1.4 移动商务的安全问题及保障

1.4.1 安全问题

移动商务核心技术问题是安全，不同移动软件的应用有着不同的安全管理制度，主要包括身份的验证、数据的加密、数据的完整性、不可抵赖性等要求。在网络交易中存在的安全风险不仅仅来自手持终端和应用，还可能产生于网络诈骗和网络盗窃。移动互联网是将用户的身份进行虚拟化，人和人之间沟通都是以标签与标签的互动连接，进行沟通和交流。在网络聊天中，尽量不涉及敏感信息，如银行账号、手机号等，培养用户信息安全意识和养成良好的安全支付习惯，不随便点击陌生链接。此外，专家学者还建议，用户最好在网上用户个人管理中设置绑定银行卡的限购额度、消费金额后的手机短信通知等安全等级措施，降低交易过程中可能出现的风险和损失。

与此同时，无线网络自身的开放性特点降低了安全性。在网络通信过程中，如果没有考虑到网络终端之间互联安全性的话，就会存在较为严重的安全隐患。移动终端存储信息资源的有限性，使得潜在的安全隐患更加明显，也易受到攻击，任何用户都可利用破解软件处理接收的无线信号，同时还可对传输的信息进行破解。

在移动终端上动手脚，窃取移动通信的信息等手段，无疑给移动商务活动带来影响，影响着商业模式的顺利发展，有时可能打压了消费者购买的意愿，进而影响商业活动的进展。

在移动终端上的技术问题有很多，例如在软件上写入病毒并进行诈骗等。有些黑客会向用户发送一些链接网址，用户点击后进入他们的网站，他们窃取用户信息，说明网络技术上存在一定的缺陷，并不是无懈可击的，在享受网络便利的同时也可能受到网络攻击，需要技术上进一步完善，建立技术安全机制。

还有人利用微信中的扫码关注公众平台功能，就可获取用户的信息，泄露用户信息，这也是对系统安全的威胁，需要对相关工作人员的职业道德风险进行评估。这同时也是对商务活动中技术的一种考量，必须通过技术手段让信息不被非法窃取和销售，以促进商务活动的顺利开展。2005—2016年移动互联网恶意程序数量统计如图1-4所示。

1.技术安全问题

网络技术虽然推动了移动商务的发展，同时也带来了商业模式的创新，但其中也隐藏着各种安全隐患。很多黑客会将无线局域网和移动终端作为主要的攻击对象，通过假借某知名公司给受骗者发送短信进行诈骗，或入侵到软件中，使其像病毒一样传播。有的终端手机上并没有安装功能比较强的杀毒软件，或是用户并没有开启防护措施。这也给在网络交易过程中的移动支付和交易带来了安全问题。

此外，移动设备的多样化和软件平台的多样化，攻击手段和软件应用中的病毒也呈现多样化，这给采取防护措施带来困难。移动商务活动涉及很多无线网络标准，但使用最多的是WAP标准。无线局域网中只提供了设备到网关的数据加密，数据要在网关上存在短暂时间即处于明文状态，这个状态正是黑客利用的机会，容易被拦截和窃取，同时传输有害数据，因此存在较大的安全漏洞。

（1）无线网络自身的安全问题

移动网络自身存在一定的安全性问题，在移动商务给使用者带来方便的同时，也隐藏着诸多安全问题，如通信被窃听、通信双方身份欺骗和通信内容被篡改等。由于通信媒介的不同，信息传输与转换也可能造成不安全的隐患。

（2）通信终端的安全问题

目前手持移动设备的安全威胁主要有：移动设备的物理安全，用户身份、账户信息和认证密钥丢失，SIM卡被复制，RFID被解密等方面。

（3）软件病毒造成的安全威胁

目前，手机软件病毒呈加速增长的趋势加重了这种安全威胁，软件病毒会传播非法信息，破坏手机软硬件，导致手机无法正常工作。主要安全问题表现在用户信息、银行账号和密码等被窃等方面。2016年移动互联网恶意程序数量按行为属性统计如图1-5所示。

2.法律与安全管理制度不完善

在网络安全方面，我国没有专门的安全管理法规，因此难以保证移动支付的安全性。移动终端设备实现无线局域网的安全性能很难得到保障。同时有关主管部门也很难对商务活动中所涉及的支付和广告宣传，制定很明确的安全标准规范，这也给移动商务的信息安全审查和管理带来很大的困难。

3.管理上的漏洞

在移动商务的商业模式发展过程中，对于企业内部人员的管理往往是比较薄弱的。工作人员的素质和保密问题常常被企业忽视，对商业模式安全造成一种威胁。有些人利用员工对企业的了解，窃取对手的商业机密，给企业带来极大的安全隐患。我国很多企业对于员工的安全教育管理还不到位，缺乏行之有效的管理制度。外来的攻击者经常利用各种方式来获取用户信息和企业信息等，只有对员工各个方面进行管理和防范，才能堵住许多安全漏洞。2016年我国境内感染移动恶意程序用户按操作系统分布占比如图1-6所示。

1.4.2 移动商务的安全保障

现有网络安全保护方面，并没有非常完善的安全保护策略，但建立必要的安全策略刻不容缓，针对网站的信用和交易风险进行技术上的监测，且完善其自身的网络信息安全体系，保护用户的信息安全，方可使网络环境得以健康成长。在现代的网络协议中使用HTTPS，来保证网络环境的安全性，这为移动商务提供了基本安全保证。移动设备支持具有更好的图形显示和控制功能的WAP2.0，它是对不同的智能终端做出相应的功能内容优化，克服由终端设备之间的差异所造成的安全隐患。目前市场上比较主流的手机都已经支持WAP2.0版本。WAP2.0充分考虑到端到端的安全保证和无线公钥的基础设施系统，这也为移动商务提供了基本安全保证，同时也使得企业的商业模式顺利发展，降低安全隐患，保障商业模式的安全性。物理设备的技术改革，带来安全保障，为现代网络技术添加新的动力和源泉，不断推动商业模式的发展和安全体系的保障。

为了保障移动商务的安全，需要方方面面的参与和努力。移动商务的安全要从以下4个方面综合考虑，即技术措施、管理措施、法律措施和其他措施。

1.技术上加强创新研究

面对网络上错综复杂的信息，处理和收集信息离不开技术支持，现在用于网络信息的技术有加密技术、防火墙技术、杀毒软件和数字签名等。因此在网上购物时应该增加保护消费者信息的功能，在填写购物人姓名、电话、地址后系统应提供一个资料库用来存储和保护信息。防火墙技术、防木马软件、杀毒软件不断改进、升级更新，检测出更多病毒，以应对不断出现新的病毒侵害网站安全的犯罪手段，提高用户信息的安全性。CA机构发放数字证书，供双方交换信息之前需要通过CA获取对方的证书，并且将以此识别对方，保证交易双方的利益不受到侵害。

1）无线公共密钥技术（WPKI）。WPKI可以用来管理公开密钥和数字证书，它确保了数据传输路径真正的端到端安全及可信交易，可信的WPKI还能够使企业实施非复制功能，并能保证信息的不可抵赖性。

2）CA认证中心。通过对密钥进行有效管理，根据并发数字证书证明密钥的有效性，将公开密钥与使用移动商务的企业和用户结合，利用数字证书、数字签名和加密算法等加密技术，建立起加解密和认证系统，防止电子交易中一些重要数据在传输过程中被窃取、篡改与欺诈等问题的威胁，确保电子交易安全进行，最终保障支付安全。

3）防病毒技术。防病毒技术主要用于实现病毒查杀、新病毒迅速反应、病毒实时监测、快速方便的升级与系统兼容性等方面，以保证移动设备始终处于较好、较稳定的工作状态。

2.管理上规范行业标准

国家相关部门应制定相应的行业标准规范，对商家进行相应的信息安全保护能力审核，审核不通过的商家将进行整改直至符合标准规范。国家部门给合格的企业出具相关监管机构的认证证书，鼓励更多的人举报和检举买卖信息行为，并予以处罚条款。目前，相关部门监管力度还不到位，如对电子商务模式下营销的企业监管，由于网上个体小商户数量逐年增多，可以规范他们的行业自律，监管他们并保护消费者信息安全，严格控制用户信息泄露，减少信息泄露风险。同时应搭建信息较安全的、标准的验证管理平台。移动商务安全性的标准化首要解决的是信息安全标准的科学性、合理性和实用性问题，我国需要大量的信息安全标准化的人力、物力和资金投入，尽快展开基础设施建设，创建信息安全标准的测试、研究、验证环境，从其科学性、合理性以及实用性等方面深入开展标准的研究和管理工作，以便更好地实现移动商务的信息安全。

3.完善相关法律

移动商务的安全不单单是依靠技术创新和加强管理就能解决的，更需要技术、管理、法律等方面多管齐下共同解决。其涉及的主要法律要素如下。

1）有关移动商务交易各方合法身份认证的法律。互联网时代移动商务立法的重中之重是电子身份认证中心的建立，这也是移动商务最根本的保护措施，它负责保证移动商务的安全与公正。国家法律应该规定电子身份认证中心的权限和功能，同时要立法明确规定对电子身份认证中心的监督管理以及违规后的处罚措施。

2）有关保护交易者个人以及交易数据的法律。本着最小限度收集用户个人信息，最大限度保护用户隐私的原则制定法律，除了建立信息收集保护用户的安全规范条例，也要建立泄密追责制度，以消除用户对个人隐私数据无法得到安全保护的担忧，从而吸引更多的人参与移动商务。

3）有关移动商务中合同法及如何进行认证的法律。移动商务的电子合同、电子商务凭证的法律效力，以及电子签名的合法性都需要立法确认，还应该对于窃取、伪造电子商务凭证的违法行为做出相应的处罚规定。

4）有关网络知识产权保护的法律。移动互联网时代电子商务模式的出现对网络知识产权的完善，既是机遇也是挑战，因此对网络知识产权方面的立法是刻不容缓的事情，保护合法网络知识产权，打击仿冒、欺诈等违法行为，对于移动互联网时代电子商务健康发展具有重要意义。

4.多方协同合作

在移动商务市场上，多方参与协同合作的机会有很多，移动运营商提供网络技术的支持，各大商业服务商提供平台或服务，进行网状模式的营销，共同发展，协同合作，以促进自己的商业发展。企业应鼓励更多的企业加入到合作的模式中来，不断吸收他人的优点，弥补自己的不足。对于一家新兴的电商企业来说，盈利必然有一个时间过程，但要素本身的缺乏会使这个过程更加漫长。O2O模式需要同时整合线上、线下两种资源，并将这些资源进行重组，因而对企业管理水平有很高的要求，这也是企业的商业模式最后能否成功执行的关键，因此需要多方参与要素来配合，共同盈利。

综上所述，想要拥有安全可靠的移动商务环境，仅仅凭借单一的技术防范略显单薄，需要有更加有效的安全管理策略才能让整个安全体系达到事半功倍的成效。只有技术和管理共同治理，才能让整个移动商务系统的安全防线上升一个新的高度。

✧ 导航案例

大保镖：给华人更多安全感的出境安全互助平台

出国旅游、留学、务工变得越来越容易后，身在国外的国人安全问题更不容忽视，当衣食住行最基本的需求被满足，安全需求也将与互联网连接在一起。

安全事故频发，但是国人还没有树立起在异国防范危险的意识，在旅途中，女士、儿童、老人如果意外受伤，在异国他乡，举目无亲的情况下语言也不通，特别是对第一次出国的人来说难免惊慌失措。

作为连续创业者的曹兆刚，意识到这些问题后，考虑到这部分人的即时需求，便创立了“大保镖”，希望让他们有一个可靠的安全指南和随身“保镖”，如图1-7所示。

简单来说，大保镖不仅可以预防性地避免用户安全问题的发生，还致力于解决用户的紧急安全需求，核心功能包括以下3点。

1）一键求助：遇到紧急情况时，用户可以使用一键求助，收到呼救信息后，大保镖会尽量帮助用户解决，并离开事发地点。

2）每周安全报告：用户出门前可通过大保镖获取安全信息，搜集所在地和目的地的安全信息，排查所有的危险可能性。

3）实时新闻和出国必备：大保镖涵盖25个国家的信息，可供用户出国时提前做功课，了解风土人情，学习目的地习俗禁忌，除此之外还包括应急措施和大使馆地址，帮助用户避开危险，学会自救。

大保镖的7×24小时全球客服接到求助信号后，会迅速回拨，在泰国，已经有部分当地的兼职或志愿者保镖提供服务。

当用户按下一键求助，15km内所有使用大保镖的用户都会收到求助信息，此时华人保镖或志愿者便会前往，通过全中文服务，即时处理他们遇到的困境，这也是安全互助的体现。

除了呼叫中心服务，大保镖还提供一些证件代办、证件加急、专家咨询、医疗救助和人工预约各国私人保镖等服务。

2017年12月大保镖上线，目前有8万多出境用户，目的地保镖服务还在扩张当中。谈及未来发展，曹兆刚表示大保镖的模式会和保险一样，通过预存费用来提供一系列的保镖服务，并且还会加入硬件措施，打造成真正的互助平台。

纵观安全领域，目前相似的产品大多是工具类型的应用，比如软硬件结合的家庭追踪定位应用Life360、安全出行App“怕怕”等，但是提供实质性服务的项目比较少。

大保镖的场景定位于异国，服务于国人，并且结合了实际的安全体系，实际落地和标准化服务流程的建立算是目前产品发展的重心。

（案例来源：猎云网，文/朱珠，编选：中国电子商务研究中心）