登陆注册
13928700000015

第15章 网络与电子商务(6)

(5)通过一个节点来攻击其他节点

攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们常使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

(6)网络监听

网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。

(7)利用黑客软件攻击

利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice 2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。

(8)安全漏洞攻击

许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,结果系统还照常执行命令。

(9)端口扫描攻击

所谓端口扫描,就是利用Socket 编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷,等等。常用的扫描方式有:Connect 扫描和Fragmentation扫描。

2.4.2 网络安全

1)电子商务存在的安全问题

①潜在的安全隐患。原因是未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。

②未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

③安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统在改动相关安全产品的设置时,很容易产生许多安全问题。

④缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全,需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

2)商务交易安全

①窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

②篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。

③假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

④恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的重要信息,甚至可以潜入网络内部,其后果是非常严重的。

2.4.3 电子商务安全技术

1)加密技术

(1)对称加密/对称密钥加密/专用密钥加密

该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。

(2)非对称加密/公开密钥加密

这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。

(3)数字摘要

该方法亦称信息一摘要算法,Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128 bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。

(4)数字签名

信息是由签名者发送的,信息在传输过程中未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪,或冒用别人名义发送信息,或发出(收到)信件后又加以否认等情况发生。

(5)数字时间戳

它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要, DTS收到文件的日期和时间,DTS的数字签名。

(6)数字凭证

数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。

数字凭证有三种类型:个人凭证,企业(服务器)凭证,软件(开发者)凭证。

2) Internet电子邮件的安全协议

①PEM。是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。

②S/MIME。是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,是在MIME上定义安全服务措施的实施方式。

③PEM唱MIME。是将PEM和MIME两者的特性进行了结合。

3) Internet主要的安全协议

①SSL。是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。

②S唱HTTP。对HTTP扩充了安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

③STT。STT将认证和解密在浏览器中分离开,用以提高安全控制能力。

④SET。SET 1 .0版已经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。主要文件是SET业务描述、SET程序员指南和SET协议描述。

4) UN/EDIFACT的安全

UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要的问题。

5)虚拟专用网(VPN)

它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。

6)数字认证

用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。

目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。

7)认证中心(CA)

CA的基本功能是:生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。

8)防火墙技术

防火墙具有以下五大基本功能:

①过滤进/出网络的数据;

②管理进/出网络的访问行为;

③封堵某些禁止行为;

④记录通过防火墙的信息内容和活动;

⑤对网络攻击进行检测和警告。

目前的防火墙主要有两种类型:一是过滤型防火墙;二是应用级防火墙。

9)入侵检测

入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。

2.4.4 网上创业法律环境

现阶段,我国网上经营的法律制度还不健全,传统的法律如何在网络环境中应用还处在理论探讨阶段。电子合同、在线支付、产品交付等问题有了初步的法律规范,但还没有做全面的法律保护。个人隐私保护,欺诈等问题困扰着消费者,使之不敢大胆地在网上购物。特别是没有一个比较完善的网上信用评价与监控体系,致使“收货不付钱”“收钱不发货的”欺诈行为时有发生,导致消费者信心下降,经营者信誉下降。

电子商务不仅为全球经济发展营造了良好的氛围,同时也对社会各领域提出了新的挑战。电子商务的发展面临着新的问题与障碍,迫切要求政府制定相应的法律制度进行管理,法律建设必须不断地适应社会发展的需要。因此,制定新的法律规范,调整电子商务中产生的社会关系,规范人们相应的权利与义务,对于保障电子商务的健康发展十分必要的。

1)电子商务法律阐述

电子商务法律是指调整以电子交易和电子服务为核心的相关法律。电子商务活动发生的社会关系主要有一般商业活动所普遍存在的共有的社会关系和电子商务所特有的社会关系这两个方面。

2)国内外电子商务立法现状

要使我国电子商务快速稳健地发展,除了完备的技术支持和良好的经济环境外,与之相匹配的法律制度更是必不可少。

(1)我国电子商务法的立法原则

①安全性原则。电子商务法要把维护电子商务的安全放在重要位置。

②兼容性原则。电子商务的基础是因特网,因特网开放性的特点决定了电子商务本质上是全球性的商务活动,这也必然会导致法律的兼容性。

③动态性原则。电子商务发展迅猛,且目前仍处在高速发展过程中,新的法律问题还将随着电子商务的发展不断出现,因而能就目前已成熟或已经成共识的法律问题制定相应的法规,并随着电子商务发展而不断修改和完善。

④指导性原则。由于电子商务的主要活动是电子交易,而商业交易的主要特征是平等自愿,因此,电子商务立法应充分体现指导性原则,明确政府在发展电子商务中的地位。

⑤协调性原则。电子商务立法在解决问题的同时,还要注意与其他层面解决方案的协调,避免法出多门和因立法权与管理权冲突导致整个电子商务法律环境的无序。

(2)我国电子商务法的发展

《中华人民共和国合同法》首次明确了电子合同的合法地位,为我国电子商务的发展奠定了法律基础。随之,《首都电子商城电子商务规则》由首都电子商城起草并主持修订,经北京仲裁委员及相关法律界专家的多次研讨,不断修改完善。《电子签名法》的出台是我国电子商务发展的里程碑,它的颁布和实施必将扫除电子签名在电子商务、电子政务和其他领域中应用的法律障碍,极大地改善我国电子签名应用的法制环境,从而大力推动我国信息化的发展。我国电子签名法的起草,经历了征求意见稿、草案和最终稿三个阶段。整个起草过程也是对电子签名这一新型核证技术的认识逐步深化的过程。

3)电子商务环境中的税收问题

随着电子商务的发展,建立在国际互联网基础上的这种与传统的有形贸易完全不同的“虚拟”贸易形式不能被现有的税制所涵盖。电子商务的流动性、隐匿性及交易本身的数字化又与税务机关获取信息能力和税收征管水平不相适应,使之成为优良的“国际避税地”;导致传统贸易主体与网络贸易主体之间税负不公,给传统税收体制及税收管理模式带来了巨大冲击。

(1)国家税收管辖权的重新确认问题

随着电子商务的出现,跨国营业所得征税就不仅仅局限于国家税收管辖权的划分与两国间的协调问题了,更多的是由于电子商务交易的数字化、虚拟化、隐匿化和支付方式的电子化所带来的对交易场所、提供服务和产品的使用地难以在判断的问题上,从而也就使收入来源地税收管辖权失去了应有的效益。因此,对税收管辖权的重新确认问题已成为加强电子商务环境下税收管理的一个关键性问题。

同类推荐
  • 成长人生必修课(指导学生身心健康发展故事集)

    成长人生必修课(指导学生身心健康发展故事集)

    学生时代,是一个充满理想的季节,也是人体发育的转折关键期,这一时期,如何正确认识和对待自己的生理变化,怎样面对生活和生理的各种烦恼,是决定青少年身心是否健康的关键。
  • 文学艺术家(语文新课标课外读物)

    文学艺术家(语文新课标课外读物)

    语文新课标指定了中小学生的阅读书目,对阅读的数量、内容、质量以及速度都提出了明确的要求,这对于提高广大学生的阅读写作能力,培养语文素养,促进终身学习等具有深远的意义。
  • 仓储与配送

    仓储与配送

    全书共12章,着重介绍了仓讲与配送管理的基础知识,基本理论和操作方法,其中第一部分包括仓库的功能和分类、仓储设施、仓储管理、信息技术在仓库管理中的应用和特殊货物仓储管理等内容;第二部分包括商品配送、配送作业、配送中心的管理,配送成本的经济指标分析、电子商务与物流配送,跨国配送,配送的发展趋势等内容。每章都安排学习目标,关键概念、小结、思考题、案例分析等。既可作为高职院校物流管理、电子商务、物资管理、市场营销、国际贸易及相关专业的教学用书,也可作为仓库、港口、场站、物流中心、企事业单位的物流管理部门的物流业务培训用书。
  • 学生提高记忆能力的方法

    学生提高记忆能力的方法

    学生怎样学习才能达到最好的效果,一直是众多教师和家长非常关注的问题。要解决这个问题,不同的人能提出上千种不同的方法,但最根本的一条,则是大家都认可的,那就是运用良好的学习方法,这是一条行之有效的学习途径。学习方法是指通过许许多多人的学习实践,总结出来的快速掌握知识的方法。因其以学习掌握知识的效率有关,所以受到大家的特别重视。学习方法并没有统一的标准和规定,它因个人条件的不同,选取的方法也有一定的差别。
  • 彷徨(语文新课标课外必读第二辑)

    彷徨(语文新课标课外必读第二辑)

    国家教育部颁布了最新《语文课程标准》,统称新课标,对中、小学语文教学指定了阅读书目,对阅读的数量、内容、质量以及速度都提出了明确的要求,这对于提高学生的阅读能力,培养语文素养,陶冶情操,促进学生终身学习和终身可持续发展,对于提高广大人民的文学素养具有极大的意义。
热门推荐
  • 傲娇萌妃:殿下,不从

    傲娇萌妃:殿下,不从

    想要从一个逗比二货骚女,转变成亭亭玉立淑女,那么,苏默告诉你,绝对不可能!想要从爱财如命的花痴女,转变成仗义疏财优雅女,那么,苏默再一次告诉你,绝对不可能!王府调教,改不了她的本性;皇宫惩罚,去不掉她的大胆;江湖教训,更抹不掉她对他的爱。
  • 天价谋婚

    天价谋婚

    林悠然一次偶然的机会,演祝皓澜的女朋友,并且迅速上位,演这霸道大少的未婚妻,每周要回去看望奶奶,每半个月要参加家族聚会,并且要出席祝皓澜各种需要女伴的宴会……事实证明,生活中的演戏,比戏棚子里面的还忙……祝大少诱哄:老婆今天天色不早了……林悠然根本不搭理某不满男:剧本还没有背完,我的最佳女主角奖还没到手呢!
  • 总裁大人,极性宠爱

    总裁大人,极性宠爱

    犯二女主赵紫曦从鸟不拉屎的墨城来到富可敌国的维都,谁知她来的第一天就被总裁大人带回去串烧、清蒸做蛋糕。她终于明白什么叫“童话里的故事都是骗人的”,是谁说总裁的人高冷帅气?为什么在她成功撩了总裁大人后就被总裁大人花样“锻炼身体”?她发誓,要是时间可以倒流,她宁愿露宿街头也不愿在狼窝借宿一宿,太惊悚太刺激太劲爆!简直吓死赵紫曦宝宝了!“为啥是我?”赵紫曦二百五十次窝在墙角。“因为你会伺候我”总裁大人邪魅一笑。“那你干嘛不去找小姐啊,她们比我更会伺候总裁大人你啊!”“不会,你比小姐伺候的还爽。”听了这话,赵紫曦默默握起拳头:你是在夸我还是在损我啊……(虐狗文)
  • 我的万能屋

    我的万能屋

    一屋在手,天下我有。你觉得可能么?呵呵,这尼玛是个什么坑货万能屋!拿走拿走,老子不稀罕。必须要完成998个任务才能解除绑定!!!靠,且看机智青年如何玩转异界~
  • 蜜爱陷阱:金牌小娇妻

    蜜爱陷阱:金牌小娇妻

    季慕粼发誓,祁一辰是她见过最嚣张的谋杀嫌疑人她还了他清白和自由,却给自己招惹了一块甩不掉的牛皮糖。他宠她宠到无法无天,于是全城都知道,祁家大少爷看上了本城排名第一的金牌大律师。她饿了,祁一辰纡尊降贵给她送外卖;她不开心了,祁大少酒吧包场只让她一个人平安买醉。可谁知道所有的甜蜜不过一场致命游戏,他霸道地将她禁锢:季慕粼,你欠我的我会一一讨回。而她高傲地冷笑:那你拿走的属于我的心,我是不是也能拿回来了?
  • 穿越之刁蛮千金在唐朝

    穿越之刁蛮千金在唐朝

    千金小姐颜苏素在一次空中跳伞活动,竟然跳到唐朝来了.掉到人称金算盘的铁公鸡家里,还不慎烧掉他的客房.欠下巨款,必须还清这笔钱才放她走.全国首富尹仲天愿意来救她,他的条件是要和他假成亲,三年之后就还她自由,还可以得到一栋房子和十万两银子.在这个无依无靠的年代,有这种好事,岂能不答应.刁蛮可爱、天真机灵的千金大小姐在唐朝将会掀起怎样的风浪.面对尹家兄弟,还有用情至深小王爷的李君祥,她该如何决择
  • 逆世妖华

    逆世妖华

    她,是华夏暗黑世界的王者,一朝魂穿,却成了苍穹帝国叶家废柴大小姐。王者之魂怎堪凌/辱,异世大陆又如何,她照样逆天而行,神挡杀神佛挡杀佛!驯兽师了不起?妖皇在此就是神龙你也得给我趴着!魂师又怎么样?在本皇面前也只有变成白痴的份儿!丹药师很牛逼啊,信不信本皇用仙丹砸死你!会炼器了不起?神鼎在手神马都是浮云!他,冷情寡性从不把任何人放在眼里,却独独对她势在必得。她和他,一个废柴逆袭惊才艳艳,一个霸绝天下冷魅无双,当他们相遇,结局便已注定……
  • 未来之机甲女王

    未来之机甲女王

    见证了母亲柔弱悲惨的爱情直到最后凄惨死去,让她对爱情冷漠。被人失手推下楼,却穿越到千年后的未来,一个富家庶女身上。因为原主的废物,让她在学校倍受排挤,家里被嫌弃。一次偶然为了保护母亲激发了潜能。从此以后她便不再是废物,在还未强大之前,她不仅要面对大夫人刁难,同父异母姐姐的挑衅,还要平复父亲的不信任。看她身怀惊世异能如何找到那立足之机,如何站在那强者之颠?
  • 乾坤神皇

    乾坤神皇

    中古玄天超级高手寒十月遭人围攻,身死道消之际,偶得乾坤戒,一缕残魂重生下古玄天,从此我命由我不由天,踏破苍穹我为巅!
  • 苏蓠落

    苏蓠落

    大陆之上,城池纷争。她为五大杀手之一,却天真善良,心地善良,从未杀过一人。世间最强者、最权者为她倾倒,世间之中,独爱她一人。她可以为最尊者。然而,她却深陷困境之中,原来一切都只是一场早已经预谋已久的阴谋。当与最爱的他反目成仇之时;当自己周围之人一一消亡之时;当自己绝望之际,世间唯独只有他一人不离不弃,而她心中却是......她多希望一切都在阴谋刚开始的时候,一切都是那么的美好。深陷绝境,失去一切的她,面对他,又将是如何抉择......是血杀,还是另一种......