登陆注册
13928700000015

第15章 网络与电子商务(6)

(5)通过一个节点来攻击其他节点

攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们常使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

(6)网络监听

网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。

(7)利用黑客软件攻击

利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice 2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。

(8)安全漏洞攻击

许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,结果系统还照常执行命令。

(9)端口扫描攻击

所谓端口扫描,就是利用Socket 编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷,等等。常用的扫描方式有:Connect 扫描和Fragmentation扫描。

2.4.2 网络安全

1)电子商务存在的安全问题

①潜在的安全隐患。原因是未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。

②未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

③安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统在改动相关安全产品的设置时,很容易产生许多安全问题。

④缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全,需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

2)商务交易安全

①窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

②篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。

③假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

④恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的重要信息,甚至可以潜入网络内部,其后果是非常严重的。

2.4.3 电子商务安全技术

1)加密技术

(1)对称加密/对称密钥加密/专用密钥加密

该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。

(2)非对称加密/公开密钥加密

这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。

(3)数字摘要

该方法亦称信息一摘要算法,Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128 bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。

(4)数字签名

信息是由签名者发送的,信息在传输过程中未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪,或冒用别人名义发送信息,或发出(收到)信件后又加以否认等情况发生。

(5)数字时间戳

它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要, DTS收到文件的日期和时间,DTS的数字签名。

(6)数字凭证

数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。

数字凭证有三种类型:个人凭证,企业(服务器)凭证,软件(开发者)凭证。

2) Internet电子邮件的安全协议

①PEM。是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。

②S/MIME。是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,是在MIME上定义安全服务措施的实施方式。

③PEM唱MIME。是将PEM和MIME两者的特性进行了结合。

3) Internet主要的安全协议

①SSL。是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。

②S唱HTTP。对HTTP扩充了安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

③STT。STT将认证和解密在浏览器中分离开,用以提高安全控制能力。

④SET。SET 1 .0版已经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。主要文件是SET业务描述、SET程序员指南和SET协议描述。

4) UN/EDIFACT的安全

UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要的问题。

5)虚拟专用网(VPN)

它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。

6)数字认证

用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。

目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。

7)认证中心(CA)

CA的基本功能是:生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。

8)防火墙技术

防火墙具有以下五大基本功能:

①过滤进/出网络的数据;

②管理进/出网络的访问行为;

③封堵某些禁止行为;

④记录通过防火墙的信息内容和活动;

⑤对网络攻击进行检测和警告。

目前的防火墙主要有两种类型:一是过滤型防火墙;二是应用级防火墙。

9)入侵检测

入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。

2.4.4 网上创业法律环境

现阶段,我国网上经营的法律制度还不健全,传统的法律如何在网络环境中应用还处在理论探讨阶段。电子合同、在线支付、产品交付等问题有了初步的法律规范,但还没有做全面的法律保护。个人隐私保护,欺诈等问题困扰着消费者,使之不敢大胆地在网上购物。特别是没有一个比较完善的网上信用评价与监控体系,致使“收货不付钱”“收钱不发货的”欺诈行为时有发生,导致消费者信心下降,经营者信誉下降。

电子商务不仅为全球经济发展营造了良好的氛围,同时也对社会各领域提出了新的挑战。电子商务的发展面临着新的问题与障碍,迫切要求政府制定相应的法律制度进行管理,法律建设必须不断地适应社会发展的需要。因此,制定新的法律规范,调整电子商务中产生的社会关系,规范人们相应的权利与义务,对于保障电子商务的健康发展十分必要的。

1)电子商务法律阐述

电子商务法律是指调整以电子交易和电子服务为核心的相关法律。电子商务活动发生的社会关系主要有一般商业活动所普遍存在的共有的社会关系和电子商务所特有的社会关系这两个方面。

2)国内外电子商务立法现状

要使我国电子商务快速稳健地发展,除了完备的技术支持和良好的经济环境外,与之相匹配的法律制度更是必不可少。

(1)我国电子商务法的立法原则

①安全性原则。电子商务法要把维护电子商务的安全放在重要位置。

②兼容性原则。电子商务的基础是因特网,因特网开放性的特点决定了电子商务本质上是全球性的商务活动,这也必然会导致法律的兼容性。

③动态性原则。电子商务发展迅猛,且目前仍处在高速发展过程中,新的法律问题还将随着电子商务的发展不断出现,因而能就目前已成熟或已经成共识的法律问题制定相应的法规,并随着电子商务发展而不断修改和完善。

④指导性原则。由于电子商务的主要活动是电子交易,而商业交易的主要特征是平等自愿,因此,电子商务立法应充分体现指导性原则,明确政府在发展电子商务中的地位。

⑤协调性原则。电子商务立法在解决问题的同时,还要注意与其他层面解决方案的协调,避免法出多门和因立法权与管理权冲突导致整个电子商务法律环境的无序。

(2)我国电子商务法的发展

《中华人民共和国合同法》首次明确了电子合同的合法地位,为我国电子商务的发展奠定了法律基础。随之,《首都电子商城电子商务规则》由首都电子商城起草并主持修订,经北京仲裁委员及相关法律界专家的多次研讨,不断修改完善。《电子签名法》的出台是我国电子商务发展的里程碑,它的颁布和实施必将扫除电子签名在电子商务、电子政务和其他领域中应用的法律障碍,极大地改善我国电子签名应用的法制环境,从而大力推动我国信息化的发展。我国电子签名法的起草,经历了征求意见稿、草案和最终稿三个阶段。整个起草过程也是对电子签名这一新型核证技术的认识逐步深化的过程。

3)电子商务环境中的税收问题

随着电子商务的发展,建立在国际互联网基础上的这种与传统的有形贸易完全不同的“虚拟”贸易形式不能被现有的税制所涵盖。电子商务的流动性、隐匿性及交易本身的数字化又与税务机关获取信息能力和税收征管水平不相适应,使之成为优良的“国际避税地”;导致传统贸易主体与网络贸易主体之间税负不公,给传统税收体制及税收管理模式带来了巨大冲击。

(1)国家税收管辖权的重新确认问题

随着电子商务的出现,跨国营业所得征税就不仅仅局限于国家税收管辖权的划分与两国间的协调问题了,更多的是由于电子商务交易的数字化、虚拟化、隐匿化和支付方式的电子化所带来的对交易场所、提供服务和产品的使用地难以在判断的问题上,从而也就使收入来源地税收管辖权失去了应有的效益。因此,对税收管辖权的重新确认问题已成为加强电子商务环境下税收管理的一个关键性问题。

同类推荐
  • 一起开始的旅程

    一起开始的旅程

    品德即道德品质,是道德在个体身上的体现,是指个人按社会规范行动时所表现出来的稳定特性,是人们依据一定的社会道德准则和规范行动时,对社会、对他人、对周围事物所表现出来的稳定的心理特征或倾向。
  • 企业会计业务核算与财务报告编制

    企业会计业务核算与财务报告编制

    企业会计业务核算与财务报告编制(第2版)》以会计职业能力培养为目标,以会计报表项目(会计科目)――会计报表――会计调整顺序组织内容,分为十五章。编写中结合高职高专会计专业教学的特点,在结构、体例、理念、教学内容等方面均有改革与创新,充分考虑到相关行业的职业资格认证需求,对接与会计从业资格、初级会计资格、中级会计师等认证有关的课程。
  • 苦儿流浪记(语文新课标课外读物)

    苦儿流浪记(语文新课标课外读物)

    语文新课标指定了中小学生的阅读书目,对阅读的数量、内容、质量以及速度都提出了明确的要求,这对于提高广大学生的阅读写作能力,培养语文素养,促进终身学习等具有深远的意义。
  • 汤姆·索亚历险记(语文新课标课外读物)

    汤姆·索亚历险记(语文新课标课外读物)

    现代中、小学生不能只局限于校园和课本,应该广开视野,广长见识,广泛了解博大的世界和社会,不断增加丰富的现代社会知识和世界信息,才有所精神准备,才能迅速地长大,将来才能够自由地翱翔于世界蓝天。否则,我们将永远是妈妈怀抱中的乖宝宝,将永远是温室里面的豆芽菜,那么,我们将怎样走向社会、走向世界呢?
  • 世界经典名著导读(快乐校园精品读物丛书)

    世界经典名著导读(快乐校园精品读物丛书)

    《快乐校园精品读物丛书:世界经典名著导读》无论从题材还是形式、风格上,都比较典型多样,同时贴近生活实际,具有一定的感染力,突出了“快乐阅读”和“精品读物”的主题,但是又具有一定的教育意义,能够使读者快乐之余还能够从文字中体验到名家的人生感悟。
热门推荐
  • 末战之王者归来

    末战之王者归来

    新人,新书,新思想,好事,好文,好作品,看着,看着,看不腻。
  • 金钱逻辑

    金钱逻辑

    本书以简洁、轻松的语言详细阐释了MBA商学院100个最有效的理财观念、方法和诀窍以及随书附录家庭理财必须懂得的50条经营定律,它可以解决个人投资与家庭理财96%的问题!对储蓄、保险、股票、债券、基金、信托、黄金、外汇、期货、房地产、典当、收藏、创业等方面都适用。这可能不是一本令你热血沸腾的理财宝典,但它一定是最冷静和最理性的理财入门书。
  • 倾城天下:八女来袭

    倾城天下:八女来袭

    异世灵魂穿越而来,八个虽身怀绝技,但却腹黑、无良、无耻,集奸诈狡猾于一身,且又极其护短的异世王者们,在一个月黑风高的夜晚,扬言要摆脱前世的束缚、闯荡世界、名扬天下!
  • 如柒而煜

    如柒而煜

    莫问空城终城空,天意如此何为凄?冷玉未暖君之心,凄凄惨惨戚戚。
  • 我的专属邪魅王子

    我的专属邪魅王子

    你说我们只能分道扬镳,最后沦落天涯。我不信,所以当我以一个全新的女孩站在你面前,你还是一样被我征服。可是这次轮到我放手了,最后的最后以你所见,分道扬镳然后沦落天涯。时光到尽头时我身边的人,不是你。【我淋过最大的雨,是你烈日下的不回头。】
  • 霸道总裁:小妻甜甜宠

    霸道总裁:小妻甜甜宠

    “你……你放开我!”“我不放,一辈子也不放!”
  • 凉昔,来年匆匆

    凉昔,来年匆匆

    “轻轻的我走了,正如我轻轻地来”呆萌却又不是很呆萌的夏九黎一直过着平静的生活,自从一个腹黑毒舌的帅哥出现后,她的生活脱离轨迹。帅哥萧祾淞的关注使夏九黎倍受女生敌视,但萧祾淞死皮赖脸地赖在夏九黎身边:“我这么麻烦,你还要我吗?”夏九黎翻翻白眼:“当初你走时就该想到这个问题了。”萧祾淞囧了,他的小呆萌怎么变聪明了?
  • 非正常的世界

    非正常的世界

    世界已经被遮掩,掀开这张遮布,便能看到那些被隐藏的东西。起点新坑:《东华与疾风》求个支持。
  • 极品僵尸在都市

    极品僵尸在都市

    在英伦敦被古老华夏国的僵尸咬了后,罗殷成了西方世界的第二头华夏国僵尸。七年后,罗殷回国,一头极品僵尸,将会在滚滚红尘中游荡出怎样一番精彩。当僵尸不惧了阳光,思维跟正常人无异,一头有智慧的极品小僵尸,又会在都市中演绎出怎样一番波澜……
  • 形象美化漂亮女人

    形象美化漂亮女人

    爱美之心人皆有之,你美丽,你就会吸引人们的眼球。无论男人还是女人,谁会忍心让一个闭月羞花的女人伤心难过?所以,美丽是女人的优势,你应该记住这一点。女人应该认识自己的美丽,追求魅力与独特之处,并将美丽这一优势运用得适当有度,这是女人应该修炼的一种素质。天生丽质的女人不少,真正懂得运用它的却不是很多。你是美丽的女性吗?那么把握住自己的优势,尽显你的美丽吧你觉得自己还不够美丽吗?那么从现在开始,努力把自己打造成—个美丽动人的女人吧!