威脅。主要表現(xiàn)在：移動終端的物理安全、移動終端被攻擊和數(shù)據(jù)破壞、SIM卡被復(fù)制、RFID被解密等。目前，手持移動設(shè)備最大的問題就是缺少對特定用戶的實體認證機制。

2.移動商務(wù)平臺運營管理漏洞造成的安全威脅。為適應(yīng)3G業(yè)務(wù)的開展，電信運營商、設(shè)備商、系統(tǒng)集成商、軟件開發(fā)商以及終端提供商等都加快了相應(yīng)手機軟件開發(fā)的腳步。不同功能組別的移動商務(wù)平臺林立，如移動支付系統(tǒng)、商品配送系統(tǒng)。但是，對于移動商務(wù)平臺如何完善服務(wù)功能、如何監(jiān)督管理操作以及如何確保安全運營，平臺開發(fā)者與使用者之間還普遍存在缺少經(jīng)驗和交流，需在技術(shù)安全控制、運營管理中進行整體思考和設(shè)計安全措施，并在運營實踐中不斷地修正和完善，以形成一個整合的、增值的移動商務(wù)安全運營平臺和防御戰(zhàn)略，確保使用者免受安全威脅。

（三）法律上的安全問題

1.網(wǎng)絡(luò)交易信用缺失造成的安全問題。網(wǎng)絡(luò)虛假廣告的泛濫、網(wǎng)絡(luò)交易環(huán)境的虛擬性和網(wǎng)絡(luò)交易主體身份的真?zhèn)蔚仍斐捎脩魧ι唐沸畔⒉粚ΨQ而上當受騙，一旦用戶要向商家退貨或索賠時，商務(wù)網(wǎng)站會以商業(yè)秘密為由拒絕為提供商家的詳細資料，用戶難以維權(quán)。當前，國內(nèi)市場機制還不規(guī)范，移動商務(wù)的商業(yè)運作環(huán)境還不完善，缺乏必要的信用保障體系，需制定和完善相關(guān)政策去約束商家和用戶的誠信方面問題，同時有必要對用戶和商家進行身份認證。

2.基于位置的服務(wù)造成的安全問題。移動定位技術(shù)是基于目前較為普及的GSM/GPRS無線網(wǎng)絡(luò)覆蓋對手機終端進行實時位置捕捉的新型技術(shù)，能為用戶提供基于位置的服務(wù)（如GPS衛(wèi)星定位服務(wù)）。例如，用戶撥打緊急求救電話尋求幫助時，救護人員通過手機GPS精確地定位用戶所在地，快速抵達救援。但是這種定位跟蹤服務(wù)引發(fā)了新的私密性和保密性問題。

二、造成移動電子商務(wù)安全問題的原因

由于移動電子商務(wù)是基于無線通信技術(shù)的網(wǎng)絡(luò)層應(yīng)用，以及自身的移動性所帶來的一些相關(guān)特性，移動電子商務(wù)除包含傳統(tǒng)電子商務(wù)所面臨的各種安全問題外，又產(chǎn)生了大量全新的安全問題，構(gòu)成了潛在的安全隱患，增加了安全保護和解決問題的難度。例如，無線網(wǎng)絡(luò)相較有線網(wǎng)絡(luò)更容易被外部竊聽；無線信道帶寬有限，認證信息不能太多，否則會影響系統(tǒng)的吞吐量；移動電子商務(wù)中通信單元具有移動性，更增加了安全機制的不確定性。

另外，自從試點示范工程實施兩年多以來，歷經(jīng)電信重組、3G牌照發(fā)放和手機上網(wǎng)資費下調(diào)等，使我國移動電子商務(wù)在關(guān)鍵技術(shù)、標準應(yīng)用、配套政策及商務(wù)模式應(yīng)用等安全研究方面取得了很大的進展。但是，當前所面臨的網(wǎng)絡(luò)安全現(xiàn)狀仍不容樂觀，據(jù)CNNIC調(diào)查報告顯示，當前國內(nèi)網(wǎng)民普遍對手機安全問題重視程度不夠，半數(shù)網(wǎng)民無法區(qū)分各類安全軟件的異同，僅有7.4%的手機網(wǎng)民使用安全防護軟件；近2 100萬網(wǎng)民缺乏密碼設(shè)置方面的保護意識；近五成的網(wǎng)民不重視網(wǎng)上安全公告，極易引發(fā)網(wǎng)絡(luò)安全事故；2009年，52%網(wǎng)民曾遭遇網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)下載和瀏覽成為病毒和木馬傳播的主要渠道。

三、移動電子商務(wù)安全問題帶來的危害和損失

據(jù)CNNIC調(diào)查報告顯示，71.9%網(wǎng)民的瀏覽器配置曾被修改，50.1%網(wǎng)民的網(wǎng)絡(luò)系統(tǒng)曾無法使用，45%網(wǎng)民的數(shù)據(jù)、文件曾被損壞，41.5%網(wǎng)民的操作系統(tǒng)曾崩潰，而QQ、MSN、郵箱賬號曾經(jīng)被盜的網(wǎng)民占32.3%。網(wǎng)絡(luò)安全問題對網(wǎng)民造成的損失主要是時間成本，其次才是經(jīng)濟損失。77.3%網(wǎng)民反映要付出大量的時間成本，平均每年每人需要花費約10個小時處理安全事故。網(wǎng)絡(luò)事件給21.2%的網(wǎng)民帶來直接經(jīng)濟損失，包括網(wǎng)絡(luò)游戲、即時通信等賬號被盜造成的虛擬財產(chǎn)損失，網(wǎng)銀密碼、賬號被盜造成的財產(chǎn)損失，以及因網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)癱瘓、數(shù)據(jù)和文件等丟失或損壞，對其找回或修復(fù)產(chǎn)生的費用等。2009年網(wǎng)民處理安全事件所支出的服務(wù)相關(guān)費用共計153億元，如按國內(nèi)3.84億網(wǎng)民計算，人均處理網(wǎng)絡(luò)安全事故費用約為39.9元。

四、移動電子商務(wù)安全問題的應(yīng)對策略

移動電子商務(wù)的安全問題及威脅成為了移動電子商務(wù)推廣應(yīng)用的瓶頸，阻礙了3G時代我國移動電子商務(wù)的發(fā)展。只有解決了安全性問題，消除威脅，我國移動電子商務(wù)的發(fā)展才談得上具有可持續(xù)性前景。為此，筆者吸取傳統(tǒng)電子商務(wù)的安全防范措施，提出以下應(yīng)對策略，以降低移動電子商務(wù)的風險和易受攻擊性，減少其危害和損失。

（一）端到端策略

端到端就是在移動電子商務(wù)過程中找出每個薄弱環(huán)節(jié)，并采取適當?shù)陌踩院退矫苄源胧壳埃^多采用RSA算法生成安全會話密鑰和使用數(shù)字簽名進行數(shù)據(jù)傳輸），確保數(shù)據(jù)從傳輸點到最后目的地之間完全的安全性，包括傳輸過程中的每個階段。因此，制訂安全策略時需考慮企業(yè)和客戶的需求以及具體移動應(yīng)用的要求，如性能、個性化、可擴展性及系統(tǒng)管理等。除此之外，健全的端到端的安全性還要求適當?shù)牟呗?、流程和組織。此類流程通常包括風險管理流程、意外事故管理流程、安全性驗證/保證流程、安全性監(jiān)控流程、變化管理流程、企業(yè)安全性策略、安全性結(jié)構(gòu)、技術(shù)標準和策略、專用策略、用戶規(guī)則、企業(yè)安全部門、意外事件響應(yīng)小組等部分。

（二）安全技術(shù)防護策略

1.無線加密技術(shù)。為解決802.11原先使用WEP所隱藏的安全問題，在網(wǎng)絡(luò)運營商提供的現(xiàn)有系統(tǒng)上運用加密技術(shù)和通過驗證的標準化協(xié)議，增加消息完整性檢查功能和提供動態(tài)密鑰加密數(shù)據(jù)，防止無線數(shù)據(jù)包被偽造。如WPA（無線保護接入）標準包含針對數(shù)據(jù)加密的臨時完整性消息檢查協(xié)議和針對用戶認證的IEEE802.1x。目前正在研發(fā)的WAP2加密協(xié)議與WPA后向兼容，支持更高級的AES加密，能夠更好解決無線網(wǎng)絡(luò)的安全問題。

2.防火墻和入侵檢測技術(shù)。在移動終端安裝個人防火墻和設(shè)置入侵檢測以對網(wǎng)絡(luò)內(nèi)容或電子郵件過濾。如金山軟件公司的手機毒霸，其功能包括有短信防火墻、數(shù)據(jù)備份等。另外，利用分析器和監(jiān)測器分析數(shù)據(jù)流，及時發(fā)現(xiàn)未經(jīng)授權(quán)的接入點，并根據(jù)需要阻止甚至斷開客戶機。

3.無線虛擬專用網(wǎng)（WVPN）的應(yīng)用。IPSec VPN或SSL VPN最早都是針對固定網(wǎng)絡(luò)的安全問題提出的。WVPN提供鑒權(quán)、保密性、完整性等方面的服務(wù)，提供了端到端的最好安全性的連接，數(shù)據(jù)在WVPN的客戶端進行加密，在企業(yè)的服務(wù)器端進行解密，數(shù)據(jù)傳輸?shù)恼麄€連接過程中都進行了加密處理，鑒權(quán)也在用戶的控制之中。

4.無線公開密鑰體系（WPKI）的應(yīng)用。通過WPKI技術(shù)的應(yīng)用，實現(xiàn)數(shù)據(jù)傳輸路徑真正的端到端安全性、用戶鑒權(quán)安全及可信交易。WPKI使用公共密鑰加密及開放標準技術(shù)來構(gòu)建安全性架構(gòu)，該架構(gòu)可促使公共無線網(wǎng)絡(luò)上的交易和安全通信鑒權(quán)。可信的PKI不僅能夠安全鑒權(quán)用戶、保護數(shù)據(jù)在傳輸中的完整性和保密性，而且能夠幫助企業(yè)實施非復(fù)制功能，使得交易參與各方無法抵賴。

（三）安全管理策略

要實現(xiàn)安全的移動電子商務(wù)，單靠純粹的技術(shù)防范是單薄無力的，安全管理策略的有效實施將使整個安全體系達到事半功倍的效果。

1.提高用戶安全使用意識和安全交易意識。首先，用戶在交易前需核實對方的合法身份，避免上當受騙。其次，移動用戶使用移動終端進行交易支付時，要嚴格按照規(guī)定操作，并注意妥善保管電子支付交易存取工具（如SIM卡、密碼、密鑰、電子簽名制作數(shù)據(jù)等）的警示性信息。當用戶發(fā)現(xiàn)移動終端遺失時，需采取及時掛失SIM卡和銀行賬戶等應(yīng)急保護措施。最后，相關(guān)訂單信息、交易記錄、合同、單據(jù)等證據(jù)需保存好以便日后出現(xiàn)糾紛時，作為呈堂證據(jù)。

2.加強產(chǎn)業(yè)鏈合作，推動安全管理標準化，促進移動商務(wù)發(fā)展。移動運營商應(yīng)加緊與價值鏈上各環(huán)節(jié)的合作（SMS短信尋址就是最好的例子），共同積極推動移動電子商務(wù)安全管理標準化和研發(fā)兼容性高的安全移動商務(wù)平臺，加快基礎(chǔ)網(wǎng)絡(luò)設(shè)施建設(shè)和推進資費管理改革，并有意識地加強對產(chǎn)業(yè)鏈的控制和互相監(jiān)督管理，才能達到共贏，進一步促進移動商務(wù)的發(fā)展。

3.完善相關(guān)法制制度，加強移動通信市場的安全監(jiān)管，優(yōu)化安全交易環(huán)境。有了法的保障才能使交易雙方具有安全感，才能逐步轉(zhuǎn)變用戶固有的不良交易習慣，參與到方便快捷安全的移動電子商務(wù)模式中。目前已實施的《電子簽名法》和《電子支付指引（征求意見稿）》為電子商務(wù)的發(fā)展奠定了法律基礎(chǔ)，但是具體細節(jié)沒有解釋清楚，缺少可操作性。為此，加快法制建設(shè)，明確行業(yè)的發(fā)展策略和政策導向，進一步規(guī)范移動通信市場機制和完善安全管理體制，以便隨之逐步淡化支付和交易誠信方面的短板效應(yīng)，為移動通信行業(yè)的健康持續(xù)發(fā)展創(chuàng)造良好的政策環(huán)境和公平、公正的市場環(huán)境。

小結(jié)

隨著3G進一步的推廣應(yīng)用，移動電子商務(wù)的安全問題越來越突出，嚴重阻礙了移動電子商務(wù)的發(fā)展。要開挖移動電子商務(wù)這座巨大的金礦，政府和移動運營商們必須加緊聯(lián)系與配合，共同研發(fā)出一套從技術(shù)、管理、法律上都嚴密的安全策略以解決安全問題及威脅，進一步構(gòu)建適宜移動電子商務(wù)活動的環(huán)境，促使移動電子商務(wù)高速發(fā)展，為消費者提供更多更高效的個性化服務(wù)。

[1]王連英.3G通訊時代我國移動電子商務(wù)的發(fā)展前景探析[J].中國科技博覽,2009(14)：86-87.

[2]中國互聯(lián)網(wǎng)絡(luò)信息中心CNNIC.第25次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[EB/R].[2010-01-12].http://www.cnnic.net.cn.

[3]馬薇.移動電子商務(wù)安全機制探討[J].商場現(xiàn)代化, 2008(9)：134.

[4]成楊.移動電子商務(wù)安全問題研究[D].沈陽理工大學碩士學位論文，2008：3.

[5]傅杰勇.我國移動電子商務(wù)應(yīng)用安全問題探析[J].中國集體經(jīng)濟,2008(13).

[6]中國互聯(lián)網(wǎng)絡(luò)信息中心CNNIC.2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查報告[EB/R].[2010-04-20].http://www. isccc.gov.cn/xwdt/xwkx/04/251908shtm/.

[7]倪永健,黑霞麗.移動電子商務(wù)安全問題研究[J].科技情報開發(fā)與經(jīng)濟,2007(17)：228-229.

[8]姜紅波.電子商務(wù)概論[M].北京：清華大學出版社, 2009：2.

The Security Issues of Mobile E-Commerce in China and Coping Strategies at the Era of 3G

LIANG Shao’e1，CAI Zhenzhi2
（1.Zhaoqing Science and Technology Polytechnic,Zhaoqing,Guangdong 526114,China; 2.Zhaoqing University,Zhaoqing,Guangdong,526061,China)

This paper starts from the present development of mobile e-commerce at the era of 3G in China,and bases on the studying of security issues of mobile e-commerce in China,it explores the causes leading the problems in technology,market and so on,further analyses the harms and damages of the problems, finally puts forward some coping strategies.

3G;mobile e-commerce;security issues

F49

A

1009－8445（2010）04－0055－04

（責任編輯：杜云南）

2010－04－27；修改日期：2010－05－17

梁少娥（1979－），女，廣東新興人，肇慶科技職業(yè)技術(shù)學院助教。