我國(guó)移動(dòng)電子商務(wù)面臨的安全及對(duì)策研究

楊妍玲

摘 要：近幾年，隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展，移動(dòng)電子商務(wù)成為無線網(wǎng)絡(luò)應(yīng)用的必然趨勢(shì)。但由于網(wǎng)絡(luò)本身的開放性，使得移動(dòng)電子商務(wù)面臨著各種各樣的安全威脅，其安全問題已成為核心焦點(diǎn)被提到了極其重要的位置。本文通過對(duì)我國(guó)移動(dòng)電子商務(wù)發(fā)展現(xiàn)狀進(jìn)行描述，探討了制約移動(dòng)電子商務(wù)安全發(fā)展的相關(guān)安全問題。在此基礎(chǔ)上進(jìn)一步從核心技術(shù)、立法和專業(yè)人員培訓(xùn)需求等層面提出了相應(yīng)的安全對(duì)策。

關(guān)鍵詞：移動(dòng)電子商務(wù)；安全威脅；WAP；安全對(duì)策

Abstract：In the last few years， advances in wireless network technology have triggered rapid development in m–commerce. However， m-commerce applications have to face a variety of security threats due to the network openness. The safety of m-commerce has been referred to an extremely high status. This paper summaries the situation of m-commerce in China， and explores the related security issues which constraints the development of mobile e-commerce. On this basis， we put forward the security strategy aim at core technology， legislation and professional training.

Key words：m-commerce；security threat；WAP；security strategy

1 移動(dòng)電子商務(wù)的普及應(yīng)用

與單純依靠PC為主要工具的傳統(tǒng)電子商務(wù)不同，移動(dòng)商務(wù)（M-Commerce）是指那些依托移動(dòng)通信網(wǎng)絡(luò)，使用手機(jī)、掌上電腦、筆記本電腦燈移動(dòng)通信終端和設(shè)備所進(jìn)行的各種商業(yè)信息交互的商務(wù)活動(dòng)[1]。移動(dòng)電子商務(wù)作為時(shí)代發(fā)展衍生出來的新興事物，實(shí)現(xiàn)了各種網(wǎng)絡(luò)業(yè)務(wù)流程從有線到無線的整合，開創(chuàng)了一種電子商務(wù)新形態(tài)。移動(dòng)終端保有量與移動(dòng)互聯(lián)網(wǎng)用戶的快速增長(zhǎng)，是移動(dòng)電子商務(wù)市場(chǎng)規(guī)模迅速擴(kuò)張的硬件基礎(chǔ)。根據(jù)我國(guó)工業(yè)與信息化部數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)，直至2013年第三季度，中國(guó)移動(dòng)電話用戶超過了12億戶，其中移動(dòng)互聯(lián)網(wǎng)用戶已達(dá)到8.2億戶[2]。根據(jù)艾瑞咨詢的統(tǒng)計(jì)數(shù)據(jù)顯示，2013年中國(guó)移動(dòng)互聯(lián)網(wǎng)市場(chǎng)規(guī)模達(dá)1059.8億元，其中移動(dòng)購物就占據(jù)了半壁江山，在整個(gè)移動(dòng)互聯(lián)網(wǎng)市場(chǎng)規(guī)模中占比38.9%，預(yù)計(jì)到2017年移動(dòng)購物的占比將上升至55%[3]?？梢姡S著移動(dòng)互聯(lián)網(wǎng)用戶規(guī)模的擴(kuò)大，移動(dòng)互聯(lián)網(wǎng)市場(chǎng)有著廣闊的發(fā)展空間，總的來說，我國(guó)移動(dòng)商務(wù)的市場(chǎng)規(guī)模正在快速形成。然而，隨之而來的是一系列在交易過程中存在的安全問題值得去研究解決。

2 存在的安全問題

移動(dòng)電子商務(wù)面臨的安全問題主要來自于三個(gè)方面：移動(dòng)網(wǎng)絡(luò)系統(tǒng)、移動(dòng)終端設(shè)備本身以及外部因素。這些威脅所導(dǎo)致的風(fēng)險(xiǎn)包括通信內(nèi)容被竊聽，信息被非法篡改，交易抵賴欺詐和移動(dòng)終端安全隱患等。

2.1 移動(dòng)網(wǎng)絡(luò)本身的威脅

移動(dòng)網(wǎng)絡(luò)是移動(dòng)電子商務(wù)向用戶提供服務(wù)的基礎(chǔ)，是必不可少的媒介。與傳統(tǒng)的有線網(wǎng)絡(luò)不同的是無線通信網(wǎng)絡(luò)可以不受地理環(huán)境和通信電纜的限制，實(shí)現(xiàn)開放性、可移動(dòng)的通信。正是由于移動(dòng)網(wǎng)絡(luò)具備這樣的優(yōu)點(diǎn)，能為移動(dòng)商務(wù)用戶帶來更加靈活、自由的體驗(yàn)，因此不可避免地存在諸多潛在的安全問題。

在無線網(wǎng)絡(luò)通信過程中，移動(dòng)通訊的信息大部分都是以明文形式在無線信道上開放傳送。攻擊者試圖在終端用戶不知情的情況下，非法竊取無線網(wǎng)絡(luò)上的用戶通訊信息或?qū)⑵溥M(jìn)行篡改是非常簡(jiǎn)單且容易實(shí)現(xiàn)的。任何一個(gè)擁有相應(yīng)頻率接收設(shè)備的人都有能力獲得無線信道上傳輸?shù)膬?nèi)容，導(dǎo)致用戶的通信內(nèi)容（包括數(shù)據(jù)信息、用戶身份、通訊位置信息等）被竊聽，而且這種攻擊者的非法行為很難被發(fā)現(xiàn)。造成的后果是機(jī)密信息泄露，通信雙方身份被假冒代替或者通信數(shù)據(jù)被非法篡改等，故而移動(dòng)用戶也會(huì)因身份信息以及位置信息的泄露而被無線追蹤；電子商務(wù)交易活動(dòng)被故意或不經(jīng)意地拒絕；交易中途被打斷后由于沒有再認(rèn)證用戶身份的機(jī)制，僅靠刷新重新建立起的交易連接是有風(fēng)險(xiǎn)的。基于上述原因，移動(dòng)網(wǎng)絡(luò)本身的技術(shù)漏洞對(duì)于移動(dòng)電子商務(wù)用戶的個(gè)人隱私安全和信息安全都構(gòu)成諸多不安全隱患。

在無線網(wǎng)絡(luò)這個(gè)開放自由的環(huán)境下，無線設(shè)備沒有固定的地理位置，攻擊者可以自由地在不同區(qū)域里活動(dòng)，隨時(shí)登陸或者退出，難以被追蹤，因此為攻擊者提供了很好的藏匿機(jī)會(huì)，利用無線網(wǎng)絡(luò)發(fā)起對(duì)敵手固定網(wǎng)絡(luò)的攻擊往往是網(wǎng)絡(luò)黑客們的首選。

2.2 移動(dòng)終端面臨的威脅

移動(dòng)終端的特點(diǎn)是具有移動(dòng)性，其安全隱患主要表現(xiàn)在移動(dòng)終端設(shè)備的物理安全、數(shù)據(jù)處理和數(shù)據(jù)通訊安全這些方面，面臨的安全威脅比較復(fù)雜，如移動(dòng)設(shè)備比較容易被丟失或數(shù)據(jù)損壞，經(jīng)常成為被攻擊的對(duì)象；手機(jī)終端的SIM卡被輕易復(fù)制等，對(duì)用戶勢(shì)必造成安全威脅。

⑴軟件病毒威脅。目前我國(guó)多數(shù)移動(dòng)用戶常用的移動(dòng)終端是智能手機(jī)，隨著中國(guó)3G環(huán)境日益成熟，智能手機(jī)的普及，各種手機(jī)病毒也隨之而至。與計(jì)算機(jī)病毒一樣，手機(jī)病毒也是一種程序，具有傳染性和破壞性。攻擊者可以利用手機(jī)病毒輕易獲取企業(yè)或個(gè)人移動(dòng)終端上的敏感資源，如數(shù)字證書或破壞數(shù)據(jù)完整性，從而造成不必要的損失。針對(duì)Symbian操作系統(tǒng)的手機(jī)軟件病毒是世界上第一個(gè)手機(jī)病毒，它的出現(xiàn)預(yù)示著移動(dòng)終端將面臨嚴(yán)峻的挑戰(zhàn)。近日，騰訊移動(dòng)安全實(shí)驗(yàn)室發(fā)布的《2013年手機(jī)安全報(bào)告》中顯示，2013年新增手機(jī)病毒包數(shù)是2012年的4.47倍。騰訊移動(dòng)安全實(shí)驗(yàn)室在2013年共檢測(cè)截獲手機(jī)病毒包總數(shù)793400個(gè)，其中，截獲Android手機(jī)病毒占比96.21%，Symbian手機(jī)病毒包占比3.79%[4]?？梢娛謾C(jī)軟件病毒激增暴漲的趨勢(shì)，傳染途徑和速度簡(jiǎn)單且容易，其危害不容忽視。

⑵移動(dòng)終端上的數(shù)據(jù)安全。如果用戶是采用手機(jī)作為移動(dòng)終端，那么移動(dòng)終端用戶所有的重要信息都存儲(chǔ)在自己手機(jī)的SIM卡中，因此SIM卡數(shù)據(jù)安全是需要考慮的問題，一旦用戶手機(jī)丟失，攻擊者可能復(fù)制SIM卡中的重要信息進(jìn)行欺騙，或者偽裝成真正持有者身份參與到電子商務(wù)交易中來，甚至進(jìn)行移動(dòng)電子商務(wù)詐騙。

另一方面由于移動(dòng)設(shè)備自身的缺陷，硬件資源的存儲(chǔ)容量有限，對(duì)數(shù)據(jù)處理能力弱，數(shù)據(jù)的傳輸速度也會(huì)因地理位置限制而變慢或出現(xiàn)傳輸中斷，在這樣的條件下對(duì)移動(dòng)電子商務(wù)交易業(yè)務(wù)及移動(dòng)支付的開展是巨大的難題[5]。

2.3 外部因素的威脅

在移動(dòng)電子商務(wù)活動(dòng)中，消費(fèi)者只能從圖片和文字描述去了解和判斷商品，而對(duì)于產(chǎn)品的原材料、成分的真實(shí)性等情況無從深入了解，售后服務(wù)也不能得到及時(shí)解決。交易雙方信息不對(duì)稱造成部分商家對(duì)消費(fèi)者的欺詐行為屢見不鮮，消費(fèi)者權(quán)益得不到有力保障，與此同時(shí)也造成移動(dòng)電子商務(wù)市場(chǎng)混亂和不信任，例如虛假信息描述與消費(fèi)者購買的商品不符，商家提供虛假經(jīng)營(yíng)者信息資料等不法行為。

另外，移動(dòng)商務(wù)平臺(tái)運(yùn)營(yíng)管理漏洞也容易產(chǎn)生安全問題。目前我國(guó)的移動(dòng)電子商務(wù)還處于成長(zhǎng)階段，對(duì)各種應(yīng)急處理缺乏經(jīng)驗(yàn)。如何有效管理眾多移動(dòng)運(yùn)營(yíng)平臺(tái)，如何確保電商運(yùn)營(yíng)安全以及如何設(shè)置防御戰(zhàn)略還有待建立一套完整有效的安全處理機(jī)制和應(yīng)急預(yù)案。

3 移動(dòng)電子商務(wù)安全問題解決方案

安全問題是移動(dòng)電子商務(wù)成功與否的關(guān)鍵所在，是保證可用性和推廣性的核心技術(shù)問題[6]?？紤]到上述存在的各類安全問題及威脅，為了建立有效、安全、可信賴的移動(dòng)電子商務(wù)環(huán)境，眾多有針對(duì)性的解決方案被提出并應(yīng)用到實(shí)踐中。

3.1 WAP2.0協(xié)議是安全基礎(chǔ)

WAP（無線通訊協(xié)議）是迄今移動(dòng)通信上唯一的國(guó)際標(biāo)準(zhǔn)通信協(xié)議，但是使用WAP1.X標(biāo)準(zhǔn)開展移動(dòng)電子商務(wù)并不能給移動(dòng)用戶增添信心，因?yàn)閃AP1.X有安全漏洞，它只能提供點(diǎn)到點(diǎn)的加密服務(wù)，這意味著數(shù)據(jù)信息在進(jìn)入WAP網(wǎng)關(guān)解密后以明文形式存在，重要敏感信息完全暴露，因此國(guó)際上許多無線網(wǎng)絡(luò)運(yùn)營(yíng)商紛紛將WAP1.X升級(jí)為能實(shí)現(xiàn)端到端安全機(jī)制的WAP2.0版本，填補(bǔ)了WAP1.X網(wǎng)關(guān)安全隱患。目前市場(chǎng)上的移動(dòng)終端都可支持WAP2.0，我國(guó)無線運(yùn)營(yíng)商也可考慮采用WAP2.0，為移動(dòng)電商用戶提供基本的信息安全保證。

3.2 WPKI體系是安全保障

WPKI（無線公開密鑰體系）是以WAP安全機(jī)制為基礎(chǔ)，為滿足移動(dòng)電子商務(wù)的安全需求，對(duì)有線網(wǎng)絡(luò)中PKI安全機(jī)制進(jìn)行優(yōu)化擴(kuò)展，利用公鑰安全機(jī)制和數(shù)字證書建立起安全有效的無線網(wǎng)絡(luò)環(huán)境。采用公鑰加密機(jī)制能夠有效確保數(shù)據(jù)的保密性和完整性，數(shù)字證書的公鑰管理由可信第三方CA認(rèn)證，可以準(zhǔn)確進(jìn)行用戶身份鑒別，防止重放攻擊，而且能使得交易雙方參與的業(yè)務(wù)無法抵賴，從技術(shù)上加強(qiáng)移動(dòng)電子商務(wù)實(shí)體認(rèn)證機(jī)制。

3.3 防火墻技術(shù)及殺毒軟件

防火墻是網(wǎng)絡(luò)安全的第一道防線，正確引導(dǎo)移動(dòng)終端用戶安裝防火墻和必要?dú)⒍拒浖兄陵P(guān)重要的作用，目前常見的殺毒軟件有360安全衛(wèi)士、瑞星手機(jī)殺毒軟件等。尤其是無線網(wǎng)絡(luò)運(yùn)營(yíng)商及移動(dòng)電子商務(wù)平臺(tái)提供商更需要強(qiáng)制安裝安全保護(hù)系統(tǒng)。只有每一個(gè)移動(dòng)電子商務(wù)參與者都以優(yōu)化無線電子商務(wù)環(huán)境為己任，才能有效降低猖獗的軟件病毒的威脅。

3.4 完善立法并加強(qiáng)人員培訓(xùn)

我國(guó)移動(dòng)電子商務(wù)還處在不成熟階段，由于交易形式是在虛擬的網(wǎng)絡(luò)環(huán)境下進(jìn)行，建立有效的規(guī)范和制度監(jiān)管勢(shì)在必行，相關(guān)部門應(yīng)盡快制定專門的移動(dòng)電子商務(wù)法律法規(guī)，加快移動(dòng)電子商務(wù)安全立法進(jìn)程，利用法律約束力構(gòu)建安全的移動(dòng)電子商務(wù)交易環(huán)境，增加交易參與者的信任感，促使我國(guó)移動(dòng)電子商務(wù)穩(wěn)健運(yùn)作、正常發(fā)展。除此之外，還應(yīng)加強(qiáng)專業(yè)人員業(yè)務(wù)培訓(xùn)計(jì)劃及安全管理知識(shí)培訓(xùn)，提高參與者的業(yè)務(wù)水平和法律意識(shí)。

4 結(jié)語

我國(guó)無線網(wǎng)絡(luò)普及化極大地促進(jìn)了移動(dòng)電子商務(wù)的蓬勃發(fā)展。移動(dòng)用戶在享受移動(dòng)電子商務(wù)帶來便利的同時(shí)，安全問題成了中國(guó)移動(dòng)電子商務(wù)發(fā)展道路上的鴻溝。要保障移動(dòng)電子商務(wù)安全，除了充分依靠現(xiàn)代信息安全技術(shù)手段進(jìn)行保護(hù)外，需要有一個(gè)安全管理環(huán)境做保障，建立一系列健全的法律法規(guī)來約束，相信在每一個(gè)移動(dòng)電子商務(wù)參與者的共同努力下，中國(guó)移動(dòng)電子商務(wù)的發(fā)展前景將會(huì)更加廣闊。

[參考文獻(xiàn)]

[1]沈美莉，等，著.電子商務(wù)信息安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2010.10.

[2]新華網(wǎng)：工業(yè)和信息化部通告2013年第三季度電信服務(wù)質(zhì)量情況. http：//news.xinhuanet.com/politics/2013-10/29/c_125618943.htm.

[3]艾瑞咨詢：2013年度中國(guó)移動(dòng)互聯(lián)網(wǎng)核心數(shù)據(jù)發(fā)布.http：//news.iresearch.cn/zt/225500.shtml.

[4]騰訊移動(dòng)安全實(shí)驗(yàn)室：2013年手機(jī)安全報(bào)告.http：//m.qq.com/security_lab/news_detail_223.html.

[5]徐洪峰，徐曦，曾杰.移動(dòng)電子商務(wù)安全問題研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2011.11（21）：236-238.

[6]田迎華.3G時(shí)代移動(dòng)電子商務(wù)安全問題研究[J].情報(bào)科學(xué)，2010.10（28）：1487-1490.