移动商务的安全问题研究
2023-12-24
来源:易榕旅网
2011年11月 中国管理信息化 China Management Informationization Nov.,20II Vo1.14,No.21 第l4卷第2l期 移动商务的安全问题研究 董纪阳 (东北财经大学职业技术学院,辽宁大连116023) [摘要]本文从移动电子商务面临的安全问题出发。就移动电子商务的安全技术做了详细的阐述。提出我国开展移动商务 的安全对策。 [关键词]移动商务;安全I"-1题;对策研究 doi:10.39696.issn.1673—0194.201 1.21.045 [中图分类号】F7l336 [文献标识码]A [文章编号]1673—0194(2011)2l一0077—03 局域网实现一种不受时间和空间限制的商务模式。移动商务在给 1 移动电子商务所面临的安全挑战 移动商务使用便携式终端设备.通过移动电话网络或无线 我们的商务活动带来便捷的同时.也带来了更多安全方面的挑 战。 [收稿日期】2011—o6一l7 1移动终端的安全问题 [作者简介]董纪阳(1979一),男,辽宁大连人,东北财经大学职业技 1.首先.由于移动终端的计算能力和存储能力有限,电池寿命 术学院讲师,主要研究方向:电子商务。 (&)、风险管理控制(S7)等直接影响企业核心竞争力的因素。 (S,)、企业品牌(.s )。 作为一种资源来认识的还比较少.但它却时时刻刻渗透到注册 观的塑造。使会计师事务所组织内部容易创造出一种和谐、一致 中层影响因素包括人力资本(|s。)、政府关系( )、企业文化 会计师的审计实践活动中.文化对注册会计师普遍认同的价值 深层影响因素中,包括企业组织管理(&)和企业家才能 和向上的文化氛围 具有特色的并适合自身的优秀的会计师事 务所文化有利于团队成员的协同作战。另外。企业应充分利用现 (SB)。 通过以上分析可知.对于影响会计师事务所核心竞争力的 有政策和部门支持。营造一种积极向上的发展态势,高标准、高 主要因素,应根据它们影响力的程度和层次给予足够的重视.从 要求,坚持“诚信为本。操守为重”.树立良好的外部形象,赢得社 做大企业规模.打造良好的企业品牌。 深层影响因素人手,加强企业管理.改善公司治理结构。逐步考 会的信任,第三。项目承接能力、项目执行能力和风险管理控制等是直 虑充分调动和有效利用中间层及表层影响因素的作用.壮大企 业规模.不断提升自身竞争优势.从而推动国内会计师事务所的 快速发展和战略扩张 4 结 论 接影响会计师事务所核心竞争力的最表层因素。会计师事务所 业务承接的数量和质量直接关系到其营业收入的多少.营销战 略特别是差别化营销战略的实施已成为当前制约国内会计师事 务所拓展和承接业务的瓶颈。因此,要着力培养一批既熟悉业务 又懂营销的年轻业务骨干.积极开拓国内、国际市场。会计师事 务所要在日趋激烈的竞争中生存发展.要求员工必须有良好的 通过对会计师事务所核心竞争力主要影响因素的分析结 果。结合我国会计师事务所核心竞争力提升中存在的问题,提出 以下几点建议: 第一.通过ISM模型分析可以看出我国会计师事务所核心 素质、人格,具有团队合作和奉献精神。能积极提高和改善工作 传播能力和发展 竞争力的最深层(最根本)因素是企业家才能和企业组织管理。 技能。对新知识和新技术具有良好的接受能力、加快业务的实施,保障服务质量。此 会计师事务所的组织形式有有限责任、普通合伙制、特殊的普通 潜能,以增进与客户的沟通。应审时度势.尽 合伙制等。但国内大中型会计师事务所仍以有限责任和普通合 外,风险管理控制是国内会计师事务所的弱项。最大限 伙制居多,企业应主动尝试建立特殊的普通合伙制组织形式.建 快构建风险管理控制体系.以应对国际市场的激烈竞争.立股权多元化的股份制企业和完善的法人治理结构.理顺权益 关系,实现政企分开、所有权和经营权分离,建立科学的绩效评 价制度,制定灵活有效的薪酬与激励机制。会计师事务所应根据 市场需求,不断细分市场,拓展业务范围,实行差别化战略。以为 客户增效为己任,发展增值会计、审计、咨询等中介服务,用专业 [1]李眺.会计师事务所竞争策略选择[J].山西财经大学学报,2008(7). [2]商燕劫.会计师事务所竞争策略选择[J].审计月刊,2010(5). [3]史忠良,王芸.基于企业资源基础观的会计师事务所竞争优势分析 [J].江西社会科学,2008(3). 度地降低企业的法律成本 主要参考文献 化服务满足客户的个性化需求,提高服务质量.以服务求效益。 第二,中层的影响因素包括人力资本、政府关系、企业文化 和企业品牌。首先,会计师事务所要优先储备和发展人力资源 人才是会计师事务所中最重要的资源.员工素质的高低.体现了 事务所核心竞争力的强弱.也是能否向客户提供优质一流服务 [4]孙大地.会计师事务所并购中核心竞争力的识别与管理[D].北京: 北京交通大学.20l0. [5]汪应洛.系统工程理论、方法与应用[M].北京:高等教育出版社, 1998. 的首要条件。人才培养的目的就是要造就注册会计师的自主性 和创造性,推进会计师事务所品牌的发展。其次.要采取有效措 施加强会计师事务所文化建设。目前.把会计师事务所文化真正 [6]章文杰,解武杰.ISM模型在风险结构分析中的应用[J].商业研究, 2002(1). 电子商务 短,许多安全性比较好的加密和认证技术措施不能很好地应用 这蝼移动设备上,从而带来了安全隐患。其次.Fh于移动设备 优化和动态密钥刷新等。 体积较,i、,使川中很容易造成损坏或丢失。很多用户将比较机密 的个人资料或商业机密存储在移动设备一L-.如果在没有备份的 情况F丢失数据或者被他人恶意盗用,都将会造成很大的损失 另外,手机卡作为识别移动商务中用户身份的一个重要部分.存 他身份识别措施还不健全的情况下.一旦被恶意克隆。用户的 个人身份被假冒,将成为犯罪分子进行欺诈的一种手段.. 1.2来自外部的攻击 l 移动终端 i软件安全平台 i(WTLS协议、 WMLScripsign) WAP网关 其他代理服务器 主要安全 参与实体 无线认证中心 硬件安全设备 (WIM卡) WTI s,TI5,sSL TCP,UDP,IB伊 ,P 一 ’’。。’’一 。 。’‘ 。 。。。。 。。。 。’’ 。‘‘一。。。。。… 。 。…一一一一一 婀互联阕一样.移动通信网络及终端也时刻受到病毒和黑 客的威胁,而这些威胁由于移动网络特殊的性质而变得更加严 网络安全 协议平台 安全基础 重。移动商务的发展使得黑客攻击的收益大大增加.尤其是一些 I L~金融服务,一 让黑客得以人侵将给其带来巨大的回报.黑客的 日标肯定向这些对象转移。由于无线用户问的交互频率很高。病 毒可以通过无线网络快速传输。一些跨平台的病毒可以通过固 定网络传播.这使得病毒传输速度进一步加快 1 3无线技术的安全问题 一——————~~WPKI ……~——…一————一一——一一一 设施平台 图1 基于WAP的安全架构模型 2.2 WPKI安全体系 同PKI系统相似,WPKI系统由认证中心CA、注册中心RA 证书目录数据库和终端实体组成。如图2所示 WPKI和PKI的 区别仅在于WPKI的终端实体是WAP手机.其RA功能由PKI 在公共场合使用移动终端设备时.使用者的信息容易被f临 近的人偷看或偷听 ,此外.无线信号是一个开放性信道.很容易 Portal替代完成类似的功能.而WAP网关则是用于连接无线网 受到窃听和假冒身份攻击, l现信息篡改等问题 许多普遍使用 的网络协议已明文的方式传送用户名和密码等敏感信息.攻击 者可以使用捕获的这 数据取得对无线网络的访问权.、即使通 信是以加密的形式进行的.窃听者仍然可以获得密文的通信内 容。许多加密强度不高的加密算法可能会被破译 此外.通信链 络和有线网络的接口 WPKI是在现行的有线PKI已有机制下做适当的补充和台 理的优化。以符合无线通信服务的特点。WPKI对PKI系统所做 的优化主要表现在采用短期微型证书代替SSL服务器证书 采 用短期证书来简化对WAP服务器和网关的认证、移动客户身份 路的正常发送还有可能受到人为或其他因素的干扰而无法使 认证、交易的不可抵赖性、无线环境l卜的加密算法。 川,县至会被攻击者冒名顶替。 2 移动商务的主要安全技术 移动商务中采用了多种安全技术.以下本文将对这些安全 技术作相应的介绍 2.1 WAP的安全 图2 WPKI组成 WAP的产生是为_『使移动设备能够直接访问互联网上的资 2.3移动支付的安全 源 它负责将互联网和移动通信网连接到一起.客观上已成为移 移动支付可以简单定义为借助移动终端和设备.通过多种 动终端上网的标准 WAP将移动网络和互联网以及Intranet紧密 方式所进行的银行转账、交费和购物等商业活动,图3为移动钱 联系起来,提供一种与网络种类、承运商和终端设备都无关的移 包的支付模型。在移动支付中包括用户、商家、金融机构和支付 动增值业务。目前.WAP已经成为移动通信业中的一大热点 网关4种角色,移动支付作为一种支付手段.不仅仅是联系各个 wAP安全构架(如图1所示)由WTLS(无线传输层安全)、 实体之间的一种关系.更是一种具有支付功能的复杂系统。从技 WIM(无线身份识别模块)、WMLScript(无线标记语言脚本)、 术的角度来说.支持着支付过程的是一个完整的信息系统,包括 WPKI(无线公钥基础设施)4部分组成.其中无线标记语言脚本 网络、数据库、分析工具等,涵盖了事务处理、中层决策、战略决 针对窄带宽设备做_r优化. 它可以与WML集成.可以在 策等功能。由包括网络通信技术和底层基础结构的通信负载层. WMKSt ript文档中增加处理逻辑.支持更高级的用户接口行为。 服务提供商和金融机构建立数据库.部署和传输数据的网络交 减少与源服务器之间的交互 无线个人身份模块WIM是一个防 互和核心应用平台.商业层。运用多种数据分析和数据挖掘软件 篡改设备,存储着用户个人身份、公钥证书和私钥等信息.并参 来分析移动商务支付的决策层组成 WTIS握手协议中的身份认证与密钥交换操作.以及与用户私 钥有关的密码操作.如数字签名和对用公开密钥加密的密文进 行解密等。WTIS的作用是保证传输层的安全.作为WAP协议栈 的一一个层次向上层提供安全传输服务接口。WTIS是以安全协泌 TIS 1.0标准为基础发展而来的,提供通信双方数据的机密性、完 整性和通信双方的鉴别机制。WTLS在TIS的基础上。根据无线 环境特点增加了一些新的特性.如对数据报的支持、握手协议的 1 |CHINA MANAGEMENTINFORMATIONIZATION 竭 一 图3 移动钱包的支付模型 电子商务 3 我国开展移动商务的安全对策 3.1加强网络基础设施建设 系和信任关系.逐渐培养客户的使用习惯和消费习惯。再次是加 强舆论监督、法制等大环境的建设。建立诚信评价机制.加强行 业监管和企业自律。中国互联网协会制定的信用评价体系可以 端到端在移动电子商务中意味着保护每个薄弱环节.确保 数据从传输点到最后目的地之间完全的安全性.找出每个薄弱 延伸至移动互联网行业.业内企业也可以自发成立一些诚信联 环节并采取适当的安全性和私密性措施 移动电子商务带来了 盟。相互监督,共同推动行业诚信建设。 许多设备.它们运行不同的操作系统且采用不同标准.因此安全 4 移动商务安全的未来发展趋势 性已经成为更加复杂的问题。公司需要实用的安全解决方案.且 能被快速简便地修改以便满足所有设备的要求.除此之外还要 (1)随着移动技术的发展,3G和4G网络允许用户有持续的 网络连接能力.这样的能力给移动商务带来了新的应用前景,如 考虑全局 安全策略将对一系列商业问题产生影响.单独考虑安 流媒体、视频会议、视频电话等。但同时带宽的增加和不间断连 全性是远远不够的 实施128位鉴权码也非理想选择.因为程序 接也带来更多的安全问题。由于在线时间的增长.病毒和蠕虫将 很多无线设备 太长会影响用户使用的方便性。同样,性能、个性化、可扩展性及 可能迅速蔓延。而且黑客的攻击也变得更加便利.系统管理等问题都会对安全性产生影响.它们都是制定安全策 拥有连接公司核心网络的权限.这为公司的管理带来了更多的 略时必须考虑的因素 3.2加强安全技术的研究和应用 问题,公司的网络安全人员将面临更大的挑战。另外.为了保证 漫游用户的持续在线.安全和通信措施将会更加复杂。 (2)目前的大多数手机都可以采用WIM卡来进行用户的身 通过部署无线公共密钥基础设施(WP )技术来实现数据传 输路径真正的端到端安全性、安全的用户鉴权及可信交易。WPKI 份识别并存储一些重要的信息.未来的发展趋势是移动设备中 使用公共密钥加密及开放标准技术来构建可信的安全性架构. 该架构可促使公共无线网络上的交易和安全通信鉴权 可信的 增加智能卡插槽.用来插入像信用卡一样的智能卡。这种卡不仅 可以用于无线交易.还可以用于有线交易。智能卡移动支付通过 C卡有机结合.利用集成在移动终端上具有非接 PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密 将手机与智能IC卡作为支付信息载体,通过NFC(近距离通信) 性。而且能够帮助企业实施非复制功能,使得交易参与各方无法 触功能的智能I抵赖。在移动商务的交易过程中通过强化主体资格的身份认证 技术和移动通信网络分别实现非接触现场支付和远程支付功 C卡的传统金融交 管理。保证每个用户的访问与授权的准确.实名身份认证解决方 能。智能卡手机现场支付的交易流程与金融I易(非接触式)模式基本一致。远程支付功能可以通过手机客户 案的应用,可以增强移动商务交易的安全性.保证交易双方的利 端软件与用户交互.操作更加便捷 益不受到侵害 3.3提高从业人员的技术水平和整体素质.提升企业的管理水平 (3)虽然PKI技术可以实现高级别的网络安全,但是这些安 智能卡等带 加强对现有从业人员的培训,提高现有人员的技术水平.提 全措施可能会受到设备级的安全攻击。如移动终端、来的致命的安全问题。为了防止这种安全问题。生物特征识别技 高其安全意识和应对安全问题的能力。大力培养移动电子商务 术将发挥越来越大的作用。指纹识别、视网膜识别、面部识别等 人才。积极构建新型的移动电子商务人才培养体系和人才培养 系列生物特征识别技术将成为保护移动设备访问.进而保护 模式,培养移动电子商务技术开发和应用人才。有关部门和单位 设备上数据的一种越来越重要的方式 要采取多种形式。加强对移动电子商务从业人员的专业培训.及 一时更新相关知识。提高业务水平:加强移动电子商务人才交流工 作,把移动电子商务人才纳入重点引进的人才目录.引进一批素 质较高、层次合理、专业配套的移动电子商务人才 3.4加强法律法规建设 5 总 结 移动商务由于使用了无线通信技术.这就不可避免地带来 比电子商务更多的安全问题。针对这些安全问题.相应的机构和 企业都制定了一系列安全原则和解决方案。然而。无线领域的安 要积极开展立法的各项准备工作,循序渐进、突出重点、先 易后难,先单项后综合,在实践中摸索,在发展中完善。针对不同 的法律问题.提出新的解决方案.制定相应的法律法规 不具备 全问题依然十分突出。随着移动设备计算能力的提高.网络带宽 的逐渐加大.以及新兴的安全解决方案不断出现.这一困扰移动 商务发展的安全问题将逐渐得到解决 制定法律法规条件的,可以先制定“条例”、“细则”等规范性法律 文件,逐步强化电子商务立法。当前一项重要的任务是要抓紧研 主要参考文献 究电子交易、信用管理、安全认证、在线支付、税收、市场准人、隐 私权保护、信息资源管理等方面的法律法规问题.应尽快制定出 [1]李洪心.电子商务安全[M].大连:东北财经大学出版社,2oo8. [2]袁字飞.移动商务[M].北京:清华大学出版社。2008. 可以具体操作的电子商务法 3.5加强诚信建设 [3]肖荣,张云华.基于WAP的移动商务支付系统安全性改进[J].计算 机系统应用.2m0(3). 首先移动电子商务网站的运营者和会员有责任有义务去保 [4]邓娟,蒋磊.3G网络时代移动电子商务安全浅析[J].电脑知识与技 证自己所上传信息的真实性和有效性.而作为运营者来说.更应 术.2009(2). 该承担发布信息的审核工作。其次要尊重客户.为客户提供最大 [5]田迎华,杨敬松.3G时代移动电子商务安全问题研究[J].情报科学, 化满足其需求的移动电子商务服务.与客户建立良好的互动关 2010(10).