信息安全技術04926

1、寧夏司法警官學院司法信息技術管理系考試論文論文題目：論信息安全在電子商務中的應用 專 業(yè)：司法信息技術班 級：司法信息技術九區(qū)隊姓 名：韓冠軍指導老師：焦暢摘要隨著電子商務技術的發(fā)展，網(wǎng)絡交易安全成為了電子商務發(fā)展的 核心和關鍵問題，對網(wǎng)絡隱私數(shù)據(jù)（網(wǎng)絡隱私權）安全的有效保護，成 為電了商務順利發(fā)展的重要市場環(huán)境條件。網(wǎng)絡信息安全技術、信息 安全協(xié)議。關鍵詞電子商務網(wǎng)絡隱私權信息安全技術安全協(xié)議p2p技術安全對策隨著電了商務技術的發(fā)展，網(wǎng)絡交易安全成為了電了商務發(fā)展的 核心和關鍵問題。在利益驅使下，有些商家在網(wǎng)絡應用者不知情或不 情愿的情況下，采取各種技術手段取得和利用其信息，侵犯了上網(wǎng)者的

2、隱私權。對網(wǎng)絡隱私權的有效保護，成為電子商務順利發(fā)展的重要市 場環(huán)境條件。一、網(wǎng)絡隱私權侵權現(xiàn)象1. 個人的侵權行為。個人未經(jīng)授權在網(wǎng)絡上宣揚、公開、傳播或轉讓他人、自己和他 人之間的隱私;個人未經(jīng)授權而進入他人計算機系統(tǒng)收集、獲得信息 或騷擾他人;未經(jīng)授權截取、復制他人正在傳遞的電子信息;未經(jīng)授權 打開他人的電了郵箱或進入私人網(wǎng)上信息領域收集、竊取他人信息資 料。2 商業(yè)組織的侵權行為。專門從事網(wǎng)上調查業(yè)務的商業(yè)組織進行窺探業(yè)務，非法獲取他人 信息，利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用 戶個人信息資料，建立用戶信息資料庫,并將用戶的個人信息資料轉 讓、出賣給其他公司以謀利，

3、或是用于其他商業(yè)冃的。3 部分軟硬件設備供應商的蓄意侵權行為。某些軟件和硬件生產商在口己銷售的產品中做下手腳，專門從事 收集消費者的個人信息的行為。例如，某公司就曾經(jīng)在其生產的某代 處理器內設置“安全序號”,每個使用該處理器的計算機能在網(wǎng)絡中被 識別，生產廠商可以輕易地收到用戶接、發(fā)的信息，并跟蹤計算機用戶 活動，大量復制、存儲用戶信息。4 網(wǎng)絡提供商的侵權行為互聯(lián)網(wǎng)服務提供商(isp internet service provider)的侵權行 為:isp具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私 權。isp對他人在網(wǎng)站上發(fā)表侵權信息應承擔責任。(2) 互聯(lián)網(wǎng)內容提供商(icp

4、internet content provider)的侵權行為。5 網(wǎng)絡所有者或管理者的監(jiān)視及竊聽。對于局域網(wǎng)內的電腦使用者，某些網(wǎng)絡的所有者或管理者會通過 網(wǎng)絡中心監(jiān)視使用者的活動，竊聽個人信息，尤其是監(jiān)控使用人的電了 郵件，這種行為嚴重地侵犯了用戶的隱私權。二、網(wǎng)絡隱私權問題產生的原因網(wǎng)絡隱私權遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結構特性和電子商務發(fā)展導致的利益驅動這兩個方面的原囚。1 互聯(lián)網(wǎng)的開放性。從網(wǎng)絡本身來看，網(wǎng)絡是一個自由、開放的世界，它使全球連成一 個整體，它一方面使得搜集個人隱私極為方便，另一方面也為非法散布 隱私提供了一個大平臺。由于互聯(lián)網(wǎng)成員的多樣和位置的分散，其安 全性并不好

5、。也就是說從技術層面上截取用戶信息的可能性是顯然存 在的。2 網(wǎng)絡小甜餅cookieo某些web站點會在用戶的硬盤上用文本文件存儲一些信息，這些 文件被稱為cookie,包含的信息與用戶和用戶的愛好有關。另外，網(wǎng)絡 廣告商也經(jīng)常用cookie來統(tǒng)計廣告條幅的點擊率和點擊量，從而分析 訪客的上網(wǎng)習慣，并由此調整廣告策略。一些廣告公司還進一步將所 收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動聯(lián)系起來。這顯 然侵犯了他人的隱私。3 網(wǎng)絡服務提供商(isp)在網(wǎng)絡隱私權保護中的責任。isp對電子商務中隱私權保護的責任,包括:在用戶申請或開始使 用服務時告知使用因特網(wǎng)可能帶來的對個人權利的危害;告知用

6、戶可 以合法使用的降低風險的技術方法;采取適當?shù)牟襟E和技術保護個人 的權利，特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性，以及網(wǎng)絡和基于網(wǎng)絡提供 的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些 活動的權利;不為促銷目的而使用數(shù)據(jù)，除非得到用戶的許可;對適當 使用數(shù)據(jù)負有責任，必須向用戶明確個人權利保護措施;在用戶開始使 用服務或訪問isp站點時告知其所采集、處理、存儲的信息內容、方 式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應謹慎。冃前,網(wǎng)上的許多服務都是免費的，如免費電了郵箱、免費下載軟 件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務 等，然而人們發(fā)現(xiàn)在接受這些免費服務時,必經(jīng)的一道程

7、序就是登錄個 人的一些資料，如姓名、地址、工作、興趣愛好等，服務提供商會聲稱 這是為了方便管理，但是，也存在著服務商將這些信息挪作他用甚至岀 賣的可能。三、安全技術對網(wǎng)絡隱私權保護1.電子商務中的信息安全技術電子商務的信息安全在很大程度上依賴于安全技術的完善，這些 技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、 數(shù)據(jù)保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別 和過濾技術、系統(tǒng)安全監(jiān)測報警技術等。(1) 防火墻技術。防火墻(firewall)是近年來發(fā)展的最重要的安全技術，它的主要功 能是加強網(wǎng)絡之間的訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外 部網(wǎng)絡進入內部網(wǎng)絡(被

8、保護網(wǎng)絡)。(2) 加密技術。數(shù)據(jù)加密被認為是最可靠的安全保障形式，它可以 從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加 密原理是利用一定的加密算法，將明文轉換成為無意義的密文,阻止非 法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。(3) 數(shù)字簽名技術。數(shù)字簽名(digital?signature)技術是將摘要用發(fā)送者的私鑰加 密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密 被加密的摘要。數(shù)字時間戳技術。在電子商務交易的文件中，時間是十分重耍的信息,是證明文件有 效性的主要內容。在簽名時加上一個時間標記，即有數(shù)字吋間戳(digita time-stamp)的數(shù)字簽名方

9、案:驗證簽名的人或以確認簽名是來自該 小組，卻不知道是小組中的哪一個人簽署的。2. 電子商務信息安全協(xié)議安全套接層協(xié)議(secure sockets layer,ssl)ossl是由netscape communication公司1994年設計開發(fā)的， 主要用于提高應用程序之間的數(shù)據(jù)的安全系數(shù)。(2) 安全電子交易公告(secure electronic transactions,set)。set是為在線交易設立的一個開放的、以電子貨幣為基礎的電 子付款系統(tǒng)規(guī)范。set已成為全球網(wǎng)絡的工業(yè)標準。(3) 安全超文本傳輸協(xié)議(s-http) o依靠密鑰的加密，保證web站點間的交換信息傳輸?shù)陌踩?/p>

10、。該 協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴性及機密性等 安全措施。(4) 安全交易技術協(xié)議(stt)ostt將認證與解密在瀏覽器屮分離開，以提高安全控制能力。(5) un/edifact 標準。un/edifact報文是唯一的國際通用的電了商務標準。3. p2p技術與網(wǎng)絡信息安全。p2p是一種分布式網(wǎng)絡撮根木的思想，同時它與c/s最顯著的區(qū) 別在于網(wǎng)絡中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務，同時， 又是資源或服務的提供者,即兼具client和server的雙重身份。一般 p2p網(wǎng)絡中每一個節(jié)點所擁有的權利和義務都是對等的，包括通訊、 服務和資源消費。(1)隱私安全性 目

11、前的internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊 者可以監(jiān)控用戶的流量特征，獲得ip地址。甚至可以使用一些跟蹤軟 件直接從ip地址追蹤到個人用戶。ssl之類的加密機制能夠防止其 他人獲得通信的內容，但是這些機制并不能隱藏是誰發(fā)送了這些信息。而在p2p中，系統(tǒng)要求每個匿名用戶同時也是服務器，為其他用戶 提供匿名服務。由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某 個集中環(huán)節(jié)，用戶的隱私信息被竊聽和泄漏的可能性大大縮小。p2p 系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊冃標,在一個大規(guī)模 的環(huán)境屮，任何一次通信都可能包含許多潛在的用戶。 冃前解決internet隱私問題主要采用中繼轉發(fā)

12、的技術方法，從 而將通信的參與者隱藏在眾多的網(wǎng)絡實體z屮。而在p2p屮,所有參 與者都可以提供中繼轉發(fā)的功能,因而大大提高了匿名通訊的靈活性 和可靠性,能夠為用戶提供更好的隱私保護。(2)對等誠信為使得p2p技術在更多的電了商務中發(fā)揮作用，必須考慮到網(wǎng)絡 節(jié)點之間的信任問題。實際上，對等誠信由于具有靈活性、針對性并 且不需要復雜的集中管理,可能是未來各種網(wǎng)絡加強信任管理的必然 選擇。對等誠信的一個關鍵是量化節(jié)點的信譽度?；蛘哒f需要建立一個 基于p2p的信譽度模型。信譽度模型通過預測網(wǎng)絡的狀態(tài)來提高分 布式系統(tǒng)的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統(tǒng)ebay。在ebay的信譽度模型中

13、,買賣雙方在每次交易以后可以相互 提升信譽度，一名用戶的總的信譽度為過去6個刀中這些信譽度的總 和。ebay依靠一個中心來管理和存儲信譽度。同樣，在一個分布式系 統(tǒng)中，對等點也可以在每次交易以后相互提升信譽度，就象在ebay中 一樣。例如,對等點i每次從j下載文件時，它的信譽度就提升(+1)或降 低(-1)。如果被下載的文件是不可信的，或是被篡改過的,或者下載被中 斷等，則對等點i會把本次交易的信譽度記為負值(1)。就象在ebay 中一樣，我們可以把局部信譽度定義為對等點i從對等點j下載文件的 所有交易的信譽度之和。電子商務中的隱私安全對策1 加強網(wǎng)絡隱私安全管理。我國網(wǎng)絡隱私安全管理除現(xiàn)有的

14、部門分工外，要建立一個具有高 度權威的信息安全領導機構，才能有效地統(tǒng)一、協(xié)調各部門的職能，研 究未來趨勢,制定宏觀政策，實施重人決定。2 加快網(wǎng)絡隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)屮，要注重加強與國外的經(jīng)驗技術交流,及時掌握國際 上最先進的安全防范手段和技術措施，確保在較高層次上處于主動。3 開展網(wǎng)絡隱私安全立法和執(zhí)法。加快立法進程，健全法律體系。結合我國實際，吸取和借鑒國外網(wǎng) 絡信息安全立法的先進經(jīng)驗，對現(xiàn)行法律體系進行修改與補充，使法律 體系更加科學和完善。4 抓緊網(wǎng)絡隱私安全基礎設施建設。國民經(jīng)濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現(xiàn)。為此，需要建立中國的公開密鑰基礎設施、信息安全 產品檢測評估基礎設施、應急響應處理基礎設施等。5 建立網(wǎng)絡風險防范機制在網(wǎng)絡建設與經(jīng)營中，因為安全技術滯后、道德規(guī)范蒼白、法律 疲軟等原因，往往會使電子商務陷于困境,這就必須建立網(wǎng)絡風險防范 機制。建議網(wǎng)絡經(jīng)營者可以在保險標的范圍內允許標保的財產進行標 保，并在出險后進行理賠。6.強化網(wǎng)絡技術創(chuàng)新，重點研究關鍵芯片與內核編程技術和安全 基礎理論。統(tǒng)一組織進行信息安全關鍵技術攻關,以創(chuàng)新的思想，超越固有的 約束，構筑具有中國特色的信息安全體系。7 注重網(wǎng)絡建設的規(guī)范化。沒有統(tǒng)一的技術規(guī)范，局部性的網(wǎng)絡就不能互連、互通、互動，沒 有技術規(guī)范也難以形