书城教材教辅网上创业(高等院校电子商务专业本科系列教材)
18100800000015

第15章 网络与电子商务(6)

(5)通过一个节点来攻击其他节点

攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们常使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

(6)网络监听

网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。

(7)利用黑客软件攻击

利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice 2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。

(8)安全漏洞攻击

许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,结果系统还照常执行命令。

(9)端口扫描攻击

所谓端口扫描,就是利用Socket 编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷,等等。常用的扫描方式有:Connect 扫描和Fragmentation扫描。

2.4.2 网络安全

1)电子商务存在的安全问题

①潜在的安全隐患。原因是未进行操作系统相关安全配置。不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。

②未进行CGI程序代码审计。网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

③安全产品使用不当。由于一些网络安全设备本身的问题或使用问题,这些产品并没有起到应有的作用。很多厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但系统在改动相关安全产品的设置时,很容易产生许多安全问题。

④缺少严格的网络安全管理制度。网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全,需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

2)商务交易安全

①窃取信息。由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

②篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。

③假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

④恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的重要信息,甚至可以潜入网络内部,其后果是非常严重的。

2.4.3 电子商务安全技术

1)加密技术

(1)对称加密/对称密钥加密/专用密钥加密

该方法对信息的加密和解密都使用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。

(2)非对称加密/公开密钥加密

这种加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,而另一把则作为专用密钥加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。

(3)数字摘要

该方法亦称信息一摘要算法,Hash编码法或MD5。采用单向Hash函数将需加密的明文“摘要”成一串128 bit的密文,即数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这摘要便可成为验证明文是否是“真身”的“指纹”了。

(4)数字签名

信息是由签名者发送的,信息在传输过程中未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪,或冒用别人名义发送信息,或发出(收到)信件后又加以否认等情况发生。

(5)数字时间戳

它是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要, DTS收到文件的日期和时间,DTS的数字签名。

(6)数字凭证

数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。它包含:凭证拥有者的姓名;凭证拥有者的公共密钥;公共密钥的有效期;颁发数字凭证的单位;数字凭证的序列号;颁发数字凭证单位的数字签名。

数字凭证有三种类型:个人凭证,企业(服务器)凭证,软件(开发者)凭证。

2) Internet电子邮件的安全协议

①PEM。是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。

②S/MIME。是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议,是在MIME上定义安全服务措施的实施方式。

③PEM唱MIME。是将PEM和MIME两者的特性进行了结合。

3) Internet主要的安全协议

①SSL。是向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。

②S唱HTTP。对HTTP扩充了安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。

③STT。STT将认证和解密在浏览器中分离开,用以提高安全控制能力。

④SET。SET 1 .0版已经公布并可应用于任何银行支付服务。它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。主要文件是SET业务描述、SET程序员指南和SET协议描述。

4) UN/EDIFACT的安全

UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要的问题。

5)虚拟专用网(VPN)

它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。

6)数字认证

用电子方式证明信息发送者和接收者的身份、文件的完整性(如一张发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。

目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。

7)认证中心(CA)

CA的基本功能是:生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。

8)防火墙技术

防火墙具有以下五大基本功能:

①过滤进/出网络的数据;

②管理进/出网络的访问行为;

③封堵某些禁止行为;

④记录通过防火墙的信息内容和活动;

⑤对网络攻击进行检测和警告。

目前的防火墙主要有两种类型:一是过滤型防火墙;二是应用级防火墙。

9)入侵检测

入侵检测技术是防火墙技术的合理补充,其主要内容有:入侵手段与技术、分布式入侵检测技术、智能入侵检测技术以及集成安全防御方案等。

2.4.4 网上创业法律环境

现阶段,我国网上经营的法律制度还不健全,传统的法律如何在网络环境中应用还处在理论探讨阶段。电子合同、在线支付、产品交付等问题有了初步的法律规范,但还没有做全面的法律保护。个人隐私保护,欺诈等问题困扰着消费者,使之不敢大胆地在网上购物。特别是没有一个比较完善的网上信用评价与监控体系,致使“收货不付钱”“收钱不发货的”欺诈行为时有发生,导致消费者信心下降,经营者信誉下降。

电子商务不仅为全球经济发展营造了良好的氛围,同时也对社会各领域提出了新的挑战。电子商务的发展面临着新的问题与障碍,迫切要求政府制定相应的法律制度进行管理,法律建设必须不断地适应社会发展的需要。因此,制定新的法律规范,调整电子商务中产生的社会关系,规范人们相应的权利与义务,对于保障电子商务的健康发展十分必要的。

1)电子商务法律阐述

电子商务法律是指调整以电子交易和电子服务为核心的相关法律。电子商务活动发生的社会关系主要有一般商业活动所普遍存在的共有的社会关系和电子商务所特有的社会关系这两个方面。

2)国内外电子商务立法现状

要使我国电子商务快速稳健地发展,除了完备的技术支持和良好的经济环境外,与之相匹配的法律制度更是必不可少。

(1)我国电子商务法的立法原则

①安全性原则。电子商务法要把维护电子商务的安全放在重要位置。

②兼容性原则。电子商务的基础是因特网,因特网开放性的特点决定了电子商务本质上是全球性的商务活动,这也必然会导致法律的兼容性。

③动态性原则。电子商务发展迅猛,且目前仍处在高速发展过程中,新的法律问题还将随着电子商务的发展不断出现,因而能就目前已成熟或已经成共识的法律问题制定相应的法规,并随着电子商务发展而不断修改和完善。

④指导性原则。由于电子商务的主要活动是电子交易,而商业交易的主要特征是平等自愿,因此,电子商务立法应充分体现指导性原则,明确政府在发展电子商务中的地位。

⑤协调性原则。电子商务立法在解决问题的同时,还要注意与其他层面解决方案的协调,避免法出多门和因立法权与管理权冲突导致整个电子商务法律环境的无序。

(2)我国电子商务法的发展

《中华人民共和国合同法》首次明确了电子合同的合法地位,为我国电子商务的发展奠定了法律基础。随之,《首都电子商城电子商务规则》由首都电子商城起草并主持修订,经北京仲裁委员及相关法律界专家的多次研讨,不断修改完善。《电子签名法》的出台是我国电子商务发展的里程碑,它的颁布和实施必将扫除电子签名在电子商务、电子政务和其他领域中应用的法律障碍,极大地改善我国电子签名应用的法制环境,从而大力推动我国信息化的发展。我国电子签名法的起草,经历了征求意见稿、草案和最终稿三个阶段。整个起草过程也是对电子签名这一新型核证技术的认识逐步深化的过程。

3)电子商务环境中的税收问题

随着电子商务的发展,建立在国际互联网基础上的这种与传统的有形贸易完全不同的“虚拟”贸易形式不能被现有的税制所涵盖。电子商务的流动性、隐匿性及交易本身的数字化又与税务机关获取信息能力和税收征管水平不相适应,使之成为优良的“国际避税地”;导致传统贸易主体与网络贸易主体之间税负不公,给传统税收体制及税收管理模式带来了巨大冲击。

(1)国家税收管辖权的重新确认问题

随着电子商务的出现,跨国营业所得征税就不仅仅局限于国家税收管辖权的划分与两国间的协调问题了,更多的是由于电子商务交易的数字化、虚拟化、隐匿化和支付方式的电子化所带来的对交易场所、提供服务和产品的使用地难以在判断的问题上,从而也就使收入来源地税收管辖权失去了应有的效益。因此,对税收管辖权的重新确认问题已成为加强电子商务环境下税收管理的一个关键性问题。