商务网站攻击种类有哪些_商务网站攻击种类

hacker|
222

电子商务的四大风险型别

电子商务的四大风险型别

20世纪90年代中期,随着网路技术的发展和世界经济一体化趋势的加强,电子商务(EC)诞生于美国。电子商务大师KALAKOTA和wHIN—STON对EC的定义至少包括了两部分:前端的企业对消费者的电子商务(B2C),包括线上广告、商品的目录展示、线上购物、客户资料收集及营销策划等;后端企业对企业的电子商务(B2B),包括企业间的业务流程管理、电子交易、电子资料交换、资料收集及决策支援、电子金融交换等。当然,还存在另一种的电子商务,即企业内部的Ec,指通过防火墙技术,将企业内部网与网际网路隔开,用内部网自动处理日常管理工作,保持企业与客户、消费者以及企业组织内部之间的联络。电子商务本质上是对企业资讯流电子化、网路化。它可以减少中间环节,降低运营费用,从而降低实际的交易成本;可以实现零交货期、零库存,保证实时生产,从而显著地降低生产成本;它还可以有利于售前售后服务,方便顾客参与产品开发,从而使产品更符合个性化的要求。

电子商务的风险性与安全性问题越来越受到人们的关注。从电子商务角度看,风险是指秘密资料丢失的可能性,或者由于资料或程式的被破坏、生成和使用,伤害到他人利益的可能性,这也包括硬体被破坏的可能性。所以,分析电子商务中可能存在的各种风险,并采取相应的风险管理和安全防范措施尤为重要。

一、电子商务风险的型别

(一)消费者所面临的风险

1.虚假的或恶意的网站。恶意网站一般都是为窃取访问者的身份证资讯与口令、窃取信用卡资讯、偷窥访问者的硬碟或从访问者硬碟中下载档案而设立的。窃取访问者的身份证资讯与口令的手段是设立一个恶意的网站,要求使用者“注册”并给出一个口令。口令是使用者自愿给出的,只有在这同一口令被使用者同时应用于许多不同事务时,如自动取款机(ATM)卡、与工作有关的口令以家庭安全警报口令等,才可能对使用者造成危害。.

2.从销售代理及因特网服务供应商(IsP)处窃取使用者资料。使用者在因特网上购买商品与服务,包括通过IsP连人因特网,一般都采用信用卡付款方式。信用卡资讯为销售代理或ISP储存。对于使用者们来说,不幸的是,黑客们偶尔会成功地闯入销售代理或ISP的系统,攫取使用者的信用卡资料。

3.隐私问题:在网上个人资讯,包括个人资料、消费习惯、阅读习惯、交往资讯、通讯资讯等,都很容易被商家和网路经营者收集和利用,而这些收集和利用不仅会侵犯使用者的一些隐私权,还可能成为其他侵权或骚扰行为的铺垫。

(二)销售商所面临的风险

当提及电子商务的风险时,总习惯认为是客户面临的风险,其实销售商面临的风险也很大。

在电子商务中,销售商面临的风险主要有三方面,即假客户、被封锁服务和资料被窃。

1.假客户。假客户是指一些人假扮合法客户

来订购产品或服务。例如,用假信用卡号来骗取免费服务和免费产品,或者要求送货而没有人来支付。

2.被封锁服务。被封锁服务是指销售商的计算机和网路资源被黑客攻击和封锁。这类攻击程式的程式码,在一些黑客程式的网址上很容易找到,而且很难被追踪到。

3.资料被窃。资料被窃是销售商们面临的一种很常见的风险。对于那些以数字化形式存贮的,并连线到公共通讯线路上的资料档案来说,黑客可以随时、随地作案,而且很难被追踪到。

4.域名的注册。在电子商务发展的初期,人们对域名的重要性并没有充分认识,许多企业、公司疏于对网路世界的关注,对自己的公司名称、商标、商号、个人姓名等未进行及时的域名注册,结果导致与他们相关的名称被他人以相同或者近似的名称捷足先登,给组织造成不必要的损失。例如:康柏计算机公司曾于1998年出500万美元回购了被他人抢注的域名。而且目前我国正面临着域名注册管理制度的不严谨状态,在利益的驱动下,出现了专门以注册他人公司名称、商标等域名作为常业,又以高价出售这些域名的单位和个人(被称为网路蟑螂)。

(三)企业所面临的风险

许多企业已经开始构建内部网Intra,随着网路技术的发展,企业可以将自己的Intra同其他企业的Intra或开放的Intemet网相连,构成强大的网路通讯世界。这样,企业内部各部门之间、企业同合作伙伴之间及同顾客之间都可以进行实时的资讯交流。但这样的网路互连也存在很大的风险性,归纳起来主要包括:企业内部网的风险、企业间进行商务活动时的风险。

1.企业内部网的风险。据统计,对网路系统的攻击有85%是来自企业内部的黑客。这些黑客,可能是企业从前的雇员,也可能是在职员工。

企业内部网的风险主要有两种:金融诈骗、盗取档案或资料。金融诈骗是指更改企业计算机内财务方面的记录,以骗得企业的钱财或为减免税等。这种风险的作案手段很多,有采用黑客程式的,更多的则是贿赂有关操作人员。盗取档案或资料是一种很常见的黑客方式。由于Intra将各个雇员的计算机同企业各种重要的资料库、伺服器等连线起来,所以雇员进行越权访问和复制机密资料或档案的机会就会大大增加。

2.企业与其他企业进行商务活动时的风险。

企业在与其他企业进行商务合作或竞争时,其他企业可能利用非法手段窃取该企业的档案或资料。这其中的风险可分为两类:传输中资料的被盗、企业计算机上的资料及档案的被盗。企业间在进行资料交换时,会面临很多的风险问题。从电子商务的角度看,这类风险主要有:讯息源的认证、运送证明、讯息的完整性和未授权浏览、讯息的及时运送等问题。另外一类,是企业机要档案或资料的被窃。由于电子商务的需要,公司有相当多的文件、资料等存放在与Intemet相连的网路计算机上,一旦黑客攻击到这些机器,资料和档案便有可能被破坏、修改和窃取。

二、风险的防范方法

针对以上所分析的在发展电子商务过程中不同物件所面临的不同的风险,我们提出以下的不同的防范方法。

(一)消费者的风险防范

消费者的风险防范,归纳起来,主要应从下面三个方面加强。

(1)设定的密码最好避免使用生日等容易被别人破译的密码号,而且要经常更改口令以减少被盗用的机率。

(2)在各种与因特网相关的事务中,一定要坚持使用不同的口令。在不同的网址使用不同的密码。而且,在选择ISP时,应该注意选择信誉好、可靠性高的公司。

(3)不要轻易将密码告诉他人。尤其不要轻信系统管理员提出的需要你的账号、密码来维护系统的说法。

(4)对于黑客攻击系统从而攫取消费者的信用卡资料所造成的资讯泄密,消费者确实没有什么办法,除非他在网上根本不运用任何信用卡资讯。

(二)销售商的风险防范

销售商面临的风险主要是资料被窃,这一点同企业的资料被窃类似,针对这一点,销售商应该从加强自身网路的技术措施来加强风险防范,可采用后面提到的企业防范方法。

至于域名注册方面的风险防范,要求销售商加强域名的注册,尽早确立组织自身在网路世界的合法地位,是避免域名纠纷的最佳防范措施。

(三)企业的风险防范

前面已经说到,企业的风险主要来自于内部和外部两个方面。下面分别针对于这两方面提出相应的防范措施。

1.企业内部网风险的防范。由于内部风险主要是由于企业员工对企业系统的攻击所产生的,所以可采取以下手段:

(1)对企业的各种资料资讯设定秘密等级,并予以明确的标识,分等级分别管理。也就是说,公司的高层人员、中层人员以及下层的工作人员所能够看到的关于公司的资料应该是不同的。规定各个员工包括不同业务主管接触秘密的许可权,每个员工不得接触自己无权接触密级的档案资料。

(2)专人管理商业秘密,定岗定责,不能无人负责,上级主管应当定期予以监督检查。

(3)要求员工对自己使用的密码经常更换,不能给窃密者造成机会。

(4)采取加密措施。对于员工使用网路传输涉及商业秘密的档案、资讯时,可以使用加密计算机程式,取得解密“钥匙”。资讯的被送达人享有该钥匙,进行解密,而取得资讯。这种措施对于传送档案、资讯途中的窃取、窃听以及员工因过失按错送达物件按钮,都可以有效保守秘密。但也要注意员工滥用、钥匙丢失等情况发生。金钥需要定期更换,否则可能使“黑客”通过积累加密档案增加破译机会。

(5)对员工的个人情况,特别是对那些资讯系统上的员工,要进行制度化的选拔与检查。要将经过一定时间考察、责任心强、讲原则、守纪律、业务能力强的人员派到各自岗位上。

2.企业之间风险的防范。针对企业之间进行电子商务交易时所面临的风险,我们从技术上来防范这些风险:

(1)利用防火墙技术保证电子商务系统的安全。防火墙的目的是提供安全保护、控制和鉴别出入站点的各种访问。它建立起网路通讯的控制过滤机制从而有效保证交易的安全。为了将私有网路从公共网路中分离出来并保护起来,主要可以采用如下几种形式的防火墙:网路层防火墙;应用层防火墙;动态防火墙。在此需要说明:利用防火墙可有效但不是绝对能防止黑客的攻击;关于防火墙的设计及应用可参考有关专业技术书籍。

(2)利用安全协议保证电子商务的安全。由于Intemet的开放性造成的在网路中传输的资料的公共性,为了保证网路传输过程中资料的安全,就必须要使用安全的通讯协议以保证交易各方的安全。例如:可用S/MIME协议、S—HTTP协议、SSL协议等。

(3)利用身份认证技术保证电子商务系统的安全。由于电子商务是在网路中完成,交易各方不见面,为了保证每个参与者(银行、企业)都能无误地被识别,必须使用身份认证技术。

电子商务的型别有?

目前我国的电子商务商业模式大致可以按照交易物件分为五类:

商业机构对商业机构的电子商务B2B,(business to business)

商业机构对消费者的电子商务B2C,(business to customer)

商业机构对 *** 管理部门的电子商务B2G,(Business to Government)

消费者对 *** 管理部门的电子商务C2G(customer to Government)

消费者对消费者的电子商务C2C。(customer to customer)

电子商务的前景是否具有很大风险性?

你好,那要看你如何选择!

成功有三条途径:

1.造船渡海

自己建立一个系统,但要考虑人,财,物,进,销,存,产七大环节。有一个环节出错,都可能让你回到解放前。

2.买船渡海

购买加盟一个成功的系统,你有哪么多资金吗?比如麦当劳......

3.借船渡海

借助登上一个成功的系统,只要你不下船,就可以达到梦中的彼岸。

造船渡海风险太高 买船渡海资金太大 所以我选择借船度海!

现在有一个以电子商务为前导,同时结合连锁超市,人际网路,百业联盟的复合式商业通路的绝佳平台,可以让普通人掌握流行的商业通路,真的很不错,产品来自全球的优质日用品,量贩式经营,物美价廉,30年的股票上市大公司,绝对可靠!有空欢迎了解,百度网名就是我QQ!

B2C 电子商务的主要型别

百货型别:当当网,京东商城

行业型:凡客诚品,红孩子

企业自建型:李宁

BtoC电子商务的3种企业型别

常见电子商务模式分析 (2007/09/23 16:46)

[摘要] 二十一世纪是资讯化的,第三产业在各国的比重不断上升,特别是服务业,资讯服务业成为21世纪的主导产业,这导致了商务的产生和,在全球资讯化大势所驱的下,各国的电子商务不断的改进和完善,电子商务成为各个国家和各大公司争夺的焦点。探讨电子商务现状和制定实施恰当的电子商务的政策就十分迫切。而在我国,机与技术的普及与发展,电子商务迅速崛起,众多的资讯科技、风险投资公司、生产流通企业纷纷开展电子商务。

本文从我国电子商务技术发展的环境,存在的问题,我国电子商务的发展趋势三个方面,探讨了我国电子商务发展的现状。

1.线上零B2C

企业展开电子商务通过Iter向个人网路消费者直接销售产品和服务的经营模式,就是电子商务的B2C即网上零售,是电子商务应用最普遍,发展最快的领域。,它常由三部分组成:为顾客提供线上购物的商场网站;负责为顾客所购商品进行商品陪送的配送系统;负责顾客身份确认及货款结算的银行和认证系统。

企业建立电子B2C商务模式能否成功的关键,要看网站所提供的内容是否超凡脱俗,有效方便,能否推动网上的虚拟商务活动以达到极大地带动企业运作的效果;企业在网站建设方面所采取的策略。网站的目的,网站的目标顾客和市场定位策略,网站的内容和服务策略,网站的管理和维护策略以及网站的促效策略等,总之,建立B2C模式要注意树立品牌,减少存货,降低成本,利用定制营销,以及正确定价等。

B2C电子商务网站的企业型别

.经营著离线商店的零售商

.没有离线商店的虚拟零售企业

.商品企业制造商

.网路交易服务公司 这种公司专门为多家商品销售企业展开网上售货服务

B2C网站的种类

.综合类的B2C电子商务网站在网上销售多种型别商品

.专门的B2C电子商务网站仅销售某一种适合网上销售的商品

网上顾客型别

.上网者型别 上网者的特征大多为年轻、学历较高,具有一定的收入水平,男性多于女性

.网上顾客 网路参与型、隐私规避型、价格折扣型、贪图方便型、商品浏览型等

.购物型别 专门计划性购物、一般计划性购物、提醒购物、完全无计划购物

适合线上销售的商品和服务分析

(1)目标市场分析

.待销售品是否定位计算机使用者?

.待销售品是否定位在技术早期采用者?

.是否定位在平均收入水平之上(或其子女)?

.是否定位在平均教育水平之上(或其子女)?

.是面向男性还是女性?

.目标时常是否容易在网际网路上识别和送达?

.网际网路使用者属于目标市场吗?

(2)产品和服务分析

.待售品与计算机有关吗?

.在作出购买前需要观察或者触控,试用吗?

.是否易于了解,配置和定货——整个过程是否自动化?

.待销售品性质如何?是有型产品还是无形服务?

.待销售品是属于高技术还是低技术?

.是否是商品?是否全球化?

.待销售品是否具有独特的功能和特性?

.价格是否昂贵或者便宜?价格是否经常变动?

.利用网际网路能否大大降低成本?

.能否利用网路促销?

.在网际网路是否有竞争?等等

面向B2C网站设计 通常包括两个方面:顾客与零售商介面和零售商管理介面

.顾客与零售商介面 要有水平的分类,搜寻引擎,问题帮助,购物指南等

.零售赏管理介面 能够实行商品传报和商品计划,具有微观营销功能(如广告分析,顾客管理等)

商品的价格定位

.低价战略 即比物理店面的商品低廉

.等价战略 与物理店面价格等同

.高价战略 主要是由于网路能给顾客带来高附加值,如实现个性画定制

资讯沟通

(1)消费者的资讯反馈 一般B2C网站都有网路消费者资讯反馈页面,以保持与顾客的交流,听取顾客对产品、服务和网站本身的意见与建议,反馈页面的包装非常重要,其上要有对顾客的投诉报以欢迎

致谢辞,对自己产品或服务不周向客户表示歉意,承诺等

(2)与消费者互动

.资讯层的互动

.交易层的互动

.服务层的互动

订单履行

从理论上订单的履行应该是商品按照顾客指定的时间和方式送到指定的地点,订单必须正确输入,迅速处理,传送到正确的仓库,并交付送货部门,退货则是逆向重复这个过程。

结算方式:离线邮寄或再线支付

通过网路进行售后服务,服务跟踪。

2.企业间电子商务B2B

通常B2B电子商务型别: 大型企业的B2B网站、专门做B2B交易平台的网路公司和垂直商务入口网站

(1)水平网站 水平网站将买方和买方集中到一个市场上进行资讯交流、广告、拍拍卖竞标、交易等

水平网站的利润流:广告、举办网上拍卖会收取交易费,出售网上店面,开展自己的电子商务

水平网站成功的关键因素

.业务处理流程的标准化程度

.业务及作业流程自动化处理专业知识

.提供内容深层次自动化处理水平

.根据行业差异定制业务处理流程的能力

水平网站的困境

水平网站追求“全”即行业全、服务全,这样才能有竞争力,但恰恰这个“全”使得水平网站要冒每一个行业都做不好的风险。

(2)垂直网站 垂直网站也可以将买方和卖方集合在一个市场中进行交易,但它是将特定产业的上、中、下游厂商聚集一起,让各层次的厂商都能够很容易地找到物料供应商或买主

垂直网站的利润流:广告、产品列表及网上店面的收费,也可以举办拍卖会收取交易费用

垂直网站成功的关键 最重要的是专业技术,另一个因素是传统行业的低效率,垂直网站吸引著更合格更狭窄且经过预选的参与者,这种市场一旦形成,就具有极大的竞争优势

垂直网站面临的困境

需要较深的专门技能,专业化程度越高的网站,越需要投入昂贵的人力资本处理很狭窄的专门性的业务,才能发挥该虚拟市场的商业潜能,难以转向多元化经营或向其它领域渗透。

(3)网路商品交易中心

网路商品中介交易是通过网路商品交易中心,即通过虚拟网路市场进行的商品交易,网站商品交易中心以因特网为基础,利用先进的通讯技术和计算机软体技术,将商品供应商、采购商和银行紧密地联络起来,为客户提供市场资讯,商品交易,仓储配送,货款结算等全方位的服务。

优点 :网路商品中介为买卖双方展现了一个巨大的世界市场,可以有效解决传统交易中“拿钱不给货”和“拿货不给钱”两大难题,网路商品交易中心采用集中统一的结算模式。提高了资金的风险防范和利用率,当然,它也存在一些问题需要解决。

3.服务性的电子商务模式

服务模式的电子商务广泛采用电子商务技术,通过建立自己的网站,在网上释出,同时通过因特网提供各种资讯服务,它通常有如下几种形式:

.旅游电子商务

.网上拍卖

.网上证券

.网上教育

.网上资讯服务等

庞大连; 中小企业电子商务及其成本效益分析 [J];电子商务; 2006年08期; 25-29

孙敏; 电子商务与我国中小企业流通渠道拓展——以阿里巴巴公司的电子商务发展为例 [J];科技情报开发与经济; 2007年11期; 252-254

邱阳; 义乌中小企业电子商务发展现状及对策浅析 [J];甘肃农业; 2006年12期; 237

于卫华; 我国电子商务发展现状及趋势分析 [J];科协论坛(下半月); 2007年01期; 86-87

邓琪; 从淘宝、易趣和拍拍网看中国C2C市场的发展 [J];甘肃农业; 2006年05期

张春明; 中国B2c电子商务的发展现状分析 [J];科技资讯; 2006年07期; 152-153

电子商务的风险与控制?《论文》

:forum./inew *** zcjlw_1/gsgl_7/glsw_37/2007-02/1170721180.php

电子商务的风险管理与控制

哪些型别的电子商务是电子商务的主流,大宗的交易多属于这一型别

大宗商品电子交易是利用 电子商务平台将传统贸易转移到网路上进行交易买卖,实现网上与网下,现实与虚拟相结合的新型交易方式!电子商务就是利用电脑网路处理商务事物的过程,这个概念范围很宽泛,大宗商品电子交易仅仅是电子商务其中一部分,其隶属于电子商务!

做电子商务风险大吗?

随着因特网的迅速发展,风起云涌的网站在炒足了“概念”之后,都纷纷转向了“务实”,而“务实”比较鲜明的特点之一:是绝大多数的网站都在试图做实实在在的“电子商务”。那么“电子商务”是什么呢?

所谓电子商务(Electronic Commerce)是利用计算机技术、网路技术和远端通讯技术,实现整个商务(买卖)过程中的电子化、数字化和网路化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据(包括现金)进行买卖交易。而是通过网路,通过网上琳琅满目的商品资讯、完善的物流配送系统和方便安全的资金结算系统进行交易(买卖)。

事实上,整个交易的过程可以分为三个阶段:

第一个阶段是资讯交流阶段:对于商家来说,此阶段为释出资讯阶段。主要是选择自己的优秀商品,精心组织自己的商品资讯,建立自己的网页,然后加入名气较大、影响力较强、点选率较高的著名网站中,让尽可能多的人们了解你认识你。对于买方来说,此阶段是去网上寻找商品以及商品资讯的阶段。主要是根据自己的需要,上网查询自己所需的资讯和商品,并选择信誉好服务好价格低廉的商家。

第二阶段是签定商品合同阶段:作为B2B(商家对商家)来说,这一阶段是签定合同、完成必需的商贸票据的交换过程。要注意的是:资料的准确性、可靠性、不可更改性等复杂的问题。作为B2C(商家对个人客户)来说,这一阶段是完成购物过程的定单签定过程,顾客要将你选好的商品、自己的联络资讯、送货的方式、付款的方法等在网上签好后提交给商家,商家在收到定单后应发来邮件或电话核实上述内容。

第三阶段是按照合同进行商品交接、资金结算阶段:这一阶段是整个商品交易很关键的阶段,不仅要涉及到资金在网上的正确、安全到位,同时也要涉及到商品配送的准确、按时到位。在这个阶段有银行业、配送系统的介入,在技术上、法律上、标准上等等方面有更高的要求。网上交易的成功与否就在这个阶段。

电子商务发展的特点:

更广阔的环境:人们不受时间的限制,不受空间的限制,不受传统购物的诸多限制,可以随时随地在网上交易。

更广阔的市场:在网上这个世界将会变得很小,一个商家可以面对全球的消费者,而一个消费者可以在全球的任何一家商家购物。

更快速的流通和低廉的价格:电子商务减少了商品流通的中间环节,节省了大量的开支,从而也大大降低了商品流通和交易的成本。

更符合时代的要求:如今人们越来越追求时尚、讲究个性,注重购物的环境,网上购物,更能体现个性化的购物过程。.......................

浅谈如何降低电子商务的风险

文章摘要: 在大多数情况下,你的电子商务系统顺利的执行,但可能有时候,一个意外和无法控制的外部事件会扰乱了你正常的业务操作。作好最坏情况的准备,如资料丢失或突然无法运作的错误,事故或自然或人为造成的对您的电子业务灾害,是风险管理的重要方面。

电子商务的型别有哪几种?

B2B、B2C、C2C、B2M、M2C、B2A(即B2G)、C2A(即C2G)七类电子商务模式等等。

电子商务网站面临的主要安全问题有哪些

1.电子商务面临的网络系统安全问题  

电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。

电子商务网络系统安全问题包括以下几个方面:

(1)网络部件的不安全因素。

(2)软件不安全因素。

(3)工作人员的不安全因素。

(4)自然环境因素。

2.电子商务面临的电子支付系统安全问题  

众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。

目前网上支付中面临的主要安全问题有以下几方面: 

(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。

(2)支付金额被更改。

(3)不能有效验证收款人的身份。

3.电子商务面临的认证系统安全问题

1.信息泄漏  

在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第

三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。如的账号和用户名被人获悉,就可能被盗用。

2.篡改

在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同,若赶上原料价格上涨,供货方公司篡改价格将使自己大幅受益,而采购公司将蒙受损失。 

3.身份识别

在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。

4.蓄意否认事实  

  由于商情的千变万化,商务合同一旦签订就不能被否认,否则必然会损害一方的利益。因此,电子商务就提出了相应的安全控制要求。  

(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展,在电子商务领域利用计算机网络进行犯罪的案件与日俱增,其犯罪的花样和手段不断翻新。

(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据;否则,这种合同属于无效合同。关于电子合同能否视为书面合同,并取得与书面文件同等的效力,是各国法律尚未解决的问题,与传统书面文件相比,电子文件有一定的不稳定性,一些来自外界的对计算机网络的干扰,都可能造成信息的丢失、损坏、更改。  

(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者,起着联结买卖双方的纽带作用,但对一些从事电子货币业务的银行来说,犯罪分子伪造电子货币,给银行带来了直接经济损失。  

(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题,但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消,付款人或第三人不能要求撤消已经完成的电子资金转账。  

(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。  

(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步,新产品的大量出现,消费知识滞后的矛盾也更加突出。

有谁知道网络攻击的种类和预防?

随着INTERNET的进一步发展,各种网上活动日益频繁,尤其网上办公、交易越来越普及,使得网络安全问题日益突出,各种各样的网络攻击层出不穷,如何防止网络攻击,为广大用户提供一个安全的网络环境变得尤为重要。

1 网络攻击概述

网络安全是一个永恒的话题,因为计算机只要与网络连接就不可能彻底安全,网络中的安全漏洞无时不在,随着各种程序的升级换代,往往是旧的安全漏洞补上了,又存在新的安全隐患,网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。

网络攻击一般分为三个阶段:

第一阶段:获取一个登录账号

对UNLX系统进行攻击的首要目标是设法获取登录账号及口令,攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件,得到该口令文件之后,就对其运行Crack,借助于口令字典,Crack甚至可以在几分钟内破译一个账号。

第二阶段:获取根访问权

进入系统后,入侵者就会收集各种信息,寻找系统中的种种漏洞,利用网络本身存在的一些缺陷,设法获取根访问权,例如未加限制的NFS允许根对其读和写。利用NFS协议,客户给与服务器的安装守护程序先交换信息,信息交换后,生成对NFS守护程序的请求,客户通过这些请求对服务器上的文件进行读或写操作。因此,当客户机安装文件系统并打开某个文件时,如果入侵者发出适当各式的UDP数据报,服务器就将处理NFS请求,同时将结果回送客户,如果请求是写操作,入侵者旧可以把信息写入服务器中的磁盘。如果是读操作,入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息,从而获得根访问权。

第三阶段:扩展访问权

一旦入侵者拥有根访问权,则该系统即可被用来供给网络上的其他系统。例如:可以对登录守护程序作修改以便获取口令:增加包窥探仪可获取网络通信口令:或者利用一些独立软件工具动态地修改UNLX内核,以系统中任何用户的身份截击某个终端及某个连接,获得远程主机的访问权。

2 攻击的种类及其分析

普通的攻击一般可分以下几种:

2.1 拒绝服务攻击

拒绝服务攻击不损坏数据,而是拒绝为用户服务,它往往通过大量不相关的信息来阻断系统或通过向系统发出会,毁灭性的命令来实现。例如入侵者非法侵入某系统后,可向与 之相关连的其他系统发出大量信息,最终导致接收系统过载,造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度,填满可用的磁盘空间,用大量的无用信息消耗系统资源,是服务器不能及时响应,并同时试图登录到工作站上的授权账户。例如,工作站向北供给服务器请求NISpasswd信息时,攻击者服务器则利用被攻击服务器不能及时响应这一特点,替代被攻击服务器做出响应并提供虚假信息,如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包,它就无法及时响应,工作站将把虚假的响应当成正确的来处 理,从而使带有假的passwd条目的攻击者登录成功。2.2 同步(SYN)攻击 同步供给与拒绝服务攻击相似,它摧毁正常通信握手关系。在SYN供给发生时,攻击者的计算机不回应其它计算机的ACK,而是向他发送大量的SYN ACK信息。通常计算机有一缺省值,允许它持特定树木的SYN ACK信息,一旦达到这个数目后,其他人将不能初始化握手,这就意味着其他人将不能进入系统,因此最终有可能导致网络的崩溃。2.3 Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间,使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术:URL地址重写技术和相关信息掩盖技术。 利用URL地址重写技术,攻击者重写某些重要的Web站点上的所有URL地址,使这些地质均指向攻击者的Web服务器,即攻击者可以将自己的Web站点的URL地址加到所有URL地址的前面。例如,设攻击者的Web站点的URL地址为: ,合法Web站点上的URL地址为 ,经重写后,该地址可以被加到合法URL地址 之前,即 .当用户与站点进行安全链接时,则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问,然后由攻击者服务器向真正的目标服务器请求访问,目标服务器向攻击服务器传回相关信息,攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接,但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器,并受制于它,攻击者可以对所有信息进行记录和修改。由于浏览器一般均设有地址栏和状态栏,当浏览器与某个站点连接时,可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息,用户可由此发现问题,所以一般攻击者往往在URL地址重写的同时,利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息,以达到其掩盖欺骗的目的。

2.4 TCP/IP欺骗攻击

IP欺骗可发生在IP系统的所有层次上,包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外,由于用户本身不直接与底层结构相互交流,有时甚至根本没有意识到这些结构的存在,因而对底层的攻击更具欺骗性。

IP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流,也可以在通信链路上插入数据,其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受,诱使其他机器向它发送数据或允许它修改数据。

由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄,即如果包能够使其置身沿着陆由到达目的地,并且应答包也可以回到原地,则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。

一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息,来自端口的所有IP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络,则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。

另一方面,攻击者使用伪造的IP地址发送数据报,不仅可以获取数据报特有的有效请求,还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接,从而达到TCP欺骗连接。

一个TCp连接包括三个阶段:(1)建立连接:(2)数据交换:(3)断开连接。其中最关键的就是数据交换。TCP协议为每个数据字节分配自己的顺序号,每个TCP头包含一个顺序域。TCP数据交换中客户方以发送带有SYN标志的TCP头为开始,发送一个或多个TCP/IP数据包,接受方回送包含SYN及ACK标志的头答复送方的SYN头。

初始的顺序号是随机的,当接受方接收到客户的序列号后首先要进行确认,如果确认号域有效,它就对应于下一个期望数据字节的顺序号,并设置ACK标志。攻击者利用伪造的IP地址成功地发送数据报后,只是获得这些数据报特有的有效请求,要获得些请求的答复还必须预测到TCP顺序号。攻击者对顺序号的预测是一个估计与猜测的过程。攻击者可以在客户与服务器之间设置窥探仪来确定初始顺序号,一旦攻击者获取了连接的初始顺序号,就可以通过估算发送者发送给接收者的TCP/IP数据量计算出下一个期望的顺序号,即下一个期望的顺序号为:数据量+初始顺序号。而事实上,一些TCP/IP实现并不完全采用随机方式分配初始顺序号,而是由一个简单的随机数生成器产生。这种生成器按某种固定的次序产生数据,因此实际上可能的初始顺序号只能在一个有限的范围内,这样预测起来就会更加方便。预测获得的顺序号只是一个估计值,它一般可分为三种情况考虑。

第一种情况:预测值正好等于下一顺序号

若伪造的数据保迟于合法数据报到达,且其包含的数据报少于合法数据报,则接收方将完全丢弃伪造的数据报;如果伪造数据包包含的数据多于合法数据报,则接收方将接收伪造数据报中顺序号大于合法数据报的那部分内容,同时丢弃顺序号与合法数据报重叠部分的内容;若伪造的数据报早于合法数据报到达,则接收方将丢弃合法数据报内容。

第二种情况:预测值大于下一个顺序号

在这种情况下,接收方将丢弃其中超过窗口域(即输入缓冲区)中的部分内容,而将前面部分内容放入缓冲区中,待下一期望顺序号与第一个伪造数据报字节顺序号间的空当被合法数据填满之后,再未接收方接收。

第三种情况:预测值小于下一个顺序号

在这种情况下,伪造数据报中的前面部分内容肯定会被丢弃,但是如果伪造数据报内容足够多,则接收方有可能接受其后面的内容。

3 网络上常见的几种攻击方式及其防范

3.1 密码攻击

用户在拨号上网时,如果选择了“保存密码”的功能,则上网密码将被储存在windows目录中,以“username.pwl”的形式存放。如果不小心被别人看到这个文件,那就麻烦了,因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容,那上网密码就泄漏了。

有的人使用名字、生日、电话号码等来做密码,更有的人的密码干脆和用户名一样,这样的密码,在黑客攻击软件庞大的字典文件面前简直是不堪一击。

那么该如何防范密码不被攻击呢?应从以下方面入手:(1)不用生日、电话号码、名字等易于猜到的字符做密码。(2)上网时尽量不选择保存密码。(3)每隔半个月左右更换一次密码,不要怕麻烦。

3.2 木马程序攻击

木马程序是一种特殊的病毒,它通过修改注册表等手段使自己悄悄地潜伏在系统中,在用户上网后,种植木马的黑客就可以通过服务器端木马程序控制你的计算机,获取你的口令等重要信息,其危害性非常大。

预防木马程序应从以下几方面入手:(1)加载反病毒防火墙。(2)对于不明来历的电子邮件要谨慎对待,不要轻易打开其附件文件。(3)不要随便从网络上的一些小站点下载软件,应从大的网站上下载。

3.3 垃圾邮件攻击

垃圾邮件是指向他人电子信箱发送未经许可的,难以拒绝的电子邮件或电子邮件列表,其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后,会大大占用网络资源,导致网络阻塞,严重的还会使用户的邮箱被“炸”掉,使邮箱不能正常工作。

防范垃圾邮件应从以下方面入手:(1)申请一个免费的电子信箱,用于对外联系。这样就算信箱被垃圾邮件轰炸,也可以随时抛弃。(2)申请一个转信信箱,经过转信信箱的过滤,基本上可以清除垃圾邮件。(3)对于垃圾邮件切勿应答。(4)禁用Cookie。Cookie是指写到硬盘中一个名为cookies.txt文件的一个字符串,任何服务器都可以读取该文件内容。黑客也可以通过Cookie来跟踪你的上网信息,获取你的电子信箱地址。为避免出现这种情况,可将IE浏览器中的Cookie设置为“禁止”。

3.4 通过聊天软件攻击

用户在用聊天软件聊天时,黑客用一些小软件就可查出对方聊天者的IP地址,然后通过IP炸弹阮家对用户的机器进行轰炸,使之蓝屏或死机。防范聊天软件供给应从以下方面入手:(1)利用代理服务器上网,这样可以隐藏自己的IP地址。(2)安装防火墙软件,利用防火墙阻挡对方的攻击。(3)升级操作系统,如升级到win2000等,其安全性会比win95/98系统有很大的提高。

4 网络攻击的六大趋势

4.1 自动化程度和攻击速度提高

攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段,每个阶段都出新变化。

扫描可能的受害者。自1997年起,广泛的扫描变得司空见惯。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提尕澳扫描速度。

损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。

传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现,攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。

4.2 攻击工具越来越复杂

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工具是以但已确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的功绩,且在每一次攻击中会出现多种不同形态的攻击工具。

4.3 发现安全漏洞越来越快

新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修复这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

4.4 越来越高的防火墙渗透率

防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如,(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

4.5 越来越不对称的威胁

Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高,威胁的不对称性将继续增加。

4.6 对基础设施将形成越来越大的威胁

基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。

5 个人用户防护策略

针对一些常用的攻击方法、手段,个人用户有必要采取一些安全的防范措施,下面介绍一些可行的防范实例。

5.1 经常检查系统信息

上网过程中,如果感觉计算机有异常状态,如运行速度变慢,某些软件运行出错,不受控制等情况,应停下来检查一下系统运行状况。一是观看系统资源的使用状态,二是按“Ctrl+Alt+Del”复合键来查看系统正在运行的程序,看是否有其他程序在运行。如有自己部熟悉或自己并没有运行的程序在列表里面,应立即终止其运行,以防后患。

5.2 检测并清除木马程序

如果你的电脑一旦被人为诸如木马程序,就会被人操纵,以致出现死机,数据文件被删除等现象。这时候可以通过查看注册表,看注册表中\HKEY LOCAL MACHINE\HKEY.LOCAL_MACHINE\Softwere\Microsoft\Windows\CurrenVersion\kun下面类似Netspy.exe或空格.exe或其他可疑的文件名,如果有,则尽快闪出相应的键值,在查找到住在机内的相应的程序,并把它删除。

5.3 保护入网账号和口令

在Windows目录下经常有一些以“.pwl”为后追名的文件,这些文件作为密码保存之用,如开启Exchange电子信箱的密码、开机口令等信息就保存在以“.pwl”为后缀名的文件中。有些黑客可以运用一些专用软件来破解Windows95/98种的pwl文件,以很快的速度便可以直接读出pwl中的开机口令、用户名等加密数据信息。对于这种情况,最安全的方法是不用Windows95/98自动即以密码功能这一项,这样pwl文件中就没有任何加密信息流下,破解软件也无从下手。另外,对付这种情况也有较为直接的方法,就是经常删除这些以”.pwl”为后缀名的文件,以免将密码留在硬盘上。

5.4 保护好自己的IP地址

国内用户很多是通过163电话拨号的方式上网的,某些恶意破坏者往往通过跟踪上网账号并从用户信息中找IP,或者等待BBS、聊天室纪录的IP或者通过ICQ获取IP。为防止用户非法获取个人用户的IP地址信息,最好采用如下两种安全措施:一是使用代理服务器进行中转,这样用户上网是不需要真实的IP地址,别人也就无法获取自己的IP地址信息。二是注意避免在某些会显示IP的BBS和聊天室上暴露自己的IP地址。

5.5 屏蔽ActiveX控件

由于ActiveX控件可以被嵌入到HTML页面中,并下再到浏览器端加以执行,因此会给浏览器造成一定程度上的安全威胁。所以,用户如果要保证自己在因特网上的信息绝对安全,可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件,具体操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”:接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮:同时在打开的“安全设置”对话框中找到关于ActiveX控件的设置,然后选择“禁用”或“提示”。

5.6 使用“拨号后出现终端窗口”要小心

选中某一连接,单击鼠标右键,选“属性-常规-配置-选项-拨号后出现终端窗口”,然后拨号时,在拨号界面上不要填入用户名和密码(更不能选中“保存密码”项),在出现拨号终端口后再进行相应的输入,这可以避免用户名和密码被记录到硬盘上的密码文件中,同时,也可以避免某些黑客程序捕获用户名和密码。

5.7 拒绝“饼干”信息

许多网站会用不易觉察的技术,暗中搜集你填写的表格中的电子邮件地址信息,最常见的就是利用饼干程序(cookie)记录访客上网的浏览行为和习惯。如果你不想随便让饼干程序(cookie)来记录你个人的隐私信息,可以在浏览器中作一些必要的设置,要求浏览器在接受cookie之前提醒你,或者干脆拒绝它们。屏蔽cookie的操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”:接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮:同时在打开的“安全设置”对话框中找到关于cookie的设置,然后选择“禁用:或“提示”即可。

5.8 不使用“MYDocuments”文件夹存放Word、Excel文件

Word、Excel默认的文件存放路径是根目录下的“MYDocuments”文件夹,在特洛伊木马把用户硬盘变成共享硬盘后,入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的,这个目录几乎就是用户的特征标示,所以为安全起见应把工作路径改成别的目录,并且参差越深越好。

5.9 加密保护电子邮件

由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,而且随着互联网的发展,这类应用会更加频繁。因此保证邮件的真实性和不被其他人截取和偷阅也变得越来越重要。所以,对于包含敏感信息的邮件,最好利用数字标示对你原写的邮件进行数字签名后再发送。所谓数字标示是指由独立的授权机构发放的证明你在Internet上的身份的证件,是你在因特网上的身份证。这些发证的商业机构将发放给你这个身份证并不断地效验其有效性。你首先向这些公司申请标示,然后就可以利用这个数字标示对自己的邮件进行数字签名,如果你获得了别人的数字标示,那么,你还可以跟他发送加密邮件。你通过对发送的邮件进行数字签名可以把你的数字标示发送给他人,这是他们收到的实际上是公用密钥,以后他们就可以通过这个公用密钥对发给你的邮件进行加密,你在使用私人密钥对加密邮件进行解密和阅读。在Outlook Eepress中可以通过数字签名来证明你的邮件身份,即让对方确信该有见是由你的机器发送的,它同时提供邮件加密功能使得你的邮件只有预定的接收者才能接收并阅读。但前提是你必须先获得对方的数字标示。数字标示的数字签名部分是你原电子身份卡,数字签名可使收件人确信又见是你发的,并且未被伪造或篡改过。

0条大神的评论

发表评论