41論電子商務中網(wǎng)絡隱私安全的保護張曉琪

1、論電子商務中網(wǎng)絡隱私安全的保護專業(yè)：08信息管理與信息系統(tǒng) 姓名：張曉琪 學號：摘 要：隨著電子商務技術的發(fā)展,網(wǎng)絡交易安全成為了電子商務發(fā)展的核心和關鍵問題,對網(wǎng)絡隱私數(shù)據(jù)(網(wǎng)絡隱私權)安 全的有效保護,成為電子商務順利發(fā)展的重要市場環(huán)境條件。網(wǎng)絡信息安全技術、信息安全協(xié)議、P2P技術成為網(wǎng)絡 隱私安全保護的有效手段。 關鍵詞：電子商務；網(wǎng)絡隱私權；信息安全技術；安全協(xié)議；P2P技術；安全對策Electronic commerce network privacy protectionAbstract：With the development of electronic commerce te

2、chnology, network security has become the electronic commerce development the core and key problems of network privacy, data ( Privacy ). Total effective protection, electronic commerce has become an important market conditions. Network information security technology, information security protocol,

3、 P2P technology has become an effective means of protection of network privacy.Key words：Electronic commerce；The right of network privacy；Information security technology；Security protocol；P2P Technology；Safety countermeasures隨著電子商務技術的發(fā)展,網(wǎng)絡交易安全成為了電子商務發(fā)展的核心和關鍵問題。在利益驅使下,有些商家在網(wǎng)絡應用者不知情或不情愿的情況下,采取各種技術手段取得

4、和利用其信息,侵犯了上網(wǎng)者的隱私權。對網(wǎng)絡隱私權的有效保護,成為電子商務順利發(fā)展的重要市場環(huán)境條件。 1 網(wǎng)絡隱私權侵權現(xiàn)象 1.1個人的侵權行為個人未經(jīng)授權在網(wǎng)絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經(jīng)授權而進入他人計算機系統(tǒng)收集、獲得信息或騷擾他人;未經(jīng)授權截取、復制他人正在傳遞的電子信息;未經(jīng)授權打開他人的電子郵箱或進入私人網(wǎng)上信息領域收集、竊取他人信息資料。 1.2商業(yè)組織的侵權行為專門從事網(wǎng)上調查業(yè)務的商業(yè)組織進行窺探業(yè)務,非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給

5、其他公司以謀利,或是用于其他商業(yè)目的。根據(jù)紐約時報報道,BOO.com、Toys mart和CraftS等網(wǎng)站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統(tǒng)計分析結果標價出售,以換取更多的資金。 1.3部分軟硬件設備供應商的蓄意侵權行為某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內設置“安全序號”,每個使用該處理器的計算機能在網(wǎng)絡中被識別,生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。 1.4網(wǎng)絡提供商的侵權行為 1.4.1 互聯(lián)網(wǎng)服務提供商(ISP Internet Se

6、rvice Provider)的侵權行為:ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私。例:ISP把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業(yè)秘密泄露。ISP對他人在網(wǎng)站上發(fā)表侵權信息應承擔責任。 1.4.2 互聯(lián)網(wǎng)內容提供商(ICP Internet Content Provider)的侵權行為ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。 1.5網(wǎng)絡所有者或管理者的監(jiān)視及竊聽對于局域網(wǎng)內的電腦使用者,某些網(wǎng)絡的所有者或管理者會通過網(wǎng)絡中心監(jiān)視使用者的活動,

7、竊聽個人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。 2 網(wǎng)絡隱私權問題產(chǎn)生的原因 網(wǎng)絡隱私權遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結構特性和電子商務發(fā)展導致的利益驅動這兩個方面的原因。 2.1互聯(lián)網(wǎng)的開放性從網(wǎng)絡本身來看,網(wǎng)絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯(lián)網(wǎng)成員的多樣和位置的分散,其安全性并不好。互聯(lián)網(wǎng)上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節(jié)點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可

8、能性是顯然存在的。 2.2網(wǎng)絡小甜餅cookie某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關?，F(xiàn)在的許多網(wǎng)站在每個訪客進入網(wǎng)站時將cookie放入訪客電腦,不僅能知道用戶在網(wǎng)站上買了些什么,還能掌握該用戶在網(wǎng)站上看過哪些內容,總共逗留了多長時間等,以便了解網(wǎng)站的流量和頁面瀏覽數(shù)量。另外,網(wǎng)絡廣告商也經(jīng)常用cookie來統(tǒng)計廣告條幅的點擊率和點擊量,從而分析訪客的上網(wǎng)習慣,并由此調整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動聯(lián)系起來。這顯然侵犯了他人的隱私。 2.3網(wǎng)絡服務提供商(ISP)

9、在網(wǎng)絡隱私權保護中的責任ISP對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網(wǎng)可能帶來的對個人權利的危害;告知用戶可以合法使用的降低風險的技術方法;采取適當?shù)牟襟E和技術保護個人的權利,特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性,以及網(wǎng)絡和基于網(wǎng)絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些活動的權利;不為促銷目的而使用數(shù)據(jù),除非得到用戶的許可;對適當使用數(shù)據(jù)負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應謹慎。 目前,網(wǎng)上的許多服務都是免費的,如免費電子郵

10、箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發(fā)現(xiàn)在接受這些免費服務時,必經(jīng)的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。 3 安全技術對網(wǎng)絡隱私權保護 3.1電子商務中的信息安全技術 電子商務的信息安全在很大程度上依賴于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數(shù)據(jù)保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、系統(tǒng)安全監(jiān)測報警技術等。 3.1.1防火墻技術防火墻(Firewall)是近年

11、來發(fā)展的最重要的安全技術,它的主要功能是加強網(wǎng)絡之間的訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡(被保護網(wǎng)絡)。 3.1.2加密技術數(shù)據(jù)加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。 3.1.3數(shù)字簽名技術數(shù)字簽名(Digital Signature)技術是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中,數(shù)字簽名技術有著特別重要的地位,在電子商務安

12、全服務中的源鑒別、完整性服務、不可否認服務中都要用到數(shù)字簽名技術。 3.1.4數(shù)字時間戳技術在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數(shù)字時間戳(Digital Time-stamp)的數(shù)字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。3.2 電子商務信息安全協(xié)議 3.2.1安全套接層協(xié)議(Secure Sockets Layer, SSL)SSL是由Netscape Communication公司1994年設

13、計開發(fā)的,主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。 3.2.2安全電子交易公告(Secure Electronic Transactions, SET)SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網(wǎng)絡的工業(yè)標準。 3.2.3安全超文本傳輸協(xié)議(S-HTTP)依靠密鑰的加密,保證Web站點間的

14、交換信息傳輸?shù)陌踩浴HTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。 3.2.4安全交易技術協(xié)議(STT)STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。 3.2.5UN/EDIFACT標準UN/EDIFACT報文是唯一的國際通用的電子商務標準。 3.3 P2P技術與網(wǎng)絡信息安全P2P(Peer-to-Peer,即對等網(wǎng)絡)是近年來廣受IT業(yè)界關注的一個概念。P2P是一種分布式網(wǎng)絡,最根本的思想,同時它與C/S最顯著的區(qū)別在于網(wǎng)絡中的節(jié)點(peer)既可以獲取其它節(jié)點的資源

15、或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡中每一個節(jié)點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。 3.3.1隱私安全性 目前的Internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內容,但是這些機制并不能隱藏是誰發(fā)送了這些信息。而在P2P中,系統(tǒng)要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某個集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能

16、性大大縮小。P2P系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。 目前解決Internet隱私問題主要采用中繼轉發(fā)的技術方法,從而將通信的參與者隱藏在眾多的網(wǎng)絡實體之中。而在P2P中,所有參與者都可以提供中繼轉發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。 3.3.2對等誠信 為使得P2P技術在更多的電子商務中發(fā)揮作用,必須考慮到網(wǎng)絡節(jié)點之間的信任問題。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網(wǎng)絡加強信任管理的必然選擇。 對等誠信的一個關鍵是量化節(jié)點的信譽度?；?/p>

17、者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網(wǎng)絡的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣,在一個分布式系統(tǒng)中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣

18、,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。 每個對等點i可以存貯它自身與對等點j的滿意的交易數(shù),以及不滿意的交易數(shù),則可定義為: Sij=sat(i,j)-unsat(i,j) 4 電子商務中的隱私安全對策 4.1加強網(wǎng)絡隱私安全管理我國網(wǎng)絡隱私安全管理除現(xiàn)有的部門分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地統(tǒng)一、協(xié)調各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。 4.2 加快網(wǎng)絡隱私安全專業(yè)人才的培養(yǎng)在人才培養(yǎng)中,要注重加強與國外的經(jīng)驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。 4.3開展網(wǎng)

19、絡隱私安全立法和執(zhí)法加快立法進程,健全法律體系。結合我國實際,吸取和借鑒國外網(wǎng)絡信息安全立法的先進經(jīng)驗,對現(xiàn)行法律體系進行修改與補充,使法律體系更加科學和完善。 4.4 抓緊網(wǎng)絡隱私安全基礎設施建設國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此,需要建立中國的公開密鑰基礎設施、信息安全產(chǎn)品檢測評估基礎設施、應急響應處理基礎設施等。 4.5建立網(wǎng)絡風險防范機制在網(wǎng)絡建設與經(jīng)營中,因為安全技術滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網(wǎng)絡風險防范機制。建議網(wǎng)絡經(jīng)營者可以在保險標的范圍內允許標保的財產(chǎn)進行標保,并在出險后進行理賠。 4.6強化網(wǎng)絡技術創(chuàng)新,重點研究關鍵芯片與內核編程技術和安全基礎理論統(tǒng)一組