谈电子商务中商业秘密的技术保护

电子商务中商业秘密的技术保护刘开国 湖北黄冈职业技术学院图书馆刊于现代情报2003年11期201-203页内容提要：电子商务中商业秘密的保护比传统环境中更为复杂和严峻，分析了电子商务中商业秘密侵权的特点，提出了电子商务中商业秘密的技术保护对策。主 题 词：电子商务 商业秘密 技术保护Abstract: The protection of commercial secret in the electronic business is more complex and serious that in the traditional environment,Theauthor analyses the charateristics of the infringement of the commercial secret in this respect, and puts forward the technological protection of the commercial secret in the electonic business.Key Words:Electronic Business Commercial SecretnTechnological Protection随着网络技术的发展，越来越多的企业开始利用网络设施来实现商品、服务等一系列的交易活动，即电子商务。由于电子商务可以提高经济运作效郦率，减少交易成本，所以自20世纪90年代中期以来，以电子商务为龙头的网络经济蓬勃发展，对世界经济的运行方式产生了革命性的影响。今天的网络对全世界所有企业都有巨大的诱惑力，许多企业为了抢滩电子商务，把许多有价值的信息数据存储在电脑网络里，包括人事档案、客户帐目、机密财务数据、发展规划、产品设计资料、与外界通讯资料、营销计划、市场策划、技术研究资料等，并且，企业会把越来越多的数据资料移到网上。现在，有许多企业的商务活动已离不开电脑和网络，电子商务已成为许多企业的业务生命线。而每一个企业都有一些不为外人或竞争对手所知道的信息或数据，即商业秘密，以保证其在竞争中保持一定的优势。由于商业秘密能为权利人带来经济利益，往往会引起竞争对手或他人的关注，他们会以各种合法或不合法的手段获取商业秘密，使得合法的权利主体丧失竞争优势，对权利主体的生产和经营造成不利的影响。由于电子网络所依赖的网络具有公开性、广泛性、信息易得易复制等特点，使得利用网络进行电子商务的企业的商业秘密更容易受到侵犯，且侵犯的手段和方法简便、便宜，侵权行为隐蔽，权利人往往难以控制和保护自己网络信息系统中所蕰涵的商业秘密。正因如此，电子商务中的商业秘密的保护一直是企业关注的焦点。一、 电子商务中商业秘密侵权的特点1、 权手段的高技术性由于在电子商务中，企业的商业秘密通常存储在计算机系统中，同时，在企业内部以及企业与合作伙伴之间有关商业秘密的传递依靠网络来进行，如电子商务的每一个重要阶段都会运用电子邮件、传真或其它的电子手段。在订立合同阶段，要约邀请、磋商、散发广告、洽谈具体成交条件、签定合同等都会用到电子邮件；在付款阶段，运用电子邮件转发帐单、银行帐号、信用卡号码、各种收据等；在交货阶段，不仅数字化商品可以直接通过电子邮件来传递。而且，以其它方式传递非数字化商品也可以用电子邮件来催促查询，以保证合同的适当履行等等，其中不乏大量的商业秘密。于是，利用高技术手段非法解密、非法侵入他人的计算机网络和非法登录他人的远程计算机终端，或通过无线网窃听、窃取、破坏他人的商业秘密的行为屡见不鲜。以美国和英国为首的英语国家建有一个名为“梯形计划”（Echelon）的大规模电子拦截计划：它对所有的因特网通信、移动电话谈话、传真和长途电话进行搜索，该计划设备系统每小时截取的信息量高达数十亿条，每30分钟能处理100万份电子邮件，该网络据称在全球、尤其在欧洲得到了广泛的部署，进行24小时的全天候的情报的搜集。据一份有苏格兰独立调查记者D.campbell为欧洲议会准备的报告中透露，美国正在利用其先进的监听技术Echelon，帮助国内公司击败欧洲竞争对手。网络间谍软件发展兴旺。由于电子商务方兴未艾，企业在网上搜集情报尽管便捷，但网上信息浩如烟海，搜集全自己所需情报也极为困难，于是间谍软件应运而生。很多企业把能够侦察情报的软件藏在一些能引起人们兴趣的免费软件中，如电子游戏、画图、文字处理软件或所谓能改善电脑功能的工具软件以及目前相当热门的MP3软件中，用户在下载这些免费软件的时候，间谍软件也就趁虚而入。每当用户在网上浏览的时候，这些软件便会悄然启动并开始工作，把用户的一举一动神不知鬼不觉的通过网络传送到安装者的数据库中，即便当人们删除这些免费软件之后，这些间谍软件依然会潜伏下来继续发挥作用，如由Spectorsoft公司的视窗软件SPECTOR就象一台摄象机，能将用户显示在计算机荧屏上的一切全部记录下来：电子邮件、应用程序、打开的资料、按键、密码、信用卡号码等等。2、 侵权主体及目的的复杂性 侵权主体既有企业内部人员，利用方便条件窃取企业的商业秘密，或对其合法掌握的商业秘密进行非法传播、披露、出卖、使用或允许他人使用；又有企业外部人员，象黑客、情报掮客、竞争对手、信息咨询公司、间谍组织等，他们运用其娴熟的技术，如入无人之境般进入企业的电脑信息系统，随心所欲地偷看、复制、更改所需的企业商业秘密，并且很少留下蛛丝马迹，就连一些技术高超的专业人士对此也束手无策。侵权的目的也各不相同，或获利，或炫耀，或报复。我国有一企业曾发生过电子邮箱失窃事件。经过警方调查发现，该企业的电脑操作员利用工作之便，从本企业的电子邮件中获悉俄罗斯一客户欲与公司进行大宗电器产品贸易的商业秘密后，即与一好友商定将该商业秘密窃归已有。经过周密策划，两人在公司电脑上另设了自己的电子邮件信箱，井通过改变传送路径等手段，将公司所有商业贸易往来的电子邮件转到自己设立的信箱，井私下选择一俄罗斯客商签订了贸易额达50万美元的经济合同，井自己选择企业进行加工生产。此举造成原企业10余万美元的经济损失，更为严重的是，两人还窃取原企业200多条内容涉及全球客户商务往来的商业秘密信息，并收录在一张光盘上，准备日后自立门户彻底挖空公司墙角。2001年10月，竟然有一个不知身份的黑客攻入了世界第一大电脑软件公司微软的网络，并进入了公司正在开发的最新软件代码库，获取了一些用于开发新软件的源代码。美国一家汽车制造商悬赏800万美元，诚聘黑客或信息咨询公司，目的只是为了看看其德国竞争对手的最新设计。1999年11月，原告美国福特汽车公司诉被告Robertlane侵犯商业秘密一案中，原告诉称，被告的网站WWW.上载有原告未来汽车产品计划书等机密文件112份，要求关闭被告网站，受诉法院则颁布临时禁止令，防止商业秘密的传播，但却以言论自由为由，驳回原告要求被告关闭其网站的诉讼请求。3、侵权难以防范，所遭受的损失难以估算由于手段多样，行为隐蔽，目的各异，权利人受到侵权还往往难以觉察，不仅商业秘密在电子商务的传输过程中有可能被他人窃取、复制、篡改、公开，而且电子商务所依赖的网络本身也可能成为商业秘密泄露的工具，所造成的损失也难以估算。2000年上半年，美国大型企业因商业秘密遭窃的损失超过450亿美元，其中有很大一部分是在电子商务过程中商业秘密的泄露而造成的。一项由美国电脑安全机构所进行的调查宣示，接受调查的600家公司超过一半认为，他们的竞争对手可能涉及网络入侵，造成的损失超过6000万美元。据有关专家估计，百分之七十的法国企业的信息系统并没有得到很好的保护，每个月有200起信息系统遭侵入的事件发生。二 电子商务中商业秘密的技术防范商业秘密的保护，是一项综合性的工程，企业除了在其内部加强防护意识、建立和完善企业信息基础设施的管理制度、针对员工制定完备的信息安全制度和操作规程、科学地制定企业信息资源管理与保护条例、建立通过网络向外传播或公开信息的管理制度、尽可能限制商业秘密的知悉范围、采用保密协议或在劳动合同中订立保密条款等保护措施和法律手段之外，针对电子商务中商业秘密侵权的特点，更为重要的是加强电子商务中商业秘密的技术保护。在现阶段可采用的保护技术有如下一些：l、防火墙(FuevrdI) 防火墙是企业内部网与因特公共网的连接点，控制来往的数据流，负责信息的过滤，它实际上是一种隔离技术，它能够保证将来自外部的非法入侵和有害数据实时过滤掉，有效阻止内部的非法操作和有害数据向外部扩散。 防火墙有两种准则：一是封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常实用和安全的准则，但是用户可以使用的服务范围受到极大的限制。二是转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法相当灵活，可为用户提供更多的服务。其弊病是，在日益增多的网络服务面前，网管人员负担增加，在受保护的网络范围增大时，很难提供可靠的安全防护。虽然防火墙技术在一定程度上解决了网络内部的安全问题，但它存在许多缺点。防火墙最明显的缺点在于可能封锁用户所需的某些服务，限制用户的服务类型和灵活性；对于拨号上网的用户的安全性无法控制；防火墙无法防备内部人员的不经由防火墙的攻击；不能防止用户误操作所造成的威胁以及由于口令泄密而受到的攻击；不能防止病毒感染的软件或文件的传输；不能防止数据驱动式的攻击，同时它也限制了信息传输的速度。2、硬件隔离技术 硬件隔离技术是指将内部网络和外部网络之间的硬件通信采用专用通信软件隔离开来，而不是使用标淮的通信协议来完成。利用硬件隔离技术可以根据特定的业务需求，设计与之相关联的专用软件，保证内外网络之间只能传递特定格式、特定要求的数据，防止一切与业务无关的非法数据的通过。硬件隔离技术可以有效防止黑客与内部网络之间相互通信，使黑客不可能操纵和修改内部网络数据，有效地保护内部交易网络系统的安全。 硬件隔离技术是当前征券行业用得较多的一种安全技术。一般有串口通信、并口通信两种方案。串口通信带宽有限，难于满足大用户量的通信要求，存在较大的局限性。若采用并口通信，需自行设计并口通信程序，并且基本上要从通信底层作起，难度较大。3、加密技术 为了保护数据在传递过程中不被别人窃听或修改，必须对数据进行加密(加密后的数据称为密文)，这样，即使别人窃取了数据(密文)，由于没有密钥而无法将之还原成明文(未经加密数据)，从而保征了数据的安全性，接收方固有正确的密钥，因此可以将密文还原成正确的明文。信息加密过程由各种加密算法来具体实施，主要的算法有两种：对称密码算法和非对称密码算法。 (1)对称密码算法（又称单钥或私钥或传统密码体制） 这种体制的加密与解密的密钥是相同的或是等价的，并且密钥不对外发布。如果通信的双方能够确保专用密钥在密钥交换阶段没有泄露，就可以实现数据的机密性和完整性。 对称密码算法的优点是计算开销小，加密速度快，是目前用于信息加密的主要算法。它的局限性在于它存在着通信的贸易双方之间确保密钥安全交换的问题。由于加解密双方都要使用相同的密钥，因此在发送、接收数据之前，必须完成密钥的分发。因而，密钥的分发便成了该加密体系中的最薄弱因而风险最大环节。各种基本的手段均很堆保障安全地完成此项工作。从而使密钥更新的周期加长，给他人破译密钥提供了机会。 (2)非对称密码算法（又称双钥或公开密钥体制） 非对称密码体制的加密和解密使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥。公钥密钥的密钥管理比较简单，并且可以方便的实现数字签名和验证。但算法复杂，加密数据的速率较低。在实际应用中通常将对称密码和非对称密结合在一起使用，利用对称密码加密信息，采用非对称密码加密会话密钥，使之具有对称密码加密速度快，非对称密码密钥管理简单的优点。4、认证技术 认证与认证系统，是为了防止消息被篡改、删除、重放和伪造的一种有效方法。它使接收者能够识别和确认消息的真伪，它与加密彼此独立，加密保证了信息的机密性，认证则保护了信息的真实性和完整性。实现认证功能的密码系统称为认证系统。一个安全的认证系统应满足防伪造、防抵赖、防窃听、防篡改的要求。 (1)身份认证身份认证是一致性验证，是建立一致性证明的一种技术手段。通常，用户的身份认证可以通过三种基本方式或其组合的方式来实现：一是用户所知道的某个秘密信息，如自己的口令；二是用户持有的某个秘密信息，如智能卡中存储的用户个人化数；三是用户所具有的某些生物学特征，如指纹、声音、D24A图案等。(2)数字签名技术 在电子商务安全保密系统中，数字签名技术有着特别重要的作用，是实现认证的重要工具，在安全服务中的身份认证、数据完整性、不可否认性以及匿名性等方面有重要的应用。 数字签名是建立在公开密钥算法的基础上，是公开密钥加密技术的另一类应用。有一种数字签名的方法叫做“数字指纹”，其主要方式是：报文的发送方从报文文本中生成一个128bit的散列值(或报文摘要)，发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128bit的散列值(或报文摘要)，接着再用发送方的公钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。目前主要应用的数字签名方法：RSA签名、DSS签名和Hash签名,三种算法可以单独使用，也可以综合在一起使用。5 、信息设备屏蔽技术计算机等信息设备的信息泄露主要两种途径，一是通过辐射向外泄露，称为辐射发射，主要通过空间传播有用的或不希望有的电磁能量。二是传导泄露，也称为传导发射，指信息通过电源线、控制线、信号线、地线向外传导造成的泄露。一方面要加强屏蔽材料的研究；另一方面，要加强重要信息场地的信息屏蔽建投。6、运用电子商务专用协议（1）SSL协议安全套接层协议(SSL，Security Socket Layer)是网景(Netscape)公司提出的基于web应用的安全协议，该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息，来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性，并采用X.509的数字证书实现鉴别。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。(2)SET协议安全电子交易协议(SET，Secure Electronic Transaction) 是由VISA和Master Card两大信用卡公司于1997年5月联合推出的规范。这个规范自推出之后，就得到了IBM、Netscape、Microsoft、Oracle等众多厂商的支持。其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的就是为了保证网络交易的安全。SET协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及