登陆注册
13928700000015

第15章 网络与电子商务(6)

(5)通过一个节点来攻击其他节点

攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们常使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

(6)网络监听

网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。

(7)利用黑客软件攻击

利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice 2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。

(8)安全漏洞攻击

许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,结果系统还照常执行命令。

(9)端口扫描攻击

所谓端口扫描,就是利用Socket 编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷,等等。常用的扫描方式有:Connect 扫描和Fragmentation扫描。

2.4.2 网络安全

1)电子商务存在的安全问题

①潜在的安全隐患。原因是未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。

②未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

③安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统在改动相关安全产品的设置时,很容易产生许多安全问题。

④缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全,需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

2)商务交易安全

①窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

②篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。

③假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

④恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的重要信息,甚至可以潜入网络内部,其后果是非常严重的。

2.4.3 电子商务安全技术

1)加密技术

(1)对称加密/对称密钥加密/专用密钥加密

该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。

(2)非对称加密/公开密钥加密

这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。

(3)数字摘要

该方法亦称信息一摘要算法,Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128 bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。

(4)数字签名

信息是由签名者发送的,信息在传输过程中未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪,或冒用别人名义发送信息,或发出(收到)信件后又加以否认等情况发生。

(5)数字时间戳

它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要, DTS收到文件的日期和时间,DTS的数字签名。

(6)数字凭证

数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。

数字凭证有三种类型:个人凭证,企业(服务器)凭证,软件(开发者)凭证。

2) Internet电子邮件的安全协议

①PEM。是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。

②S/MIME。是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,是在MIME上定义安全服务措施的实施方式。

③PEM唱MIME。是将PEM和MIME两者的特性进行了结合。

3) Internet主要的安全协议

①SSL。是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。

②S唱HTTP。对HTTP扩充了安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

③STT。STT将认证和解密在浏览器中分离开,用以提高安全控制能力。

④SET。SET 1 .0版已经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。主要文件是SET业务描述、SET程序员指南和SET协议描述。

4) UN/EDIFACT的安全

UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要的问题。

5)虚拟专用网(VPN)

它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。

6)数字认证

用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。

目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。

7)认证中心(CA)

CA的基本功能是:生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。

8)防火墙技术

防火墙具有以下五大基本功能:

①过滤进/出网络的数据;

②管理进/出网络的访问行为;

③封堵某些禁止行为;

④记录通过防火墙的信息内容和活动;

⑤对网络攻击进行检测和警告。

目前的防火墙主要有两种类型:一是过滤型防火墙;二是应用级防火墙。

9)入侵检测

入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。

2.4.4 网上创业法律环境

现阶段,我国网上经营的法律制度还不健全,传统的法律如何在网络环境中应用还处在理论探讨阶段。电子合同、在线支付、产品交付等问题有了初步的法律规范,但还没有做全面的法律保护。个人隐私保护,欺诈等问题困扰着消费者,使之不敢大胆地在网上购物。特别是没有一个比较完善的网上信用评价与监控体系,致使“收货不付钱”“收钱不发货的”欺诈行为时有发生,导致消费者信心下降,经营者信誉下降。

电子商务不仅为全球经济发展营造了良好的氛围,同时也对社会各领域提出了新的挑战。电子商务的发展面临着新的问题与障碍,迫切要求政府制定相应的法律制度进行管理,法律建设必须不断地适应社会发展的需要。因此,制定新的法律规范,调整电子商务中产生的社会关系,规范人们相应的权利与义务,对于保障电子商务的健康发展十分必要的。

1)电子商务法律阐述

电子商务法律是指调整以电子交易和电子服务为核心的相关法律。电子商务活动发生的社会关系主要有一般商业活动所普遍存在的共有的社会关系和电子商务所特有的社会关系这两个方面。

2)国内外电子商务立法现状

要使我国电子商务快速稳健地发展,除了完备的技术支持和良好的经济环境外,与之相匹配的法律制度更是必不可少。

(1)我国电子商务法的立法原则

①安全性原则。电子商务法要把维护电子商务的安全放在重要位置。

②兼容性原则。电子商务的基础是因特网,因特网开放性的特点决定了电子商务本质上是全球性的商务活动,这也必然会导致法律的兼容性。

③动态性原则。电子商务发展迅猛,且目前仍处在高速发展过程中,新的法律问题还将随着电子商务的发展不断出现,因而能就目前已成熟或已经成共识的法律问题制定相应的法规,并随着电子商务发展而不断修改和完善。

④指导性原则。由于电子商务的主要活动是电子交易,而商业交易的主要特征是平等自愿,因此,电子商务立法应充分体现指导性原则,明确政府在发展电子商务中的地位。

⑤协调性原则。电子商务立法在解决问题的同时,还要注意与其他层面解决方案的协调,避免法出多门和因立法权与管理权冲突导致整个电子商务法律环境的无序。

(2)我国电子商务法的发展

《中华人民共和国合同法》首次明确了电子合同的合法地位,为我国电子商务的发展奠定了法律基础。随之,《首都电子商城电子商务规则》由首都电子商城起草并主持修订,经北京仲裁委员及相关法律界专家的多次研讨,不断修改完善。《电子签名法》的出台是我国电子商务发展的里程碑,它的颁布和实施必将扫除电子签名在电子商务、电子政务和其他领域中应用的法律障碍,极大地改善我国电子签名应用的法制环境,从而大力推动我国信息化的发展。我国电子签名法的起草,经历了征求意见稿、草案和最终稿三个阶段。整个起草过程也是对电子签名这一新型核证技术的认识逐步深化的过程。

3)电子商务环境中的税收问题

随着电子商务的发展,建立在国际互联网基础上的这种与传统的有形贸易完全不同的“虚拟”贸易形式不能被现有的税制所涵盖。电子商务的流动性、隐匿性及交易本身的数字化又与税务机关获取信息能力和税收征管水平不相适应,使之成为优良的“国际避税地”;导致传统贸易主体与网络贸易主体之间税负不公,给传统税收体制及税收管理模式带来了巨大冲击。

(1)国家税收管辖权的重新确认问题

随着电子商务的出现,跨国营业所得征税就不仅仅局限于国家税收管辖权的划分与两国间的协调问题了,更多的是由于电子商务交易的数字化、虚拟化、隐匿化和支付方式的电子化所带来的对交易场所、提供服务和产品的使用地难以在判断的问题上,从而也就使收入来源地税收管辖权失去了应有的效益。因此,对税收管辖权的重新确认问题已成为加强电子商务环境下税收管理的一个关键性问题。

同类推荐
  • 学困生转化技巧

    学困生转化技巧

    学校德育是学校教育阶段推行的道德教育活动,有狭义与广义之分。狭义的德育仅指道德教育;而广义的德育则泛指教育者把一定社会的政治原则、思想观点和道德规范,转化为受教育者的思想品德的社会实践活动,即一种培养学生社会理想人格,造就优秀道德品质,调节社会行为,形成良好社会舆论和社会风气的重要教育活动。
  • 指导青少年自然探索的故事(启发青少年的科学故事集)

    指导青少年自然探索的故事(启发青少年的科学故事集)

    本书是献给尊重科学、学习科学,创造科学的青少年的一份礼物。过去培根说:“知识就是力量。”今天我们说:“科学就是力量。”科学是智慧的历程和结晶。从人类期盼的最高精神境界讲,朝朝暮暮沿着知识的历程,逐步通向科学的光辉圣殿,是许多有志于自我发展的青少年晶莹透明的梦想!
  • 鲁滨逊漂流记(语文新课标课外必读第二辑)

    鲁滨逊漂流记(语文新课标课外必读第二辑)

    国家教育部颁布了最新《语文课程标准》,统称新课标,对中、小学语文教学指定了阅读书目,对阅读的数量、内容、质量以及速度都提出了明确的要求,这对于提高学生的阅读能力,培养语文素养,陶冶情操,促进学生终身学习和终身可持续发展,对于提高广大人民的文学素养具有极大的意义。
  • 语文新课标课外必读第三辑:朝花夕拾
  • 播音主持专业高考面试题解

    播音主持专业高考面试题解

    《播音主持专业高考面试题解》是为将来有机会投身于广播电视从事播音主持工作并希望顺利通过专业考试的高中学生准备的一本书。这本书既是一本指导专业考试的指南书,又是年轻的播音员主持人练习语言基本功的工具书。
热门推荐
  • 炼界师

    炼界师

    一个残疾的八岁小乞丐,阴差阳错之下,夺走了修仙者和修神者人人都想得到的神之心,又在命运的安排下,踏上了古老而凶险的修神路。他喜欢练剑,喜欢炼器,喜欢朋友,喜欢活在阳光下……后来,他想炼制一个神界。
  • 星际传奇自由的翅膀

    星际传奇自由的翅膀

    人类,虫族,星灵还有无数居住在宇宙深处的物种构建着斑斓的星空,这个伟大的宇宙究竟充斥了多少我们还不知道的神秘呢?
  • 宠夫成瘾:相公太呆萌

    宠夫成瘾:相公太呆萌

    都说兔子不吃窝边草,可也得看那草长得好不好。送上门来的小鲜草,不尝尝怎么对得起自己的胃。一道蛊,他成了她彻头彻尾的小跟班。某女:“让你吃草,你不能吃肉!”某男:“我是兔子,我不吃肉!”某女心满意足地摸摸他的头:“嗯,小兔子乖乖,姐姐带你吃肉去!”某男小声控诉:“我是兔子……”
  • 异界妖孽横行

    异界妖孽横行

    好不容易到了十级竟然迷路了!迷路就迷路了竟然遇到坑爹的奇遇任务!莫名其妙拜入饕餮族门下,上古神兽饕餮竟然是个肉乎乎的萌正太?!这让我情何以堪!没有轰轰烈烈的大波大浪。唯有细水长流的细腻小情感。对了对了,亲爱的11C,不要和我谈感情,伤钱...情节多以剧情为主,保证是1V1~
  • 惊世逸闻录

    惊世逸闻录

    这是。剑雨中的江湖。旧梦里的春风。和世人都会经历的。梦想与爱恨。
  • 最强小人物

    最强小人物

    成功,是不可复制的。崛起,不是一朝一夕之功。且看,文倜如何从微末中一步一步走上人生巅峰,以强者之态,俯瞰众生。
  • 文学是个什么玩意儿

    文学是个什么玩意儿

    本书汇集老中青三代著名作家,涵盖传统名家、畅销书作家、80后偶像作家、当红网络作家、著名诗人、以及著名文学评论家、出版人、教授等各个文学领域的顶尖人士,一起探讨文学,将他们对文学的看法、观点和见解,真实的呈现在读者面前,为广大读者揭开这些名家及其优秀作品的身世之谜。
  • 废柴嫡女之纨绔女医

    废柴嫡女之纨绔女医

    现代金牌特工一朝穿越,成为了古代被人人欺负,懦弱无能的废柴嫡女慕容家的大小姐,太子看不上,王爷,啊呸。进入原主身体的她,成为全京城第一鬼医。“谁若欺我慕容雪琳,定当让他(她)生不如死”。
  • 爱情遇到亲情

    爱情遇到亲情

    一个初到上海的女孩,遇到了一个对自己无微不至的学长,可是原先的青梅竹马却依旧喜欢着自己。故事开始了,该怎么结束?李韬知道自己的婚姻不是建立在爱情的基础上,自己的心里分明还有别人的影子,自己抛不下过去,却一定要抓住现在,爱情是折磨吗?李韬会毫不犹豫的回答,是的。爱情是折磨。雨泽从见到她的第一眼开始就深深的被吸引了,一个如此灵动的女孩,当自己全身心的投入到爱情里的时候,雨泽却发现自己满心喜欢的女孩,心里可能还装有别人。雨泽第一次这样的去爱,这是自己应该得到的回报吗?(本文纯属虚构,请勿模仿。)
  • 追逐光明的人

    追逐光明的人

    肖军,农村出生的贫寒少年,经历了从光明到黑暗的心里历程,自卑且有高傲的他是如何面对病魔的?他又告诉我们生活的意义。