江汉大学商学院 柯林

1 企业移动商务应用模式

根据无线通信原理和网络结构，企业移动商务涉及三大模块，一是移动商务终端，二是无线通信网络，三是企业端无线应用平台。图1描述了这种典型的应用模式。

图1 企业移动商务应用网络结构图

企业端无线应用平台至少包括：无线应用服务器、数据库及企业应用系统，还应包括企业内部无线局域网——WiFi。为强调防火墙和入口路由器的作用，将这两者单独画了出来，实际的企业网络这两个设备是与其他设备在一起的，一般在企业网络控制中心。

通信网络有无线通信网络和有线Internet，目前有线Internet仍然是主要通信网络，无线通信网络作为一个补充。因为此文主要讨论无线移动商务应用，所以就强调无线通信网络了。现阶段无线通信网络主要有：中国移动的GPRS网络和移动、联通、电信三大运营商的3G网络，企业商务应用主要看重无线网络的数据服务能力。

2 企业主要移动商务应用

企业移动商务应用归纳起来大致有以下四个方面：(1)移动办公。例如外地出差人员可以随时了解出差前未完成事务的办理进程，也可以通过移动终端办理。(2)移动ERP。在企业ERP中嵌入移动商务功能，可以使企业从采购、生产、运营等流程实现移动作业。例如，库存随时预警帮助有关决策人员随时掌握库存情况；销售人员用移动终端上传采购数据，可以保证数据更加及时。(3)移动CRM。在企业CRM中嵌入移动商务功能，可以使企业在市场销售、服务等环节与客户更好地进行沟通。例如，客户可以通过移动终端与销售人员互动，销售人员也可以通过移动终端全面及时了解客户情况，及时为客户提供产品或服务信息。(4)拓展企业门户网站的移动商务功能。如将企业招聘信息发送到求职者手机中，增加一些诸如旅游信息、地理信息、天气信息等，为企业客户提供贴心的服务。

3 企业移动商务的安全问题

3.1 企业端无线应用平台的安全问题

(1)非法登录系统；(2)病毒；(3)系统漏洞造成的黑客攻击；(4)内部管理中的安全问题；(5)WiFi使用中的安全问题：如WiFi没有设置接入点密码，在WiFi上传输的信息被窃取等。

上述(1)～(4)是在一般企业应用系统中均存在的安全问题，在无线应用环境下，这些问题变得更加复杂。(5)是无线应用环境下特有的问题，也是容易被忽视的问题。

3.2 无线通信网络的安全问题

(1)窃听：无线通信媒体是非导向的，信息的传送是开放的，只要拥有合适频率的接收设备，便可以获取无线信道上传输的内容。一旦被窃听，则无线信道传上传输的所有信息，包括语音信息、数据信息、身份信息、位置信息等都将泄露，甚至导致移动用户被追踪，这对于无线用户的信息安全、商务交易安全和个人隐私都构成了潜在威胁。

(2)篡改，也称完整性攻击。攻击者在劫持了正常的通信连接后，在网络中窃听用户数据，进行非授权访问，并可以私自修改、插入、重传或删除合法用户的数据或信令，还可以假冒通信的某一方对通信的数据进行修改，甚至可以修改存储在网络单元中的数据。

攻击者还可以干扰用户在无线链路上的正确传输，造成网络拒绝服务，使合法用户无法使用正常的网络服务。

3.3 移动终端的安全问题

(1)移动终端设备的物理安全。移动终端体积小，便于携带，也容易被偷窃和丢失。一旦丢失，意味着用户的个人信息、重要信息有可能被泄密或被他人恶意盗用，这将会对个人或企业造成很大影响和损失。

(2)病毒。虽然移动终端，特别是手机病毒还没有像电脑网络病毒那样泛滥，但随着智能手机的日益普及，手机病毒的危害性也将逐步显现，这个问题不能忽视。

4 企业移动商务安全策略

根据企业移动商务应用网络结构和上述归纳的企业移动商务安全问题，在设计企业移动商务安全策略时也应从三个层次考虑，即企业内部网络安全策略、通信安全策略和移动终端安全策略，企业内部网络安全策略主要在以有线网络为主的内部网安全策略上增加无线网络安全策略，通信安全策略是针对无线通信网络设计的，移动终端安全策略则针对终端用户设计，三者的重点在企业内部安全策略的设计上。

4.1 企业内部网络安全策略

现阶段主流企业内部网络以路由器、交换机为主要联网设备，各种应用系统存放在服务器中，服务器可以是一台物理设备，也可以有多台，用户在客户端即终端设备上使用各种服务，结合企业内部网络安全需要，可以画出企业内部网络安全结构图，如图2所示。

图2 企业内部网络安全结构图

企业内部网络分两个层次：企业网络控制中心和部门应用。控制中心负责有线和无线网络的接入，负责整个网络的安全体系构建，所谓安全系统服务器主要用来完成整个企业网络系统的安全功能，企业各种应用服务器，包括企业端无线应用平台，视企业规模大小，可以放在控制中心，也可以分别放在各部门，图2放在了控制中心，无论放在哪里，安全策略不会有很大不同；部门应用系统主要由局域网交换机和无线路由连接客户端设备而组成的局域网，因为有了无线路由，所以支持笔记本电脑等移动终端上网，实际上部门网络是有线局域网和无线局域网(WiFi)的综合。

企业内部网安全策略包括下面六点。

(1)物理安全策略、数据安全策略。这部分内容主要是物理环境、硬件设备安全、数据备份等。

(2)系统登录控制策略。对于企业各种应用系统，授权合法使用者密码和使用权限，保证系统不被非法使用。

(3)防火墙策略。防火墙系统一般安装在企业网络控制中心的企业安全服务器上，对企业的进出信息，无论是通过有线信道还是无线信道，进行过滤，为此，企业安全系统服务器同时必须设置成为上网代理，即企业内部所有设备接入互联网都必须通过企业安全系统服务器，且防火墙系统软件要定期升级。

(4)防病毒策略。防病毒软件应安装在企业所有服务器和客户端设备上，但企业安全系统服务器上安装防病毒软件的服务器端系统，由它定期获取病毒软件开发商升级包，并负责企业内部各设备防病毒软件的升级。

(5)入侵检测策略。入侵检测系统只需要安装在安全系统服务器上，由它根据设定的标准检测入侵，对于小型企业可以不考虑入侵检测问题。

(6)无线路由安全策略。无线路由器容易被附近的非法移动终端侦测，从而被非法接入网络，导致网络遭受攻击。无线路由的安全策略可以从下列方面考虑：①设置无线路由器管理员密码和用户名，不使用默认设置；②设置接入无线路由器密码；③修改无线路由器默认系统ID；④设置MAC地址过滤，将企业内部移动终端的物理地址与IP地址捆绑，这样外来的移动终端就无法接入无线路由了；⑤关闭无线路由的网络广播功能，使企业外部的移动终端不能被动检测无线路由；⑥设置无线路由内置防火墙；⑦员工离开时关闭无线路由器。

4.2 通信安全策略

第一代模拟蜂窝移动通信中以明文形式传送信息，移动网络本身没有安全性可言；第二代数字移动通信系统，在安全性方面有了较大的改进，通过加密方式来传递用户信息，对移动用户的身份认证采用了单向下行询问——响应认证协议，保证了用户身份的真实性。2G网络的不足在于，认证机制是单向的，也就是说只考虑了网络对用户的认证，而没有考虑用户对网络的识别，攻击者可以通过伪装成网络成员对用户进行攻击；加密机制是基于基站的，只有在无线接入部分信息被加密，而在网络内的传输链路和网间链路上仍然使用明文传送。随着解密技术的发展和计算能力的提高，2G 中使用的加密密钥长度是64 bit，现在已经能在较短的时间内解密该密钥。在2G中没有考虑密钥算法的扩展性，只采用了一种加密算法，致使更换密钥算法十分困难。2G网络也没有考虑信息的完整性鉴别。

3G 移动通信网络在2G的基础上进行了一些有效的改进：在用户身份保密方面，3G网络解决了3个问题，在无线链路上不能窃听用户身份，不能获取当前用户的位置，不能获知用户正在使用的业务；在认证方面，3G网络实现了网络和用户的双向认证，增加了数据完整性鉴别，并可以防止重放攻击；在数据加密方面，3G网络采用了密钥长度为128比特，比2G网络多出1倍，且使用网络协商机制，增加了加密的扩展性和不同移动运营商网络的连通性。

鉴于现阶段2G移动网络和3G移动网络并存，而2G移动网络的安全性要明显低于3G移动网络，根据木桶原理，企业移动商务在通信安全策略方面需要兼顾现在与3G并行运营的2G网络，要考虑下面两个问题：(1)信息加密策略；(2)数据完整性策略。

4.3 移动终端安全策略

(1)防丢失、防偷窃、防通信内容被非法偷看。(2)终端软件安全策略。移动终端受计算能力的限制，不能使用太复杂的安全软件，需要在计算强度和保证安全性方面寻找平衡。(3)防病毒策略。

5 结语

企业移动网络的广泛使用，为企业终端客户带来了方便的同时，也给企业移动商务带来了新的不安全因素，需要制订新的安全策略以应对，这种安全的策略的增加主要体现在三个方面：第一个方面是企业内部无线通信安全策略，在有线通信安全的基础上主要增加了以无线路由器为接入点的安全策略；第二个方面是无线通信网络的安全策略，在3G网络与2G网络并行运营的现阶段，还要兼顾2G网络在安全方面的弱项，企业要适当考虑信息加密和数据完整性；第三个方面，移动终端的安全策略，主要是防丢、防偷、防毒以及终端安全软件与硬件的匹配等。

[1]鲁耀斌,等朝华等.移动商务的应用模式与采纳研究[M].科学出版社,2008.

[2]Geoffrey Elliott著，陈宗斌译.移动商务与无线计算系统[M].高等教育出版社,2006.

[3]张闰彤,朱晓敏.移动商务概论[M].清华大学出版社,2008.

[4]舒虹.移动电子商务安全问题及其应对策略[J].贵阳学院学报,2009(12).