摘要：解决移动电子商务的安全问题，提高移动电子商务的安全性能，一方面能够吸引更多的社会公众投身移动电子商务、运用移动电子商务和发展移动电子商务；另一方面可以促进国家经济的高效运行，是实现国家经济活动在数字化、网络化环境中顺利开展的有效保障。

关键词：电子商务安全解决之策

一移动电子商务存在的安全问题分析

移动电子商务由于利用了很多新兴的设备和技术，因此带来了很多新的安全问题。在传统电子商务中，很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外，由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说，移动电子商务的安全面临着技术、管理和法律几个方面的挑战，与传统电子商务相比，其安全问题更加复杂，解决起来难度更大。

1.无线窃听

传统的有线网络是利用通信电缆作为传播介质，这些介质大部分处于地下等一些比较安全的场所，因此中间的传输区域相对是受控制的。而在无线通信网络中，所有的通信内容（如移动用户的通话信息、身份信息、位置信息、数据信息等）都是通过无线信道传送的，无线信道是一个开放性信道，是利用无线电波进行传播的，在无线网络中的信号很容易受到拦截并被解码，只要具有适当的无线接收设备就可以很容易实现无线监听，而且很难被发现。

2.非授权访问数据

非授权访问是指未经授权的主体获得了访问网络资源的机会，并有可能篡改信息资源。攻击者能在服务网内窃听、非授权访问用户的敏感数据。这种访问通常是通过在不安全信道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现。

3.假冒攻击

在无线通信网络中，移动站必须通过无线信道传送其身份信息，以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个身份信息来假冒该合法用户，这就是所谓的身份假冒攻击。另外，主动攻击者还可以假冒网络控制中心。如在移动通信网络中，主动攻击者可能假冒网络基站来欺骗移动用户，以此手段获得移动用户的身份信息，从而假冒该移动用户身份。

4.移动终端的安全管理问题

很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中，如PIN码、银行帐号甚至密码等，原因是这些移动设备可以随身携带，数据和信息便于查找。但是由于移动设备体积较小，而且没有建筑、门锁和看管保证的物理边界安全，因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护，对存储信息没有备份，在这种情况下丢失数据或被他人恶意盗用，都将会造成很大的损失。

二电子商务安全管理的解决之策

1.身份认证技术

信息安全的一个重要方面是保证通信双方身份的真实性，即防止攻击者对系统进行主动攻击，如假冒用户等。身份认证是防止攻击者主动攻击的一个重要技术，它对于开放环境中特别是无线通信中各种信息的安全有重要作用。认证的主要目的，第一验证消息发送者和接收者的真伪，第二验证消息的完整性，验证消息在传送或存储过程中是否被篡改、重放或延迟等。口令是最简单的身份认证技术，安全性较差，因此有一次性口令等多种技术来提高它的安全性。利用密码技术，特别是公钥密码技术可以获得安全性较高的身份认证功能。保密和认证是信息系统安全的两个重要方面，它们是两个不同属性的问题，一般来说，认证不能自动提供保密，保密不能自然地提供认证功能。

2.WPKI技术

在有线通信中，电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题，但在应用PKI的同时要考虑到移动通信环境的特点，并据此对PKI技术进行改进。

3.安全管理模型的建立及实施

对移动电子商务系统的管理过程是一个动态的管理过程，是一个循环反复、螺旋上升的过程，论文尝试建立一个“闭环”管理模型，将安全管理的各个阶段融入于模型之中，然后不断连续审查整个过程，发现问题时及时更新，及时解决，以便形成越来越完善的安全系统。

制定一套完整的安全方案一套完整的安全方案是实现移动电子商务系统安全的有力保障，移动服务提供商应结合自己实际状况，从人力、物力、财力等各方面做好部署与配置。由于

安全方案涉及到了安全理论、安全产品、网络技术、系统技术实现等多方面专业技能，并且要求有较高的认知能力，因此可以聘请专业安全顾问公司来完成，大多安全顾问公司在做安全方案方面有着丰富的经验，能够制定出符合需要的合理的安全方案来。

4.制定并贯彻安全管理制度

在对系统安全方案和系统安全处理的同时，还必须制定出一套完整的安全管理制度，如外来人员网络访问制度、服务器机房出入管理制度、管理员网络维护管理制度等等。以此来约束普通用户等网络访问者，督促管理员很好地完成自身的工作，增强大家的网络安全意识，防止因粗心大意或不贯彻制度而导致安全事故。尤其要注意制度的监督贯彻执行，否则就形同虚设。

5.严格的用户鉴权

为了确保移动环境中的安全性,强烈要求应用“双钥”鉴权(基于您所拥有的和您所知道的事物的鉴权)。TAN(交易序号)码等传统的“双钥”技术也可用在无线环境中,可替代的解决方案包括手持设备一次性密码生成器(基于时间)或智能卡(挑战/反应)。