梁少娥，蔡振治

（1.肇庆科技职业技术学院，广东肇庆526114；2.肇庆学院教务处，广东肇庆526061）

3G时代我国移动电子商务的安全问题与应对策略

梁少娥1，蔡振治2

（1.肇庆科技职业技术学院，广东肇庆526114；2.肇庆学院教务处，广东肇庆526061）

从技术、管理和法律三个角度出发，阐述了目前我国移动电子商务存在着无线通信技术自身缺陷、无线网络标准缺陷、病毒和黑客攻击、移动终端安全管理、移动商务平台运营管理漏洞、网络交易信用缺失以及基于位置的服务等造成的安全问题和安全威胁，分析了造成移动电子商务安全问题的技术、市场、配套政策等原因及其危害性和造成的损失，最后针对性地提出了端到端策略、安全技术防护、安全管理等治理策略。

3G；移动电子商务；安全问题

随着3G时代的到来，移动通信技术的不断更新，推动了移动电子商务的发展。大屏幕、多功能的智能手机、PDA、掌上电脑等移动终端产品纷纷上市，各类3G业务不断推出试行，使得企业和用户可随时随地开展移动商务，如移动订购、网上炒股、移动商务管理和办公等。目前拥有手机等移动终端的人数远远超过拥有台式电脑的人数。据CNNIC统计报告显示，我国网民规模达3.84亿，手机网民年增过亿，规模已达到2.33亿，占整体网民的60.8%，商务交易类应用增幅高达68%，增速十分迅猛。这庞大市场以及移动商务随身化的优势，让移动电子商务成为下一个金矿。

目前我国移动电子商务正处于从试点示范阶段走向规模应用阶段的一个关键点上，但是由于无线技术的应用而面临着信息保密、身份认证、移动终端安全等一系列新的安全问题和隐患，给企业和用户造成很大的心理障碍，影响移动商务活动的顺利进行，成为移动电子商务更进一步发展的瓶颈。因此，提高移动电子商务的安全性能，消除移动用户的安全隐患，促进移动电子商务健康发展成为当务之急。

一、移动电子商务安全问题的主要表现

总的来说，移动电子商务的安全面临着技术、管理和法律几方面的挑战。

（一）技术上的安全问题

1.无线通信网络本身的安全问题。从GPRS、CDMA发展到3G通信技术，无线通信网络提高速率高达2Mbit/s，给用户支持高质量的话音、分组数据、多媒体业务和多用户速率通信，彻底改变了人们的通信和生活方式。但是，无线网络是通过一个开放的信道进行通信，无法像有线网络那样依靠信道的安全加以保护。攻击者正是利用此点假冒某合法用户的身份，或通过对传输媒介的监听，非法获取传输信息，达到破坏的目的。如用户的合法身份被窃取、通信内容容易被窃听、对数据完整性和保密性的威胁、移动IP网路漫游的威胁、针对无线应用协议WAP的攻击等。这对于无线用户的信息安全、个人隐私和个人安全都构成了潜在的威胁。

2.无线网络标准的缺陷。移动电子商务涉及到很多无线网络标准，其中使用较广泛的是实现手机无线访问因特网的WAP标准和构建WLAN (无线局域网)的802.11标准。WAP中WTLS（无线传输层安全）协议仅仅加密由WAP设备到WAP网关的数据，数据通过SSL传送至网关上有短暂的时间处于明文状态；802.11标准使用的WEP（无线等效协议）安全机制存在密钥容易泄露且难以管理等缺陷；许多WLAN在跨越不同子网时往往不需要第二次的登陆验证。这些缺陷容易造成数据被拦截和窃取，给移动商务的应用带来了很大的安全隐患。

3.病毒和黑客攻击造成的安全威胁。自从世界上第一个针对Symbian操作系统的手机病毒出现后，如同打开了潘多拉的盒子，各种新型的手机病毒层出不穷，呈加速增长的趋势。无线设备、操作系统、应用、网络技术的多样性和不成熟以及客户群规模等因素，更是加剧了病毒和黑客攻击的威胁。特别是用户在使用移动终端设备进行网上购物和交易支付时，缺乏网络安全操作的规范性和警惕性，浏览下载和安装一些不安全的插件、程序或软件致使终端设备不安全。黑客则借机利用依附在软件的木马程序、操作系统的漏洞及缺陷等，从网络的外部非法侵入，进行干扰和不法行为，给移动电子商务造成很大的安全威胁。

（二）管理上的安全问题

1.移动终端的安全管理问题。随着移动终端及其功能的完善、信息存储量的加大，用户习惯性将大量的商务数据和个人信息资料存储于移动终端。移动终端体积小、重量轻，便于随身携带使用，也使其容易丢失或被盗。除此之外，用户缺少安全使用方法和防范意识，在上网交易过程中操作不规范，事后又没有及时对商务数据备份、恢复以及对非法入侵者的追踪。因此，移动终端的安全性及其存储的大量商业秘密（如私钥）的保密性都将面临日益严峻的安全威胁。主要表现在：移动终端的物理安全、移动终端被攻击和数据破坏、SIM卡被复制、RFID被解密等。目前，手持移动设备最大的问题就是缺少对特定用户的实体认证机制。

2.移动商务平台运营管理漏洞造成的安全威胁。为适应3G业务的开展，电信运营商、设备商、系统集成商、软件开发商以及终端提供商等都加快了相应手机软件开发的脚步。不同功能组别的移动商务平台林立，如移动支付系统、商品配送系统。但是，对于移动商务平台如何完善服务功能、如何监督管理操作以及如何确保安全运营，平台开发者与使用者之间还普遍存在缺少经验和交流，需在技术安全控制、运营管理中进行整体思考和设计安全措施，并在运营实践中不断地修正和完善，以形成一个整合的、增值的移动商务安全运营平台和防御战略，确保使用者免受安全威胁。

（三）法律上的安全问题

1.网络交易信用缺失造成的安全问题。网络虚假广告的泛滥、网络交易环境的虚拟性和网络交易主体身份的真伪等造成用户对商品信息不对称而上当受骗，一旦用户要向商家退货或索赔时，商务网站会以商业秘密为由拒绝为提供商家的详细资料，用户难以维权。当前，国内市场机制还不规范，移动商务的商业运作环境还不完善，缺乏必要的信用保障体系，需制定和完善相关政策去约束商家和用户的诚信方面问题，同时有必要对用户和商家进行身份认证。

2.基于位置的服务造成的安全问题。移动定位技术是基于目前较为普及的GSM/GPRS无线网络覆盖对手机终端进行实时位置捕捉的新型技术，能为用户提供基于位置的服务（如GPS卫星定位服务）。例如，用户拨打紧急求救电话寻求帮助时，救护人员通过手机GPS精确地定位用户所在地，快速抵达救援。但是这种定位跟踪服务引发了新的私密性和保密性问题。

二、造成移动电子商务安全问题的原因

由于移动电子商务是基于无线通信技术的网络层应用，以及自身的移动性所带来的一些相关特性，移动电子商务除包含传统电子商务所面临的各种安全问题外，又产生了大量全新的安全问题，构成了潜在的安全隐患，增加了安全保护和解决问题的难度。例如，无线网络相较有线网络更容易被外部窃听；无线信道带宽有限，认证信息不能太多，否则会影响系统的吞吐量；移动电子商务中通信单元具有移动性，更增加了安全机制的不确定性。

另外，自从试点示范工程实施两年多以来，历经电信重组、3G牌照发放和手机上网资费下调等，使我国移动电子商务在关键技术、标准应用、配套政策及商务模式应用等安全研究方面取得了很大的进展。但是，当前所面临的网络安全现状仍不容乐观，据CNNIC调查报告显示，当前国内网民普遍对手机安全问题重视程度不够，半数网民无法区分各类安全软件的异同，仅有7.4%的手机网民使用安全防护软件；近2 100万网民缺乏密码设置方面的保护意识；近五成的网民不重视网上安全公告，极易引发网络安全事故；2009年，52%网民曾遭遇网络安全事件，网络下载和浏览成为病毒和木马传播的主要渠道。

三、移动电子商务安全问题带来的危害和损失

据CNNIC调查报告显示，71.9%网民的浏览器配置曾被修改，50.1%网民的网络系统曾无法使用，45%网民的数据、文件曾被损坏，41.5%网民的操作系统曾崩溃，而QQ、MSN、邮箱账号曾经被盗的网民占32.3%。网络安全问题对网民造成的损失主要是时间成本，其次才是经济损失。77.3%网民反映要付出大量的时间成本，平均每年每人需要花费约10个小时处理安全事故。网络事件给21.2%的网民带来直接经济损失，包括网络游戏、即时通信等账号被盗造成的虚拟财产损失，网银密码、账号被盗造成的财产损失，以及因网络系统、操作系统瘫痪、数据和文件等丢失或损坏，对其找回或修复产生的费用等。2009年网民处理安全事件所支出的服务相关费用共计153亿元，如按国内3.84亿网民计算，人均处理网络安全事故费用约为39.9元。

四、移动电子商务安全问题的应对策略

移动电子商务的安全问题及威胁成为了移动电子商务推广应用的瓶颈，阻碍了3G时代我国移动电子商务的发展。只有解决了安全性问题，消除威胁，我国移动电子商务的发展才谈得上具有可持续性前景。为此，笔者吸取传统电子商务的安全防范措施，提出以下应对策略，以降低移动电子商务的风险和易受攻击性，减少其危害和损失。

（一）端到端策略

端到端就是在移动电子商务过程中找出每个薄弱环节，并采取适当的安全性和私密性措施（目前，较多采用RSA算法生成安全会话密钥和使用数字签名进行数据传输），确保数据从传输点到最后目的地之间完全的安全性，包括传输过程中的每个阶段。因此，制订安全策略时需考虑企业和客户的需求以及具体移动应用的要求，如性能、个性化、可扩展性及系统管理等。除此之外，健全的端到端的安全性还要求适当的策略、流程和组织。此类流程通常包括风险管理流程、意外事故管理流程、安全性验证/保证流程、安全性监控流程、变化管理流程、企业安全性策略、安全性结构、技术标准和策略、专用策略、用户规则、企业安全部门、意外事件响应小组等部分。

（二）安全技术防护策略

1.无线加密技术。为解决802.11原先使用WEP所隐藏的安全问题，在网络运营商提供的现有系统上运用加密技术和通过验证的标准化协议，增加消息完整性检查功能和提供动态密钥加密数据，防止无线数据包被伪造。如WPA（无线保护接入）标准包含针对数据加密的临时完整性消息检查协议和针对用户认证的IEEE802.1x。目前正在研发的WAP2加密协议与WPA后向兼容，支持更高级的AES加密，能够更好解决无线网络的安全问题。

2.防火墙和入侵检测技术。在移动终端安装个人防火墙和设置入侵检测以对网络内容或电子邮件过滤。如金山软件公司的手机毒霸，其功能包括有短信防火墙、数据备份等。另外，利用分析器和监测器分析数据流，及时发现未经授权的接入点，并根据需要阻止甚至断开客户机。

3.无线虚拟专用网（WVPN）的应用。IPSec VPN或SSL VPN最早都是针对固定网络的安全问题提出的。WVPN提供鉴权、保密性、完整性等方面的服务，提供了端到端的最好安全性的连接，数据在WVPN的客户端进行加密，在企业的服务器端进行解密，数据传输的整个连接过程中都进行了加密处理，鉴权也在用户的控制之中。

4.无线公开密钥体系（WPKI）的应用。通过WPKI技术的应用，实现数据传输路径真正的端到端安全性、用户鉴权安全及可信交易。WPKI使用公共密钥加密及开放标准技术来构建安全性架构，该架构可促使公共无线网络上的交易和安全通信鉴权。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性，而且能够帮助企业实施非复制功能，使得交易参与各方无法抵赖。

（三）安全管理策略

要实现安全的移动电子商务，单靠纯粹的技术防范是单薄无力的，安全管理策略的有效实施将使整个安全体系达到事半功倍的效果。

1.提高用户安全使用意识和安全交易意识。首先，用户在交易前需核实对方的合法身份，避免上当受骗。其次，移动用户使用移动终端进行交易支付时，要严格按照规定操作，并注意妥善保管电子支付交易存取工具（如SIM卡、密码、密钥、电子签名制作数据等）的警示性信息。当用户发现移动终端遗失时，需采取及时挂失SIM卡和银行账户等应急保护措施。最后，相关订单信息、交易记录、合同、单据等证据需保存好以便日后出现纠纷时，作为呈堂证据。

2.加强产业链合作，推动安全管理标准化，促进移动商务发展。移动运营商应加紧与价值链上各环节的合作（SMS短信寻址就是最好的例子），共同积极推动移动电子商务安全管理标准化和研发兼容性高的安全移动商务平台，加快基础网络设施建设和推进资费管理改革，并有意识地加强对产业链的控制和互相监督管理，才能达到共赢，进一步促进移动商务的发展。

3.完善相关法制制度，加强移动通信市场的安全监管，优化安全交易环境。有了法的保障才能使交易双方具有安全感，才能逐步转变用户固有的不良交易习惯，参与到方便快捷安全的移动电子商务模式中。目前已实施的《电子签名法》和《电子支付指引（征求意见稿）》为电子商务的发展奠定了法律基础，但是具体细节没有解释清楚，缺少可操作性。为此，加快法制建设，明确行业的发展策略和政策导向，进一步规范移动通信市场机制和完善安全管理体制，以便随之逐步淡化支付和交易诚信方面的短板效应，为移动通信行业的健康持续发展创造良好的政策环境和公平、公正的市场环境。

小结

随着3G进一步的推广应用，移动电子商务的安全问题越来越突出，严重阻碍了移动电子商务的发展。要开挖移动电子商务这座巨大的金矿，政府和移动运营商们必须加紧联系与配合，共同研发出一套从技术、管理、法律上都严密的安全策略以解决安全问题及威胁，进一步构建适宜移动电子商务活动的环境，促使移动电子商务高速发展，为消费者提供更多更高效的个性化服务。

[1]王连英.3G通讯时代我国移动电子商务的发展前景探析[J].中国科技博览,2009(14)：86-87.

[2]中国互联网络信息中心CNNIC.第25次中国互联网络发展状况统计报告[EB/R].[2010-01-12].http://www.cnnic.net.cn.

[3]马薇.移动电子商务安全机制探讨[J].商场现代化, 2008(9)：134.

[4]成杨.移动电子商务安全问题研究[D].沈阳理工大学硕士学位论文，2008：3.

[5]傅杰勇.我国移动电子商务应用安全问题探析[J].中国集体经济,2008(13).

[6]中国互联网络信息中心CNNIC.2009年中国网民网络信息安全状况调查报告[EB/R].[2010-04-20].http://www. isccc.gov.cn/xwdt/xwkx/04/251908shtm/.

[7]倪永健,黑霞丽.移动电子商务安全问题研究[J].科技情报开发与经济,2007(17)：228-229.

[8]姜红波.电子商务概论[M].北京：清华大学出版社, 2009：2.

The Security Issues of Mobile E-Commerce in China and Coping Strategies at the Era of 3G

LIANG Shao’e1，CAI Zhenzhi2
（1.Zhaoqing Science and Technology Polytechnic,Zhaoqing,Guangdong 526114,China; 2.Zhaoqing University,Zhaoqing,Guangdong,526061,China)

This paper starts from the present development of mobile e-commerce at the era of 3G in China,and bases on the studying of security issues of mobile e-commerce in China,it explores the causes leading the problems in technology,market and so on,further analyses the harms and damages of the problems, finally puts forward some coping strategies.

3G;mobile e-commerce;security issues

F49

A

1009－8445（2010）04－0055－04

（责任编辑：杜云南）

2010－04－27；修改日期：2010－05－17

梁少娥（1979－），女，广东新兴人，肇庆科技职业技术学院助教。