요약: 전자 상거래 기술이 발달하면서 온라인 거래 보안은 전자 상거래 발전의 핵심이자 핵심 문제가 되었으며, 온라인 개인 정보 보호 데이터 (online privacy) 를 효과적으로 보호하는 것은 전자 상거래의 원활한 발전을 위한 중요한 시장 환경 조건이 되었습니다. 네트워크 정보 보안 기술, 정보 보안 프로토콜 및 P2P 기술은 네트워크 개인 정보를 보호하는 효과적인 수단이 되었습니다.
[키워드] 전자 상거래; 인터넷 프라이버시 정보 보안 기술 보안 프로토콜 P2P 기술 안전대책
전자 상거래 기술이 발달하면서 온라인 거래의 보안은 이미 전자 상거래 발전의 핵심이자 중요한 문제가 되었다. 이익에 이끌려 일부 상인들은 인터넷 사용자가 모르거나 원하지 않는 상황에서 다양한 기술적 수단을 이용하여 정보를 입수하고 사용함으로써 네티즌의 프라이버시를 침해했다. 인터넷 프라이버시를 효과적으로 보호하는 것은 이미 전자 상거래가 순조롭게 발전하는 중요한 시장 환경 조건이 되었다.
첫째, 인터넷 프라이버시 침해 현상
1. 인신침해. 개인은 인터넷을 통해 타인, 자신 및 타인의 사생활을 공개, 공개, 전파 또는 양도합니다. 개인은 다른 사람의 컴퓨터 시스템에 무단으로 들어가 정보를 수집, 입수하거나 다른 사람을 괴롭힌다. 다른 사람이 전송한 전자 정보를 무단으로 가로채고 복제합니다. 무단으로 다른 사람의 이메일을 열거나 개인 온라인 정보 분야에 들어가 다른 사람의 정보를 수집하고 훔칩니다.
2. 상업 조직 침해. 인터넷 조사를 전문으로 하는 상업기관은 정탐업무를 전개하고, 타인의 정보를 불법적으로 획득하고, 타인의 사생활을 이용한다. 대량의 웹사이트가 광고주에게 쓰레기 광고를 발송하다. 사용자 개인 정보를 수집하고, 사용자 정보 데이터베이스를 구축하고, 사용자 개인 정보를 다른 회사에 양도, 판매하거나, 다른 상업적 목적으로 사용합니다. 뉴욕타임즈에 따르면 BOO.com, 장난감 지능, CraftShop.com 등의 사이트는 고객 이름, 주소, 이메일, 심지어 신용카드 번호에 대한 통계 분석 결과를 인터넷에 올려 더 많은 자금을 교환한다고 합니다.
일부 하드웨어 및 소프트웨어 장비 공급 업체는 의도적으로 침해합니다. 일부 소프트웨어 및 하드웨어 제조업체는 소비자의 개인 정보를 수집하기 위해 판매하는 제품을 변조했습니다. 예를 들어, 한 회사는 생산된 한 세대의 프로세서에' 안전 일련 번호' 를 설치한 적이 있다. 이러한 프로세서를 사용하는 모든 컴퓨터는 네트워크에서 식별할 수 있으며, 공급업체는 사용자가 송수신하는 정보를 쉽게 받고, 컴퓨터 사용자의 활동을 추적하며, 대량의 사용자 정보를 복제할 수 있습니다.
4. 인터넷 공급자 침해
(1)ISP 네트워크 서비스 제공업체 침해: ①ISP 는 주관적 (직접 또는 간접) 을 가지고 있어 사용자의 프라이버시를 직접 침해한다. 예: ISP 가 고객의 메일을 이전하거나 폐쇄하면 고객 메일의 손실, 개인 정보 보호 및 영업 비밀 유출이 발생합니다. (2) ②ISP 는 다른 사람이 웹사이트에 침해 정보를 게시하는 것에 대해 책임을 져야 한다.
(ICP 인터넷 콘텐츠 공급자 침해. 국제 비교 프로그램은 웹 사이트를 구축하여 사용자에게 정보를 제공합니다. ICP 가 타인의 프라이버시를 명백히 공개하는 발언을 발견하고 제멋대로 퍼뜨리도록 방치한 경우, ICP 는 사용자의 프라이버시 침해를 구성하므로 잘못에 대한 책임을 져야 한다.
5. 네트워크 소유자 또는 관리자의 모니터링 및 도청. LAN 내의 컴퓨터 사용자의 경우 일부 네트워크 소유자나 관리자는 사용자의 활동을 모니터링하고 개인 정보를 도청하며, 특히 네트워크 센터를 통해 사용자의 메일을 모니터링하는 등 사용자의 프라이버시를 심각하게 침해합니다.
둘째, 인터넷 프라이버시 문제의 원인
인터넷 프라이버시 침해는 주로 인터넷 고유의 구조적 특징과 전자 상거래의 이익 중심 발전 때문이다.
1. 인터넷의 개방성. 네트워크 자체에서 인터넷은 전 세계를 하나로 연결하는 자유롭고 개방적인 세계입니다. 한편으로는 개인의 프라이버시를 수집하는 것이 매우 편리해지고, 다른 한편으로는 프라이버시의 불법 전파를 위한 큰 플랫폼을 제공한다. 인터넷 구성원의 다양성과 분산된 위치 때문에 보안이 좋지 않다. 인터넷상의 정보는 라우터를 통해 전송되며, 사용자는 어떤 경로가 사용되는지 알 수 없으므로 일부 사람이나 조직은 검색을 통해 중요한 노드를 추적하여 사용자 정보를 훔칠 수 있습니다. 즉, 기술적인 수준에서 사용자 정보를 가로막을 가능성이 뚜렷하다는 것이다.
2. 인터넷 쿠키. 일부 웹 사이트에서는 일부 정보를 사용자의 하드 드라이브에 텍스트 파일로 저장합니다. 이러한 파일을 쿠키라고 하며 사용자 및 취미와 관련된 정보가 포함되어 있습니다. 현재 많은 사이트는 방문자가 사이트에 들어갈 때마다 쿠키를 방문자의 컴퓨터에 넣는다. 이렇게 하면 사용자가 사이트에서 무엇을 샀는지 알 수 있을 뿐만 아니라, 사용자가 사이트에서 무엇을 보았는지, 얼마나 머물렀는지 알 수 있어 사이트의 유량과 조회량을 알 수 있다. 또한 온라인 광고주들은 쿠키를 이용해 광고 배너의 조회수와 조회수를 집계해 방문자의 인터넷 습관을 분석하고 이에 따라 광고 전략을 조정하는 경우가 많다. 일부 광고 회사들은 수집한 정보를 다른 많은 웹 사이트에서 사용자의 브라우징 활동과 더 연결시킵니다. 이것은 분명히 다른 사람의 사생활을 침해했다.
네트워크 개인 정보 보호에 대한 네트워크 서비스 제공 업체의 책임. ISP 의 전자 상거래에서의 개인 정보 보호 책임에는 사용자가 서비스 사용을 신청하거나 시작할 때 사용자에게 개인의 권리가 손상될 수 있음을 알리는 것이 포함됩니다. 사용자에게 합법적으로 사용할 수 있는 위험을 줄이는 기술적 방법을 알려 줍니다. 개인 권리, 특히 데이터의 일관성과 기밀성, 네트워크 및 네트워크 기반 서비스의 물리적 및 논리적 보안을 보호하기 위한 적절한 절차와 기술을 취합니다. 사용자에게 익명으로 인터넷을 하고 일부 활동에 참여할 권리를 알리다. 사용자 허가를 받지 않는 한 판촉 목적으로 데이터를 사용할 수 없습니다. 데이터의 올바른 사용에 대한 책임은 사용자에게 개인의 권리에 대한 보호 조치를 명확히 해야 합니다. 사용자가 서비스 사용을 시작하거나 ISP 웹 사이트를 방문할 때 정보 수집, 처리 및 저장 내용, 방법, 목적 및 사용 기간을 알려 줍니다. 우리는 신중하게 인터넷에 데이터를 게시해야 한다.
현재 많은 온라인 서비스는 무료 이메일, 무료 소프트웨어 다운로드, 일부 정보를 받기 위해 사용자 또는 회원으로 무료 로그인, 무료 컨설팅 서비스 등 무료입니다. 그러나 이러한 무료 서비스를 받을 때 필요한 절차 중 하나는 이름, 주소, 직장, 취미 등과 같은 개인 정보에 로그인하는 것입니다. 서비스상회는 이것이 관리를 용이하게 하기 위해서라고 주장하지만, 서비스업체가 이 정보를 다른 목적으로 사용하거나 판매할 가능성도 있다.
셋째, 보안 기술은 네트워크 개인 정보를 보호합니다.
1. 전자 상거래의 정보 보안 기술
전자 상거래의 정보 보안은 보안 기술의 개선에 크게 좌우된다. 암호화, 인증, 액세스 제어, 정보 흐름 제어, 데이터 보호, 소프트웨어 보호, 바이러스 탐지 및 제거, 컨텐츠 분류, 식별 및 필터링, 시스템 보안 모니터링, 경고 등의 기술을 제공합니다.
(1) 방화벽 기술. 방화벽은 최근 몇 년 동안 발전해 온 가장 중요한 보안 기술이다. 주요 기능은 네트워크 간 액세스 제어를 강화하여 엑스트라넷 사용자가 엑스트라넷을 통해 인트라넷 (보호 네트워크) 에 불법적으로 진입하는 것을 방지하는 것입니다.
(2) 암호화 기술. 데이터 암호화는 정보 무결성 요구 사항을 근본적으로 충족하는 가장 신뢰할 수 있는 보안 형태로 간주되며 사전 예방적 보안 정책입니다. 데이터 암호화의 원칙은 특정 암호화 알고리즘을 사용하여 일반 텍스트를 의미 없는 암호문으로 변환하여 불법 사용자가 원본 데이터를 이해하지 못하도록 함으로써 데이터의 기밀성을 보장하는 것입니다.
(3) 디지털 서명 기술. 디지털 서명 기술은 발신자의 개인 키로 다이제스트를 암호화하여 원문과 함께 수신자에게 보내는 것이다. 수신자는 발신자의 공개 키로 암호화된 요약만 해독할 수 있습니다. 전자 상거래 시스템에서 디지털 서명 기술은 전자 상거래 보안 서비스의 소스 인증, 무결성 서비스 및 부인 방지 서비스에 특히 중요한 역할을 합니다.
(4) 디지털 타임 스탬프 기술. 전자 상거래 거래 문서에서 시간은 매우 중요한 정보이며 문서의 유효성을 증명하는 주요 내용입니다. 서명에 타임스탬프, 즉 Digita 타임스탬프가 있는 디지털 서명 체계를 추가합니다. 서명자는 서명이 해당 그룹에서 온 것인지 확인할 수 있지만 그룹 중 누가 서명했는지 알 수 없습니다. 승인자 서명의 진실성을 지정합니다. 지정된 승인자 또는 서명자 본인의 도움 외에는 서명을 확인할 수 있는 사람이 없습니다.
2. 전자 상거래 정보 보안 프로토콜
(1) 보안 소켓 레이어. SSL 은 1994 에서 개발한 넷스케이프 통신 회사로, 주로 어플리케이션 간 데이터의 보안 계수를 높이는 데 사용됩니다. SSL 의 전체 개념은 보안 소켓 계층이 설치된 클라이언트와 서버 간의 트랜잭션 보안을 보장하는 프로토콜로 요약할 수 있으며, TCP/IP 기반 클라이언트 및 서버 애플리케이션에 클라이언트-서버 인증, 데이터 무결성 및 정보 기밀성과 같은 보안 조치를 제공합니다.
(2) 안전한 전자 거래 (세트). SET 는 온라인 거래의 전자 통화를 기반으로 하는 개방형 전자 결제 시스템 사양입니다. SET 는 고객 신용 카드 인증을 보존하는 전제하에 상인 신분 인증을 늘렸다. SET 는 글로벌 네트워크의 산업 표준이되었습니다.
(3) 보안 하이퍼텍스트 전송 프로토콜 (S-HTTP). 키 암호화에 의존하여 사이트 간 정보 교환의 보안이 보장됩니다. SHTTP 는 HT-TP 의 보안을 확장하고 SSL 기술을 기반으로 메시지 보안을 추가합니다. 이 프로토콜은 인터넷 어플리케이션에 무결성, 인증, 부인 방지 및 기밀성과 같은 보안 조치를 제공합니다.
(4) 안전 거래 기술 계약 (STT). STT 는 브라우저에서 인증과 암호 해독을 분리하여 보안 제어 기능을 향상시킵니다.
⑸ 유엔/행정, 상업 및 운송 전자 데이터 교환 표준. UN/EDIFACT 메시지는 유일한 국제 전자 상거래 표준입니다.
3.P2P 기술 및 네트워크 정보 보안. P2P(Peer-to-Peer) 는 최근 몇 년간 IT 업계에서 널리 주목받고 있는 개념이다. P2P 는 분산 네트워크, 가장 근본적인 아이디어입니다. 동시에, P2P 와 C/S 의 가장 큰 차이점은 네트워크의 peer 이 다른 노드로부터 자원이나 서비스를 받을 수 있을 뿐만 아니라, 리소스 또는 서비스의 공급자, 즉 클라이언트와 서버의 이중 신분을 가질 수 있다는 것입니다. 일반적으로 P2P 네트워크의 각 노드에는 통신, 서비스 및 자원 소비를 포함한 동등한 권리와 의무가 있습니다.
(1) 개인 정보 보호
1 현재 통용되는 인터넷 프로토콜은 통신 단말기 주소를 숨기는 기능을 지원하지 않는다. 공격자는 사용자의 트래픽 특성을 모니터링하고 IP 주소를 얻을 수 있습니다. 일부 추적 소프트웨어를 사용하여 IP 주소에서 개별 사용자를 직접 추적할 수도 있습니다. SSL 과 같은 암호화 메커니즘은 다른 사람이 통신 콘텐츠를 가져오는 것을 방지하지만, 이러한 메커니즘은 정보의 발신자를 숨길 수 없습니다. P2P 에서 각 익명 사용자도 다른 사용자에게 익명 서비스를 제공하는 서버가 필요합니다. 정보의 전달은 노드 간에 분산되고 중앙 집중식 링크를 거치지 않기 때문에 사용자의 개인 정보 정보가 도청되고 유출될 가능성이 크게 줄어듭니다. P2P 시스템의 또 다른 특징은 공격자가 명확한 목표를 찾기가 어렵다는 것이다. 대규모 환경에서는 모든 커뮤니케이션에 많은 잠재 사용자가 포함될 수 있습니다.
(2) 현재 인터넷 프라이버시 문제는 주로 트렁킹 전달 기술을 통해 해결되어 수많은 네트워크 실체 간 통신 참여자를 숨기고 있다. P2P 에서 모든 참가자는 릴레이 및 전달 기능을 제공하여 익명 통신의 유연성과 신뢰성을 크게 향상시키고 사용자에게 더 나은 개인 정보 보호 기능을 제공합니다.
(2) 공평한 완전성
P2P 기술이 더 많은 전자 상거래에서 작동하도록 하려면 네트워크 노드 간의 신뢰를 고려해야 합니다. 실제로 피어-투-피어 무결성은 유연성, 목표 및 복잡한 중앙 집중식 관리가 필요 없기 때문에 향후 다양한 네트워크에서 신뢰 관리를 강화하는 데 필요한 선택이 될 수 있습니다.
피어-투-피어 무결성의 핵심은 노드의 신뢰성을 정량화하는 것입니다. 즉, 우리는 P2P 기반 신뢰도 모델을 구축해야 한다. 평판 모델은 네트워크 상태를 예측하여 분산 시스템의 신뢰성을 높입니다. 신용도 응용의 성공 사례 중 하나는 이베이, 온라인 경매 시스템이다. 이베의 신용도 모델에서는 매매 쌍방이 매번 거래 후 서로의 신용도를 높일 수 있으며, 한 사용자의 총 신용도는 지난 6 개월 동안의 신용도를 합한 것이다. 이베이 (EBay) 는 신뢰성을 관리하고 저장하기 위해 하나의 센터에 의존합니다. 마찬가지로 분산 시스템에서 피어는 이베에서처럼 각 거래 후 서로의 신뢰도를 높일 수 있습니다. 예를 들어, 피어 I 는 J 에서 파일을 다운로드할 때마다 신뢰도가 증가 (+1) 하거나 감소 (-1) 합니다. 다운로드한 파일이 신뢰할 수 없거나 변조되거나 다운로드가 중단되면 피어 I 는 이번 거래의 신뢰도를 음수 (-1) 로 기록합니다. 이베와 마찬가지로 로컬 신뢰도를 피어 I 가 피어 j 에서 파일을 다운로드하는 모든 거래의 합계로 정의할 수 있습니다 .....
각 피어 I 는 자신과 피어 J 사이의 만족스러운 트랜잭션 수와 불만족스러운 트랜잭션 수를 저장할 수 있으며 다음과 같이 정의할 수 있습니다.
Sij=sat(i, j)-unsat(i, j)
넷째, 전자 상거래의 개인 정보 보호 조치
1. 네트워크 개인 정보 보호 보안 관리를 강화합니다. 우리나라의 인터넷 프라이버시 안전관리는 기존의 분업 외에도 각 부문의 기능을 효과적으로 통일하고 미래 추세를 연구하며 거시정책을 제정하고 중대한 의사결정을 실시할 수 있도록 고도의 권위 있는 정보안전지도기관을 세워야 한다.
2. 인터넷 프라이버시 및 보안 전문가 양성을 가속화한다. 인재 양성에 있어서, 외국과의 경험과 기술 교류를 강화하고, 국제적으로 가장 선진적인 안전조치와 기술조치를 제때에 파악하여, 더 높은 수준에서 활약할 수 있도록 해야 한다.
인터넷 개인 정보 보안 입법 및 법 집행을 수행하십시오. 입법 과정을 가속화하고 법률 체계를 개선하다. 우리나라의 실제와 결합해 외국 인터넷 정보 보안 입법의 선진 경험을 참고하여 기존 법률 체계를 수정하고 보완하여 더욱 과학적이고 완벽하게 해야 한다.
인터넷 개인 정보 보안 인프라 구축에 세심한주의를 기울이십시오. 국민경제의 핵심 부문의 인프라는 일련의 정보 보안 인프라를 구축함으로써 실현해야 한다. 따라서 중국의 공개 키 인프라, 정보 보안 제품 테스트 및 평가 인프라, 비상 대응 처리 인프라를 구축해야 합니다.
네트워크 위험 예방 메커니즘을 수립하십시오. 네트워크 구축 및 운영에서 전자 상거래는 종종 보안 기술이 뒤처져 있고, 도덕이 창백하며, 법이 약하기 때문에 네트워크 위험 방지 메커니즘을 구축해야 합니다. 인터넷 경영자는 보험 대상 재산이 보험 대상 범위 내에서 보험에 가입하도록 허용하고 사고 발생 후 배상을 할 것을 건의합니다.
6. 네트워크 기술 혁신을 강화하고 핵심 칩과 커널 프로그래밍 기술 및 보안 기본 이론을 중점적으로 연구합니다. 조직 정보 보안의 핵심 기술 공관을 통일하고, 혁신적 사고를 통해 고유의 속박을 초월하고, 중국특색 있는 정보 보안 체계를 구축한다.
네트워크 구축의 표준화에 중점을 둡니다. 통일된 기술 규격이 없으면 각지 네트워크가 서로 연결될 수 없고, 상호 교류할 수 없고, 기술 규격이 없으면 네트워크 보안 산업 규모를 형성하기 어렵다. 현재 국제적으로 인터넷 프라이버시 보안에 관한 기술 사양과 표준이 많이 있는데, 그 목적은 통합 네트워크 환경에서 프라이버시 정보의 절대적인 안전을 보장하기 위한 것이다. 우리는 이러한 추세에서 영감을 얻어야 하며, 동시에 국정과 국제 추세에 부합하는 기술 규범을 내놓아야 한다.
참고 자료:
[1] 곡운파. 전자 상거래 [M]. 베이징: 기업관리출판사, 1999.
[2] 조여평. 전자 상거래 개론 [M]. 상하이: 복단대학교 출판사, 2000.
[3] 조점생. 중국 정보 보안 및 기술 연구 [J]. 중국 정보 안내, 1999, (8).
[4] 조의평. 사회 정보화 및 프라이버시 보호 [J]. 정법 포럼, 1998, (1).
[5] 임태평. 세계 주요 국가의 정보 보안 동향 [J]. 중국 정보안내, 200 1, (1).