一、移动电子商务时代的信息安全现状
2007年以来,信息技术的飞速发展尤其是移动终端通信技术和工业设计上的突破使得移动支付成为电子商务发展的重要推动力。智能手机的出现将电子商务方便快捷的特性发挥到了极致,人们购物、打车、交费等都可以通过便捷支付瞬间完成。在2012年,国家工业和信息化部门发布的《电子商务“十二五”发展规划》就明确指出,在“十二五”期间我国电子商务交易额要翻两番,突破18万亿元人民币,其中发展的重点就包括推动移动支付、公交购票等移动电子商务应用的示范和普及推广。正因为如此,“移动中”的收益也吸引了银行、金融服务商、软件、硬件制造商的关注。根据iResearch艾瑞咨询的统计数据显示,2012年中国第三方支付行业移动支付业务交易规模达1511.4亿元,同比增长89.2%。2013年第三方移动支付市场交易突破万亿,规模达12197.4亿,同比增速707.0%。2014Q1中国第三方移动支付市场交易规模增至15328.8亿元;2014Q2中国第三方移动支付市场交易规模下滑至13834.6亿元。数据显示,移动第三方支付规模呈快速增长趋势。然而,人们在享受电子商务带来的巨大便利的同时,却忽略了一个严重的问题,信息安全威胁随着电子商务参与度的提升而增加。用户的手机存储着大量的用户信息,从基本的通讯数据如电话号码,通讯录等信息到定位系统,图片图像再到第三方的交易信息如购买记录、交易数据,甚至支付账号和密码。这些信息一旦漏出去,会给人们的生活带来巨大的不变甚至是非常严重的经济损失。2014年3月15日,一年一度的消费者维权日披露了一款名为“重庆小面”的APP软件,该软件可以说是移动电子商务的典型,软件可以通过手机网络为人们进行美食的推送,并通过定位信息让用户发现身边的商家信息。报告披露通过APP在后台可以得到手机用户的私人信息,包括头像、手机号码、年龄、文化程度等,个人的位置也可以被迅速地跟踪到。以此同时一次对卓越网、当当网、贝塔斯曼网、旌旗网、机械工业出版社等五家网上书店的调查发现,网民的个人信息普遍没有得到足够的重视。五家网上图书网站都使用了Cookies来对用户的网上行为进行了跟踪,但只有卓越和贝塔斯曼对此给消费者进行了提示Cookies中可能存储有消费者的口令等相关的敏感信息,但除了卓越网会对部分用户信息加密外,其他四家网站所使用的Cookies都没有加密,这使得消费者在转换网站的访问和占用计算机时有可能泄露相关个人信息。目前对用户信息安全造成的威胁主要有以下几点:
(一)移动终端操作系统安全隐患
目前的智能手机操作系统主要有、Android、IOS、BlackBerryOS、WindowsMobile、Linux、PalmOS等。其中Android和IOS两大系统的智能手机市场占有率则逼近100%,达到了91.1%。市场占有率居前三的系统全部为外国研制,被国外所垄断,其所有公司对于用户信息安全的保护又缺乏监管。2013年6月前中情局(CIA)职员爱德华•斯诺登曝光美国国家安全局的“棱镜”项目,将包括谷歌微软在内的互联网公司推上了风口浪尖,让我们对于智能手机操作系统的安全性产生了质疑,操作系统公司是否对用户的信息进行监听,是否有以盗用客户信息安全牟利的行为发生。此外,由于智能手机的操作系统是开放式的,手机的源代码是对外开放的,如开放源代码的Android操作系统,程序人员可以通过逆向工程对系统进行深度的分析,进而发现潜在的漏洞。而且,Android操作系统的开放性也造就了系统的碎片化,各类在Android基础上定制修改的系统五花八门,缺乏安全保障。
(二)移动终端软件安全隐患
恶意软件是故意在计算机系统上执行恶意任务的病毒、蠕虫和特鲁伊木马的总称,在PC机上已经存在了很多年。随着智能手机的巨大市场被开发,大量开发者转为开发手机APP。在巨大的利益驱使下,智能手机和APP就成了恶意软件和黑客的攻击目标。恶意软件的类型有很多种,对用户信息安全的威胁造成了极大的威胁。信息窃取型恶意软件会暗中窃取用户的照片、短信通讯录等信息进行倒卖从而牟利;通信吸费型恶意软件会把恶意扣费代码嵌入进APP中使用户不知不觉中产生了资费,从而牟利;2014年9月9日,网秦发布《2014年上半年网秦全球手机安全报告》。报告显示,中国大陆继续成为全球智能手机病毒重点感染区域榜首。中国大陆地区以18.20%感染比例高居全球智能手机病毒重点感染区域第一。印度、沙特、印度尼西亚分别以14.20%、9.60、8.20%紧随其后,美国以7.70%感染比例居全球第五。这些数据都充分显示了移动终端的安全受到了极大的威胁。
(三)移动终端支付安全隐患
目前的移动终端支付从场景上主要有远程支付和近场支付两种,远程支付指的是消费者通过移动终端(手机、平板等设备)及移动支付设备(包括刷卡器、金融SD卡以及快捷支付如支付宝等)发起的支付,主要通过短信、WAP、和手机客户端;近场支付是指消费者先将金融钱包下发到自己的移动终端上,用终端作为载体在近场支付的POS机上完成的支付,即大家熟知的“闪付”,例如NFC支付,RM-SIM支付等。其特点是小额快速消费,消费者无需密码即可完成消费。目前支付手段的安全隐患是加密问题和即时性问题。加密问题和即时性问题是手机支付普及的主要障碍,虽然WAP功能的手机支付时,能够采用移动网络的加密技术,相对而言,并不能很有效地保证安全,如果引入短信动态密码的方式,采用银行卡与手极号绑定模式,受手机卡技术的限制,所发送的信息为明码,短消息通过公网传输,没有加密功能。如果引入软件令牌形式的动态密码具有生命周期,在传输线路上存在被截获的可能。
(四)移动终端丢失安全隐患
目前,手机的普及率非常高,但是日常生活中会经常出现频繁丢失的情况,为此造成的信息泄露屡见不鲜,照片、通讯录、都有可能被落入他人手中,个人隐私受到了极大的威胁。随着移动终端功能的不断发展,智能手机上的电商软件越来越多,其中不少软件都提供手机绑定,记住密码,甚至有些软件和网站提供手机修改密码,这给了不法分子可乘之机,给人们的财产安全造成了极大的威胁。
(五)互联网网络安全隐患
互联网网络安全威胁主要是缺乏对业务信息传输加密保护,国与国之间信息窃密与反窃密斗争形势日益严峻,西方发达国家通过各种渠道对移动互联网上传输的信息进行窃听、分析和攻击。对于目前普通用户而言,网络信息安全还表现在公共无线网络的安全威胁。自2004年起,WIFI开始应用在机场、商场、酒店、学校等公共场所,这给人们上网带来了极大的便利,不少公共场所把是否提供免费WIFI作为宣传的噱头,当人们身处这些公共场所时,打开手机自然会搜到这种免费的WIFI信号。同样,在进行移动支付时,在付费的数据流量和免费又快捷的WIFI之间选择,人们通常会选择后者。然而,这种WIFI特点大多都使用民用级设备,有的甚至连密码都没有,这就给黑客留下了可乘之机。而一般用户在支付过程中涉及到的支付账号和密码、购买物品的相关信息,当这些信息泄露出去,后果不堪设想。
二、移动电子商务时代的信息保护措施
(一)加强个人信息安全保护意识
作为消费者,在移动电子商务的大背景下,要有信息安全防范的意识,要注重增强网络安全意识,具备一定的网络技术,自觉防范电子商务风险。
1.下载软件要选择官方正规的渠道
智能手机的开源型较强,软件非常多,鱼龙混杂,消费者在选择软件下载时尽量要从官方渠道下载,不要从不可靠的第三方市场下载,也不要下载经过修改过的破解版的软件和游戏,远离钓鱼网站、盗号木马和恶意软件,也不要轻易扫描二维码进行软件的下载和支付,给自己的移动终端一个良好的信息安全环境。
2.防范软件的访问权限
安装杀毒软件首先不要对自己的智能终端进行ROOT、越狱等操作,这样会使终端的安全隐患大大增加。其次在安装软件的时候对于那些需要访问通讯录、照片、文档权限的软件,要有警惕意识,了解相关信息,减少隐患。目前市场上针对智能手机的杀毒安全软件日渐成熟,安装一款杀毒软件能让智能手机中的病毒和恶意软件无处藏身。
3.养成良好的支付习惯
移动支付手段目前主要有远程支付和近场支付两种,养成良好的支付习惯,是个人信息安全的保障。首先用户在支付时进行不要用商家提供的公共WIFI,尽量用已加密、比较安全的手机网络进行支付交易;其次,在远程支付时,要核对商家信息,明确付款金额和条款,防止被诈骗。二维码应用越来越广泛,多数二维码扫码工具并不具有识别恶意网址的能力,只是简单将二维码翻译成网站地址,因此,在支付时加强对手机的管理,以免出现多付,重付的情况。4.时常备份手机资料手机一旦丢失,手机里面的资料也会一起丢失,并有泄露的危险,目前云端技术发展日渐成熟,将手机里的信息备份到云端,能够让用户在手机丢失后通过互联网访问云端,实现信息的找回。同时开启手机的定位功能,通过手机的定位将手机找回,防止信息的进一步泄露。
(二)加快移动电子商务产业升级和技术保障升级
1.打破操作系统的垄断
目前手机操作系统呈现出三足鼎立的趋势,Android、IOS、WindowsMobile这三个操作系统占据了约90%的市场份额,智能手机操作系统的寡头垄断对手机用户的信息安全造成了一定的威胁。打破操作系统的垄断,引入充分的竞争,才能保证用户的合法权益不受侵害。2014年,由软件研究所与联合开发的具有自主知识产权的操作系统COS问世,意在打破国外在基础软件领域的垄断地位,引领并且开发具有中国自主知识产权和中国特色的操作系统。然而,目前由于国内的技术仍很不成熟,COS深陷抄袭的困扰,国产操作系统打破外国垄断的路还很漫长。
2.建立移动互联网的安全框架
移动电子商务业务分类方式众多,按照安全服务平台分类可分为大众移动安全服务平台、行业用户移动服务平台和特殊用户移动安全服务平台。作为连接的移动通信网络包括3G移动通信、4G移动通信和WIFI网络,而在终端方面与安全服务平台相对应有大众用户移动终端,行业用户移动终端和特殊用户移动终端。其次再定义我们在各个层次上采用的安全技术。在智能移动终端方面,以密码模块为可信根,建立智能移动终端的整体安全防护体系。在终端可信引导层、应用层、框架层、系统内核层相应的防护技术,形成一个完善的智能移动终端防御体系。在终端可信引导层,对操作系统进行完整性校验时,采用终端可信引导技术;对于应用层安全防护,采用防病毒、防木马、防丢失的相关措施保证应用层的安全;对于终端框架层,主要采用通信控制技术防止终端被控制,杜绝与外界的非法链接;最后,在操作系统内核加固技术里面,基于操作系统强制访问控制这一启动框架,实现对终端操作系统的关键进程和文件的保护,防止系统关键进程和文件被篡改,保障移动电子商务信息安全。
(三)加快技术革新,完善移动支付手段
1.推广新一代支付手段
普及近场通信支付手段。近场通信是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式的点对点数据传输(10厘米之内)硬件加密是最安全的加密方式,而近场通信在距离上又具备天然的安全性优势,与远程支付方式相比,其具有非常明显的优势。随着技术的不断发展,对NFC技术的合理运用,能使NFC支付成为移动电子商务的重要支付手段。普及手机银行支付手段。手机银行,是一种方便、快捷的崭新服务,也称为移动银行。它是一种基于短信的银行服务,可在任何时间与地点对划转进行确认,更加快捷。安全性方面,手机银行须同时经过SIM卡和帐户双重密码确认之后,方可操作,相较WAP是一个开放的网络,很难保证在信息传递过程中不受攻击。手机银行将是移动电子商务时代的又一重要支付手段。
2.完善现有支付手段
手机动态密码支付。目前移动支付大部分还使用比较传统的懂爱密码,一次一密的支付方式2013年下半年以来,一种名为伪基站的强发垃圾短信和诈骗短信的攻击方式逐渐泛滥。大量伪基站伪装运营商、银行等官方号码发送欺诈短信,诱导受害者下载可以拦截和转发用户短信的手机木马(如“隐身大盗”木马)的案件。该类木马可以实现盗刷支付账户的目的。对此,应该加大手机对这种诈骗短信的拦截能力,从而避免上当。二维码支付。二维码由于具备信息容量大、编码范围广、容错能力强、防伪能力高等特性被应用于各行各业。微付通就是二维码在移动电子商务时代的典型应用,它利用其实体设备同手机的“合作”实现了随时随地支付的便利,这种支付方式是现代POS机支付方式中的一种。而全新模式的支付方式让使用者摆脱了以往在办理包括支付业务在内的各种银行业务时候的种种限制。在移动电子商务时代,二维码同样给公众带来了大量的便利,然而,网页上大量的免费二维码生层器也成了不法分子的敛财工具。加快技术升级,提高二维码扫描器的“扫毒”能力,从而保障人民的财产安全。
(四)推进行业统一标准完善法律法规建设
1.建设长效的安全监管评估机制
在电子商务蓬勃发展展现出强大生命力的同时,各种矛盾交织,问题不断出现。电子商务在经历了近十年的粗犷式发展期,正面临转变的关键时期。目前,我国在移动互联网与电子商务领域的安全监管主要依靠企业的自律、诚信,缺乏长效的安全监管评估机制,不能从根本上肃清移动电子商务行业的不良之风。在终端方面,首先要对智能终端操作系统的监督与管理,防止操作系统“留后门”,切断终端与外界的非法连接。其次要对第三方应用市场和第三方手机APP进行管理与监督,做到手机预装的软件必须报备、审查,方可预装在智能终端上。对于第三方的应用商店,其建立、运行也需要向相关部门报备,并定期对应用商店内的软件安全进行抽查,保障手机软件下载环境的安全性。最后对于智能手机的海量APP,由于其数量庞大并且更新换代速度极快,进行报备可行性比较低,可以采取举报监督机制,一经发现有窃取用户信息的行为将追求其相应责任,对恶意、流氓软件的打击绝不手软。同时,加强对网络环境的监管,给公众一个安全、快速的上网环境,保障移动电子商务的顺利进行。由于移动电子商务的自由、开放的特性,简单的监督监管很难奏效。只有全方位、多角度、深层次地构建一个完善的移动互联网安全监管评估机制才能够给移动电子商务提供一个安全、纯净、和谐、舒适的互联网环境。
2.完善移动电子商务安全监督立法
针对移动互联网和移动电子商务的安全状况,一些国家已经给予了高度的关注,不仅从技术层面加快防护体系的构建,还采用立法和政策手段为之筑造屏障。例如美国相继推出了《隐私权法》《个人隐私与安全法案》和近期的《应用隐私、保护和安全法案》,将互联网监管范围扩展至移动互联网,并在隐私保护领域取得了重要的突破;又如韩国,韩国将现有的关于互联网、电信法律体系的适用范围加以扩大,主要表现在网络、手机实名制和对移动互联网的内容信息管理两个方面。我国现有法律监管体系相对于快速发展的移动互联网反应缓慢,尤其在移动电子商务蓬勃发展的今天,关于移动电子商务方面的法律法规监管还处于空白阶段。人们日益增长的信息安全需求与落后的监管法律体系之间的矛盾迅速凸显出来。推行手机和移动网络实名制,完善立法。在移动互联网安全监管体系中,推行互联网、手机实名制是维护移动互联网安全的重要举措。我国可以效仿韩国,推行实名制。实名制可以有效遏制手机或移动互联网的违法、犯罪,净化网络、手机环境,减少通过手机或互联网实施的违法犯罪,降低移动电子商务的安全风险。手机和网络实名制已经得到了我国立法机构的支持,拥有了法律依据,但是仍然显得单薄,需要国家立法机构的进一步完善。
3.完善个人信息立法保护
我国保护个人信息安全的法律法规很多,其中包括40余部法律,30余部法规,涉及个人信息保护的规章制度近200部。但是大部分法律都缺乏可操作性,内容界定不够清晰,使用范围不够明确,处罚不够具体,都使得现有的法律法规缺乏效力。2009年,《刑法修正案(七)》出台,《修正案》确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,公民个人信息首次被纳入刑法保护范畴,泄露、窃取和售卖公民个人信息行为将被追求其刑事责任。但对于“公民个人信息”的界定,“非法获取”的定义,“情节严重”的解释,都没有明确的规定。因此,应当加快个人信息保护立法进程,加大对我国的个人信息保护的执行力度。2013年7月16日,国家工信部发布了《电信和互联网用户个人信息保护规定》。《规定》的出台,可以进一步完善电信和互联网行业个人信息保护制度,填补了移动电子商务法律监管的空白。目前,业界对于用户个人信息的保护还不够重视,缺乏完善的安全防护措施和管理制度,不能彻底落实信息安全责任。对互联网和电信服务过程中的信息采集活动和调用活动进行规范,切实保护用户的合法权益。个人信息保护法律的完善也为我国的网络、手机实名制提供了坚实、长久的法律基础。我们要从韩国的实名制推行中吸取教训,要明确个人信息安全侵害中的责任,完善责任体系。从而消除用户的疑虑,赢得广大群众的信任。由于互联网的开放性和自由性的特性,太过苛刻的法律环境会限制互联网行业的创新,会严重影响互联网的发展。在完善个人信息安全保护法律的同时要科学、慎重地处理移动互联网创新和个人信息安全之间的矛盾。
三、移动电子商务的信息安全保护发展趋势
随着移动互联网的不断发展,移动电子商务的信息安全将成为未来十年的信息安全热点。信息安全相关产业将结合移动互联网相关特性提出一套适合移动电子商务的信息安全解决方案,未来的信息安全发展趋势大致如下:
(一)移动终端的安全管理
1.移动终端的操作系统和硬件安全管理移动终端作为移动电子商务的载体,作为企业和用户之间的最主要桥梁,终端的信息安全将成为未来移动电子商务的重中之重。随着科技的发展,智能手机终端的市场竞争愈发剧烈,这也促使操作系统和智能终端生产厂商通过对用户信息安全的重视与保护从而获得竞争优势。更加安全的智能操作系统,更加完善的终端厂商解决方案将会大大提高终端的信息保护能力。
2.移动终端的第三方软件安全管理终端的第三方恶意流氓软件泛滥,已经严重影响了移动电子商务在人们心中的安全形象,业界对其深恶痛绝。未来的第三方应用商店将会成为政府、相关机构管制的主要目标,做到成立报备、运行、定期汇报,以管控恶意软件的传播渠道。未来还要成立的一套长效的管理机制能够有效地遏制流氓软件的传播。此外,相关法律法规对于互联网犯罪的监督,惩罚也将落实到位,从源头上治理恶意软件,流氓软件等互联网违规行为。
(二)移动电子商务的安全管理
1.信道安全管理随着4G网络的兴起,未来4G将对移动互联网的发展起到积极的推动作用,更快的速度,更稳定、安全的网络,将为移动电子商务的信道安全提供一定的保障。无线公共WIFI的安全等级将随着基础设备的升级得到提高,相关企业将会对安全漏洞进行修复,但无线公共WIFI仍然不够安全,随着4G的到来,用户对于无线公共WIFI的青睐将会减弱,从而减少用户信息泄露的几率。
2.支付手段安全管理未来十年,近场通信NFC的应用将越来越广泛,它将成为移动电子商务的重要支付手段。传统的支付手段是将数据储存在芯片里,而未来的移动支付则是将用户的付款数据存储在互联网上,通过智能手机进行访问。只要信道安全能够保证,用户的信息安全将不会受到终端丢失的影响,一定程度上保障了用户的信息安全。远程支付手段在短时间内仍是主要的支付手段,完善秘钥机制,加密机制,从而保证远程支付的信息安全。
(三)加强云端协作,共同维护信息安全
信息安全力量的孤岛式做法,已经于多种异构网络互联的现状产生了严重冲突,国度、机构、团体之间的界限清晰,与信息流域跨国度、跨应用的现状形成了鲜明的对比。尤其云技术的出现更为协作铺平了道路,加强云端的协作,云查杀,分享安全经验和信息,才能形成一致的力量,才能让黑客行动无处遁形,保证移动电子商务的有序进行。在移动电子商务时代的大背景下,信息安全与信息保护成为制约移动电子商务发展的重要障碍,信息安全不仅有用户个人使用习惯的隐患,也有技术设备带来的安全威胁,为此,一方面要从技术上不断完善移动支付手段,增加个人信息安全保护意识;另一方面,要健全相关法律法规,提升移动电子商务的安全管理级别,形成全社会共同维护信息安全的氛围。
作者:王兴泉 张宁 单位:兰州大学管理学院
相关专题:归真堂事件 百度200亿砸o2o
