信息安全技術(shù)04926

1、寧夏司法警官學(xué)院司法信息技術(shù)管理系考試論文論文題目：論信息安全在電子商務(wù)中的應(yīng)用 專 業(yè)：司法信息技術(shù)班 級：司法信息技術(shù)九區(qū)隊姓 名：韓冠軍指導(dǎo)老師：焦暢摘要隨著電子商務(wù)技術(shù)的發(fā)展，網(wǎng)絡(luò)交易安全成為了電子商務(wù)發(fā)展的 核心和關(guān)鍵問題，對網(wǎng)絡(luò)隱私數(shù)據(jù)（網(wǎng)絡(luò)隱私權(quán)）安全的有效保護，成 為電了商務(wù)順利發(fā)展的重要市場環(huán)境條件。網(wǎng)絡(luò)信息安全技術(shù)、信息 安全協(xié)議。關(guān)鍵詞電子商務(wù)網(wǎng)絡(luò)隱私權(quán)信息安全技術(shù)安全協(xié)議p2p技術(shù)安全對策隨著電了商務(wù)技術(shù)的發(fā)展，網(wǎng)絡(luò)交易安全成為了電了商務(wù)發(fā)展的 核心和關(guān)鍵問題。在利益驅(qū)使下，有些商家在網(wǎng)絡(luò)應(yīng)用者不知情或不 情愿的情況下，采取各種技術(shù)手段取得和利用其信息，侵犯了上網(wǎng)者的

2、隱私權(quán)。對網(wǎng)絡(luò)隱私權(quán)的有效保護，成為電子商務(wù)順利發(fā)展的重要市 場環(huán)境條件。一、網(wǎng)絡(luò)隱私權(quán)侵權(quán)現(xiàn)象1. 個人的侵權(quán)行為。個人未經(jīng)授權(quán)在網(wǎng)絡(luò)上宣揚、公開、傳播或轉(zhuǎn)讓他人、自己和他 人之間的隱私;個人未經(jīng)授權(quán)而進入他人計算機系統(tǒng)收集、獲得信息 或騷擾他人;未經(jīng)授權(quán)截取、復(fù)制他人正在傳遞的電子信息;未經(jīng)授權(quán) 打開他人的電了郵箱或進入私人網(wǎng)上信息領(lǐng)域收集、竊取他人信息資 料。2 商業(yè)組織的侵權(quán)行為。專門從事網(wǎng)上調(diào)查業(yè)務(wù)的商業(yè)組織進行窺探業(yè)務(wù)，非法獲取他人 信息，利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用 戶個人信息資料，建立用戶信息資料庫,并將用戶的個人信息資料轉(zhuǎn) 讓、出賣給其他公司以謀利，

3、或是用于其他商業(yè)冃的。3 部分軟硬件設(shè)備供應(yīng)商的蓄意侵權(quán)行為。某些軟件和硬件生產(chǎn)商在口己銷售的產(chǎn)品中做下手腳，專門從事 收集消費者的個人信息的行為。例如，某公司就曾經(jīng)在其生產(chǎn)的某代 處理器內(nèi)設(shè)置“安全序號”,每個使用該處理器的計算機能在網(wǎng)絡(luò)中被 識別，生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息，并跟蹤計算機用戶 活動，大量復(fù)制、存儲用戶信息。4 網(wǎng)絡(luò)提供商的侵權(quán)行為互聯(lián)網(wǎng)服務(wù)提供商(isp internet service provider)的侵權(quán)行 為:isp具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私 權(quán)。isp對他人在網(wǎng)站上發(fā)表侵權(quán)信息應(yīng)承擔(dān)責(zé)任。(2) 互聯(lián)網(wǎng)內(nèi)容提供商(icp

4、internet content provider)的侵權(quán)行為。5 網(wǎng)絡(luò)所有者或管理者的監(jiān)視及竊聽。對于局域網(wǎng)內(nèi)的電腦使用者，某些網(wǎng)絡(luò)的所有者或管理者會通過 網(wǎng)絡(luò)中心監(jiān)視使用者的活動，竊聽個人信息，尤其是監(jiān)控使用人的電了 郵件，這種行為嚴重地侵犯了用戶的隱私權(quán)。二、網(wǎng)絡(luò)隱私權(quán)問題產(chǎn)生的原因網(wǎng)絡(luò)隱私權(quán)遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結(jié)構(gòu)特性和電子商務(wù)發(fā)展導(dǎo)致的利益驅(qū)動這兩個方面的原囚。1 互聯(lián)網(wǎng)的開放性。從網(wǎng)絡(luò)本身來看，網(wǎng)絡(luò)是一個自由、開放的世界，它使全球連成一 個整體，它一方面使得搜集個人隱私極為方便，另一方面也為非法散布 隱私提供了一個大平臺。由于互聯(lián)網(wǎng)成員的多樣和位置的分散，其安 全性并不好

5、。也就是說從技術(shù)層面上截取用戶信息的可能性是顯然存 在的。2 網(wǎng)絡(luò)小甜餅cookieo某些web站點會在用戶的硬盤上用文本文件存儲一些信息，這些 文件被稱為cookie,包含的信息與用戶和用戶的愛好有關(guān)。另外，網(wǎng)絡(luò) 廣告商也經(jīng)常用cookie來統(tǒng)計廣告條幅的點擊率和點擊量，從而分析 訪客的上網(wǎng)習(xí)慣，并由此調(diào)整廣告策略。一些廣告公司還進一步將所 收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動聯(lián)系起來。這顯 然侵犯了他人的隱私。3 網(wǎng)絡(luò)服務(wù)提供商(isp)在網(wǎng)絡(luò)隱私權(quán)保護中的責(zé)任。isp對電子商務(wù)中隱私權(quán)保護的責(zé)任,包括:在用戶申請或開始使 用服務(wù)時告知使用因特網(wǎng)可能帶來的對個人權(quán)利的危害;告知用

6、戶可 以合法使用的降低風(fēng)險的技術(shù)方法;采取適當(dāng)?shù)牟襟E和技術(shù)保護個人 的權(quán)利，特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性，以及網(wǎng)絡(luò)和基于網(wǎng)絡(luò)提供 的服務(wù)的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些 活動的權(quán)利;不為促銷目的而使用數(shù)據(jù)，除非得到用戶的許可;對適當(dāng) 使用數(shù)據(jù)負有責(zé)任，必須向用戶明確個人權(quán)利保護措施;在用戶開始使 用服務(wù)或訪問isp站點時告知其所采集、處理、存儲的信息內(nèi)容、方 式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應(yīng)謹慎。冃前,網(wǎng)上的許多服務(wù)都是免費的，如免費電了郵箱、免費下載軟 件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務(wù) 等，然而人們發(fā)現(xiàn)在接受這些免費服務(wù)時,必經(jīng)的一道程

7、序就是登錄個 人的一些資料，如姓名、地址、工作、興趣愛好等，服務(wù)提供商會聲稱 這是為了方便管理，但是，也存在著服務(wù)商將這些信息挪作他用甚至岀 賣的可能。三、安全技術(shù)對網(wǎng)絡(luò)隱私權(quán)保護1.電子商務(wù)中的信息安全技術(shù)電子商務(wù)的信息安全在很大程度上依賴于安全技術(shù)的完善，這些 技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、 數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別 和過濾技術(shù)、系統(tǒng)安全監(jiān)測報警技術(shù)等。(1) 防火墻技術(shù)。防火墻(firewall)是近年來發(fā)展的最重要的安全技術(shù)，它的主要功 能是加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外 部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)(被

8、保護網(wǎng)絡(luò))。(2) 加密技術(shù)。數(shù)據(jù)加密被認為是最可靠的安全保障形式，它可以 從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加 密原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文,阻止非 法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。(3) 數(shù)字簽名技術(shù)。數(shù)字簽名(digital?signature)技術(shù)是將摘要用發(fā)送者的私鑰加 密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密 被加密的摘要。數(shù)字時間戳技術(shù)。在電子商務(wù)交易的文件中，時間是十分重耍的信息,是證明文件有 效性的主要內(nèi)容。在簽名時加上一個時間標記，即有數(shù)字吋間戳(digita time-stamp)的數(shù)字簽名方

9、案:驗證簽名的人或以確認簽名是來自該 小組，卻不知道是小組中的哪一個人簽署的。2. 電子商務(wù)信息安全協(xié)議安全套接層協(xié)議(secure sockets layer,ssl)ossl是由netscape communication公司1994年設(shè)計開發(fā)的， 主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。(2) 安全電子交易公告(secure electronic transactions,set)。set是為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電 子付款系統(tǒng)規(guī)范。set已成為全球網(wǎng)絡(luò)的工業(yè)標準。(3) 安全超文本傳輸協(xié)議(s-http) o依靠密鑰的加密，保證web站點間的交換信息傳輸?shù)陌踩?/p>

10、。該 協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機密性等 安全措施。(4) 安全交易技術(shù)協(xié)議(stt)ostt將認證與解密在瀏覽器屮分離開，以提高安全控制能力。(5) un/edifact 標準。un/edifact報文是唯一的國際通用的電了商務(wù)標準。3. p2p技術(shù)與網(wǎng)絡(luò)信息安全。p2p是一種分布式網(wǎng)絡(luò)撮根木的思想，同時它與c/s最顯著的區(qū) 別在于網(wǎng)絡(luò)中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務(wù)，同時， 又是資源或服務(wù)的提供者,即兼具client和server的雙重身份。一般 p2p網(wǎng)絡(luò)中每一個節(jié)點所擁有的權(quán)利和義務(wù)都是對等的，包括通訊、 服務(wù)和資源消費。(1)隱私安全性 目

11、前的internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊 者可以監(jiān)控用戶的流量特征，獲得ip地址。甚至可以使用一些跟蹤軟 件直接從ip地址追蹤到個人用戶。ssl之類的加密機制能夠防止其 他人獲得通信的內(nèi)容，但是這些機制并不能隱藏是誰發(fā)送了這些信息。而在p2p中，系統(tǒng)要求每個匿名用戶同時也是服務(wù)器，為其他用戶 提供匿名服務(wù)。由于信息的傳輸分散在各節(jié)點之間進行而無需經(jīng)過某 個集中環(huán)節(jié)，用戶的隱私信息被竊聽和泄漏的可能性大大縮小。p2p 系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊冃標,在一個大規(guī)模 的環(huán)境屮，任何一次通信都可能包含許多潛在的用戶。 冃前解決internet隱私問題主要采用中繼轉(zhuǎn)發(fā)

12、的技術(shù)方法，從 而將通信的參與者隱藏在眾多的網(wǎng)絡(luò)實體z屮。而在p2p屮,所有參 與者都可以提供中繼轉(zhuǎn)發(fā)的功能,因而大大提高了匿名通訊的靈活性 和可靠性,能夠為用戶提供更好的隱私保護。(2)對等誠信為使得p2p技術(shù)在更多的電了商務(wù)中發(fā)揮作用，必須考慮到網(wǎng)絡(luò) 節(jié)點之間的信任問題。實際上，對等誠信由于具有靈活性、針對性并 且不需要復(fù)雜的集中管理,可能是未來各種網(wǎng)絡(luò)加強信任管理的必然 選擇。對等誠信的一個關(guān)鍵是量化節(jié)點的信譽度?；蛘哒f需要建立一個 基于p2p的信譽度模型。信譽度模型通過預(yù)測網(wǎng)絡(luò)的狀態(tài)來提高分 布式系統(tǒng)的可靠性。一個比較成功的信譽度應(yīng)用例子是在線拍賣系統(tǒng)ebay。在ebay的信譽度模型中

13、,買賣雙方在每次交易以后可以相互 提升信譽度，一名用戶的總的信譽度為過去6個刀中這些信譽度的總 和。ebay依靠一個中心來管理和存儲信譽度。同樣，在一個分布式系 統(tǒng)中，對等點也可以在每次交易以后相互提升信譽度，就象在ebay中 一樣。例如,對等點i每次從j下載文件時，它的信譽度就提升(+1)或降 低(-1)。如果被下載的文件是不可信的，或是被篡改過的,或者下載被中 斷等，則對等點i會把本次交易的信譽度記為負值(1)。就象在ebay 中一樣，我們可以把局部信譽度定義為對等點i從對等點j下載文件的 所有交易的信譽度之和。電子商務(wù)中的隱私安全對策1 加強網(wǎng)絡(luò)隱私安全管理。我國網(wǎng)絡(luò)隱私安全管理除現(xiàn)有的

14、部門分工外，要建立一個具有高 度權(quán)威的信息安全領(lǐng)導(dǎo)機構(gòu)，才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能，研 究未來趨勢,制定宏觀政策，實施重人決定。2 加快網(wǎng)絡(luò)隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)屮，要注重加強與國外的經(jīng)驗技術(shù)交流,及時掌握國際 上最先進的安全防范手段和技術(shù)措施，確保在較高層次上處于主動。3 開展網(wǎng)絡(luò)隱私安全立法和執(zhí)法。加快立法進程，健全法律體系。結(jié)合我國實際，吸取和借鑒國外網(wǎng) 絡(luò)信息安全立法的先進經(jīng)驗，對現(xiàn)行法律體系進行修改與補充，使法律 體系更加科學(xué)和完善。4 抓緊網(wǎng)絡(luò)隱私安全基礎(chǔ)設(shè)施建設(shè)。國民經(jīng)濟要害部門的基礎(chǔ)設(shè)施要通過建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來實現(xiàn)。為此，需要建立中國的公開密鑰基礎(chǔ)設(shè)施、信息安全 產(chǎn)品檢測評估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。5 建立網(wǎng)絡(luò)風(fēng)險防范機制在網(wǎng)絡(luò)建設(shè)與經(jīng)營中，因為安全技術(shù)滯后、道德規(guī)范蒼白、法律 疲軟等原因，往往會使電子商務(wù)陷于困境,這就必須建立網(wǎng)絡(luò)風(fēng)險防范 機制。建議網(wǎng)絡(luò)經(jīng)營者可以在保險標的范圍內(nèi)允許標保的財產(chǎn)進行標 保，并在出險后進行理賠。6.強化網(wǎng)絡(luò)技術(shù)創(chuàng)新，重點研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全 基礎(chǔ)理論。統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想，超越固有的 約束，構(gòu)筑具有中國特色的信息安全體系。7 注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范，局部性的網(wǎng)絡(luò)就不能互連、互通、互動，沒 有技術(shù)規(guī)范也難以形