杨妍玲
摘 要:近几年,随着无线网络技术的发展,移动电子商务成为无线网络应用的必然趋势。但由于网络本身的开放性,使得移动电子商务面临着各种各样的安全威胁,其安全问题已成为核心焦点被提到了极其重要的位置。本文通过对我国移动电子商务发展现状进行描述,探讨了制约移动电子商务安全发展的相关安全问题。在此基础上进一步从核心技术、立法和专业人员培训需求等层面提出了相应的安全对策。
關键词:移动电子商务;安全威胁;WAP;安全对策
Abstract:In the last few years, advances in wireless network technology have triggered rapid development in m–commerce. However, m-commerce applications have to face a variety of security threats due to the network openness. The safety of m-commerce has been referred to an extremely high status. This paper summaries the situation of m-commerce in China, and explores the related security issues which constraints the development of mobile e-commerce. On this basis, we put forward the security strategy aim at core technology, legislation and professional training.
Key words:m-commerce;security threat;WAP;security strategy
1 移动电子商务的普及应用
与单纯依靠PC为主要工具的传统电子商务不同,移动商务(M-Commerce)是指那些依托移动通信网络,使用手机、掌上电脑、笔记本电脑灯移动通信终端和设备所进行的各种商业信息交互的商务活动[1]。移动电子商务作为时代发展衍生出来的新兴事物,实现了各种网络业务流程从有线到无线的整合,开创了一种电子商务新形态。移动终端保有量与移动互联网用户的快速增长,是移动电子商务市场规模迅速扩张的硬件基础。根据我国工业与信息化部数据统计发现,直至2013年第三季度,中国移动电话用户超过了12亿户,其中移动互联网用户已达到8.2亿户[2]。根据艾瑞咨询的统计数据显示,2013年中国移动互联网市场规模达1059.8亿元,其中移动购物就占据了半壁江山,在整个移动互联网市场规模中占比38.9%,预计到2017年移动购物的占比将上升至55%[3]。可见,随着移动互联网用户规模的扩大,移动互联网市场有着广阔的发展空间,总的来说,我国移动商务的市场规模正在快速形成。然而,随之而来的是一系列在交易过程中存在的安全问题值得去研究解决。
2 存在的安全问题
移动电子商务面临的安全问题主要来自于三个方面:移动网络系统、移动终端设备本身以及外部因素。这些威胁所导致的风险包括通信内容被窃听,信息被非法篡改,交易抵赖欺诈和移动终端安全隐患等。
2.1 移动网络本身的威胁
移动网络是移动电子商务向用户提供服务的基础,是必不可少的媒介。与传统的有线网络不同的是无线通信网络可以不受地理环境和通信电缆的限制,实现开放性、可移动的通信。正是由于移动网络具备这样的优点,能为移动商务用户带来更加灵活、自由的体验,因此不可避免地存在诸多潜在的安全问题。
在无线网络通信过程中,移动通讯的信息大部分都是以明文形式在无线信道上开放传送。攻击者试图在终端用户不知情的情况下,非法窃取无线网络上的用户通讯信息或将其进行篡改是非常简单且容易实现的。任何一个拥有相应频率接收设备的人都有能力获得无线信道上传输的内容,导致用户的通信内容(包括数据信息、用户身份、通讯位置信息等)被窃听,而且这种攻击者的非法行为很难被发现。造成的后果是机密信息泄露,通信双方身份被假冒代替或者通信数据被非法篡改等,故而移动用户也会因身份信息以及位置信息的泄露而被无线追踪;电子商务交易活动被故意或不经意地拒绝;交易中途被打断后由于没有再认证用户身份的机制,仅靠刷新重新建立起的交易连接是有风险的。基于上述原因,移动网络本身的技术漏洞对于移动电子商务用户的个人隐私安全和信息安全都构成诸多不安全隐患。
在无线网络这个开放自由的环境下,无线设备没有固定的地理位置,攻击者可以自由地在不同区域里活动,随时登陆或者退出,难以被追踪,因此为攻击者提供了很好的藏匿机会,利用无线网络发起对敌手固定网络的攻击往往是网络黑客们的首选。
2.2 移动终端面临的威胁
移动终端的特点是具有移动性,其安全隐患主要表现在移动终端设备的物理安全、数据处理和数据通讯安全这些方面,面临的安全威胁比较复杂,如移动设备比较容易被丢失或数据损坏,经常成为被攻击的对象;手机终端的SIM卡被轻易复制等,对用户势必造成安全威胁。
⑴软件病毒威胁。目前我国多数移动用户常用的移动终端是智能手机,随着中国3G环境日益成熟,智能手机的普及,各种手机病毒也随之而至。与计算机病毒一样,手机病毒也是一种程序,具有传染性和破坏性。攻击者可以利用手机病毒轻易获取企业或个人移动终端上的敏感资源,如数字证书或破坏数据完整性,从而造成不必要的损失。针对Symbian操作系统的手机软件病毒是世界上第一个手机病毒,它的出现预示着移动终端将面临严峻的挑战。近日,腾讯移动安全实验室发布的《2013年手机安全报告》中显示,2013年新增手机病毒包数是2012年的4.47倍。腾讯移动安全实验室在2013年共检测截获手机病毒包总数793400个,其中,截获Android手机病毒占比96.21%,Symbian手机病毒包占比3.79%[4]。可见手机软件病毒激增暴涨的趋势,传染途径和速度简单且容易,其危害不容忽视。
⑵移动终端上的数据安全。如果用户是采用手机作为移动终端,那么移动终端用户所有的重要信息都存储在自己手机的SIM卡中,因此SIM卡数据安全是需要考虑的问题,一旦用户手机丢失,攻击者可能复制SIM卡中的重要信息进行欺骗,或者伪装成真正持有者身份参与到电子商务交易中来,甚至进行移动电子商务诈骗。
另一方面由于移动设备自身的缺陷,硬件资源的存储容量有限,对数据处理能力弱,数据的传输速度也会因地理位置限制而变慢或出现传输中断,在这样的条件下对移动电子商务交易业务及移动支付的开展是巨大的难题[5]。
2.3 外部因素的威胁
在移动电子商务活动中,消费者只能从图片和文字描述去了解和判断商品,而对于产品的原材料、成分的真实性等情况无从深入了解,售后服务也不能得到及时解决。交易双方信息不对称造成部分商家对消费者的欺诈行为屡见不鲜,消费者权益得不到有力保障,与此同时也造成移动电子商务市场混乱和不信任,例如虚假信息描述与消费者购买的商品不符,商家提供虚假经营者信息资料等不法行为。
另外,移动商务平台运营管理漏洞也容易产生安全问题。目前我国的移动电子商务还处于成长阶段,对各种应急处理缺乏经验。如何有效管理众多移动运营平台,如何确保电商运营安全以及如何设置防御战略还有待建立一套完整有效的安全处理机制和应急预案。
3 移动电子商务安全问题解决方案
安全问题是移动电子商务成功与否的关键所在,是保证可用性和推广性的核心技术问题[6]。考虑到上述存在的各类安全问题及威胁,为了建立有效、安全、可信赖的移动电子商务环境,众多有针对性的解决方案被提出并应用到实践中。
3.1 WAP2.0协议是安全基础
WAP(无线通讯协议)是迄今移动通信上唯一的国际标准通信协议,但是使用WAP1.X标准开展移动电子商务并不能给移动用户增添信心,因为WAP1.X有安全漏洞,它只能提供点到点的加密服务,这意味着数据信息在进入WAP网关解密后以明文形式存在,重要敏感信息完全暴露,因此国际上许多无线网络运营商纷纷将WAP1.X升级为能实现端到端安全机制的WAP2.0版本,填补了WAP1.X网关安全隐患。目前市场上的移动终端都可支持WAP2.0,我国无线运营商也可考虑采用WAP2.0,为移动电商用户提供基本的信息安全保证。
3.2 WPKI体系是安全保障
WPKI(无线公开密钥体系)是以WAP安全机制为基础,为满足移动电子商务的安全需求,对有线网络中PKI安全机制进行优化扩展,利用公钥安全机制和数字证书建立起安全有效的无线网络环境。采用公钥加密机制能够有效确保数据的保密性和完整性,数字证书的公钥管理由可信第三方CA认证,可以准确进行用户身份鉴别,防止重放攻击,而且能使得交易双方参与的业务无法抵赖,从技术上加强移动电子商务实体认证机制。
3.3 防火墙技术及杀毒软件
防火墙是网络安全的第一道防线,正确引导移动终端用户安装防火墙和必要杀毒软件有着至关重要的作用,目前常见的杀毒软件有360安全卫士、瑞星手机杀毒软件等。尤其是无线网络运营商及移动电子商务平台提供商更需要强制安装安全保护系统。只有每一个移动电子商务参与者都以优化无线电子商务环境为己任,才能有效降低猖獗的软件病毒的威胁。
3.4 完善立法并加强人员培训
我国移动电子商务还处在不成熟阶段,由于交易形式是在虚拟的网络环境下进行,建立有效的规范和制度监管势在必行,相关部门应尽快制定专门的移动电子商务法律法规,加快移动电子商务安全立法进程,利用法律约束力构建安全的移动电子商务交易环境,增加交易参与者的信任感,促使我国移动电子商务稳健运作、正常发展。除此之外,还应加强专业人员业务培训计划及安全管理知识培训,提高参与者的业务水平和法律意识。
4 結语
我国无线网络普及化极大地促进了移动电子商务的蓬勃发展。移动用户在享受移动电子商务带来便利的同时,安全问题成了中国移动电子商务发展道路上的鸿沟。要保障移动电子商务安全,除了充分依靠现代信息安全技术手段进行保护外,需要有一个安全管理环境做保障,建立一系列健全的法律法规来约束,相信在每一个移动电子商务参与者的共同努力下,中国移动电子商务的发展前景将会更加广阔。
[参考文献]
[1]沈美莉,等,著.电子商务信息安全技术[M].北京:机械工业出版社,2010.10.
[2]新华网:工业和信息化部通告2013年第三季度电信服务质量情况. http://news.xinhuanet.com/politics/2013-10/29/c_125618943.htm.
[3]艾瑞咨询:2013年度中国移动互联网核心数据发布.http://news.iresearch.cn/zt/225500.shtml.
[4]腾讯移动安全实验室:2013年手机安全报告.http://m.qq.com/security_lab/news_detail_223.html.
[5]徐洪峰,徐曦,曾杰.移动电子商务安全问题研究[J].计算机技术与发展,2011.11(21):236-238.
[6]田迎华.3G时代移动电子商务安全问题研究[J].情报科学,2010.10(28):1487-1490.