网购中信息安全策略.doc

1、 网购中信息安全策略摘 要： 信息技术的不断更新，使越来越多的人开始利用网络为自己的生活服务，享受其带来的便捷。网购使人们的生活更加方便快捷。但个人信息在网购的不同环节都会暴露给相关的人员，给消费者的利益打来重大危害。因此，研究网购中如何保护消费者的信息安全具有重要的理论和实践意义。本文主要研究网购中信息安全策略，在研究总结现有成果的基础上，对信息安全的特征，泄露原因，后果及应对策略进行了分析。关键词：网购 信息安全 策略引言 信息技术的不断更新，网络空间的日益开放，使越来越多的人开始利用网络为自己的生活服务，享受其带来的便捷。特别是网络购物这种新兴的消费购物模式，以其购买价格的低廉性，送货上

2、门的便利性以及品种选择的多样性等特点顺应了人们块节奏的生活需求，正被越来越多的不同年龄段，不同职业的消费者所广泛接受。与传统购物模式相比，网络购物可以不受时间和地域的限制，在商品的选择方面也有很大的优势1。网购使人们的生活更加方便快捷。但个人信息在网购的不同环节包括采购，快递都会暴露给相关的人员，由于个人信息的商品性，使得掌握了网购消费者信息的无良商家对这些信息就行非法的泄漏或者买卖，给消费者的利益打来重大危害。因此，研究网购中如何保护消费者的信息安全具有重要的理论和实践意义。本文主要研究网购中信息安全策略。首先，本文在研究总结现有成果的基础上，对信息安全及特质做了分析和归纳；其次：分析了网购

3、中个人信息泄露的原因，并描绘网购流程图，结合网购流程图来具体分析网购各个环节可能带来的信息泄露；第三，分析了信息泄露可能给消费者带来的不良后果，最后，从个人层面，法律层面，行业层面以及技术层面对如何有效地保护网购中信息安全提出了相应的策略。一网购环境中信息安全及特质（一） 网购环境中的信息安全对于信息安全到目前为止还没有一个较为统一的定义，综合国内外对信息安全的定义，可以分为两类：一是指信息系统的安全性；二是指某一特定信息体系2。美国国家安全通信以及信息系统安全委员会（NSTISSC）对信息安全所作的定义认为信息安全是对信息及信息系统关键要素的保护，包括信息的使用，存储方式，信息的传输过程和系

4、统硬件3。冯登国认为信息安全所包含的内容在随着信息技术的不断发展和具体应用在不断扩展。信息安全的内涵已经从最初的强调信息的保密性发展到信息的完整性，可用性，可控性和不可否认性，进而又发展到包括“防范，攻击，控制，检测，管理，评估”等多方面的实际操作理论和技术4。林柏钢认为“信息安全指的是在网络环境下信息系统中的数据收到特定地保护，使信息不会因为某些偶然和恶意的原因而遭到破坏，更改，泄露，使信息系统能够连续，可靠，正常地运行。还包括信息系统破坏后能迅速恢复正常运转的安全过程5。（二） 网购环境中的信息特质在网购环境下，信息所包含的内容范围更为广泛，除了消费者在实现网购交易的整个过程中都会涉及到的

5、信息还包括消费者网络活动信息和网络空间储存的信息，即信息的广泛性；同时，在网购过程中，消费者处于对个人的保护有可能不会提供全部真实的个人信息，但消费者必然也会填写一些真实的信息（其中一定包括地址和联系电话），使得购物记录产生后的交易能够得以顺利实现，即信息的可识别性；信息具有可传递性，在网络中信息的可传递性也使得信息更容易被分享，信息在一定的时间和空间，在一定的范围与程度内，可以被分享，不会为某单位或者个人永远占有【6】。消费者的个人信息除了其主动分享外，也会被动地被他人分享。在网购环境中，消费者的信息具有了商品的性质，这使得一些商家或个人会不合理的收集和利用个人信息进行交易和售卖的活动而从中

6、获利。那么信息通过商家和个人的交易和售卖活动就会被更多的商家和个人所获取。二网购环境中信息安全面临的威胁（一） 网购中信息泄露的渠道网购的过程包括注册，登陆，浏览网页，订单的填写和网上支付，如图2.1所示：注 册登 陆选择要购买的商品点击“购买”按钮交易成功银行付款提交订单填写订单 图2.1网购的过程所有的网络购物环节都潜伏着巨大的安全风险：在用户注册及登录环节消费者必然会在相关电子商务网站提供相关信息，而网站有可能会滥用他们提供的个人信息或进行不合理甚至违法的活动；在网页浏览环节，网络浏览器在消费者每次访问网页或者图像等相关内容时，都会在网络服务器的日志上留下记录。网络服务区日志会记录下用户

7、的网络地址，传递查询的URL等信息。消费者在浏览过程中会产生cookie文件，网络服务器会使用cookie来标记带有识别信息的网络浏览器，来帮助消费者提供更为便捷的浏览体验。Cookie会标示某个特定用户可能经常会使用的一个浏览器和账号组合。商家会通过cookie软件来对用户的网上具体操作进行跟踪，也就能得知特定用户会经常浏览的网页，所购买的商品，消费次数以及消费金额等等。在订单填写环节，订单中除了包含商品信息，从商品信息中可以间接反映出消费者的消费能力，消费倾向等信息。商家可以通过对订单所反映的信息分析出顾客的购物喜好，经济承受能力和消费的层次，进而可以较为准确的预测市场需求和需求比例。在网

8、上支付过程中存在的安全威胁主要包括三大类：传统盗号木马，钓鱼网站和新型交易劫持木马7。2011年中国网络购物安全报告显示，2011年网络购物安全形势十分严峻，日新增网购伏案的钓鱼网站1500多个，而新型交易劫持木马的增长则已经迅速发展到愈千个，日攻击超过2000人次。（二） 网购中信息受侵犯的主要形式网购中信息受侵犯的主要形式主要体现为三个方面：第一，过度收集消费者的信息。网购环境下商家成功的市场战略越来越多的依靠有效地利用大量的消费者的个人交易资料8。商家越来越重视自身的竞争力和其所拥有的技术。信息技术水平的不断提高，使个人信息收集的成本也在不断降低，使商家能够减少由于成本所带来的问题并可以

9、通过以往难以实现的途径去更多，更有效的收集信息，使企业能够较为全面地记录客户的交易细节，并将大量的交易资料保存到资料库。而在商家所收集到的信息中，除了基本的所必须的信息外，还涉及到了一些消费者的较为隐私的信息，比如个人嗜好，宗教信仰等而这部分信息是超过商家所需信息的。第二，非法收集个人信息。在网购环境下，任何消费者的个人信息都有可能被网上任何一商家在未征得消费者本人的同意下非法收集。其非法收集消费者个人信息主要运用以下技术方式：利用具有跟踪功能的Cookie软件工具来测定并跟踪消费者在网上所进行的操作；网络黑客非法侵入他人系统获取个人隐私；利用提供免费电子邮件或免费奖品等服务方式，非法搜集个人

10、隐私；利用寄送垃圾邮件的方式，非法收集个人隐私。第三，对个人信息的非法开发利用。在网购环境下对信息的二次开发进行规范是一件较为复杂的事情9。如果商家对消费者个人信息进行二次开发给消费者带来更多服务的话，那么这种二次开发利用是受消费者欢迎的。但是如果商家利用对消费者信息的二次开发来牟取利益而导致消费者的个人信息泄露并带来生活上的干扰时，则这种二次开发就应该受到监管。第四，将个人信息做交易牟利。在网购环境下，消费者的个人信息是具有商业价值的，因此就存在一些商家在未征得消费者同意的情况下，为了牟取自身的经济利益而将收集到的消费者的各种个人信息卖给其他的需求者。如果共享范围得不到有效控制的话，个人信息

11、就极有可能被众多的商家知晓。三网购环境中信息泄露原因及后果（一） 网购环境中信息泄露的原因 网购环境中信息泄露的原因主要表现在以下几个方面。第一，网络的开放性。互联网具有开放性，交互性，连接形式多样性，终端分布不均匀等特征。基于这些特点，网络中各种信息可以不受时间和地域的限制实现跨越地区的自由流动，从而使得处于不同物理位置的终端之间能够实现信息共享。也正是因为互联网的这一特点，在为消费者带来商品信息共享方便的同时，也必将给个人信息安全带来安全威胁。第二，商家利用自身优势定制强制性条款。在网购环境中，不论是B2C企业还是C2C平台，在收集和利用其网络用户个人资料上都占有极大优势10。其优势主要表

12、现为技术的掌握和交易中所处的地位。在技术方面，个人信息在网络环境中均表现为数据。对信息的收集，加工，存储，利用，传播等活动也都以数据的形式在网络后台中完成。普通公众用户没有太多的机会接触到这一具体过程，即使有机会接触到，也很那理解相关的技术语言。随着网络信息技术的发展，商家可以利用先进的技术去更为容易的去收集，存储，整理分析，利用大量访问网站的消费者的信息。第三，信息保护意识薄弱。由于我国信息化发展的水平和宣传的力度不够，不少网购者和商家的个人信息安全保护意识还较为薄弱。在网购中消费者个人和商家的信息安全保护意识较弱就会加大个人信息不安全的风险。消费者个人如果个人信息保护意识较弱，就用可能在消

13、费的构成中将个人的真实信息透露给商家，而商家就会由于个人信息保护意识的薄弱，为了经济利益而不合理的利用顾客的信息。第四，相关立法不完善。法律是网购市场得以有序发展的一个保障，而我国与电子商务相关的法律法规体系并不健全。与网络交易的火爆相比，在对网上交易的管理方面我国的法律法规还是存在空白。对于网购中出现的问题还主要依靠民法通则，合同法，消费者权益保护法等法律法规来调解，但这些法律在针对性和操作性上都较差，对于诸如商家应如何保管收集来的消费者个人信息，对滥用消费者个人信息的商家应做怎样的处理，什么机构负责执法等等问题都难以做出较为明确的规定。（二）网购环境中信息泄露的后果绝大多数的网购用户都遭遇

14、过个人信息泄露带来的影响，跟据相关的调查结果11，最常见的是垃圾邮件和短信电话骚扰，占被调查人数的96.4%，其次是经济损失，占被调查人数的3.6%，相关数据如图3.1所示： 表3.1 网购中遭遇信息泄露带来的后果后果样本数比例%经济损失93.6受到威胁00垃圾邮件，短信，电话23696.4经济后果主要是由于不法分子通过盗号木马，钓鱼网站，交易劫持等违法手段，获取消费者的账号密码，进而盗取其财务，导致消费者的财务收到损失。除此之外，由于个人信息的泄露，消费者的个人信息（如个人财务状况）被不法分子所了解后，处于利益目的，不法分子可能会采取违法行为对其了解的对象进行语言威胁来骗取钱财甚至还有可能导

15、致生命受到威胁。四网购环境中信息安全的应对策略（一）用户个人层面 网购消费者如果能适当懂得一些保护自己信息安全的方法，提高自己的个人信息安全意识，在某种程度上可大大减少个人信息被不合理收集和利用的机会。消费者的自我保护模式应当是自我控制，自我选择和自我防卫的综合体系。包括养成良好的上网习惯，加强个人信息安全保护意识，了解一定的网络安全技术，依靠一定的技术手段来加强对个人信息的控制和保护。（二）相关法律法规的制定 目前世界上已有50多个国家和地区制定了个人信息保护方面的法律法规。如美国1974年颁布的隐私权法，可以视为美国保护隐私权的基本法，是美国行政法中保护个人隐私的重要法律。加拿大，欧洲，俄

16、罗斯，英国，爱尔兰，意大利，马来西亚，韩国，新加坡，印度，日本等国家都先后颁布了相关信息保护的法律，为信息保护提供了保障。在我国的法律体系中，从宪法到民法，刑法，行政法，都不同程度上涉及到了个人信息保护问题，但过于零散不系统。我国个人信息保护法专家建议稿从2003年开始起草，2005年完成，目前已进入立法程序12。建立健全网购的相关立法能促进网购的良性发展，能更加有效地保护消费者的信息安全。我国在健全信息保护方面，仍有较长的路要走。（三） 行业自律在行业自律方面，行业相关组织应制定出相关的规定，主动积极地承担责任。行业自律规则并没有法律法规的那种强制性，但由于其是行业内部所制定的，因此有很强的

17、针对性。在很多网络发达的国家，除了依靠加强立法来保护信息安全外还提倡行业自身的自律。通过行业自身对个人信息保护的意识和相关行业制度的制定来保证个人信息的安全。2004年12月21日，中国电子商务协会正式成立了“中国电子商务诚信联盟”，该联盟成立的宗旨是要通过建立权威，公正的第三方资信评估平台，加强我国电子商务信用体系的建设，在充分保护网上购物者权益的同时，增强全社会对电子商务信息的认识，从而使中国电子商务在一个健康，成熟，完善的环境中获得更大的发展13。但是同时，仅靠行业自律是难以保证个人信息安全的，行业自律模式存在不可避免的缺陷。这种模式没有统一的标准，缺乏有力的法律支援和执行力，即使获得隐

18、私认证，也不能保证不会侵害个人隐私。尽管如此，行业自律在一定程度还是能减少由于商家的不合理行为而给消费者的个人信息所带来的危害。（四） 技术防护措施网购的信息安全技术在很大程度上依赖于信息技术的完善，通过有效的技术来进一步加强信息安全的保证。主要有以下几个方面。加密技术，数据加密技术被认为是最为有效的一种安全保障形式，它采取的是主动安全防范策略，能够较好的保证信息的机密性。数据加密就是按照确定的密码算法将一些较为敏感的明文数据转换成难以识别的密文数据。当需要查看加密文件时，可使用密钥将密文数据还原成明文数据。数字签名技术，数字签名技术是发送者将摘要进行私钥加密，接收者只有用发送者的龚月才能解密

19、被加密的摘要。数字签名技术是一种信息认证技术，保证文件的真实性和有效性，也可用来核实接受者是否有伪造，篡改行为。防火墙技术，防火墙是今年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络。但是，防火墙存在一定的局限性，由于防火墙以来于口令，所以防火墙不能防范黑客对口令的攻击。数字时间戳技术，它是一个经加密后形成的凭证文档，包括三个部分：（1）需加时间戳文件的摘要（2）数字时间戳收到文件的日期和时间（3）数字时间戳的数字签名14。SSL协议和SET协议。SSL协议的执行过程是首先由消费者挑选自己所需的商品，并将个人信息同商品信息一起

20、传给商家。商家在收到消费者的购买信息后会将消费者信息传给银行，银行对消费者的个人信息进行审核，确定了消费者信息的准确无误后予以划账并告知商家贷款已付，之后商家会告知消费者交易成功。SET交易流程大致为，消费者到商家所在网站完成商品的浏览和选择，在确定进行支付后向商家发送支付信息和订单信息，之后商家通过支付网关将消费者的支付信息交给收单行，向银行请求交易授权和授权回复。收单行在对先关支付信息进行解密后向发卡行进行验证，确认无误后告知商家支付成功随后向消费者提供商品。防范cookie泄露，包括对cookie的有效控制，最为简单有效的对策就是较少或者删除计算机上所积累的cookie，包括以文件形式存

21、放在硬盘中和部分保存在内存里的。同时安装cookie管理工具可以对cookie进行有效地管理，也可以在浏览中设置当某个站点要在用户的计算机上创建cookie时是否给出提示。结语在信息科技高速发展的今天，信息的获取越来越容易，信息泄露的威胁也越来越大，而信息的保护已经成为急需解决的问题。本文结合网购的整个过程，分析网购过程中存在的信息不安全因素，并针对这些不安全因素替提出了应对策略。 参考文献1. 杜菲.浅谈电子商务中个人信息的保护J.中小企业管理与科技，2010（7）：246.2. 李飞，陈艾东.信息安全理论与技术M.西安电子科技大学出版社，2010.3. 查先进.信息政策与法规M.科学出版社

22、，2004.4. 冯登国.国内外信息安全研究现状及其发展趋势J.网络安全技术与应用2001（1）：8-13.5. 林柏刚.网络与信息安全教程M.机械工业出版社，2004.6. 张秀兰.国外网络隐私权保护的基本模式分析J.图书馆学研究，2005（5）：86-88,28.7. 实习记者.直面网购安全威胁.信息安全与通信保密，2011（2）：18-19.8. Mary J. Culnan, Pamela K. Armstrong. Information Privacy Concerns, Procedural Faimess and Impersonal Trust: An Empirical Investigation J.Organization Science, 1999,10(1):104-115.9. 梅绍祖.个人信息保护的基础性问题研究J.苏州大学学报，2005（2）：2539.10. 徐晶.网店实名制中的个人信息保护问题研究J.信息网络安全，2010（8）：31-32.11. 喻琳.网购中个人信息安全问题研究J.华中师范大学硕士学位论文，2012.12. 严霄风，朱璇.个人信息保护势在必行J.信息安全与技术，2010（10）：6-10.13. 新浪科技.中国电子商务联盟今日正式成立.2007-08-08.14. 刘永华.网络信息安全技术M.中国铁道出版社，2011.