楊妍玲

摘 要：近幾年，隨著無線網(wǎng)絡技術的發(fā)展，移動電子商務成為無線網(wǎng)絡應用的必然趨勢。但由于網(wǎng)絡本身的開放性，使得移動電子商務面臨著各種各樣的安全威脅，其安全問題已成為核心焦點被提到了極其重要的位置。本文通過對我國移動電子商務發(fā)展現(xiàn)狀進行描述，探討了制約移動電子商務安全發(fā)展的相關安全問題。在此基礎上進一步從核心技術、立法和專業(yè)人員培訓需求等層面提出了相應的安全對策。

關鍵詞：移動電子商務；安全威脅；WAP；安全對策

Abstract：In the last few years， advances in wireless network technology have triggered rapid development in m–commerce. However， m-commerce applications have to face a variety of security threats due to the network openness. The safety of m-commerce has been referred to an extremely high status. This paper summaries the situation of m-commerce in China， and explores the related security issues which constraints the development of mobile e-commerce. On this basis， we put forward the security strategy aim at core technology， legislation and professional training.

Key words：m-commerce；security threat；WAP；security strategy

1 移動電子商務的普及應用

與單純依靠PC為主要工具的傳統(tǒng)電子商務不同，移動商務（M-Commerce）是指那些依托移動通信網(wǎng)絡，使用手機、掌上電腦、筆記本電腦燈移動通信終端和設備所進行的各種商業(yè)信息交互的商務活動[1]。移動電子商務作為時代發(fā)展衍生出來的新興事物，實現(xiàn)了各種網(wǎng)絡業(yè)務流程從有線到無線的整合，開創(chuàng)了一種電子商務新形態(tài)。移動終端保有量與移動互聯(lián)網(wǎng)用戶的快速增長，是移動電子商務市場規(guī)模迅速擴張的硬件基礎。根據(jù)我國工業(yè)與信息化部數(shù)據(jù)統(tǒng)計發(fā)現(xiàn)，直至2013年第三季度，中國移動電話用戶超過了12億戶，其中移動互聯(lián)網(wǎng)用戶已達到8.2億戶[2]。根據(jù)艾瑞咨詢的統(tǒng)計數(shù)據(jù)顯示，2013年中國移動互聯(lián)網(wǎng)市場規(guī)模達1059.8億元，其中移動購物就占據(jù)了半壁江山，在整個移動互聯(lián)網(wǎng)市場規(guī)模中占比38.9%，預計到2017年移動購物的占比將上升至55%[3]?？梢?，隨著移動互聯(lián)網(wǎng)用戶規(guī)模的擴大，移動互聯(lián)網(wǎng)市場有著廣闊的發(fā)展空間，總的來說，我國移動商務的市場規(guī)模正在快速形成。然而，隨之而來的是一系列在交易過程中存在的安全問題值得去研究解決。

2 存在的安全問題

移動電子商務面臨的安全問題主要來自于三個方面：移動網(wǎng)絡系統(tǒng)、移動終端設備本身以及外部因素。這些威脅所導致的風險包括通信內容被竊聽，信息被非法篡改，交易抵賴欺詐和移動終端安全隱患等。

2.1 移動網(wǎng)絡本身的威脅

移動網(wǎng)絡是移動電子商務向用戶提供服務的基礎，是必不可少的媒介。與傳統(tǒng)的有線網(wǎng)絡不同的是無線通信網(wǎng)絡可以不受地理環(huán)境和通信電纜的限制，實現(xiàn)開放性、可移動的通信。正是由于移動網(wǎng)絡具備這樣的優(yōu)點，能為移動商務用戶帶來更加靈活、自由的體驗，因此不可避免地存在諸多潛在的安全問題。

在無線網(wǎng)絡通信過程中，移動通訊的信息大部分都是以明文形式在無線信道上開放傳送。攻擊者試圖在終端用戶不知情的情況下，非法竊取無線網(wǎng)絡上的用戶通訊信息或將其進行篡改是非常簡單且容易實現(xiàn)的。任何一個擁有相應頻率接收設備的人都有能力獲得無線信道上傳輸?shù)膬热?，導致用戶的通信內容（包括?shù)據(jù)信息、用戶身份、通訊位置信息等）被竊聽，而且這種攻擊者的非法行為很難被發(fā)現(xiàn)。造成的后果是機密信息泄露，通信雙方身份被假冒代替或者通信數(shù)據(jù)被非法篡改等，故而移動用戶也會因身份信息以及位置信息的泄露而被無線追蹤；電子商務交易活動被故意或不經(jīng)意地拒絕；交易中途被打斷后由于沒有再認證用戶身份的機制，僅靠刷新重新建立起的交易連接是有風險的。基于上述原因，移動網(wǎng)絡本身的技術漏洞對于移動電子商務用戶的個人隱私安全和信息安全都構成諸多不安全隱患。

在無線網(wǎng)絡這個開放自由的環(huán)境下，無線設備沒有固定的地理位置，攻擊者可以自由地在不同區(qū)域里活動，隨時登陸或者退出，難以被追蹤，因此為攻擊者提供了很好的藏匿機會，利用無線網(wǎng)絡發(fā)起對敵手固定網(wǎng)絡的攻擊往往是網(wǎng)絡黑客們的首選。

2.2 移動終端面臨的威脅

移動終端的特點是具有移動性，其安全隱患主要表現(xiàn)在移動終端設備的物理安全、數(shù)據(jù)處理和數(shù)據(jù)通訊安全這些方面，面臨的安全威脅比較復雜，如移動設備比較容易被丟失或數(shù)據(jù)損壞，經(jīng)常成為被攻擊的對象；手機終端的SIM卡被輕易復制等，對用戶勢必造成安全威脅。

⑴軟件病毒威脅。目前我國多數(shù)移動用戶常用的移動終端是智能手機，隨著中國3G環(huán)境日益成熟，智能手機的普及，各種手機病毒也隨之而至。與計算機病毒一樣，手機病毒也是一種程序，具有傳染性和破壞性。攻擊者可以利用手機病毒輕易獲取企業(yè)或個人移動終端上的敏感資源，如數(shù)字證書或破壞數(shù)據(jù)完整性，從而造成不必要的損失。針對Symbian操作系統(tǒng)的手機軟件病毒是世界上第一個手機病毒，它的出現(xiàn)預示著移動終端將面臨嚴峻的挑戰(zhàn)。近日，騰訊移動安全實驗室發(fā)布的《2013年手機安全報告》中顯示，2013年新增手機病毒包數(shù)是2012年的4.47倍。騰訊移動安全實驗室在2013年共檢測截獲手機病毒包總數(shù)793400個，其中，截獲Android手機病毒占比96.21%，Symbian手機病毒包占比3.79%[4]?？梢娛謾C軟件病毒激增暴漲的趨勢，傳染途徑和速度簡單且容易，其危害不容忽視。

⑵移動終端上的數(shù)據(jù)安全。如果用戶是采用手機作為移動終端，那么移動終端用戶所有的重要信息都存儲在自己手機的SIM卡中，因此SIM卡數(shù)據(jù)安全是需要考慮的問題，一旦用戶手機丟失，攻擊者可能復制SIM卡中的重要信息進行欺騙，或者偽裝成真正持有者身份參與到電子商務交易中來，甚至進行移動電子商務詐騙。

另一方面由于移動設備自身的缺陷，硬件資源的存儲容量有限，對數(shù)據(jù)處理能力弱，數(shù)據(jù)的傳輸速度也會因地理位置限制而變慢或出現(xiàn)傳輸中斷，在這樣的條件下對移動電子商務交易業(yè)務及移動支付的開展是巨大的難題[5]。

2.3 外部因素的威脅

在移動電子商務活動中，消費者只能從圖片和文字描述去了解和判斷商品，而對于產品的原材料、成分的真實性等情況無從深入了解，售后服務也不能得到及時解決。交易雙方信息不對稱造成部分商家對消費者的欺詐行為屢見不鮮，消費者權益得不到有力保障，與此同時也造成移動電子商務市場混亂和不信任，例如虛假信息描述與消費者購買的商品不符，商家提供虛假經(jīng)營者信息資料等不法行為。

另外，移動商務平臺運營管理漏洞也容易產生安全問題。目前我國的移動電子商務還處于成長階段，對各種應急處理缺乏經(jīng)驗。如何有效管理眾多移動運營平臺，如何確保電商運營安全以及如何設置防御戰(zhàn)略還有待建立一套完整有效的安全處理機制和應急預案。

3 移動電子商務安全問題解決方案

安全問題是移動電子商務成功與否的關鍵所在，是保證可用性和推廣性的核心技術問題[6]?？紤]到上述存在的各類安全問題及威脅，為了建立有效、安全、可信賴的移動電子商務環(huán)境，眾多有針對性的解決方案被提出并應用到實踐中。

3.1 WAP2.0協(xié)議是安全基礎

WAP（無線通訊協(xié)議）是迄今移動通信上唯一的國際標準通信協(xié)議，但是使用WAP1.X標準開展移動電子商務并不能給移動用戶增添信心，因為WAP1.X有安全漏洞，它只能提供點到點的加密服務，這意味著數(shù)據(jù)信息在進入WAP網(wǎng)關解密后以明文形式存在，重要敏感信息完全暴露，因此國際上許多無線網(wǎng)絡運營商紛紛將WAP1.X升級為能實現(xiàn)端到端安全機制的WAP2.0版本，填補了WAP1.X網(wǎng)關安全隱患。目前市場上的移動終端都可支持WAP2.0，我國無線運營商也可考慮采用WAP2.0，為移動電商用戶提供基本的信息安全保證。

3.2 WPKI體系是安全保障

WPKI（無線公開密鑰體系）是以WAP安全機制為基礎，為滿足移動電子商務的安全需求，對有線網(wǎng)絡中PKI安全機制進行優(yōu)化擴展，利用公鑰安全機制和數(shù)字證書建立起安全有效的無線網(wǎng)絡環(huán)境。采用公鑰加密機制能夠有效確保數(shù)據(jù)的保密性和完整性，數(shù)字證書的公鑰管理由可信第三方CA認證，可以準確進行用戶身份鑒別，防止重放攻擊，而且能使得交易雙方參與的業(yè)務無法抵賴，從技術上加強移動電子商務實體認證機制。

3.3 防火墻技術及殺毒軟件

防火墻是網(wǎng)絡安全的第一道防線，正確引導移動終端用戶安裝防火墻和必要殺毒軟件有著至關重要的作用，目前常見的殺毒軟件有360安全衛(wèi)士、瑞星手機殺毒軟件等。尤其是無線網(wǎng)絡運營商及移動電子商務平臺提供商更需要強制安裝安全保護系統(tǒng)。只有每一個移動電子商務參與者都以優(yōu)化無線電子商務環(huán)境為己任，才能有效降低猖獗的軟件病毒的威脅。

3.4 完善立法并加強人員培訓

我國移動電子商務還處在不成熟階段，由于交易形式是在虛擬的網(wǎng)絡環(huán)境下進行，建立有效的規(guī)范和制度監(jiān)管勢在必行，相關部門應盡快制定專門的移動電子商務法律法規(guī)，加快移動電子商務安全立法進程，利用法律約束力構建安全的移動電子商務交易環(huán)境，增加交易參與者的信任感，促使我國移動電子商務穩(wěn)健運作、正常發(fā)展。除此之外，還應加強專業(yè)人員業(yè)務培訓計劃及安全管理知識培訓，提高參與者的業(yè)務水平和法律意識。

4 結語

我國無線網(wǎng)絡普及化極大地促進了移動電子商務的蓬勃發(fā)展。移動用戶在享受移動電子商務帶來便利的同時，安全問題成了中國移動電子商務發(fā)展道路上的鴻溝。要保障移動電子商務安全，除了充分依靠現(xiàn)代信息安全技術手段進行保護外，需要有一個安全管理環(huán)境做保障，建立一系列健全的法律法規(guī)來約束，相信在每一個移動電子商務參與者的共同努力下，中國移動電子商務的發(fā)展前景將會更加廣闊。

[參考文獻]

[1]沈美莉，等，著.電子商務信息安全技術[M].北京：機械工業(yè)出版社，2010.10.

[2]新華網(wǎng)：工業(yè)和信息化部通告2013年第三季度電信服務質量情況. http：//news.xinhuanet.com/politics/2013-10/29/c_125618943.htm.

[3]艾瑞咨詢：2013年度中國移動互聯(lián)網(wǎng)核心數(shù)據(jù)發(fā)布.http：//news.iresearch.cn/zt/225500.shtml.

[4]騰訊移動安全實驗室：2013年手機安全報告.http：//m.qq.com/security_lab/news_detail_223.html.

[5]徐洪峰，徐曦，曾杰.移動電子商務安全問題研究[J].計算機技術與發(fā)展，2011.11（21）：236-238.

[6]田迎華.3G時代移動電子商務安全問題研究[J].情報科學，2010.10（28）：1487-1490.