移动电子商务的安全问题
摘 要: 电子商务是以现代互联网通信手段传输商业信息进行的商业活动,随着手机使用的普及和无线应用技术的发展,电子商务发展趋向于一种新兴的电子商务模式--移动电子商务。移动电子商务作为一种移动互联的贸易方式拥有更为广泛的用户基础,势必将成为全球具有战略意义的贸易手段和信息交换的有效方式。移动电子商务的诸多优势能加快中国的经济发展和提高人们的工作效率,但安全问題仍是影响移动电子商务发展的难题之一。本文主要探讨和分析中国移动电子商务应用存在的安全问题并提出相应的安全策略。
关键词: 电子商务; 移动电子商务; 安全; 移动电子商务安全
中图分类号: TP393 文献标识码: A 文章编号: 1009-8631(2011)05-0103-02
一、移动电子商务及其发展
移动电子商务就是利用手机、PDA及掌上电脑等无线终端,通过无线网络连接互联网,进行B2B、B2C或C2C的电子商务活动。它是因特网、移动通信技术、短距离通信技术及其它信息技术完美的结合体,使人们在任何时间、任何地点进行各种商业活动,实现随时随地的进行购物、电子支付以及各种交易活动、商务活动、金融活动和相关的综合性服务活动等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。移动电子商务具备以下一些优点:
个性化:可以根据用户的需求,随时为用户提供个性化服务
灵活性:移动设备既是一个移动通信工具,又是一个移动POS机,一个移动的银行ATM机。用户可在任何时间,任何地点进行电子商务交易和办理银行业务,包括支付。
安全性:使用手机银行业务的客户可更换为大容量的SIM卡,使用银行可靠的密钥,对信息进行加密,传输过程全部使用密文,确保了安全可靠。
多样性:移动电子商务能提供PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务(Location based service)、娱乐等服务。
从移动电子商务的优点来看,移动电子商务非常适合大众化的应用。移动电子商务不仅仅能提供在因特网上的直接购物,还是一种全新的销售与促销渠道。它全面支持移动因特网业务,可实现电信、信息、媒体和娱乐服务的电子支付。不仅如此,移动电子商务不同于目前的销售方式,它能完全根据消费者的个性化需求和喜好定制,用户随时随地都可使用这些服务。
从中国目前的移动电子商务发展情况来看,随着中国电子商务的纵向深入发展,基于传统互联网的电子商务将逐渐与移动设备设备相结合,已经成为电子商务新一阶段的行业增长点。根据工业和信息化部的数据显示,2009年中国手机终端的数量已经达到7.47亿,而来自CNNIC的数据,09年底,中国手机网民的数量已突破2.33亿,中国移动电子商务已经具备了良好的发展条件。预计到2011年年底,手机用户将达到9亿人。中国已成为世界上人数最多的移动通信市场,随着3G的发展以及中国的移动用户与互联网用户市场的进一步发展壮大,预计中国移动电子商务市场在一定时期内仍将保持快速增长的趋势。
二、移动电子商务安全性要求
移动电子商务是电子商务的新型模式,同样有对安全性的要求,移动电子商务的安全性要求主要表现在以下几个方面:
1.信息保密性
交易中的商务信息均有保密的要求。如电子支付的账号和密码等不能被他人知悉,因此在信息传播中一般均有加密的要求。
2.交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,因此能方便而可靠地确认对方身份是交易的前提。
3.不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
4.不可修改性
交易的内容是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
三、移动电子商务主要存在的安全问题
移动电子商务发展基石是安全问题,相对于传统的电子商务模式,移动电子商务的安全性更加薄弱。有线网络的安全技术不能直接应用于无线网络设备,无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。且无线网络本身的开放性降低了安全性等原因导致移动电子商务应用过程中存在诸多安全威胁。移动电子商务主要存在的安全性问题有:
1.无线网络自身的安全问题
无线通信网络由于自身的限制,给无线用户带来通信自由和灵活性的同时也带来了诸多不安全因素。在移动通信网络中,移动设备与固定网络信息中心之间的所有通信都是通过无线接口来传输的。而无线接口是开放的,任何具有适当无线设备的人,均可以通过窃听无线信道而获得其中传输的消息,甚至可以修改、插入、删除或重传无线接口中传输的消息,以达到假冒移动用户身份欺骗网络信息中心的目的。同时,在有些移动通信网络中,各基站与移动服务交换中心之间的通信媒质就不尽相同,相互之间的信息转换也有可能导致移动用户的身份、位置及身份确认信息的泄漏。
2.移动设备的不安全因素
移动设备的安全威胁比较复杂。由于移动设备的移动性,移动设备很容易被破坏或者丢失。势必造成安全影响,甚或安全威胁。移动设备的不安全因素主要表现在:用户身份、账户信息和认证密钥丢失;移动设备被攻击和数据破坏;SIM卡被复制;RFID被解密等方面。例如不法分子取得用户的移动设备,并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。
3.软件病毒造成的安全威胁
自从2004年第一个手机软件病毒“Cabir”蠕虫病毒出现,移动设备就已经面临了严峻的安全威胁:用户信息、网络帐号、银行账号和密码等被窃;传播非法信息;破坏手机软硬件,导致手机无法正常工作;造成通讯网络瘫痪。而移动设备相关清除病毒软件才仅仅开始,不能保证所有移动设备不受病毒的侵害。同时由于移动设备自身硬件性能不高,不能承载现今成熟的病毒扫描和入侵检测的程序。
4.移动商务平台运营管理漏洞造成的安全威胁
随着移动商务的发展,移动商务平台林立。大量移动运营平台如何管理、如何进行安全等级划分、如何确保安全运营,还普遍缺少经验。移动商务平台设计和建设中做出的一些技术控制和程序控制缺少安全经验,这就需要在运营实践中对移动电子商务安全内容进行修正和完善。同时移动运营平台也没有把技术性安全措施、运营管理安全措施和交易中的安全警示进行整合,以形成一个整合的、增值的移动商务安全运营和防御战略,确保使用者免收安全威胁。
5.移动商务应用相关法律和制度不健全
随着移动电子商务的发展,移动电子商务是虚拟网络环境中的商务交易模式,较之传统交易模式更需要政策法规来规范其发展。现有的法律对新的电子商务模式不能有效适应,这也为移动电子商务活动带来问题,造成责任不清,无法可依。
四、移动电子商务安全策略
移动安全技术在移动商务活动中保护着商家和客户的重要信息,维护着商务系统的信誉和财产,所以需要提升移动商务的安全技术防范能力,才能充分提高移动商务的可用性和可推广性。可以采取的方法是吸收传统电子商务的安全防范措施,并根据移动电子商务的特点,开发轻便高效的安全策略:
1.端到端的安全
端到端的安全是要求保护移动电子商务中每个连接端口,确保数据从传输点到最后目的地之间所有端口的安全性,包括传输过程中的每个阶段。移动电子商务带来了许多的设备,它们运行不同的操作系统且采用不同标准,因此安全性已经成为更加复杂的问题。这就需要制定相应的规范,规定各终端安全标准:移动终端安全性要求和固定终端安全要求。
2.采用无线公共密钥技术(WPKI)
WPKI即“无线公开密钥体系”,它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动网络环境中使用的公开密钥和数字证书,有效建立安全和值得信赖的无线网络环境。加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
3.加强身份认证和移动设备识别管理
在移动商务的交易过程中加强移动电子商务用户的身份认证管理和用户的移动设备识别,使得移动设备与用户身份一一对应,保证每个用户的访问与授权的准确,和使用移动设备的唯一性。交易过程采用实名身份认证并设置交易移动设备,可以增强移动商务交易的安全性,保证交易双方的利益不受到侵害。在管理过程中要注意设置移动设备使用密码,防止在移动设备丢失时产生的不必要的损失。
4.使用病毒的防护技术
开发和使用移动设备病毒防护软件,并经常更新及查看最新的移动设备病毒信息,定期清理移动设备中的病毒,可以防止处于潜伏期的病毒突然爆发,使移动设备终处于良好工作状态。
5.规范移动电子商务行业管理
为了保证移动商务的正常、安全运作,需要建立移动商务的行业安全规范,明确在移动电子商务交易过程中的各主体责任,提升移动商务主体的安全意识,营造移动商务行业的整体诚信意识、风险营销意识和安全交易意识。把技术性安全措施、运营管理安全措施和交易中的安全警示进行整合,以形成一个整合的、安全的移动商务运营和防御策略,确保使用者免收安全威胁。通过移动商务安全规范的建设,建立整个交易过程的良性互动机制,促进移动商务的健康发展。
6.完善移动电子商务相关法律
移动电子商务较之传统电子商务模式更需要政策來规范其发展。国家应逐步建立移动电子商务相关法律和制度,明确行业的发展策略和政策导向,保障移动电子商务的公平竞争环境。有法律来保障交易的双方,才能使得用户改变固有的交易方式,使用更加方便快捷的移动电子商务。使用法律手段,是现阶段有效解决移动电子商务安全问题是所必须的。有法可依,有法必依才能使得企业能正常开展对电子商务安全体系的研究工作,才能保障移动电子商务的安全体系成型。
参考文献:
[1] 黄刘生.电子商务安全问题[M].北京理工大学出版社,2005.
[2] 汪红松.移动电子商务安全问题研究[J].电子商务,2006(18).
[3] 赵文,戴宗坤.WPKI应用体系架构研究[J].四川大学学报(自然科学版),2005(4).
[4] 倪永建.移动电子商务安全问题研究,2007.
[5] 童俊,郭涛.移动电子商务的安全问题[J].计算机安全,2001(5).
上一篇:钓鱼网站将成互联网第一大安全威胁
下一篇:下一代防火墙必备的四大特征