论电子商务中网络隐私安全问题再改.docx

1、论电子商务中网络隐私安全问题再改湖南机电职业技术学院毕业论文论电子商务中网络隐私安全问题学 生 姓 名 李翔 _所 属 系 部 经济管理系 _导师姓名及职称 童婧 _专 业 班 级 电子商务0902班 _论文提交日期 2012年6月8日 _湖南机电职业技术学院毕业设计（论文）任务书题目：论电子商务中网络隐私安全问题任务与要求：任 务：认真搜索有关电子商务中网络隐私安全问题的相关资料，综合运用所学的专业知识去分析、解决实际问题，提高独立工作和创新能力。写作要求：1、 论点鲜明，论述流畅，论据充足、翔实2、 结构合理，层次分明，语言精准3、 论文具有一定的创造性和可操作性4、 在规定时间内完成写作

2、，并按要求进行格式编排时间：2012年4月8日至2012年6月8日 共6周系部： 经济管理系 专业：电子商务学生姓名：李翔 学号：094133060指导单位或教研室：商务教研室指导老师：童婧 系主任：徐先海 2012年5月10日毕业设计（论文）进度计划表本表作评定学生平时成绩的依据之一日期工作内容执行情况指导老师签字5月5号确定选题5月6号-5月8号拟定提纲5月9号-5月10号下任务书5月11号-5月20号收集资料，完成初稿5月21号-6月5号修改初稿，完成定稿5月6号-5月15号论文格式编排，提交打印稿指导教师对进度计划实施情况总评 签名 年 月 日湖南机电职业技术学院学生毕业论文（设计）诚

3、 信 声 明本人郑重声明：所呈交的本科毕业论文（设计）是本人在童婧老师的指导下，进行研究工作所取得的成果，成果不存在知识产权争议。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体在文中均作了明确的说明并表示了谢意。本人完全意识到本声明的法律结果由本人承担。 毕业论文（设计）作者签名：李翔 2012年 6月 1日摘 要随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题,对网络隐私数据(网络隐私权)安 全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议、P2P技术成为网络

4、隐私安全保护的有效手段。它是重要的，它体现一个人，人格，人格尊严这样一个东西。随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。 关键词 电子商务，网络隐私权，信息安全技术，安全协议，P2P技术，安全对策 目 录摘 要 5一、隐私的含义 71.1 隐私的解释 71.2 隐私的特征 7（1）、隐私的主体 7（2）、隐私的客体 7（3）、隐私的内容 81.3 隐私的本质 8（1）、隐私是个人的自然权利

5、。 8（2）、隐私是客观事实。 8二、网络隐私的含义 9三、网络隐私权问题产生的原因及危害 103.1互联网的开放性 103.2网络小甜饼cookie 103.3网络服务提供商(ISP)在网络隐私权保护中的责任 10四、安全技术对网络隐私权保护 .124.1电子商务中的信息安全技术.7（1）、防火墙技术。 12 (2)加密技术。 12 (3)数字签名技术。 12 (4)数字时间戳技术。 124.2电子商务信息安全协议 13 (1)安全套接层协议. .8(2)安全电子交易公告 13 (3)安全超文本传输协议(S-HTTP)。 13 (4)安全交易技术协议(STT)。 13 (5)UN/EDIFA

6、CT标准。 134.3 P2P技术与网络信息安全 134.4 电子商务中的隐私安全对策.114.5 网络隐私权的立法保护 11结 论 13参考文献 致 谢 论电子商务中网络隐私安全问题 随着社会文明进程的不断推进，个人权利与人身尊严越来越引起人们的重视，隐私权已成为当代公民保护自身人格的一项重要权利。科技手段和现代传媒的普及，使猎取他人隐私、满足好奇心理、或达到商业及政治目的的社会现象已屡见不鲜，如今，涉及隐私权的案例呈上升趋势。隐私权是什么？所谓隐私，指不愿告人或不便告人的事情。隐私权的特征有：隐私权的主体只能是自然人，隐私权的内容具有真实性和隐秘性，隐私权的保护范围受公共利益的限制。得隐私

7、权以及隐私观念，它至少是一个人格尊严的体现，从这个意义上来说它是必要的，一、 隐私的含义1.1 隐私的解释隐私，顾名思义，隐蔽、不公开的私事。在汉语中，“隐”字的主要含义是隐避、隐藏，荀子王制：“故近者不隐其能，远者不疾其劳。”引申为不公开之意。1.2 隐私的特征（1）、隐私的主体隐私的主体是自然人。隐私源于人的羞耻感，故只有自然人才可以成为享有隐私的主体。企业法人及其他非法人组织等经营单位的秘密属于商业秘密，仅与商业信誉和经济利益相联系，与人的羞耻感无关，故企业单位不能构成隐私主体。国家机关的秘密如审判秘密是公共权力运作的表现，此种秘密的泄露将对机关系统的正常运作产生损害，也与羞耻感无关，故

8、国家机关也不能成为隐私主体。（2）、隐私的客体隐私的客体是自然人的个人事务。个人信息和个人领域。个人事务，是相对于公共事务、群体事务、单位事务而言的，是以具体的、有形的形式表现于外界的隐私，且以特定个人为活动的主体，如朋友往来、夫妻生活、婚外性行为等。个人信息系指特定个人不愿公开的情报、资料、数据等，是抽象的、无形的隐私。个人领域是指个人的隐密范围，如身体的隐蔽部位、日记内容、通信秘密等。隐私的客体是隐私中的“私”的具体表现。 （3）、隐私的内容隐私的内容即客观方面是指特定个人对其事务、信息或领域秘而不宣、不愿他人探知或干涉的事实或行为。隐私的内容是隐私主体的主观意志作用于客体及客观世界，即主

9、客观因素相统一的过程和结果，也就是隐私中“隐”的表现。1.3 隐私的本质（1）、隐私是个人的自然权利。从人类抓起树叶遮羞之时起，隐私就产生了。隐私感是自然人进入人类社会后的第一个表现，它应当产生于人类劳动之前，即在原始人能够进行抽象思维之前，就已产生了类似的意识和感觉。其中，羞耻感及其派生的隐私感是最先表征出来的本能。隐私感是人类羞耻感的表现，它使人从主观意志和客观行为两方面都告别了动物界。无论是相对个人性的隐私。如身体的隐蔽部位，还是明显社会性的隐私，如汇款希望工程、婚外性关系，均是仅凭个人的主观意志即可作为，无须公众或不特定多数人、少数人的协助或配合。因此，隐私的存在，隐私之于社会公众而言

10、是不可剥夺的，这正是自然权利的特点。 隐私的自然性告诉我们，只要主体愿意隐瞒，隐私客体即可成为隐私事实，即使违反法律或公序良俗，隐私照样可以产生并继续存在。而且，是否公开、何时公开隐私内容，也任由当事人自行处置。 （2）、隐私是客观事实。无论隐私内容如何，是否违反道德或法律，也无论社会舆论或国家法律对隐私内容作出怎样的评价，隐私的内容总是客观存在的，不以他人是否承认或如何评价为转移。隐私的客观性告诉我们，隐私是客观真实的社会存在。社会舆论、国家法律或其他规则可以对特定隐私作否定性的评价，但无法否认它的存在。 二、 网络隐私的含义网络隐私包含的主要内容为：个人数据、私人信息、个人领域。 网络隐私

11、权大致有如下内容：(1)知情权。用户有权知道网站收集了关于自己的哪些信息，这些信息将用于什么目的，以及该信息会与何人分享。(2)选择权。消费者对个人资料的使用用途拥有选择权。(3)合理的访问权限。消费者能够通过合理的途径访问个人资料并修改错误的信息或删改数据，以保证个人信息资料的准确与完整。(4)足够的安全性。网络公司应该保证用户信息的安全性，阻止未被授权的非法访问。用户有权请求网站采取必要而合理的措施，保护用户的个人信息资料的安全。三、 网络隐私权问题产生的原因及危害 3.1互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另

12、一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。 3.2网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了

13、解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。 3.3网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加

14、一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。 目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。3.4 客户关系管理与网络隐私权客户关系管理（Cus

15、tomerRelationshipManagement,CRM）起源于1980年代初提出的“接触管理” （ContactManagement），即专门收集整理客户与公司联系的所有信息。目前，消费者隐私权的问题正在以各种方式影响着客户关系管理。从最简单的意义上来说，客户关系管理包含着两个互为补充的部分“进攻”和“防御”，这两个部分对于商家和消费者来说具有不同的意义。3.5 侵犯网络隐私权行为造成的危害第一，侵犯网络隐私权行为会对被侵权者正常的生活造成极大地干扰，当一个人的个人信息被其他人乃至社会大众所知悉，他很可能会受到巨大的社会舆论压力，受到一些偏激分子的骚扰，其人格尊严，人身安全和个人名誉等

16、均可能受到损害，有时甚至对被侵权者的家庭和朋友也造成或多或少的不良影响。第二，除了精神上和身体上的打击，被侵权者还可能会蒙受经济上的损失。第三，当大量个体的私人信息被不法分子加以利用，还可能造成一些我们无法预估的恶果，如某些商家根据所获得的信息，对市场进行垄断和其他恶意操纵。第四，互联网具有虚拟性，这使侵犯特定个体隐私权的行为具有一定的难度，但部分类似当下正十分流行的校内网这样的网站，注册用户使用的不再是虚拟用户名而是自己的真实姓名，如果这些信息没有得到严格有效的保护，其后果不堪设想。此外，不久前校内网已被日本的软银赛富投资公司收购，这意味着大量中国网民，尤其是年轻一代网民的真实资料被另一个国

17、家所掌握，这会带来什么样的后果呢，结果不得而知。第五，侵犯网络隐私权的行为还会造成大众对网络的不信任，不利于我国网络行业的发展，等等。四、 安全技术对网络隐私权保护 隐私权，指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。网络隐私权作为隐私权在网络环境下的一种特殊表现，主要指公民在网上享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵犯、知悉、收集、复制、公开和利用的一种人格权;也指禁止在网上泄露某些与个人有关的敏感信息

18、，包括事实、图象以及毁损的意见等。4.1电子商务中的信息安全技术 信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。 (1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。 (2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,

19、将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。 (3)数字签名技术。数字签名(Digital?Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 (4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Time-stamp)的数字签名方案:验证签名的人或以确认签名是

20、来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。 4.2电子商务信息安全协议 (1)安全套接层协议(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 (2)安全电子交易公告(Secure E

21、lectronic Transactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。 (3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 (4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。 (5)UN/EDIFA

22、CT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。 4.3 P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显着的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。 (1)隐私安全性 目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一

23、些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。 目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯

24、的灵活性和可靠性,能够为用户提供更好的隐私保护。 (2)对等诚信 使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。 对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样

25、,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。 每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为: Sij=sat(i,j)-unsat(i,j) 4.4 电子商务中的隐私安全对策 (1).加强网络隐私安全管理。我国网络隐私安全管理除现有的部门

26、分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。 (2).加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。 (3).开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。 (4).抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥

27、基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。 (5).建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。 (6).强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。 (7).注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前

28、,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。 4.5 网络隐私权的立法保护(1)国际上对网络隐私权的保护模式以美国为代表的行业自律模式。1996年底，美国政府发布全球电子商务政策框架一文，其中关于个人隐私保护方面的观点是:只有当个人隐私和信息流动带来利益取得平衡时，全球信息基础设施上的商务活动才可能兴旺起来。“政府支持私人企业开发有意义、使用方法简单的隐私权自律机制。对于自律机制不能解决的问题，政府将与产业合作，共同研讨解决策略。”该文表明了美国

29、政府对互联网商业活动中隐私权保护主要采取行业自律、减少法律限制的态度。美国之所以这样规定，是为了为了鼓励和促进互联网产业的发展，避免给网络服务商施加过多压力。软件保护模式。这主要是采用技术的手段，由互联网消费者自己选择、自我控制为主的模式。该模式是将保护消费者隐私的希望寄托于消费者自己手中，通过某些隐私保护的软件，来实现网上用户个人隐私材料的自我保护。以欧盟为代表的立法规制模式。这种模式由国家通过立法从法律上确立网络隐私保护的各项基本原则与各项具体的法律规定、制度，并在此基础上建立相应的司法或者行政救济措施。如欧盟1995年10月通过的个人数据保护指令，要求欧盟各国根据该指令调整制定本国的个人

30、数据保护法。以上三种保护模式各有利弊，行业自律模式表明以美国为代表的有关国家的隐私权观念是建立在自由基础之上的，其有利于促进该行业的发展，但在发生利益冲突时却容易引发侵犯网络隐私权的行为；而软件保护模式依赖相关技术的发展，其安全性和可信度有待考察；立法规制使网上用户的个人隐私更容易得到保护，但另一方面增加了网络服务提供商的法定义务，有可能伤害其进行网络服务的积极性，从而阻碍整个行业的发展。因此认为可以采取三者相结合的保护模式：以立法规制为主导，辅之以行业自律和技术。(2)我国网络隐私权的立法保护与完善从目前我国隐私权保护的立法来看，隐私权并未成为我国法律体系中一项独立的人格权。我国法律对隐私权的保护也没有