下载文档原格式
电子商务中的安全威胁及防范措施在互联网时代,电子商务已成为人们日常生活的重要组成部分,但随之而来的黑客攻击、虚假交易、个人隐私泄露等安全问题也备受关注。
本文将就电子商务中的安全威胁进行分类分析,并探讨针对不同威胁的防范措施。
一、黑客攻击黑客攻击是指通过计算机网络非法进入他人电脑系统,窃取、破坏、篡改信息的行为。
黑客攻击对于电子商务平台和用户的危害非常大。
黑客攻击可以导致个人隐私泄露、交易安全问题增加、线上商家资金恶意转移等问题。
针对黑客攻击,电子商务平台可以采取以下措施进行预防:加强网络防火墙、密码加密技术、实时监控平台安全性、及时更新软件系统等。
用户可以通过更改常用密码、勿将信用卡信息泄露给他人、勿将账号密码泄露给其他人员等措施预防黑客攻击。
二、虚假交易虚假交易是指利用网络资源、平台优势等手段欺骗客户进行虚假交易。
虚假交易不仅会造成客户财产损失,更会对线上商家的声誉和发展带来负面影响。
针对虚假交易,电子商务平台可以采取以下措施进行预防:严格审核商家资质、加强产品质量管控、针对用户行为进行监控及预警等。
用户可以通过更加完善信用评级、关注交易安全性问题、保持警惕等措施预防虚假交易。
三、个人隐私泄露个人隐私泄露是指在个人信息保护不严密的情况下,被非法窃取或泄露给不当使用的人。
个人隐私泄露对于线上商家和客户均可能导致巨大的损失。
针对个人隐私泄露,电子商务平台可以采取以下措施进行预防:加强个人信息保密技术,避免私人信息被非法利用。
用户可以通过勿发布过多自己的隐私信息、更加完善密码设置,避免自身隐私被非法窃取。
四、交易冒充交易冒充是指采用虚假身份、假冒官方服务等形式现实电子商务平台危害公众利益。
交易冒充对于平台和用户均具有相当大的危害性。
针对交易冒充,电子商务平台可以采取以下措施进行预防:采取严密了对商家身份的审核、严厉打击交易冒充行为、设置高强度的安全密码系统、加强用户证书审核等。
用户应该增强自身洞察力,避免被诈骗。
移动电子商务安全问题分析及解决方案随着科学技术水平的发展,人们的生活水平越来越高,因特网的使用已经不再只是局限于有线网络。
现在移动用户越来越多,移动电子商务已经成了我们日常生活中不可缺少的一部分,同时在享受高速度和高效率的生活效率时,移动电子商务的安全问题也成了我们不可避免要面对的问题。
基于此,本文对在面对移动电子商务安全风险时多项问题的科学、有效对策探究。
标签:移动电子商务;安全问题;分析;解决方案一、移动电子商务概述我们通常所说的移动电子商务是电子商务的一种延伸,具体指的是依托于个人数字助理、手机、电脑等手持的移动通信设备同无线上网手段契合起来所形成的完整的电子商务体系,与传统电子商务模式比较来说,这种全新的电子移动商务具有显著的优势,相对而言更加具有灵活性、随时性、快捷性。
可以使使用者不受时间、地点、空间的限制就可以得到自己想要的信息和贴身服务。
并且它可以满足客户的任何需要,且随时可以更改。
二、当前移动电子商务安全所面临的问题与威胁1.移动通信终端的安全威胁因素与传统电子商务模式比较,现代移动电子商务与其最大的不同点在于这种商务模式依托于移动终端上网,所以我们首要考虑的就应该是移动通信终端的安全性。
而这种移动终端的安全威胁是相对复杂的,由于它是移动的,因此很容易被人为破坏亦或是使数据丢失,这样就造成了显而易见的安全问题。
有一些攻击者会窃听你的个人信息获得你终端的数据资源,这就会给人们带来巨大的信息财产威胁,必将会阻碍移动电子商务在我国的发展。
我们在生活中所遇到的SIM卡复制就是其中的威胁之一。
2.商家的欺诈行为和软件病毒所造成的安全问题因素当前,这种全新的移动电子商务是依托于图片和文字的方式进行交易的,购买者并看不到实物。
有一些不良卖家拍一些假的图片和虚假信息,这就会使得消费者对商家失去信任感,从而出现退货、换货等一系列的后续服务问题,而这些矛盾和纠纷则会使得消费者对电子商务逐渐失去信心,因为诸多电子商务网站难以为卖家提供其详细信息。
引言概述:电子商务在当今社会已经发展成为一个重要的商业领域,但随着其快速发展,电子商务面临着越来越多的安全威胁。
本文将深入探讨电子商务面临的安全威胁,并提供相应的解决方案和建议,以确保电子商务的安全性和可持续发展。
正文内容:一、网络攻击的威胁1.1黑客攻击1.2钓鱼攻击1.3拒绝服务攻击1.4数据泄露1.5网络病毒和恶意软件二、支付安全的威胁2.1信用卡欺诈2.2支付信息泄露2.3虚假交易2.4支付平台漏洞2.5非法交易三、数据安全的威胁3.1数据泄露和盗窃3.2数据篡改和损坏3.3数据备份和恢复3.4安全漏洞和漏洞利用3.5数据隐私保护四、用户身份和隐私的威胁4.1身份盗窃4.2个人信息泄露4.3网络钓鱼和诈骗4.4用户权益保护4.5隐私政策和法规合规五、供应链安全的威胁5.1供应链攻击5.2假货和侵权问题5.3供应商安全保障5.4供应链风险管理5.5供应商审计和合规总结:电子商务面临的安全威胁种类繁多,包括网络攻击、支付安全、数据安全、用户身份和隐私以及供应链安全等多个方面。
为了保护电子商务的安全,我们应当采取一系列的措施。
加强网络安全措施,包括建立防火墙、加密传输、安全审查等。
加强支付安全,采用双重身份认证、实施欺诈检测和监控、定期更新支付软件等。
第三,重视数据安全,采取数据备份、加强访问控制、保护数据隐私等措施。
用户身份和隐私的保护也非常重要,要加强对用户数据的保护,并制定隐私政策和遵守相关法规。
确保供应链安全,加强供应商管理和审计,保证产品的质量和合法性。
通过综合运用这些措施,可以有效降低电子商务面临的安全威胁,为电子商务的健康发展提供保障。
电商平台的网络安全应急预案一、引言随着互联网的全面普及和电子商务的迅猛发展,电商平台已成为了人们购物的首选渠道。
然而,网络安全问题也随之而来。
为了及时应对网络安全风险,保障用户信息安全,电商平台需要制定完善的网络安全应急预案。
二、网络安全风险分析1. 黑客入侵:电商平台的重要数据库和用户信息容易受到黑客攻击,造成信息泄露和财产损失。
2. 木马病毒:恶意软件和病毒程序的侵入会导致电商平台运行异常,甚至瘫痪。
3. 数据丢失:由于服务器故障、人为操作失误等原因,电商平台数据的丢失可能会导致商家和用户的损失。
4. 钓鱼网站:仿制电商平台页面,诱导用户提供个人敏感信息,危害用户利益。
三、应急预案制定原则1. 及时性:应急预案需要及时更新和完善,以应对新的网络安全威胁。
2. 综合性:应急预案要考虑到全面的网络安全风险,包括技术威胁和人为因素。
3. 效率性:应急预案需要具备快速响应和解决网络安全问题的能力。
4. 隐私保护:应急预案中要注重用户个人信息和隐私的保护。
四、网络安全应急预案内容1. 预警机制:建立网络安全风险监测预警系统,通过实时监控和分析,及时发现并预测潜在的威胁。
2. 应急响应流程:明确网络安全事件的处理流程,包括事件报告、责任分工、紧急联系人以及应急协调机构等。
3. 数据备份与恢复:定期备份重要数据,并建立数据备份和灾难恢复机制,确保数据不会因为故障或其他原因丢失。
4. 人员培训和意识提升:加强员工网络安全培训,提高其防范和应对网络安全事件的能力,确保员工信息安全意识的提升。
5. 系统安全建设:加强服务器和数据库的安全防护,采用防火墙、加密技术和访问控制等手段。
6. 第三方风险管理:建立与供应商、合作伙伴的网络安全风险管理机制,确保他们也具备相应的网络安全能力。
五、应急预案的实施和评估1. 实施阶段:根据预案,对网络安全事件进行分类、报告和处理,确保应急预案的有效性。
2. 评估阶段:定期对应急预案进行评估和演练,发现问题并进行改进,以应对网络安全风险的不断变化。
移动电子商务的安全与隐私问题分析移动电子商务(Mobile E-commerce)已经成为了现代人购物的主要方式之一。
然而,在移动电子商务领域,安全与隐私问题一直是用户和商家最为关注的焦点。
本文将对移动电子商务中的安全与隐私问题进行分析,并提供相应的解决方案。
一、安全问题分析1. 网络攻击:移动设备的开放性和全球化特性使其成为黑客攻击的主要目标。
黑客可以通过网络攻击窃取用户的个人信息、支付信息以及交易记录。
因此,移动电子商务平台需要加强网络安全措施,采用防火墙、加密技术、身份验证等手段,保护用户隐私和交易安全。
2. 信息泄露:移动电子商务平台可能存在数据泄露的风险。
用户在进行购物时,需要提供个人信息和支付信息,一旦这些信息泄露,用户可能遭受财产损失或身份盗窃。
因此,移动电子商务平台应该加强数据加密技术,确保用户数据不被非法获取。
3. 恶意软件:移动应用程序市场存在大量的恶意软件,这些软件可能通过盗取用户信息和操纵支付流程等手段,对用户进行欺诈和侵害。
移动电子商务平台应该加强对移动应用的审核和监管,减少用户下载和使用恶意软件的风险。
4. 假冒网站:移动电子商务平台经常遭受假冒网站的困扰。
黑客通过仿冒合法平台的方式,引诱用户泄露个人信息或进行虚假交易。
为了减少用户受骗的风险,移动电子商务平台应该加强对网站的验证机制,提供用户安全检测工具,警告用户避免访问假冒网站。
二、隐私问题分析1. 个人信息收集:移动电子商务平台为了提供个性化的服务,通常会收集用户的个人信息。
然而,一些平台可能会滥用个人信息,如将其出售给第三方广告商或用于其他商业目的。
为了保护用户隐私,移动电子商务平台应该建立严格的隐私保护政策,明确告知用户个人信息的收集、使用和保护方式,并提供用户选择是否提供个人信息的机制。
2. 交易记录保留:移动电子商务平台通常会保留用户的交易记录,以便用户查询和商家核实。
然而,长期保存这些交易记录可能存在泄露用户隐私的风险。
移动电子商务的安全问题及应对策略移动电子商务作为一种新型便捷的电子商务形式越来越受到人们的青昧,但无线网络体系结构的不安全性,使得移动电子商务比传统电子商务存在更多的威胁,如网络中信息窃取、信息篡改、认证身份假冒等。
本文对移动电子商务当前较突出的安全问题进行了分析,并有针对性地给出了解决策略。
一、移动电子商务利用智能手机等可移动无线终端设备,通过移动网络连接Internet,并进行各种类型的电子商务交易活动,称为移动电子商务。
因其快捷方便、随时交易,它已成为电子商务发展的新趋势。
在中国,传统电子商务与移动电子商务共同发展,但移动电子商务所占份额越来越大。
随着3G等其它无线通信技术的发展与移动用户的进一步壮大,中国移动电子商务将会迅速发展。
二、移动电子商务的安全问题(一)无线网络自身的安全问题移动网络自身存在一定的安全性问题,在移动电子商务给使用者带来方便的同时也隐藏着诸多安全问题,如通信被窃听、通信双方身份欺骗与通信内容被篡改等。
由于通信媒介的不同,信息的传输与转换也可能造成不安全的隐患。
(二)通信终端的安全问题目前手持移动设备的安全成胁主要有:移动设备的物理安全,用户身份、账户信息和认证密钥丢失,SIM卡被复制,RFID被解密等方面。
(三)软件病毒造成的安全威胁目前,手机软件病毒呈加速增长的趋势加重了这种安全威胁,软件病毒会传播非法信息,破坏手机软硬件,导致手机无法正常工作。
主要安全问题表现在用户信息、银行账号和密码等被窃等方面。
(四)运营管理漏洞目前有着众多的移动商务平台,而其明显的特点是平台良莠不齐,用户很难甄别这些运营平台的真伪和优劣。
在平台开发过程中一些控制技术缺少论证,在使用过程中往往出现诸多问题,而服务提供者对平台的运营疏于管理,机制不健全,这些都导致了诸多的安全问题。
三、移动电子商务安全策略安全问题是移动电子商务服务提供者首要考虑的问题,在开发的初期及运营过程中都必须注重移动商务的安全性,安全策略的开发可以借鉴传统电子商务,但不可忽视自身的特点,只有二者兼顾才能更好的为用户提供安全的交易环境,才能促进移动商务的快速发展。
电子商务安全风险分析及防范措施电子商务的迅速发展为商业活动提供了更广阔的平台,但与此同时,也带来了一系列的安全风险。
在这篇文章中,我们将对电子商务安全风险进行分析,并提出相应的防范措施。
一、安全风险分析1.1 数据泄露风险电子商务平台大量储存着用户的个人信息,包括姓名、地址、电话号码等。
这些信息如果泄露给非法分子,可能导致用户个人隐私被侵犯,以及可能发生的身份盗窃、钓鱼网站等问题。
1.2 支付风险在线支付成为电子商务的核心环节,而支付风险也成为电子商务安全的重要问题。
诸如信用卡盗刷、支付密码泄露、支付信息被篡改等问题可能对用户造成经济损失。
1.3 交易欺诈风险电子商务交易的匿名性使得欺诈分子有机会进行虚假交易、虚假评价、货品替代等欺骗行为,给用户及平台带来经济和信誉上的损失。
1.4 网络攻击风险电子商务平台成为黑客攻击的目标之一,网络攻击可能导致用户信息泄露、网站瘫痪等严重后果,对平台的声誉和用户信任造成重大影响。
二、防范措施2.1 加强数据安全保护电子商务平台应采取一系列措施,确保用户数据的安全。
包括加密用户个人信息,采用安全的存储和传输方式,以及建立完善的数据备份和恢复系统等,以防止数据泄露风险。
2.2 完善支付安全机制平台应建立起严格的支付安全机制,包括使用双重认证、支付密码加密存储、实时交易监测等方式来防范支付风险。
同时,加强与银行等合作机构的合作,及时调整支付策略和审核机制。
2.3 强化交易防欺诈措施电子商务平台应建立起完善的交易评估和风控系统,通过多维度的交易评估,警惕虚假交易、评价刷单等欺诈行为。
同时,建立投诉处理机制,迅速响应用户反馈,保护用户权益。
2.4 建设安全防护体系加强系统和网络安全防护,建设安全防火墙、入侵检测和防范系统,及时监测和应对网络攻击。
定期进行安全漏洞扫描和安全评估,及时修复漏洞并升级系统。
2.5 安全教育和培训加强用户和员工的安全意识教育,提升大众对电子商务安全风险的了解和防范能力。
移动商务面临的安全威胁尽管移动商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。
有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。
例如:目前还没有有效抵制手机病毒的防护软件。
1、网络本身的威胁无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。
无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。
在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。
任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。
对于无线局域网和个人网用户,其通信内容更容易被窃听。
因为这些网络通信工作在全球统一开放的工业、科学和医疗频带(2.5GHz和5GHz频带)。
任何团体和个人都不需要申请就可以免费使用该频段进行通信。
无线窃听可以导致通信信息和数据的泄漏,而移动用户身份和位置信息的泄漏可以导致移动用户被无线追踪。
这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2、无线ad hoc应用的威胁除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。
考虑无线装置可以组成ad hoc网路。
Ad hoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。
Ad Hoc网络也正在逐步应用于商业环境中,比如传感器网络、虚拟会议和家庭网络。
由于其网络的结构特点,使得Ad Hoc网络的安全问题尤为突出。
Ad hoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。
电子商务安全(一)引言概述:电子商务的便利性和普及性正在改变我们购物的方式,然而,随之而来的安全威胁也不可忽视。
本文将从五个大点出发,详细探讨电子商务安全的重要性和相关的解决方案。
正文:一、加强用户账户安全1. 设置强密码:使用组合字符、数字和特殊符号的密码,并定期更换。
2. 启用两步验证:通过手机短信、应用程序验证用户身份。
3. 警惕钓鱼网站:不随意点击邮件或短信中的链接,防止个人信息被盗取。
4. 使用安全的支付方式:选择受信任的支付平台或第三方支付工具。
二、保护个人隐私1. 数据加密技术:采用SSL/TLS协议对用户数据进行加密传输。
2. 防止信息泄露:限制内部员工对用户数据的访问权限,并进行定期的安全审查。
3. 遵守隐私政策:明确告知用户数据收集和使用情况,并提供选择权。
三、建立安全的交易环境1. 安全支付环境:确保在线支付平台采用具备支付安全认证的技术。
2. 防止支付欺诈:使用风险评估工具和反欺诈系统来识别可疑的交易。
3. 安全的物流配送:建立可追踪的物流系统,保障货物安全。
四、加强网站和网络安全1. 安全更新和维护:定期更新网站程序和插件,修复已知漏洞。
2. 网络防火墙:设置防火墙保护网站免受网络攻击和恶意软件的侵害。
3. 安全扫描和监测:定期进行漏洞扫描和安全监测,及时发现异常情况。
五、完善售后服务和投诉处理机制1. 售后服务规范:建立健全的退货、换货和维修政策,提供及时的客户支持。
2. 投诉处理机制:设立专门的服务热线或在线投诉渠道,及时处理用户的投诉和纠纷。
3. 用户评价和反馈:收集用户的评价和反馈,改进和提升服务质量。
总结:电子商务安全是确保在线购物安全和可信赖的基础。
通过加强用户账户安全,保护个人隐私,建立安全的交易环境,加强网站和网络安全,以及完善售后服务和投诉处理机制,我们可以有效地应对电子商务安全风险,为用户提供安心的在线购物体验。
移动商务安全威胁分析及应对原则
作者:刘忠
来源:《现代企业》2012年第11期
移动商务面临的安全威胁按照其特定的表现形式可分为病毒、木马、蠕虫和间谍软件,这些威胁都是常见的电脑程序。
安全专家通常首先会调查威胁发生的环境,例如,病毒是在哪个操作平台上发生的。
数据显示,塞班操作系统比其他移动平台更容易被黑客所利用。
一份来自诺基亚公司的报告称黑客可以绕过塞班操作系统的安全平台,访问未经授权的核心区域,并开放权限给用户,这样用户就可以执行未经签名的代码。
下面详细介绍移动平台所面临的若干风险。
一、移动商务面临的安全威胁
1.移动病毒。
移动病毒和传统的计算机病毒一样具有传染性,不同的是它们通过蓝牙或短信传播。
第一种被广泛传播的计算机病毒远在因特网出现之前就已经存在了,如Elk Cloner、Brain病毒等。
后来,病毒主要靠人为的安装在目标机器上传播。
当因特网广泛使用时,病毒更为猖獗,这时的病毒大部分通过电子邮件、视频流等因特网应用传播。
现在,恶意软件中携带病毒的情况较为少见了,因为反病毒软件的保护机制能够检测到大部分的病毒代码。
所以,病毒变得更加隐蔽、更具适应性,例如木马、蠕虫。
基于这些发展趋势,现在单纯的电脑病毒已经不是那么普遍了,移动设备中越来越少见。
如在移动电话中传播的病毒——WinCE.Duts。
这个恶意程序在2004年被发现,它主要感染运行在Windows CE的移动设备。
该病毒长度为1520 字节,只是简单的感染基于ARM处理器的可执行文件,没有发作和破坏模块,但当收到、打开此病毒时,会出现以下提示信息:“Dear User, am I allowed to spread ?”。
如果用户同意安装,该病毒会感染所有根目录下所有的执行文件。
感染规则相当简单,病毒体附加到文件末尾,把文件的入口设定到病毒代码的开始位置。
2.移动蠕虫。
移动蠕虫是一种自我复制的程序,独立执行并在移动网络中自由传播。
Commwarrior是2005年发现的一种蠕虫病毒,来源于俄罗斯,是全球第一个通过移动多媒体消息服务(MMS)和蓝牙传播的病毒,这种蠕虫针对的对象是塞班S60系统。
在此之前,手机病毒大都使用了蓝牙方式传播,感染的范围仅仅局限在距离10米左右的装置,Commwarrior 病毒的传播方式有了大的改进,通过MMS和蓝牙配合传播,意味着该病毒可以在极短时间内传遍全球。
一旦用户收到并安装了Commwarrior,只要一开机,它会在被感染的手机上复制数份拷贝,并通过手机中的号码薄利用MMS方式将拷贝发送给机主的联系人,同时会像Cabir通过蓝牙不断搜寻其他设备。
特别要注意的是,在通过MMS传播时,Commwarrior会使用一些吸
引人的主题,如“Norton AntiVirus Released now for mobile, install it!”和“bad! Free *SEX* software for you!”等。
iPhone IKEE-B是2009年出现的运行在iPhone上的僵尸网络病毒。
该病毒会感染没有修改ssh密码的“越狱版”iPhone手机。
该病毒感染手机后,在网络继续搜索具有上述特征的手机,同时会获取手机的root权限,即最高权限。
获取该权限后,病毒可能对手机进行进一步破坏。
如偷偷复制使用者的电子邮件、名片夹、短信、纪事本、照片、影片、音乐档案,以及所有iPhone应用程式所储存的资料。
IKEE-B不同于IKEE-A,它包含一个命令控制逻辑,可以让被感染的iPhone手机受制于僵尸网络。
在这个网络中,每部电话都像机器人一样受远程的服务器操控,服务器可以任意上传并执行shell命令。
3.移动木马。
木马是一种穿着无害的合法程序外壳的恶意程序,可以想象为一颗糖衣炮弹。
正因为它们的伪装性,用户通常不会怀疑。
但是,手机系统一旦安装上这类程序,它们就会暗中破坏系统。
这类程序通常会记录用户输入、改变或删除重要的文件,或远程安装程序到用户的手机上。
ZitMo于2010年9月首次被检测到,专门用来盗取由银行发送的短信息中的mTAN代码,是迄今为止最受关注的手机安全事件之一。
这种恶意程序具有跨平台传播的能力,无论是Symbian、Windows Mobile还是BlackBerry 、Android,都检测到了这种木马,其目的主要是将含有mTAN代码的短信息转发给网络黑客(或者是一台服务器),后者进而可以利用这些被侵入的银行账户进行非法交易。
但是,ZitMo最大的特点是它与台式计算机木马 ZeuS背后的关系。
如果没有后者的话,ZitMo仅仅能起到一个转发短信息的间谍程序作用。
通过它们之间的“团队合作”,网络罪犯才能成功的避开保护网银安全所使用的mTAN安全设置。
Geinimi是Android平台上首款具有僵尸网络特征的恶意软件,它以嵌入的方式隐藏在未知来源的安卓应用程序中,一旦该软件在用户的手机上安装成功,那么它就有可能接受来自远程服务器的命令,使该服务器的所有者控制“中招”的手机。
据了解,这个木马会截持用户手机中的个人数据,将其发送到远程服务器端。
另外,Gemini还具有监听短信、收集并发送设备信息、后台下载文件、打开特定的URL地址等恶意行为。
为了使该恶意程序更具隐藏性,所有和远程服务器的通信都被加密(DES)。
有国外媒体将其定义为“迄今为止我们所见到的最复杂的Android恶意软件”。
4.移动间谍软件。
移动间谍软件是一种未经移动用户的许可,执行某种未授权功能的间谍软件。
这类软件通常会监听通话、查看短信或秘密监视用户的一切活动。
Cell Phone Recon:这种移动间谍软件发现于2010年,它可以感染除了iOS平台的所有移动平台。
一旦被安装上,用户很难察觉它的存在,因为没有任何图标显示。
这种软件执行所有的监控任务(如:查看短信、HTML电子邮件、图片等);除此以外,黑客还能通过一个管理网站实施远程监控。
迄今为止,已经发现了四种变体。
Trusters Spy Phone:这种间谍软件于2010年发现,它会感染许多操作系统,包括SymbianOS, Windows Mobile和BlackBerry。
一旦被安装在受害者的移动设备上,入侵者就能监视对方移动设备上的一切通信,并能通过短信远程控制,转发和记录收到的短信、监听通话等。
不过,这个软件需要手动安装在受害者的机器上。
二、安全移动平台搭建的原则
虽然现有的主流移动平台有很多,其自身的特点也不尽相同,但在提高这些系统(平台)的安全性上却有一些共通之处。
为了总结这些防范原则,需要从攻击者的角度来分析系统可能存在的所有安全威胁。
1.为了提高移动平台的安全性,进行用户认证尤为重要。
一个认证过程需要用户提供某种认证信息(例如用户名和密码),在有些情况下还需要提交个人资料(身份证号、银行卡号等)。
这些数据的安全性必须得到保证,任何时候都不能被黑客窃取。
这里需要保护的信息包括两种:一类是用户信息(用户的姓名、电话号码、地址、银行卡号等),另一类是认证信息(密码、PIN等)。
2.对用户进行访问控制对构建安全的移动平台也是必不可少的。
首先要分析用户的类型,然后对用户进行分组,再对每个组中的角色进行分别授权或限制。
最简单的分组方法是合法用户、管理员、非法用户三类。
合法用户是系统资源的拥有者或享有特权的用户。
例如金融交易中的信用卡的持卡人。
管理员是组织(如企业)指派的专门维护移动商务系统正常运行的人员,这些人进行系统的日常维护工作,例如系统参数修改、帐户的管理等。
非法用户就是指没有访问权限但试图使用某种手段获取他人信息资源的那部分人,这些人有可能是黑客也有可能是一般用户。
3.保证输入和输出点的安全也是提高移动平台安全性的途径。
输入和输出点是用户进入或离开系统的必经的两个状态点,所以它们常常是非法用户攻击的目标。
具体的说,通信信道、浏览器以及移动操作系统本身的安全在构建一个移动平台时是必须要考虑到的。
本文首先介绍了移动商务面临的若干安全威胁。
通过和传统计算机入侵进行比较,得出了移动商务入侵的特点,其表现形式和传播途径和以往的病毒相比有相似的地方也有区别。
在此基础上,本文提出了构建安全移动商务平台应该遵循的基本原则。
(作者单位:陕西理工学院)。
