本站原创本文是一篇电子商务论文范文,电子商务方面毕业论文参考文献格式,关于电子中公民信息隐私权的维权措施相关毕业论文题目范文。适合电子商务及数据库及信息方面的的大学硕士和本科毕业论文以及电子商务相关开题报告范文和职称论文写作参考文献资料下载。
[摘 要 ]界定电子商务中公民隐私信息和公民信息隐私权的基本内容,剖析电子商务中公民信息隐私权问题的产生原因,针对提高公民安防意识、健全电子商务外部环境、提高电子商务的安全性能、防范恶意攻击4个方面,从信息安全管理、隐私信息保护技术、法学、管理学、人文社会科学等多个学科角度,提出一些维护公民信息隐私权的具体措施.
[关 键 词 ]电子商务 隐私信息 隐私权 信息安全
[分类号]F713.36
在电子商务中,一些不法的个人、组织或企业采取各种技术和手段,通过网络非法地监听、入侵和获取从事电子商务的公民的隐私信息,侵犯了公民信息隐私权,严重影响了人们对电子商务的信赖,制约了电子商务的发展.如何维护公民信息隐私权,已经成为电子商务发展过程中人们普遍关注的焦点问题之一.
1 电子商务中公民隐私信息与隐私权的内涵界定
1.1 电子商务中的公民隐私信息
电子商务中的公民隐私信息是指公民在电子商务活动中不愿被他人所知道的信息或数据,即个人隐私信息.按照电子商务的交易过程和特点,公民隐私信息可分为两大类:
静态隐私信息,主要指“非在线流动”的、以静态表征或存储为主的隐私信息.主要包括:①个人基本资料信息,如姓名、性别、年龄、籍贯、政治面貌、工作单位、、家庭地址、邮件地址等用以描述公民基本情况的信息以及职务职称、号等用以描述公民身份的信息;②个人特质信息,如肖像、声音、病史、婚姻与生育状况、家庭成员、社会亲属、身高、体重、经历、财产状况、生活喜好、女性三围等属于公民个人特有的信息;③个人特殊资料信息,如档案材料,生活、工作或商业活动日志,技术或商业重要文件,存储于银行、认证中心、电脑缓存、Cookie、临时文件中的私密资料等特殊信息;④个人信用信息,如借贷记录与额度、商业信誉、履行契约的责任与义务执行情况、遵纪守法情况等用以评估公民个人信用等级的信息.
动态隐私信息,主要指“在线流动”的、以动态表征或传输为主的隐私信息,即公民从事电子商务活动的在线动态隐私信息,包括:①在线交易信息,如从事电子商务活动所必须提供的信用卡、消费卡、、上网卡等的账号、,在线消费支付,在线转存等信息;②在线传输的各类机密文件信息,如电子邮件,在线传输的合同文件、商业机密文件、企业战略规划、决策方案、私密文件等信息;③网络活动踪迹信息,如IP地址、浏览踪迹、上网偏好等信息.
1.2 电子商务中的公民信息隐私权
电子商务中的公民信息隐私权是电子商务时代公民的基本权利之一,涉及到对网上个人信息的收集、传递、存储和加工利用等各个环节,包括:①隐私不被窥视和侵入的权利,如个人特质、特殊资料、信用信息、在线交易和传输的文件资料等隐私信息,未经许可,不得窥视和侵入;②隐私不被干扰的权利,如进行网上交易和在线传输私密资料时,要保持畅通,不得故意干扰;③隐私不被非法收集、利用和随意扩散的权利,如个人基本资料、特质信息、私密资料、信用信息、交易信息、网上商务活动踪迹等,不得在非经许可的状态下被非法收集、利用和随意扩散;④隐私不被篡改的权利,如个人特质、个人信用、重要商务信息等,不得非法篡改和歪曲.
2 电子商务中公民信息隐私权问题的成因分析
电子商务中公民信息隐私权问题的成因主要来自于以下四个方面:
2.1 公民安防意识淡薄
2.1.1 隐私保护的安全意识淡薄 电子商务是基于自由的、开放的计算机网络,而网络固有的结构上的开放性特点为搜集个人隐私、非法散布公民隐私信息提供了平台.
2.1.2 缺乏良好的安全操作习惯 由于设置简单、随意安装插件、不注意随时修补系统漏洞、缺乏防火墙保护、电脑无安全保护地长时间在线等,致使个人隐私信息泄露,隐私权受到侵害.
2.2 电子商务的外部环境不健全
2.2.1 相关法律法规方面 尽管在我国的许多法律法规(如《数字签名法》)中都有保护公民隐私信息的条款,但是,从现有的相关法规条文来看,还存在着条款不完备、没有形成体系、执法强度和惩戒力度不够、缺乏激励机制、滞后于电子商务发展等问题.
2.2.2 第三方服务方面在电子商务中,由于法律法规约束不够、标准规范不完善,在信用信息管理与征信服务中仍然存在虚假认证、信用信息被篡改、信用评级失真等现象.
2.2.3 人文道德方面社会信用体系残缺,诚实守信的社会风气有待形成.欺诈、偷窃、骗取、歪曲、肆意传播公民隐私信息的现象时有发生.
2.2.4 公共网络安全方面一些网络公司、站点在提供网络服务的同时,不能履行保护客户隐私的条款承诺,甚至故意散布、出卖公民隐私信息,致使公民信息隐私权受到伤害.
2.2.5 隐私保护技术方面 因为互联网上的信息传送是通过路由器来传送的,一些非法的人或组织就通过对某个关键节点的扫描跟踪来窃取用户隐私信息;此外,随着数据仓库、数据挖掘技术的兴起,致使一些非法的人或组织对个人信息肆意加工利用,导致公民隐私信息的泄露.
2.3 电子商务系统的安防措施不力
交易软件的缺陷和不良的应用程序开发行为.目前,电子商务软件一般都是用基于网络环境的开发工具或编程语言编写的,如ASP、JSP、J++、J2EE、WebService等,由于开发语言或开发工具本身的缺陷和开发人员的不良开发行为,常常会留下很多“后门”,为非法使用者加载应用模块(如木马程序等)提供了接口.
内部网和外部网之间,网络和存储介质之间没有采取物理隔离,致使入侵者通过外部网入侵内部网以及忽视对内部网信息系统安全保密的分级管理和逻辑隔离,都会导致公民隐私信息泄露.
对数据库的使用没有采用ODBC动态连接,而是直接访问,容易引起数据库信息泄露.
在用户身份识别与认证中,、口令过于简单,容易被或猜测.
缺少防火墙保护或防火墙设置简单、不合理,致使非法入侵者轻易绕过防火墙进行窃密.
缺少主动的入侵检测、鉴别、取证等安防措施,致使各种网络欺骗入侵猖獗,隐私信息泄露.
2.4 来自于各方面的恶意攻击
电子商务中恶意攻击形式主要包括:
2.4.1 监听与口令攻击 电子商务安全体系应用层的许多协议都没有采用加密或身份认证技术,用户账号与信息都是以明文格式传输,攻击者通过互联网、公共网、搭线或在电磁波辐射范围内安装接收装置等,进行数据监听、截获传输的机密信息,或通过对信息流量、流向、通信频率参数的分析,推断出有用信息,如银行账号、等.
2.4.2网络欺骗攻击通过对ARP缓存进行改写来重定向通信数据包,改写目标机器上的IP地址到Mac地址的映射,致使数据包经由交换机发往监听者的机 器,导致隐私信息泄露.网络欺骗攻击主要有:Web、TCP/IP、DNS、IP或名字等欺骗攻击.
2.4.3 WWW攻击WWW攻击常使用Ja、ActiveX、JaScript技术,进行URL地址重写和相关信息掩盖.前者是利用URL地址重写将用户浏览的网页链接指向攻击者的服务器,使浏览者在查看信息时,不经意地进入到攻击者的圈套里;后者一般是利用文档和表单信息作掩护,结合前者实施攻击.
2.4.4木马攻击 它是基于网络中的客户机/服务器原理,在被攻击者的计算机中安装通过端口进行通信的客户机/服务器程序,当该机操作时触发程序,从而控制计算机或窃取重要信息.
2.4.5缓冲区溢出攻击若软件或系统本身没有对计算机执行程序和缓冲区施加控制,当缓冲区超载时,攻击者可乘系统不稳定之机加入攻击代码,提升权限,控制该机.
2.4.6使用核心级别的rootkits攻击rootkits是被广泛使用的工具,允许攻击者获得后门级访问.通过修改操作系统核心和重定向系统调用的办法来自动启动一个特洛伊实施攻击、窃取信息.
2.4.7端口攻击攻击者通过将木马绑定到一个合法存在的端口上进行端口隐藏,以低权限用户身份,通过嗅探获取高权限的账户和,实施攻击.
2.4.8“嗅探式”后门攻击它能绕过正常的安全机制自如地访问系统资源.传统后门主要监听TCP/UDP端口,嗅探式后门(sniffer/backdoors)可以工作在混杂/非混杂模式下.尤其被设置为混杂模式的后门,可以监听以太网上其他主机的通信数据.
2.4.9 状态操纵攻击通过在URL中修改传递给浏览器的敏感信息、隐藏表格元素和cookies,达到非法访问的目的.
2.4.10 SQL代码嵌入攻击攻击者通过在普通用户输入中插入数据库查询指令,对数据库进行查询、修改和删除等,或执行系统指令,常因表单的输入检验不严格和在错误的代码层中编码而引起,Web网页上的用户名表单往往是这类攻击的人口.
3 电子商务中公民信息隐私权的维权措施
如何预防在电子商务活动中暴露自己的隐私信息,维护公民信息隐私权调查显示:在网民中,50%认为最关键是提高自己的防范意识,29.17%认为关键要安装防火墙和防病毒软件,11.96%认为重要资料不联网是个好办法,还有6.88%认为定期下载安全补丁很重要;法律界人士认为,应加快相关法律法规建设.笔者认为,应着重做好4个方面:
3.1 提高公民安防意识
3.1.1 培养和提高公民的安全防范意识 在电子商务活动中,很多隐私信息的泄露都是在“不知不觉”之中造成的,因此,要进一步加强对公民隐私信息安全保护意识的宣传教育和培训力度,提高公民在电子商务中的安全意识.
3.1.2提高公民的安全技能、养成良好的安全操作习惯正确地使用与设置Cookie,安装隐私保护与Cookie处理软件;设置不能太“大众化”、“通俗化”,对最安全的保存方式是不保存,记忆在大脑中;过滤和屏蔽掉有威胁的ActiveX控件;抹去电脑遗留痕迹;对机密信息实施隐藏或加密,防止搭线窃听和入侵;拒绝有威胁的站点的访问;安装防火墙软件;保护IP安全,尽量使用代理服务器、及时修正Windows的BUG、隐藏IP;堵住操作易泄密的漏洞,及时清除“被挽救的文档”、“日志”、文档“属性”、“收藏夹”中的历史记录等.
3.2 健全电子商务的外部环境
应着力做好如下几个方面:
3.2.1建立和健全相关法律法规 应结合我国实际,加快制订关于公民隐私权保护的法律法规,尽快制订一部全面规范公民个人信息隐私权保护的专门法律.值得期盼的是,我国的《个人信息保护法》不久将颁布实施.此外,建议在立法时要有一定的前瞻性,充分预测和估计未来电子商务发展中可能出现的侵权行为;制订相关法律法规时应兼顾信息服务商、网络应用服务商的利益与尊重公民信息隐私权之间的平衡和协调.
3.2.2加强诚信道德建设,健全社会信用体系,完善信用管理,规范征信服务首先,加强全民诚信道德修养的宣传和教育,崇尚尊重他人隐私的良好社会风尚.其次,应充分发挥政府的推动作用,划拨专项财政资金,构建全国统一的信用信息综合管理系统,实现信用信息资源的整合和充分开放,实现跨部门、跨行业、跨地区的信用信息互联互通,实现全国联网查询.第三,规范征信服务管理.对征信服务机构进行信用评级认定,使征信服务者首先具备良好的信用等级.
3.2.3加强计算机网络与信息安全技术的应用研究
目前,有多种技术可用于隐私信息的安全保护,如数字证书和加密技术适合于信息的安全传输与交换;安全认证、P技术则更适合于存储信息的安全防护;防火墙技术侧重于被动防御;入侵检测技术侧重于主动防御;信息伪装技术(数字水印、数据隐藏和数据嵌入)主要应用于秘密信息的隐藏等.
3.3 提高电子商务系统的安防性能
电子商务系统的开发人员应养成良好的编程习惯,采取有效措施力求程序和软件的完备,从根源上杜绝通过“后门”入侵的侵权行为(如木马程序等);应对支撑软件或系统,及时安装“补丁”.
在企业内部网和外部网之间、网络与存储介质之间采取物理隔离安全手段,防范通过外部网入侵内部网的行为;避免存储涉密信息的存储介质在外部网计算机上使用;对内部网信息系统实施安全保密分级管理及逻辑隔离等.
对数据库的使用应避免直接访问,通过ODBC动态连接访问,避免数据库信息泄露.
在用户身份识别与认证中,应采用长和口令,提高被或猜测的难度.
应安装防火墙,并进行滤设置和控件屏蔽设置,避免非法入侵者绕过防火墙进行窃密.
应采取主动的入侵检测、鉴别、取证等安全防御措施,检测和屏蔽各种网络欺骗入侵行为.
3.4 防范恶意攻击
防范电子商务中的恶意攻击,可分两步进行:首先,利用检测技术,实时地跟踪、分析和发现恶意攻击行为;其次,针对不同的攻击行为和方式,采取有效的防范措施.
3.4.1 恶意攻击的检测 电子商务中恶意攻击的检测技术主要有:入侵检测技术、陷阱技术和取证技术.表1是对几种检测技术的对比分析:
3.4.2恶意攻击的防范可采取如下技术措施防范电子商务中的恶意攻击:
加密.这是电子商务中主要的安全措施,常用加密技术有:常规密钥体制、数据加密标准(DES)、对称和非对称加密、对称密钥管理.
数字证书和数字签名.可用来保证信息不被第三方窃取;在传送过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;防止抵赖.
认证中心.是检验公开密钥真实性的第三方,它具有管理、搜索和验证证书等职能;易于实现交易双方的身份确认,防止非法访问隐私信息. 防火墙.限制外界用户对内部网络访问及管理内部用户访问外界网络的权限,控制网络内外的信息交流,提供接人控制和审查跟踪.
安全套接层(sSL)和安全电子交易(sET),是电子商务中支持支付系统安全的关键技术.SSL协议负责端到端的安全连接.可保证信息在传输过程中的安全.SET在电子交易环节上提高信任度、保证交易信息完整性,减少受欺诈的可能性.
安全扫描.网络安全防御中的一项重要技术,可用于端口扫描、漏洞扫描,进行人侵检测.
安全隔离,即物理隔离.实行前后台的物理隔离,有效避免破坏后台业务数据,保护隐私.
防范监听与欺骗.对敏感网络中所有主机的ARP缓存表进行硬编码,采用IPSec、VPN和其他的加密技术(如启用系统安全策略或采用无线VPN产品增强认证和加密功能)来保护敏感信息.
本文是一篇电子商务论文范文,电子商务方面毕业论文参考文献格式,关于电子中公民信息隐私权的维权措施相关毕业论文题目范文。适合电子商务及数据库及信息方面的的大学硕士和本科毕业论文以及电子商务相关开题报告范文和职称论文写作参考文献资料下载。
防范Web服务攻击.加强对Web应用程序(ASP、JSP和CGI等)开发者的专业训练,使他们遵循良好的编程规范和代码检测机制,细致检查用户输入,过滤可能危及后台数据库的特殊字符、脚本语言和命令,如逗号、引号、括号、星号、百分号、下划线和管道符等,达到保护隐私的目的.
XML技术.基于XML安全标准可以建立确保信息流安全传输的有效机制,实现电子商务交易过程中信息流的完整性、保密性、抗抵赖性等,对构建安全电子商务平台有现实意义.
隐私偏好平台P技术.应用P技术可实现电子商务动态交易信息的隐藏传输和静态隐私信息的安全保护,防止企图获取交易双方私密信息的攻击,如监听与欺骗、木马、Web服务攻击等.
数字水印技术.因具有鲁棒性、透明性、抗攻击性和低复杂性等特性,主要应用于身份认证(电子签章)、隐私信息保护(数字隐藏)等,可防止网络监听与欺骗、Web服务攻击等.
声/纹识别技术.基于声/纹识别及数字加密认证技术,实现安全的电子商务身份认证策略,防止欺骗攻击,使交易更安全、更可靠.
智能卡中间件技术.采用智能卡中间件技术实现电子商务中的信息加密、安全身份认证、安全电子支付等,克服了“软方案”的一些不足.
信息伪装技术.信息伪装技术可分为伪装术、数字水印、数据隐藏和嵌入等.利用信息伪装技术可以实现信息隐藏和信息的产权认证、信息访问的合法身份认定等.
总之,在实际应用中,只有将多种恶意攻击防范技术进行综合集成,构建安全的技术集成环境,才能够真正抵御来自各方面的恶意攻击.
4 小结
电子商务中公民信息隐私权问题的成因来自于多个方面,要真正解决好公民隐私信息的安全问题、维护公民信息隐私权,第一,要提高公民自身在电子商务中保护隐私信息的基本技能和安全意识,从思想意识上重视,并落实到“举手投足”之中;第二,要进一步建立和健全相应的法律法规、构建与完善社会信用管理与服务体系,举国上下,全民同心,共同营造一个诚实守信、遵纪守法、互相尊重隐私的社会人文环境;第三,要切实加强电子商务系统的安全防范措施;第四,要加强对电子商务中针对公民隐私信息恶意攻击的检测、防范.