电子商务中网络隐私安全保护策略.docx

电子商务中网络隐私安全保护策略 董清潭摘要：随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况 下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐 私权的有效保护,成为电子商务顺利发展的重要市场环境条件。本文在分析了 网络隐私权侵权现象及其原因的基础上，在技术上给出了网络隐私权保护措 施，同时在技术之外给了法律、观念意识等方面的建议。关键词：电子商务；网络隐私；信息窃取网络及信息技术的飞速发展，使基于互联网产生的电子商务成为全球经济贸易活动的基本形式。随着电子 商务的发展和规模的扩大，有关网络隐私权的问题会更 加突出。如何既恰当地保护电子商务环境下的用户隐私 信息，又不妨碍电子商务的正常发展，已经成为当今最 重要的电子商务问题之一。公开、传播或转让他人、自己和他人之间的隐私；个人未经授权而进入他人计算机系统收集、获得信息或骚扰 他人；未经授权截取、复制他人正在传递的电子信息； 未经授权打开他人的电子邮箱或进入私人网上信息领域 收集、窃取他人信息资料。2.商业组织的侵权行为。专门从事网上调查业务的 商业组织进行窥探业务，非法获取他人信息，利用他人 隐私。大量网站为广告商滥发垃圾邮件。利用收集用户 个人信息资料，建立用户信息资料库，并将用户的个人 信息资料转让、出卖给其他公司以谋利，或是用于其他 商业目的。3.部分软硬件设备供应商的蓄意侵权行为。某些软 件和硬件生产商在自己销售的产品中做下手脚，专门从 事收集消费者的个人信息的行为。例如，某公司就曾经 在其生产的某代处理器内设置“安全序号”，每个使用 该处理器的计算机能在网络中被识别，生产厂商可以轻 易地收到用户接、发的信息，并跟踪计算机用户活动， 大量复制、存储用户信息。4.网络提供商的侵权行为(1)互联网服务提供商(ISP Internet Service Provider) 的侵权行为：ISP具有主观故意(直接故意或间接故 意)，直接侵害用户的隐私权。例：ISP把其客户的邮件 转移或关闭，造成客户邮件丢失、个人隐私、商业秘 密泄露。ISP对他人在网站上发表侵权信息应承担责 任。(2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。I C P 是通过建立网站向广大用户提供信一、电子商务环境下网民隐私权的内容在电子商务运作过程中，经营者为了满足不同客 户群的多层次需求，更好、更准确地提供个性化服务， 需要收集大量的用户信息，这其中就涉及到网络隐私权 的问题。电子商务环境下的网络隐私权涉及到对用户 数据(包括企业的商业秘密)的搜集、传递、存储和加工 利用等各个环节隐私权利的问题，主要包括：(1)用户 基本信息，如姓名、性别、出生日期、身份证号、宗教 信仰、婚姻、家庭、职业、病历、收入、经历等；(2) 通信信息，如电话号码、手机号码、QQ号码、通信地 址、E-mail地址等；(3)用户收入、财产、信用、消费信 息，如个人存款账号及密码、工资单及账号、信用卡号 及密码、社会保险号码、购物习惯及偏好、消费者的信 用和财产状况等；(4)用户网上活动的信息，如IP地址、 浏览跟踪、网上消费习惯、个人行为习惯、网上银行 账号及密码等；(5)个人计算机内存储的信息，如通讯 录、日记、私人文件等。二、网络隐私权侵权现象1.个人的侵权行为。个人未经授权在网络上宣扬、 SYS SECURITY 系统安全 息，如果ICP发现明显的公开宣扬他人隐私的言论，采取放纵的态度任其扩散，ICP构成侵害用户隐私权，应 当承担过错责任。5.网络所有者或管理者的监视及窃听。对于局域网 内的电脑使用者，某些网络的所有者或管理者会通过 网络中心监视使用者的活动，窃听个人信息，尤其是 监控使用人的电子邮件，这种行为严重地侵犯了用户 的隐私权。数据负有责任，必须向用户明确个人权利保护措施；在用户开始使用服务或访问ISP站点时告知其所采集、 处理、存储的信息内容、方式、目的和使用期限；在 网上公布数据应谨慎。目前，网上的许多服务都是免费的，如免费电子邮 箱、免费下载软件、免费登录为用户或会员以接收一些 信息以及一些免费的咨询服务等，然而人们发现在接受 这些免费服务时，必经的一道程序就是登录个人的一些 资料，如姓名、地址、工作、兴趣爱好等，服务提供商 会声称这是为了方便管理，但是，也存在着服务商将这 些信息挪作他用甚至出卖的可能。三、网络隐私权问题产生的原因网络隐私权遭受侵犯主要是由于互联网固有的结 构特性和电子商务发展导致的利益驱动这两个方面的原 因。1.互联网的开放性。从网络本身来看，网络是一个 自由、开放的世界，它使全球连成一个整体，它一方面 使得搜集个人隐私极为方便，另一方面也为非法散布隐 私提供了一个大平台。由于互联网成员的多样和位置的 分散，其安全性并不好。互联网上的信息传送是通过路 由器来传送的，而用户是不可能知道是通过哪些路由进 行的。这样，有些人或组织就可以通过对某个关键节点 的扫描跟踪来窃取用户信息。也就是说从技术层面上截 取用户信息的可能性是显然存在的。2.网络小甜饼cookie。某些Web站点会在用户的硬盘 上用文本文件存储一些信息，这些文件被称为Cookie， 包含的信息与用户和用户的爱好有关。现在的许多网 站在每个访客进入网站时将cookie放入访客电脑，不仅 能知道用户在网站上买了些什么，还能掌握该用户在 网站上看过哪些内容，总共逗留了多长时间等，以便 了解网站的流量和页面浏览数量。另外，网络广告商 也经常用cookie来统计广告条幅的点击率和点击量，从 而分析访客的上网习惯，并由此调整广告策略。一些 广告公司还进一步将所收集到的这类信息与用户在其 他许多网站的浏览活动联系起来。这显然侵犯了他人 的隐私。3.网络服务提供商(ISP)在网络隐私权保护中的责 任。ISP对电子商务中隐私权保护的责任，包括：在用 户申请或开始使用服务时告知使用因特网可能带来的 对个人权利的危害；告知用户可以合法使用的降低风 险的技术方法；采取适当的步骤和技术保 护个人的权 利，特别是保证数据的统一性和秘密性，以及网络和 基于网络提供的服务的物理和逻辑上的安全；告知用 户匿名访问因特网及参加一些活动的权利；不为促销 目的而使用数据，除非得到用户的许可；对适当使用四、安全技术对网络隐私权保护1.电子商务中的信息安全技术电子商务的信息安全在很大程度上依赖于安全技术 的完善，这些技术包括：密码技术、鉴别技术、访问控 制技术、信息流控制技术、数据保护技术、软件保护技 术、病毒检测及清除技术、内容分类识别和过滤技术、 系统安全监测报警技术等。(1)防火墙技术。防火墙(Firewall)是近年来发展的 最重要的安全技术，它的主要功能是加强网络之间的访 问控制，防止外部网络用户以非法手段通过外部网络进 入内部网络(被保护网络)。(2)加密技术。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一 种主动安全防范策略。数据加密原理是利用一定的加密 算法，将明文转换成为无意义的密文，阻止非法用户理 解原始数据，从而确保数据的保密性。(3)数字签名技术。数字签名技术是将摘要用发送 者的私钥加密，与原文一起传送给接收者。接收者只有 用发送者的公钥才能解密被加密的摘要。在电子商务安 全保密系统中，数字签名技术有着特别重要的地位，在 电子商务安全服务中的源鉴别、完整性服务、不可否认 服务中都要用到数字签名技术。(4)数字时间戳技术。在电子商务交易的文件中， 时间是十分重要的信息，是证明文件有效性的主要内 容。在签名时加上一个时间标记，即有数字时间戳的数 字签名方案：验证签名的人或以确认签名是来自该小 组，却不知道是小组中的哪一个人签署的。指定批准人 签名的真实性，其他任何人除了得到该指定人或签名者 本人的帮助，否则不能验证签名。2.电子商务信息安全协议(1)安全套接层协议(Secure Sockets Layer，SSL)。82信息系统工程 2012.1.20 SYS SECURITY 系统安全SSL是由Netscape Communication公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。 SSL的整个概念可以被总结为：一个保证任何安装了安 全套接层的客户和服务器之间事务安全的协议，该协议 向基于TCP/IP的客户、服务器应用程序提供了客户端与 服务的鉴别、数据完整性及信息机密性等安全措施。(2)安全电子交易公告(Secure Electronic Transactions， SET)。SET是为在线交易设立的一个开放的、以电子货 币为基础的电子付款系统规范。SET在保留对客户信用 卡认证的前提下，又增加了对商家身份的认证。SET已 成为全球网络的工业标准。(3)安全超文本传输协议( S - H T T P ) 。依靠密钥的 加密，保证We b 站点间的交换信息传输的安全性。 SHTTP对HT-TP的安全性进行了扩充，增加了报文的 安全性，是基于S S L 技术上发展的。该协议向互联网 的应用提供完整性、可鉴别性、不可抵赖性及机密性 等安全措施。(4)安全交易技术协议(STT)。STT将认证与解密在 浏览器中分离开，以提高安全控制能力。(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的 国际通用的电子商务标准。3.P2P技术与网络信息安全。P2P(Peer-to-Peer，即对等网络)是近年来广受IT业界 关注的一个概念。P2P是一种分布式网络，最根本的思 想，同时它与C/S最显著的区别在于网络中的节点(peer) 既可以获取其它节点的资源或服务，同时，又是资源或 服务的提供者，即兼具Client和Server的双重身份。一般 P2P网络中每一个节点所拥有的权利和义务都是对等的， 包括通讯、服务和资源消费。(1)隐私安全性目前的Internet通用协议不支持隐藏通信端地址 的功能。攻击者可以监控用户的流量特征，获得IP地 址。甚至可以使用一些跟踪软件直接从IP地址追踪到个 人用户。SSL之类的加密机制能够防止其他人获得通信 的内容，但是这些机制并不能隐藏是谁发送了这些信 息。而在P2P中，系统要求每个匿名用户同时也是服务 器，为其他用户提供匿名服务。由于信息的传输分散 在各节点之间进行而无需经过某个集中环节，用户的 隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的 另一个特点是攻击者不易找到明确的攻击目标，在一 个大规模的环境中，任何一次通信都可能包含许多潜 在的用户。目前解决Internet隐私问题主要采用中继转发的技术方法，从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中，所有参与者都可以提供中继转发的 功能，因而大大提高了匿名通讯的灵活性和可靠性，能 够为用户提供更好的隐私保护。(2)对等诚信为使得P2P技术在更多的电子商务中发挥作用，必 须考虑到网络节点之间的信任问题。实际上，对等诚 信由于具有灵活性、针对性并且不需要复杂的集中管 理，可能是未来各种网络加强信任管理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说 需要建立一个基于P2P的信誉度模型。信誉度模型通过 预测网络的状态来提高分布式系统的可靠性。一个比较 成功的信誉度应用例子是在线拍卖系统eBay。在eBay的 信誉度模型中，买卖双方在每次交易以后可以相互提升 信誉度，一名用户的总的信誉度为过去6个月中这些信 誉度的总和。eBay依靠一个中心来管理和存储信誉度。 同样，在一个分布式系统中，对等点也可以在每次交易 以后相互提升信誉度，就象在eBay中一样。五、技术之外的安全防范措施1.加强网络隐私安全管理。我国网络隐私安全管理 除现有的部门分工外，要建立一个具有高度权威的信息 安全领导机构，才能有效地统一、协调各部门的职能， 研究未来趋势，制定宏观政策，实施重大决定。2.加快网络隐私安全专业人才的培养。在人才培养 中，要注重加强与国外的经验技术交流，及时掌握国际 上最先进的安全防范手段和技术措施，确保在较高层次 上处于主动。3.开展网络隐私安全立法和执法。加快立法进程， 健全法律体系。结合我国实际，吸取和借鉴国外网络信 息安全立法的先进经验，对现行法律体系进行修改与补 充，使法律体系更加科学和完善。4.抓紧网络隐私安全基础设施建设。国民经济要害 部门的基础设施要通过建设一系列的信息安全基础设施 来实现。为此，需要建立中国的公开密钥基础设施、信 息安全产品检测评估基础设施、应急响应处理基础设施 等。5.建立网络风险防范机制。在网络建设与经营中， 因为安全技术滞后、道德规范苍白、法律疲软等原因， 往往会使电子商务陷于困境，这就必须建立网络风险防 范机制。建议网络经营者可以在保险标的范围内允许标 保的财产进行标保，并在出险后进行理赔。（下转111页）83信息系统工程 2012.1.20 EXCHANGE OF EXPERIENCE 经验交流将系统( 2 ) 代入上式并注意到公式的乘法表及令得 出 矛 盾a.s.定理得证。 所 以三、结论以上在互惠系统中引入白噪声，种群的内禀增长率 受到白噪声影响，得到的结论是：当确定性系统(1)存 在唯一正平衡点(即，系数满足a12a21-a11a220 )时，无论 白噪声的强度a1，a2有多大，系统都存在唯一的全局正 解，这说明白噪声的存在没有从本质上影响系统(1)的 动力学行为。由此我们可以得到启示：可以利用适当的 人为白噪声对某系统进行干扰，从而改变系统的某些性 质以满足实际的需要，也就是可以利用白噪声对系统进 行优化，这将是一个意义重大的课题。得到，其中注 意 到及可 得，故LV ( x ) 有上界，设之为K。所以。对上式两端从0到积分可得。由于积分的性质得，对上式两端取期望并注意到参考文献1季春燕.具有随机扰动的互惠系统及其参数的极大似然估计 D.长春:东北师范大学,2006.2陈兰荪,宋新宇,陆征一,等.数