電子商務信息安全管理論文

導語：電子商務信息安全管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]本文介紹了應用于移動電子商務的新技術，并分析了其應用前景。從移動網絡本身、移動adhoc應用、漫游，以及物理安全等方面給出了移動商務所面臨的安全威脅。本文還分析了移動電子商務的發展帶來的一些隱私和法律問題。

[關鍵詞]移動電子商務信息安全自組網隱私法律

移動電子商務（M-Commerce），是通過手機、PDA（個人數字助理）、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務：PIM（個人信息服務）、銀行業務、交易、購物、基于位置的服務、娛樂等。

移動電子商務因其快捷方便、無所不在的特點，已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間，真正解決做生意的問題。

但是對于任何通過無線網路（如:GSM網路）進行金融交易的用戶，安全和隱私問題無疑是其關注的焦點。由于移動電子商務的特殊性，移動電子商務的安全問題尤其顯得重要。尤其對于有線電子商務用戶來說，通常認為物理線纜能帶來更好的安全性，從而排斥使用移動電子商務。移動電子商務是一個系統工程，本文從技術、安全、隱私和法制等方面討論了移動商務的展所面臨的種種問題，并指出這些問題的有效解決是建設健康、安全的移動電子商務的重要保證。

一、移動通信新技術的驅動

1.無線應用協議（WAP）

無線應用協議WAP是無線通信和互聯網技術發展的產物，它不僅為無線設備提供豐富的互聯網資源，也提供了開發各種無線網路應用的途徑。1998年，WAP論壇公布了WAP1.0版本，制定了一套專門為移動互聯網而設計的應用協議，具有良好的開放性和互通性。隨著移動通信網傳輸速率的顯著提高，WAP論壇于2001年頒布了WAP2.0版本，該版本增加了對HTTP、TLS和TCP等互聯網協議的支持，WAP的工作大大簡化。WAP2.0模式有利于實現電子商務所需的端到端安全性，可以提供TLS隧道。

2.移動IP技術

移動IP技術，是指移動用戶可在跨網絡隨意移動和漫游中，使用基于TCP/IP協議的網絡時，不用修改計算機原來的IP地址，同時，也不必中斷正在進行的通信。移動IP通過AAA（Authentication,Authorization,Accounting)機制，實現網絡全方位的安全移動或者漫游功能。移動IP在一定程度上能夠很好地支持移動商務的應用。

3.第三代（3G）移動通信系統

第三代移動通信系統，簡稱3G，是指將無線通信與互聯網等多媒體通信結合的移動通信系統。它能夠處理圖像、話音、視頻流等多種媒體形式，提供包括網頁瀏覽、電話會議、電子商務等多種信息服務。與2G相比，3G產品可提供數據速率高達2Mbps的多媒體業務。在我國，以TD-SCDMA技術為基礎的3G基礎設施和產品的建設和研制發展迅速，我國發展3G的條件已經基本具備。由于3G帶來的高速率、移動性和高安全性等特點，必然會給移動電子商務的應用帶來巨大商機。

4.無線局域網（WLAN）技術

美國電子電器工程師協會IEEE在1991年就啟動了WLAN標準工作組，稱為IEEE802.11，并在1997年產生了WLAN標準－IEEE802.11，后來又相繼推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的標準。802.11WLAN標準自公布之日起，安全問題一直是其被關注的焦點問題。802.11b采用了基于RC4算法的有線對等保密（WEP）機制，為網絡業務流提供安全保障，但其加密和認證機制都存在安全漏洞。802.11i是2004年6月批準的WLAN標準，其目的是解決802.11標準中存在的安全問題。802.11i應用TKIP（Temporalkeyintegrityprotocol）加密算法和基于AES高級加密標準的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作為其加密算法，可以向后兼容802.11a/b/g等硬件設備。中國寬帶無線IP標準工作組制訂了WLAN國家標準GB15629.11，定義了無線局域網鑒別與保密基礎結構WAPI，大大減少了WLAN中的安全隱患。

二、移動電子商務面臨的安全威脅

盡管移動電子商務給工作效率的提高帶來了諸多優勢（如：減少了服務時間，降低了成本和增加了收入），但安全問題仍是移動商務推廣應用的瓶頸。有線網絡安全的技術手段不完全適用于無線設備，由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序。例如：目前還沒有有效抵制手機病毒的防護軟件。

1.網絡本身的威脅

無線通信網絡可以不像有線網絡那樣受地理環境和通信電纜的限制就可以實現開放性的通信。無線信道是一個開放性的信道，它給無線用戶帶來通信自由和靈活性的同時，也帶來了諸多不安全因素：如通信內容容易被竊聽、通信雙方的身份容易被假冒，以及通信內容容易被篡改等。在無線通信過程中，所有通信內容（如：通話信息，身份信息，數據信息等）都是通過無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取無線信道上傳輸的內容。這對于無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。

2.無線adhoc應用的威脅

除了互聯網在線應用帶來的威脅外，無線裝置給其移動性和通信媒體帶來了新的安全問題?？紤]無線裝置可以組成adhoc網路。Adhoc網絡和傳統的移動網絡有著許多不同，其中一個主要的區別就是AdHoc網絡不依賴于任何固定的網絡設施，而是通過移動節點間的相互協作來進行網絡互聯。由于其網絡的結構特點，使得AdHoc網絡的安全問題尤為突出。Adhoc網路的一個重要特點是網絡決策是分散的，網絡協議依賴于所有參與者之間的協作。敵手可以基于該種假設的信任關系入侵協作的節點。

3.網路漫游的威脅

無線網路中的攻擊者不需要尋找攻擊目標，攻擊目標會漫游到攻擊者所在的小區。在終端用戶不知情的情況下，信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險，沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立，使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書。攻擊者可以利用該漏洞來獲利。

4.物理安全

無線設備另一個特有的威脅就是容易丟失和被竊。因為沒有建筑、門鎖和看管保證的物理邊界安全和其小的體積，無線設備很容易丟失和被盜竊。對個人來說，移動設備的丟失意味著別人將會看到電話上的數字證書，以及其他一些重要數據。利用存儲的數據，拿到無線設備的人就可以訪問企業內部網絡，包括Email服務器和文件系統。目前手持移動設備最大的問題就是缺少對特定用戶的實體認證機制。

三、移動商務面臨的隱私和法律問題

1.垃圾短信息

在移動通信給人們帶來便利和效率的同時，也帶來了很多煩惱，遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進行商業交易時，會把手機號碼留給對方。通過街頭的社會調查時，也往往需要被調查者填入手機號碼。甚至有的用戶把手機號碼公布在網上。這些都是公司獲取手機號碼的渠道。垃圾短信使得人們對移動商務充滿恐懼，而不敢在網絡上使用自己的移動設備從事商務活動。目前，還沒有相關的法律法規來規范短信廣告，運營商還只是在技術層面來限制垃圾短信的群發。目前，信息產業部正在起草手機短信的規章制度，相信不久的將來會還手機短信一片綠色的空間。

2.定位新業務的隱私威脅

定位是移動業務的新應用，其技術包括:全球定位系統，該種技術利用24顆GPS衛星來精確（誤差在幾米之內）定位地面上的人和車輛；基于手機的定位技術TOA，該技術根據從GPS返回響應信號的時間信息定位手機所處的位置。定位在受到歡迎的同時，也暴露了其不利的一面——隱私問題。移動酒吧就是一個典型的例子，當你在路上時，這種服務可以在你的PDA上列出離你最近的5個酒吧的位置和其特色。或者當你途經一個商店時，會自動向你的手機發送廣告信息。定位服務在給我們帶來便利的同時，也影響到了個人隱私。利用這種技術，執法部門和政府可以監聽信道上的數據，并能夠跟蹤一個人的物理位置。

3.移動商務的法律保障

電子商務的迅猛發展推動了相關的立法工作。2005年4月1日，中國首部真正意義上的信息化法律《電子簽名法》正式實施，電子簽名與傳統的手寫簽名和蓋章將具有同等的法律效力，標志著我國電子商務向誠信發展邁出了第一步。《電子簽名法》立法的重要目的是為了促進電子商務和電子政務的發展，增強交易的安全性。

參考文獻：

[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77

[2]戴方虎等:Internet的移動訪問技術研究.計算機科學，2000（3）

[3]Y.GZhangW.Lee:IntrusionDetectioninWirelessAd-HocNetworks.MOBICOM2000,ACM,275-283