3G時代我國移動電子商務的安全問題與應對策略

梁少娥，蔡振治

（1.肇慶科技職業技術學院，廣東肇慶526114；2.肇慶學院教務處，廣東肇慶526061）

3G時代我國移動電子商務的安全問題與應對策略

梁少娥1，蔡振治2

（1.肇慶科技職業技術學院，廣東肇慶526114；2.肇慶學院教務處，廣東肇慶526061）

從技術、管理和法律三個角度出發，闡述了目前我國移動電子商務存在著無線通信技術自身缺陷、無線網絡標準缺陷、病毒和黑客攻擊、移動終端安全管理、移動商務平臺運營管理漏洞、網絡交易信用缺失以及基于位置的服務等造成的安全問題和安全威脅，分析了造成移動電子商務安全問題的技術、市場、配套政策等原因及其危害性和造成的損失，最后針對性地提出了端到端策略、安全技術防護、安全管理等治理策略。

3G；移動電子商務；安全問題

隨著3G時代的到來，移動通信技術的不斷更新，推動了移動電子商務的發展。大屏幕、多功能的智能手機、PDA、掌上電腦等移動終端產品紛紛上市，各類3G業務不斷推出試行，使得企業和用戶可隨時隨地開展移動商務，如移動訂購、網上炒股、移動商務管理和辦公等。目前擁有手機等移動終端的人數遠遠超過擁有臺式電腦的人數。據CNNIC統計報告顯示，我國網民規模達3.84億，手機網民年增過億，規模已達到2.33億，占整體網民的60.8%，商務交易類應用增幅高達68%，增速十分迅猛。這龐大市場以及移動商務隨身化的優勢，讓移動電子商務成為下一個金礦。

目前我國移動電子商務正處于從試點示范階段走向規模應用階段的一個關鍵點上，但是由于無線技術的應用而面臨著信息保密、身份認證、移動終端安全等一系列新的安全問題和隱患，給企業和用戶造成很大的心理障礙，影響移動商務活動的順利進行，成為移動電子商務更進一步發展的瓶頸。因此，提高移動電子商務的安全性能，消除移動用戶的安全隱患，促進移動電子商務健康發展成為當務之急。

一、移動電子商務安全問題的主要表現

總的來說，移動電子商務的安全面臨著技術、管理和法律幾方面的挑戰。

（一）技術上的安全問題

1.無線通信網絡本身的安全問題。從GPRS、CDMA發展到3G通信技術，無線通信網絡提高速率高達2Mbit/s，給用戶支持高質量的話音、分組數據、多媒體業務和多用戶速率通信，徹底改變了人們的通信和生活方式。但是，無線網絡是通過一個開放的信道進行通信，無法像有線網絡那樣依靠信道的安全加以保護。攻擊者正是利用此點假冒某合法用戶的身份，或通過對傳輸媒介的監聽，非法獲取傳輸信息，達到破壞的目的。如用戶的合法身份被竊取、通信內容容易被竊聽、對數據完整性和保密性的威脅、移動IP網路漫游的威脅、針對無線應用協議WAP的攻擊等。這對于無線用戶的信息安全、個人隱私和個人安全都構成了潛在的威脅。

2.無線網絡標準的缺陷。移動電子商務涉及到很多無線網絡標準，其中使用較廣泛的是實現手機無線訪問因特網的WAP標準和構建WLAN (無線局域網)的802.11標準。WAP中WTLS（無線傳輸層安全）協議僅僅加密由WAP設備到WAP網關的數據，數據通過SSL傳送至網關上有短暫的時間處于明文狀態；802.11標準使用的WEP（無線等效協議）安全機制存在密鑰容易泄露且難以管理等缺陷；許多WLAN在跨越不同子網時往往不需要第二次的登陸驗證。這些缺陷容易造成數據被攔截和竊取，給移動商務的應用帶來了很大的安全隱患。

3.病毒和黑客攻擊造成的安全威脅。自從世界上第一個針對Symbian操作系統的手機病毒出現后，如同打開了潘多拉的盒子，各種新型的手機病毒層出不窮，呈加速增長的趨勢。無線設備、操作系統、應用、網絡技術的多樣性和不成熟以及客戶群規模等因素，更是加劇了病毒和黑客攻擊的威脅。特別是用戶在使用移動終端設備進行網上購物和交易支付時，缺乏網絡安全操作的規范性和警惕性，瀏覽下載和安裝一些不安全的插件、程序或軟件致使終端設備不安全。黑客則借機利用依附在軟件的木馬程序、操作系統的漏洞及缺陷等，從網絡的外部非法侵入，進行干擾和不法行為，給移動電子商務造成很大的安全威脅。

（二）管理上的安全問題

1.移動終端的安全管理問題。隨著移動終端及其功能的完善、信息存儲量的加大，用戶習慣性將大量的商務數據和個人信息資料存儲于移動終端。移動終端體積小、重量輕，便于隨身攜帶使用，也使其容易丟失或被盜。除此之外，用戶缺少安全使用方法和防范意識，在上網交易過程中操作不規范，事后又沒有及時對商務數據備份、恢復以及對非法入侵者的追蹤。因此，移動終端的安全性及其存儲的大量商業秘密（如私鑰）的保密性都將面臨日益嚴峻的安全威脅。主要表現在：移動終端的物理安全、移動終端被攻擊和數據破壞、SIM卡被復制、RFID被解密等。目前，手持移動設備最大的問題就是缺少對特定用戶的實體認證機制。

2.移動商務平臺運營管理漏洞造成的安全威脅。為適應3G業務的開展，電信運營商、設備商、系統集成商、軟件開發商以及終端提供商等都加快了相應手機軟件開發的腳步。不同功能組別的移動商務平臺林立，如移動支付系統、商品配送系統。但是，對于移動商務平臺如何完善服務功能、如何監督管理操作以及如何確保安全運營，平臺開發者與使用者之間還普遍存在缺少經驗和交流，需在技術安全控制、運營管理中進行整體思考和設計安全措施，并在運營實踐中不斷地修正和完善，以形成一個整合的、增值的移動商務安全運營平臺和防御戰略，確保使用者免受安全威脅。

（三）法律上的安全問題

1.網絡交易信用缺失造成的安全問題。網絡虛假廣告的泛濫、網絡交易環境的虛擬性和網絡交易主體身份的真偽等造成用戶對商品信息不對稱而上當受騙，一旦用戶要向商家退貨或索賠時，商務網站會以商業秘密為由拒絕為提供商家的詳細資料，用戶難以維權。當前，國內市場機制還不規范，移動商務的商業運作環境還不完善，缺乏必要的信用保障體系，需制定和完善相關政策去約束商家和用戶的誠信方面問題，同時有必要對用戶和商家進行身份認證。

2.基于位置的服務造成的安全問題。移動定位技術是基于目前較為普及的GSM/GPRS無線網絡覆蓋對手機終端進行實時位置捕捉的新型技術，能為用戶提供基于位置的服務（如GPS衛星定位服務）。例如，用戶撥打緊急求救電話尋求幫助時，救護人員通過手機GPS精確地定位用戶所在地，快速抵達救援。但是這種定位跟蹤服務引發了新的私密性和保密性問題。

二、造成移動電子商務安全問題的原因

由于移動電子商務是基于無線通信技術的網絡層應用，以及自身的移動性所帶來的一些相關特性，移動電子商務除包含傳統電子商務所面臨的各種安全問題外，又產生了大量全新的安全問題，構成了潛在的安全隱患，增加了安全保護和解決問題的難度。例如，無線網絡相較有線網絡更容易被外部竊聽；無線信道帶寬有限，認證信息不能太多，否則會影響系統的吞吐量；移動電子商務中通信單元具有移動性，更增加了安全機制的不確定性。

另外，自從試點示范工程實施兩年多以來，歷經電信重組、3G牌照發放和手機上網資費下調等，使我國移動電子商務在關鍵技術、標準應用、配套政策及商務模式應用等安全研究方面取得了很大的進展。但是，當前所面臨的網絡安全現狀仍不容樂觀，據CNNIC調查報告顯示，當前國內網民普遍對手機安全問題重視程度不夠，半數網民無法區分各類安全軟件的異同，僅有7.4%的手機網民使用安全防護軟件；近2 100萬網民缺乏密碼設置方面的保護意識；近五成的網民不重視網上安全公告，極易引發網絡安全事故；2009年，52%網民曾遭遇網絡安全事件，網絡下載和瀏覽成為病毒和木馬傳播的主要渠道。

三、移動電子商務安全問題帶來的危害和損失

據CNNIC調查報告顯示，71.9%網民的瀏覽器配置曾被修改，50.1%網民的網絡系統曾無法使用，45%網民的數據、文件曾被損壞，41.5%網民的操作系統曾崩潰，而QQ、MSN、郵箱賬號曾經被盜的網民占32.3%。網絡安全問題對網民造成的損失主要是時間成本，其次才是經濟損失。77.3%網民反映要付出大量的時間成本，平均每年每人需要花費約10個小時處理安全事故。網絡事件給21.2%的網民帶來直接經濟損失，包括網絡游戲、即時通信等賬號被盜造成的虛擬財產損失，網銀密碼、賬號被盜造成的財產損失，以及因網絡系統、操作系統癱瘓、數據和文件等丟失或損壞，對其找回或修復產生的費用等。2009年網民處理安全事件所支出的服務相關費用共計153億元，如按國內3.84億網民計算，人均處理網絡安全事故費用約為39.9元。

四、移動電子商務安全問題的應對策略

移動電子商務的安全問題及威脅成為了移動電子商務推廣應用的瓶頸，阻礙了3G時代我國移動電子商務的發展。只有解決了安全性問題，消除威脅，我國移動電子商務的發展才談得上具有可持續性前景。為此，筆者吸取傳統電子商務的安全防范措施，提出以下應對策略，以降低移動電子商務的風險和易受攻擊性，減少其危害和損失。

（一）端到端策略

端到端就是在移動電子商務過程中找出每個薄弱環節，并采取適當的安全性和私密性措施（目前，較多采用RSA算法生成安全會話密鑰和使用數字簽名進行數據傳輸），確保數據從傳輸點到最后目的地之間完全的安全性，包括傳輸過程中的每個階段。因此，制訂安全策略時需考慮企業和客戶的需求以及具體移動應用的要求，如性能、個性化、可擴展性及系統管理等。除此之外，健全的端到端的安全性還要求適當的策略、流程和組織。此類流程通常包括風險管理流程、意外事故管理流程、安全性驗證/保證流程、安全性監控流程、變化管理流程、企業安全性策略、安全性結構、技術標準和策略、專用策略、用戶規則、企業安全部門、意外事件響應小組等部分。

（二）安全技術防護策略

1.無線加密技術。為解決802.11原先使用WEP所隱藏的安全問題，在網絡運營商提供的現有系統上運用加密技術和通過驗證的標準化協議，增加消息完整性檢查功能和提供動態密鑰加密數據，防止無線數據包被偽造。如WPA（無線保護接入）標準包含針對數據加密的臨時完整性消息檢查協議和針對用戶認證的IEEE802.1x。目前正在研發的WAP2加密協議與WPA后向兼容，支持更高級的AES加密，能夠更好解決無線網絡的安全問題。

2.防火墻和入侵檢測技術。在移動終端安裝個人防火墻和設置入侵檢測以對網絡內容或電子郵件過濾。如金山軟件公司的手機毒霸，其功能包括有短信防火墻、數據備份等。另外，利用分析器和監測器分析數據流，及時發現未經授權的接入點，并根據需要阻止甚至斷開客戶機。

3.無線虛擬專用網（WVPN）的應用。IPSec VPN或SSL VPN最早都是針對固定網絡的安全問題提出的。WVPN提供鑒權、保密性、完整性等方面的服務，提供了端到端的最好安全性的連接，數據在WVPN的客戶端進行加密，在企業的服務器端進行解密，數據傳輸的整個連接過程中都進行了加密處理，鑒權也在用戶的控制之中。

4.無線公開密鑰體系（WPKI）的應用。通過WPKI技術的應用，實現數據傳輸路徑真正的端到端安全性、用戶鑒權安全及可信交易。WPKI使用公共密鑰加密及開放標準技術來構建安全性架構，該架構可促使公共無線網絡上的交易和安全通信鑒權。可信的PKI不僅能夠安全鑒權用戶、保護數據在傳輸中的完整性和保密性，而且能夠幫助企業實施非復制功能，使得交易參與各方無法抵賴。

（三）安全管理策略

要實現安全的移動電子商務，單靠純粹的技術防范是單薄無力的，安全管理策略的有效實施將使整個安全體系達到事半功倍的效果。

1.提高用戶安全使用意識和安全交易意識。首先，用戶在交易前需核實對方的合法身份，避免上當受騙。其次，移動用戶使用移動終端進行交易支付時，要嚴格按照規定操作，并注意妥善保管電子支付交易存取工具（如SIM卡、密碼、密鑰、電子簽名制作數據等）的警示性信息。當用戶發現移動終端遺失時，需采取及時掛失SIM卡和銀行賬戶等應急保護措施。最后，相關訂單信息、交易記錄、合同、單據等證據需保存好以便日后出現糾紛時，作為呈堂證據。

2.加強產業鏈合作，推動安全管理標準化，促進移動商務發展。移動運營商應加緊與價值鏈上各環節的合作（SMS短信尋址就是最好的例子），共同積極推動移動電子商務安全管理標準化和研發兼容性高的安全移動商務平臺，加快基礎網絡設施建設和推進資費管理改革，并有意識地加強對產業鏈的控制和互相監督管理，才能達到共贏，進一步促進移動商務的發展。

3.完善相關法制制度，加強移動通信市場的安全監管，優化安全交易環境。有了法的保障才能使交易雙方具有安全感，才能逐步轉變用戶固有的不良交易習慣，參與到方便快捷安全的移動電子商務模式中。目前已實施的《電子簽名法》和《電子支付指引（征求意見稿）》為電子商務的發展奠定了法律基礎，但是具體細節沒有解釋清楚，缺少可操作性。為此，加快法制建設，明確行業的發展策略和政策導向，進一步規范移動通信市場機制和完善安全管理體制，以便隨之逐步淡化支付和交易誠信方面的短板效應，為移動通信行業的健康持續發展創造良好的政策環境和公平、公正的市場環境。

小結

隨著3G進一步的推廣應用，移動電子商務的安全問題越來越突出，嚴重阻礙了移動電子商務的發展。要開挖移動電子商務這座巨大的金礦，政府和移動運營商們必須加緊聯系與配合，共同研發出一套從技術、管理、法律上都嚴密的安全策略以解決安全問題及威脅，進一步構建適宜移動電子商務活動的環境，促使移動電子商務高速發展，為消費者提供更多更高效的個性化服務。

[1]王連英.3G通訊時代我國移動電子商務的發展前景探析[J].中國科技博覽,2009(14)：86-87.

[2]中國互聯網絡信息中心CNNIC.第25次中國互聯網絡發展狀況統計報告[EB/R].[2010-01-12].http://www.cnnic.net.cn.

[3]馬薇.移動電子商務安全機制探討[J].商場現代化, 2008(9)：134.

[4]成楊.移動電子商務安全問題研究[D].沈陽理工大學碩士學位論文，2008：3.

[5]傅杰勇.我國移動電子商務應用安全問題探析[J].中國集體經濟,2008(13).

[6]中國互聯網絡信息中心CNNIC.2009年中國網民網絡信息安全狀況調查報告[EB/R].[2010-04-20].http://www. isccc.gov.cn/xwdt/xwkx/04/251908shtm/.

[7]倪永健,黑霞麗.移動電子商務安全問題研究[J].科技情報開發與經濟,2007(17)：228-229.

[8]姜紅波.電子商務概論[M].北京：清華大學出版社, 2009：2.

The Security Issues of Mobile E-Commerce in China and Coping Strategies at the Era of 3G

LIANG Shao’e1，CAI Zhenzhi2
（1.Zhaoqing Science and Technology Polytechnic,Zhaoqing,Guangdong 526114,China; 2.Zhaoqing University,Zhaoqing,Guangdong,526061,China)

This paper starts from the present development of mobile e-commerce at the era of 3G in China,and bases on the studying of security issues of mobile e-commerce in China,it explores the causes leading the problems in technology,market and so on,further analyses the harms and damages of the problems, finally puts forward some coping strategies.

3G;mobile e-commerce;security issues

F49

A

1009－8445（2010）04－0055－04

（責任編輯：杜云南）

2010－04－27；修改日期：2010－05－17

梁少娥（1979－），女，廣東新興人，肇慶科技職業技術學院助教。