時間:2022-03-05 18:55:47
導語:在商務安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
論文摘要:電子商務安全問題已成為制約電子商務發展的重要問題,安全問題包括電子商務交易安全、計算機網絡安全等顯性的問題,還包括管理、法律和標準等方面的隱性問題。通過對電子商務安全體系的分析,研究電子商務安全策略,建立一個安全電子商務環境,將促進電子商務健康快速地發展。
電子商務是一個跨國界,跨地區,跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突,不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本,從各主體的角度思考,綜合協調了各個市場主體的行為,從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益,它為實現電子商務提供了統一的基礎平臺和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種:
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換,變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份,并由系統查核該主體的過程,是確認真實有效身份的重要環節,這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認,防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應用、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。
2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應的保密措施。
3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制,來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核,及時發現對系統有安全隱患的記錄,監控各種安全事故,維護和管理系統日志。
4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修;軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。
5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲,定期為重要信息備份、系統設備備份,并定期更新,以減少安全事故發生時造成的損失。
三、電子商務立法策略
電子商務安全得到法律保障,首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
2.立法范圍電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;電子商務調整的對象是電子商務中的各種社會關系。
3.立法途徑電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。對于傳統法律沒有規定的,即由電子商務帶來的新的社會關系,應盡快制定法律規范;第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確,或與電子商務新型社會關系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規范。
四、政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。
1.計算機信息系統安全管理計算機信息系統,是指“由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度,計算機系統使用單位安全負責制度,計算機案件強行報告制度,計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護,有利于保障國家的安全和社會安定,促進電子商務的安全交易過程,有利電子商務的健康發展。
2.網絡廣告和網絡服務業管理由于網絡的開放性,自由性等特征決定了網絡廣告監管的難度,虛假廣告、廣告充斥著網絡空間,網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手:第一,網絡廣告組織的管理,必須對網站廣告經營主體資格進行管制,第二,規范網絡廣告內容,確保廣告內容的真實性、合法性和科學性。第三,需要有具體的廣告審查管制、評估與監測部門。
國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,其中提出了詳細具體的限制條件。但是,網絡飛速發展,面對網絡中的新問題,還必須進一步深入全面地研究。
3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構,對電子商務交易活動順利進行,電子商務活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督;同時,還要針對其資產和財務狀況定期審查,以免發生財務危機,對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。
4.加強社會信用道德建設,構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的,在我國尤其嚴重,甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式,必然存在不少漏洞,這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律,充分利用網絡新聞輿論監督,消費者輿論監督和行業協會的管理監督。
五、結束語
電子商務安全不僅涉及到電子商務公司、企業、消費者的利益,而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面,關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸,只有解決了電子商務安全,保障了市場主體的利益,才能得到網絡用戶的認可和參與,電子商務自身也才能得到快速、健康地發展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術標準化現狀[J].中國標準化,2007(4)
[2]胡艷春.電子商務網站建設中的安全問題研究[J].商場現代化,2006,(10)
摘要:本文從行業誠信和安全技術兩個角度,分析了我們電子商務發展所面臨的問題,提出了提高全民誠信素質教育,加快相關法律法規建設,建立完善的信用體系,以及采用先進的安全技術,促進我國電子商務的健康發展。 關鍵詞:電子商務,行業誠信 ,安全技術 1引言 誠信問題和安全問題成為影響我國電子商務發展的瓶頸。首先,在電子商務領域企業、消費者、銀行等任何一方誠信缺失,交易就不能順利實施。電子商務的行業誠信需要政府、企業、社會等各界共同努力。再次,針對電子商務的各種安全要素,采用相應的安全技術,將用力的保障電子商務的交易各方的安全。
2電子商務誠信缺失的原因與表現
2.1 我國誠信基礎薄弱,電子商務交易社會信任度低
電子商務參與者的誠信觀念、規則意識不強。電子商務作為不見面的交易模式,難以得到消費者的認同,而“無商不奸”的觀念在人們的思想中根深蒂固,這是電子商務發展的心理障礙。
2.2 社會信用體制尚未完全建立,電子商務難于運營
電子商務貿易內的信用評級還完全屬于行業和個人行為,還沒有得到政府的支持和認可,所以評級中介機構、評級依據都未得到法律認同,從而評級也就沒有法律效力。
2.3 商業秘密和客戶隱私得不到保護
網絡具有公開性,商家和消費者的個體信息在未征得同意時不得公開,否則將構成對隱私權的侵犯。而目前很多商業性網站并不注重對客戶信息的保護,商業秘密和隱私隨時可能受到侵犯,且難以獲得有效的法律救濟。
另外,還有網絡詐騙、商品質量低劣、不履行服務承諾等一系列誠信缺失的表現。
3電子商務的誠信建設
3.1 加大誠信建設和教育,提高全民誠信素質
倡導誠信觀念,提高社會公德和全民誠信素質,形成誠實守信的社會環境,促進電子商務的發展。
3.2 健全相關法律、法規和制度的建設
法律、法規作為誠信的最后一道保障,不僅能打擊違法行為,維護消費者的合法權益,也能營造良好的社會誠信環境,促進電子商務的繁榮發展。根據電子商務的環境和交易特點,建立電子交易法律和制度、電子支付制度、信用卡制度等。
3.3 完善信用體系建設
(1)建立電子商務信用模式。電子商務的信用模式主要是指電子商務企業(網站)通過制定和實施確定交易規則,為電子商務交易的當事人建立一個公平、公正的平臺,以確保電子商務交易的安全可靠。其基礎性設施主要體現在資格認證和信用認證。
(2)加強行業自律。電子商務行業應當反對采用一切不正當手段進行行業內競爭,自覺維護用戶的合法權益,保守用戶信息秘密。
(3)建立在線信用信息數據庫。政府有關部門要盡早建立跨區域的在線信用信息數據庫,通過提供信用查詢、公示企業守信或誠信信息、受理信用的投訴、受理信用的異議等服務,來營造電子商務信用環境。
另外,還要增強政府引導與管理能力,促進中國電子商務誠信聯盟的發展。可以營造良好的電子商務誠信環境。
4 電子商務的安全要素與安全技術
實現電子商務的關鍵是要保證商務活動過程中系統的安全性,從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,電子商務交易雙方都面臨安全威脅。這些安全因素包含:信息有效性、真實性;信息機密性;信息完整性;信息可靠性、不可抵賴性和可鑒別性。;
4.1 電子商務的安全技術
(1)數據加密技術
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務,可分為:對稱密鑰密碼算法、不對稱型加密算法、不可逆加密算法三種。電子商務領域常用的加密技術有數字摘要、數字簽名、數字時間戳、數字證書等。
(2)與電子商務安全有關的協議技術
SSL協議(安全套接層協議),主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸。從目前實際使用的情況來看,SSL還是人們最信賴的協議,但是SSL并不能協調各方間的安全傳輸和信任關系;還有,購貨時用戶要輸入通信地址,這樣將可能使得用戶收到大量垃圾信件。
SET協議(安全電子交易),由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定了應用于Internet上的以銀行卡為基礎進行在線交易的安全標準,它采用公鑰密碼體制和X.509數字證書標準,主要應用于保障網上購物信息的安全性,是目前公認的信用卡/借記卡的網上交易的國際安全標準。
(3)身份認證技術
在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易的自己能完成的,而需要有一個具有權威性和公正性的第三方來完成。認證中心就是承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份的服務機構。
4.2網上支付平臺及支付網關
網上支付平臺分為CTEC支付體系和SET支付體系。網上支付平臺支付型電子商務業務提供各種支付手段,包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。支付網關位于公網和傳統的銀行網絡之間,主要完成通信、協議轉換和數據加解密功能,并且可以保護銀行內部網絡。此外,支付網關還具有密鑰保護和證書管理等其它功能。
5小結
本文分析了目前電子商務領域所面臨的誠信危機與安全威脅,指出要將行業誠信、政府監管、國家立法、安全技術等多方面相結合,從而保障電子商務的安全運行,引導和促進我國電子商務快速健康發展。
[3]梁露,電子商務網站建設與實踐[M],北京:人民郵電出版社,2008:180-182
[4]方真,電子商務必須完善誠信機制[J],中國電子商務,2004年02期
關鍵詞:電子商務;網絡銀行;私有密鑰加密法;公開密鑰加密法
對數據進行有效加密與解密,稱為密碼技術,即數據機密性技術。其目的是為了隱蔽數據信息,將明文偽裝成密文,使機密性數據在網絡上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復出原明文的過程稱為解密,非法接收者將密文恢復出原明文的過程稱為破譯。密碼是明文和加密密鑰相結合,然后經過加密算法運算的結果。加密包括兩個元素,加密算法和密鑰。加密時所使用的信息變換規則稱為加密算法,是用來加密的數學函數,一個加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結合運算,產生不可理解的密文的步驟。密鑰是借助一種數學算法生成的,它通常是由數字、字母或特殊符號組成的一組隨機字符串,是控制明文和密文變換的唯一關鍵參數。對于相同的加密算法,密鑰的位數越多,破譯的難度就越大,安全性就越好。目前,電子商務通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法。
一、私有密鑰加密法
(一)定義
私有密鑰加密,指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個最大特點是,信息發送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。
(二)使用過程
具體到電子商務,很多環節要用到私有密鑰加密法。例如,在兩個商務實體或兩個銀行之間進行資金的支付結算時,涉及大量的資金流信息的傳輸與交換。這里以發送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應用私有密鑰加密法的過程:銀行甲借助專業私有密鑰加密算法生成私有密鑰A,并且復制一份密鑰A借助一個安全可靠通道(如采用數字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網絡通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉賬通知單的內容,結束通信。
(三)常用算法
世界上一些專業組織機構研發了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數據加密算法IDEA等。DES算法由美國國家標準局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應用于銀行業中的電子資金轉賬、軍事定點通信等領域,比如電子支票的加密傳送。經過20多年的使用,已經發現DES很多不足之處,隨著計算機技術進步,對DES的破解方法也日趨有效,所以更安全的高級加密標準AES將會替代DES成為新一代加密標準。
(四)優缺點
私有密鑰加密法的主要優點是運算量小,加解密速度快,由于加解密應用同一把密鑰而應用簡單。在專用網絡中由于通信各方相對固定、所以應用效果較好。但是,私有密鑰加密技術也存在著以下一些問題:一是分發不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復雜,代價高昂。私有密鑰密碼體制用于公眾通信網時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進行用戶身份的認定。采用私有密鑰加密法實現信息傳輸,只是解決了數據的機密性問題,并不能認證信息發送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發送偽造信息。在電子商務中,有可能存在欺騙,別有用心者可能冒用別人的名義發送資金轉賬指令。因此,必須經常更換密鑰,以確保系統安全。四是采用私有密鑰加密法的系統比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數據進行加解密處理,提供數據的機密性,不能用于數字簽名。
二、公開密鑰加密法
(一)定義與應用原理
公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務應用的核心密碼技術。所謂公開密鑰加密,就是指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網絡上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。
公開密鑰加密法的應用原理是:借助密鑰生成程序生產密鑰A與密鑰B,這兩把密鑰在數學上相關,對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網絡公開散發出去,誰都可以獲取一把并能應用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進行解密,而且非法用戶幾乎不可能從公鑰推導出私鑰。存在下面兩種應用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現保密性。二是商家利用自己的私人密鑰A對要發送的信息進行加密進成密文信息,發送給商業合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應用公開密鑰B解密,根據數學相關關系可以斷定密文的形成一定是運用了私人密鑰A進行加密的結果,而私人密鑰A只有商家擁有,由此可以斷定網上收到的密文一定是擁有私人密鑰A的商家發送的。
(二)使用過程
具體到電子商務,很多環節要用到公開密鑰加密法,例如在網絡銀行客戶與銀行進行資金的支付結算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網絡銀行的資金信息傳輸為例,來描述應用公開密鑰加密法在兩種情況下的使用過程。首先,網絡銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數學相關,私人密鑰A由網絡銀行乙自己獨自保存,而公開密鑰B已經通過網絡某種應用形式(如數字證書)分發給網絡銀行的眾多客戶,當然客戶甲也擁有一把網絡銀行乙的公開密鑰B。
1、客戶甲傳送一“支付通知”給網絡銀行乙,要求“支付通知”在傳送中是密文,并且只能由網絡銀行乙解密知曉,從而實現了定點保密通信。客戶甲利用獲得的公開密鑰B在本地對“支付通知”明文進行加密,形成“支付通知”密文,通過網絡將密文傳輸給網絡銀行乙。網絡銀行乙收到“支付通知”密文后,發現只能用自己的私人密鑰A進行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內容,的確是發給自己的。
2、網絡銀行乙在按照收到的“支付通知”指令完成支付轉賬服務后,必須回送客戶甲“支付確認”,客戶甲在收到“支付確認”后,斷定只能是網絡銀行乙發來的,而不是別人假冒的,將來可作支付憑證,從而實現對網絡銀行業務行為的認證,網絡銀行不能隨意否認或抵賴。網絡用戶乙在按照客戶甲的要求完成相關資金轉賬后,準備一個“支付確認”明文,在本地利用自己的私人密鑰A對“支付確認”明文進行加密,形成“支付確認”密文,通過網絡將密文傳輸給客戶甲。客戶甲收到“支付確認”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發現只能用獲得的網絡銀行乙的公開密鑰B進行解密,形成“支付確認”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網絡銀行乙所有,因此客戶甲斷定這個“支付確認”只能是網絡銀行乙發來的,不是別人假冒的,可作支付完成的憑證。
(三)算法
當前最著名、應用最廣泛的公開密鑰系統是RSA(取自三個創始人的名字的第一個字母)算法。目前電子商務中大多數使用公開密鑰加密法進行加解密和數字簽名的產品和標準使用的都是RSA算法。RSA算法是基于大數的因子分解,而大數的因子分解是數學上的一個難題,其難度隨數的位數加多而提高。
(四)優缺點
優點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。
能夠解決信息的否認與抵賴問題,身份認證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網絡成員,商業伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。超級秘書網
三、兩種加密法的比較
通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區別:在加密、解密的處理效率方面,DES算法明顯優于RSA算法,即DES算法快得多;在密鑰的分發與管理方面,RSA算法比DES算法更加優越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預見的時間內破譯它們的有效方法;在簽名和認證方面,DES算法從原理上不可能實現數字簽名和身份認證,但RSA算法能夠方便容易的進行數字簽名和身份認證。
基于以上比較的結果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認證方面功能強大,而私有密鑰加密在加/解密速度方面具有很大優勢。為了充分發揮對稱加密法和非對稱加密法各自的優點,在實際應用中通常將這兩種加密法結合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。這樣不僅數據信息的加解密速度快,同時保障了密鑰傳遞的安全性。數據加密技術是信息安全的基本技術,在網絡中使用的越來越廣泛。針對不同的業務要求可以設計或采取不同的加密技術及實現方式。另外還要注意的是,數據加密技術所討論的安全性只是暫時的,因此還要投入對密碼技術新機制、新理論的研究才能滿足不斷增長的信息安全需求。
參考文獻:
[1]丁學君.電子商務中的信息安全問題及其對策[J].計算機安全,2009,(2).
[2]余紹軍,彭銀香.電子商務安全與數據加密技術淺析[J].中國管理信息化(綜合版),2007,(04).
[3]王俊杰.電子商務安全問題及其應對策略[J].特區經濟,2007,(07).
[4]秦昌友.淺析電子商務的安全技術[J].蘇南科技開發,2007,(08).
1.電子商務與移動電子商務概念
電子商務(ElectronicCommerce,簡稱E-commerce)是在因特網開放的網絡環境下,基于瀏覽器或服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付,以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。
移動電子商務(M-Commerce),它由電子商務(E-Commerce)的概念衍生出來,是通過手機、PDA(個人數字助理)、呼機等移動通信設備與因特網有機結合所進行的電子商務活動。移動電子商務能提供以下服務:PIM(個人信息服務)、銀行業務、交易、購物、基于位置的服務、娛樂等。移動電子商務因其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。因為只有移動電子商務才能在任何地方、任何時間,真正解決做生意的問題。
截至2008年4月,中國移動電話用戶合計5.84億,移動電話用戶數與固定電話用戶數的差距拉大到2.24億戶,移動電話用戶在電話用戶總數中所占的比重達到61.9%。移動電話普及率已達41.6%。
移動電子商務與傳統的主要通過桌面電腦網絡平臺而運行和開展的電子商務相比,擁有更為廣泛的潛在用戶基礎。當前,中國互聯網用戶雖然已經超過2億,但同時手機用戶卻相比多了3億多用戶,此外根據資料還有數量龐大的PDA用戶群,因此,移動電子商務具有比非移動電子商務更為廣闊的市場前景。
2.移動電子商務信息系統安全概念
移動電子商務信息系統安全問題是動態發展的,如防范病毒的措施,往往不可能一次成功更不可能一勞永逸。由于移動電子商務信息系統是以移動通信網絡與計算機網絡共同構建的平臺為商務活動平臺,因此它不可避免面臨著一系列的由移動通訊網絡和計算機網絡相關的安全問題。移動電子商務給商務活動帶來了諸多便利,如縮短了商務活動時間、降低了商務成本、提高了響應市場的效率等等。計算機網絡為主體的有線網絡安全的技術手段并不能完全適用于無線的移動網絡環境,由于無線設備的內存和計算能力有限而不能承載大部分的病毒掃描和入侵檢測的程序,因此,有效抵制手機病毒的防護軟件目前還不是很成熟。
3.移動電子商務信息系統安全類型
移動電子商務信息系統安全威脅種類繁多,可以有多種可能的潛在面,既有蓄意違法而致的威脅;也有無意疏忽造成的安全漏洞。另外還有如:非法使用移動終端、移動通訊公司工作人員不慎泄露客戶信息而致、竊聽等均有可能導致不同程度和后果的移動電子商務安全威脅。大體我們可以分為以下幾個情況:
第一,移動通訊網絡本身導致重要商務信息外泄:移動無線信道是一個開放性的信道,它給移動無線用戶帶來通訊的自由和靈活性的同時,同時也伴隨著很多不安全因素:如通訊雙方商務內容容易被竊聽、通訊雙方的身份容易被假冒,以及通訊內容容易被篡改等。在移動無線通訊過程中,所有通訊內容(如:通話信息,身份信息,數據信息等)都是通過移動無線信道開放傳送的。任何擁有一定頻率接收設備的人均可以獲取移動無線信道上傳輸的內容。這對于移動無線用戶的信息安全、個人安全和個人隱私都構成了潛在的威脅。在移動電子商務信息系統中商業機密的泄漏表現,主要有兩個方面:商務活動雙方進行商務活動的核心機密內容被第三方意外獲得或竊取;交易一方提供給另一方使用的商務文件被第三方非正常使用。
第二,移動通訊設備傳播的病毒的侵犯:病毒是目前威脅移動電子商務用戶的主要因素之一,隨著移動網絡應用的深入擴展,移動電子商務的規模愈趨增大,移動電子商務用戶也越來越多地面臨著各類病毒黑客攻擊風險。與病毒齊名的是黑客侵擾和攻擊,由于各種網絡黑客應用軟件工具的傳播,黑客與黑客行為己經大眾化了,他們利用操作系統和網絡的漏洞、缺陷,從網絡的外部非法侵入,進行侵擾和不法行為,對移動電子商務安全造成很大隱患。
第三,移動通訊網路漫游而致的威脅:無線網路中的危害安全者不需要尋找攻擊對象,攻擊對象在某種條件下會漫游到攻擊者所在的小區。在終端用戶不知情的情況下,信息可能被竊取和篡改。服務也可被經意或不經意地拒絕。交易會中途打斷而沒有重新認證的機制。由刷新引起連接的重新建立會給系統引入風險,沒有再認證機制的交易和連接的重新建立是危險的。連接一旦建立,使用SSL和WTLS的多數站點不需要進行重新認證和重新檢查證書,攻擊者可以利用該漏洞來獲利。
第四,垃圾信息(或稱垃圾短信):在移動通訊系統及設備帶給廣大人們便利和效率的同時,也帶來了很多煩惱,其中尤其難以控制的就是鋪天蓋地而來的垃圾短信廣告打擾著我們的生活、工作和學習。在移動用戶進行商業交易時,會把手機號碼留給對方。有的移動用戶喜歡把手機號碼公布在網上。這些都是其他公司獲取大量手機用戶號碼的渠道所在。垃圾短信使得人們對移動電子商務充滿不信任和反感,而不敢在網絡上使用自己的移動設備從事商務活動。
二、提升移動電子商務信息系統安全的趨勢與必然性
1.移動商務是電子商務發展的必然趨勢
在未來幾年中,伴隨著無線網絡的日益普及,移動計算設備將變得很普及。計算機技術和無線技術的結合將成為最終趨勢,電子商務也將向移動商務過渡。中國在電子商務的發展方面要落后于發達國家,但隨著觀念的改變和技術的進步,中國越來越多地參與到世界經濟發展的各個環節。中國要想在商務模式變革的過程中取得成功,關鍵是要準確分析市場趨勢并把握市場先機。移動商務中關鍵的一點以用戶為中心,如果能成功把握住移動個性化方面的市場先機,則完全有可能成為移動商務的規則制訂者,從而擺脫以往的模仿。
2.我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性
2007年,全國電話用戶新增8389.1萬戶,總數突破9億戶,達到91273.4萬戶。移
動電話用戶在電話用戶總數中所占的比重達到60.0%,移動電話用戶與固定電話用戶的差距拉大到18183.8萬戶。
2007年12月中國互聯網絡信息中心(CNNIC)《第21次中國互聯網絡發展狀況統計報告》。報告顯示,截至2007年底,我國網民人數達到了2.1億,占中國人口總數的16%。調查反映出基于網絡的商務安全問題,調查網民對互聯網最反感的方面是:網絡病毒29.8%,網絡入侵或攻擊(有木馬)17.3%等。可以說我國2億多網民在網絡上,信息安全問題是比較普遍的,因此,我國高速發展的互聯網絡客觀上也要求提升商務信息系統安全。
美國安全軟件公司McAfee2008年公布的最新調查結果顯示,雖然手機病毒和攻擊現在還不普遍,但隨著越來越多的用戶通過手機訪問互聯網和下載文件,手機病毒出現的概率將越來越大。McAfee公司公布的調查結果顯示,只有2.1%的被調查者曾經自己遭遇手機病毒,而聽說過其他手機用戶遭遇病毒的被調查者也只有11.6%。McAfee在英國、美國和日本共調查了2000名手機用戶,結果發現86.3%的用戶對于手機病毒沒有任何概念。
當前我國移動用戶數保持世界第一,網民數為世界第二,我國高速發展的移動通訊網絡要求提升移動電子商務信息系統安全性。
3.利用加密函數技術加強和完善高效高安全性的移動電子商務信息系統
在這個網絡互聯技術、移動通訊技術告訴前行的時代,信息安全尤其是電子商務信息的保密工作變得越來越至關重要,這無疑給密碼學的研究帶來了巨大推動。為提高移動通訊網絡與互聯網為平臺的移動電子商務服務質量,維護移動電子商務信息提供者的權益,信息安全越來越得到人們的關注。筆者認為,研究布爾函數各種性質,特別是研究對抵抗相關攻擊的相關免疫函數類、抗線性分析的Hent函數與Hash函數,無疑是具有很強的現實意義的。
(1)Hash函數加密技術概述及應用
Hash函數加密技術主要用于信息安全領域中加密算法,它能把一些不同長度的信息轉化成雜亂的128位的編碼里,叫做HASH值。Hash就是為了找到一種數據內容和數據存放地址之間的映射關系密碼學上的Hash函數是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。Hash函數可用于數字簽名、消息的完整性檢測、消息的起源認證檢測等。安全的Hash函數的存在性依賴于單項函數的存在性。Hash算法被普遍應用于數字安全的幾乎所有方面,如登錄辦公室局域網、進入個人郵箱和安全頁面都要用它來保護用戶的密碼;電子簽名系統利用它來認證客戶及其發來的信息。
(2)bent函數加密技術概述及應用
在密碼學中,為了抵抗最佳線性逼近,人們引人了Bent函數的概念,bent函數具有最高非線性度,在密碼、編碼理論等方面理論中有著重要應用,因而成為當前密碼學界研究信息安全保密技術的熱點。對Bent函數的構造可以分為間接構造和直接構造。直接構造方法主要有2種:一種是MM類;另一種是PS類,這兩種屬于直接構造方法。bent函數具有最高的非線性度,但它的相關免疫階為0,為了使bent具有更好的密碼學性質和實際應用價值,學者們提出了bent函數的變種,如Hyper-bent,Semi-bent等。
總之,移動電子商務信息系統安全是個多角度、多因素、多學科的問題,它不單要求從保密安全技術方面,同時也要求我們從技術之外的社會等因素考慮解決。
參考文獻:
[1]趙永剛:解析“三角經營商法”[J].商場現代化,2004(15)
[2]姬志剛:計算機、網絡與信息社會.科技咨詢導報[J].2006(20)
[3]邱顯杰:關于Bent函數的研究.湘潭大學[D],2002
[4]戴方虎等:Internet的移動訪問技術研究.計算機科學,2000(3)
[5]肖皇培張國基:基于Hash函數的報文鑒別方法[J].計算機工程,2007,(06)
[6]蘇桂平劉爭春呂述望:Hash函數在信息安全中隨機序列發生器中的應用[J].計算機工程與應用,2005,(11)
1.1網絡安全風險
互聯網作為一個開放的環境,其各種服務器數據庫中的信息在理論上也屬于對外開放的,訪問者可以對信息進行查看。因此,網絡會計信息系統難以阻擋非法訪問者的侵擾和攻擊,尤其是在系統程序出現問題導致系統存在安全漏洞并且管理人員未察覺時,使得服務器上的會計信息資源遭到竊取或篡改。此種情況的發生可能源于系統外部,也可能源于系統本身。一旦問題發生,企業將遭受難以估量的損失。
1.2無紙化的申報和扣稅帶來稅務稽查問題
電子貨幣及電子發票的出現為實現網絡交易電子化提供了條件,在電商迅猛發展的情況下,納稅人手工上門申報方式已經不能跟上電子商務發展的步伐,同時產生了電子稅收問題,即如何保證納稅單位遵守相關規定按時進行網上申報。而稅務稽查的前提是掌握確切的應稅會計信息,因此,會計信息安全問題會引發稅務稽查問題。
1.3追蹤審計困難
從審計工作的角度看,由于數據主要儲存在電子商務系統中,而電子商務系統無法避免數據錯誤處理情況的發生,這為部分工作人員利用職務之便謀取私利或者為減少企業納稅創造了條件,導致后期審計十分困難。此外,會計信息系統在進行前期設計時未考慮審計工作的需要,沒有為審計提供證據,因此,無紙化的電子商務環境加大了對電子商務活動審計的難度,同時,各種會計信息憑證的可修改更是使得對電商的審計工作難度加大。
1.4相關的法律法規配套不完善
隨著電子商務的進一步發展,公司的虛擬化程度越來越高,其規模也越來越小,人力資源與知識產權等是現階段公司收益的主要來源,會計報告中會涉及知識產權、商譽等內容及其經濟價值。在我國,電子商務活動的相關法律法規尚不健全,難以解決電子商務會計活動中出現的問題,這為會計信息安全增加了風險。
1.5現行財務會計軟件不成熟帶來的會計信息安全風險
在當前市場上有各種財務軟件,雖然其在一定程度上滿足電子商務會計發展的需要,但仍難以真正確保電商會計信息安全。現有的財務軟件存在適應性差、應變能力弱等問題,不能適應電子商務發展所需,或者在某種程度上會加大風險系數。因此,電子商務會計軟件開發技術的不成熟成為制約電子商務會計發展的主要因素。因為會計信息是企業管理的重要依據,電子商務企業需要利用電子商務網絡進行會計信息的收集等活動,如何利用電子商務安全技術對會計信息進行加密操作,以確保會計信息安全性和準確性,是企業開展電子商務面臨的主要難題。
2電子商務環境下的會計信息系統安全策略研究
2.1提高網絡安全性的具體方法
(1)保證會計信息原始數據的完整和準確。
會計信息原始信息的完整性是應對企業會計信息系統突發事件的前提保證,因此,保證會計信息原始數據的安全極為重要,假使會計信息的原始數據遭到篡改,會造成數據信息虛假或有誤,然而會計信息系統本身并不具備對數據的鑒別能力,導致會計信息失真,從而引發電商企業的財務會計問題。因此,如何保證原始會計數據的準確性及完整性,是保證會計信息安全的重要前提。
(2)保證信息處理安全。
良好的數據處理能力體現了會計信息系統的優勢,財務系統處理的業務均直接涉及企業的利益,其敏感性和機密性顯而易見,在數據處理時,必須保證數據的完整。因此,在數據處理期間,會計信息系統網絡必須對外封閉,內部網絡的使用必須在可監控的環境下進行,不能與外界網絡終端連接,而且不能與其他無關的部門共享網絡資源。封閉是相對的,為了提高企業的辦公效率,內部財務信息系統可實現資源共享,需要強調的一點是,網絡資源的處理必須包括加密操作。
(3)保證信息儲存的安全。
會計信息系統面臨的主要威脅來自黑客入侵與計算機病毒,操作人員在進行數據存儲時需要加倍注意,建立一套科學的、系統的數據存儲管理機制。
2.2妥善處理無紙化交易的稅務稽查問題
電商時代的無紙化交易形式淘汰了傳統的紙質發票,引發了電商企業與國家管理部門之間的矛盾,因此,如何保證數據的完整性是一項頗為重要的工作。為了使會計憑證得到保證,即保證數據的真實性,參與交易的雙方可以通過選擇具有法律效應的認證途徑比如認證中心,證實網上交易雙方的真實身份。同時,企業可以借助各種會計憑證的鑒別對參與客戶的付款能力進行判定,比如每一家企業都在銀行或者互聯網認證中心簽訂協議,領取本企業的數字簽名等具有驗證功能的符號或代碼,而當業務發生時,交易雙方可通過相應的驗證符號或代碼進行交易活動,這樣既驗證了交易雙方的身份,也保證了交易活動的真實性,使得財務數據有據可查。
2.3解決追蹤審計困難的具體方案
在傳統的會計處理過程中,會計憑證中都包含有具有法律效應的證據,比如負責人簽名等。那么,在電子商務環境下,可以應用電子技術進行電子簽名,比如現在應用最廣的數字簽名技術。首先,發送方將附有個人信息的交易數據通過計算機系統傳遞給另一方,而接受方通過財務信息系統對電子數據報文等內容進行審核,然后,電子數據作為合法的業務數據存入會計信息系統,此時的數據為原始財務信息數據。此種非紙質版的簽名具有兩個方面的意義:①保證信息來源于交易者本人,倘若有后續問題出現,此份信息可作為憑證;②保證信息在交易者簽發至收到過程中的完整性,不存在被篡改的可能,所以,該信息是真實信息。由于數字簽名技術是一種加密技術,包含加密、解碼等操作,其復雜性為數據的真實性提供了保障。從某種程度而言,數字簽名可以取代手工簽名,其同樣受到法律的保護,這大大減小了審計的難度。
2.4完善相關法律
在與電子商務相關的法律法規的建設上,一方面,要加強立法,緊跟時代腳步,完善相關的法律法規,為電子商務發展法律保障。另一方面,要借鑒發達國家在電子商務信息安全建設上的成功經驗,結合中國的實際情況,對計算機網絡安全管理的法律進行修訂,以應對多變的市場環境,使其更符合電商時代的要求。
2.5更新改善相關會計軟件
在如今以電子技術為主導的市場環境下,軟件的后期更新管理工作不容忽視,尤其是電商企業,其財務信息已實現電子化,財會軟件的安全問題輕則造成企業的財務損失,重則危及企業的生存。本文認為,“微”規模的電商企業可與“微”規模的軟件企業進行合作,軟件企業為電商企業定期進行軟件維護工作,實現軟件的良好管理和更新,同時為電商企業定期進行系統審核,檢查電子商務系統的安全性,從而保證財會信息的安全。
3結語
摘要:文章主要針對在電子商務應用中所經常使用到的幾種信息安全技術作了系統的闡述,分析了各種技術在應用中的側重點,強調了在電子商務應用中信息安全技術所具有的重要作用。
21世紀是知識經濟時代,網絡化、信息化是現代社會的一個重要特征。隨著網絡的不斷普及,電子商務這種商務活動新模式已經逐漸改變了人們的經濟、工作和生活方式,可是,電子商務的安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的核心問題,是實現和保證電子商務順利進行的關鍵所在。
信息安全技術在電子商務應用中,最主要的是防止信息的完整性、保密性與可用性遭到破壞;主要使用到的有密碼技術、信息認證和訪問控制技術、防火墻技術等。
一、密碼技術
密碼是信息安全的基礎,現代密碼學不僅用于解決信息的保密性,而且也用于解決信息的保密性、完整性和不可抵賴性等,密碼技術是保護信息傳輸的最有效的手段。密碼技術分類有多種標準,若以密鑰為分類標準,可將密碼系統分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制),他們的區別在于密鑰的類型不同。
在對稱密碼體制下,加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經過安全的密鑰通道,由發送方傳輸到接收方。比較著名的對稱密鑰系統有美國的DES,歐洲的IDEA,Et本的RC4,RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同,加密密鑰公開而解密密鑰保密,并且幾乎不可能由加密密鑰導出解密密鑰,也無須安全信道傳輸密鑰,只需利用本地密鑰的發生器產生解密密鑰。比較著名的公鑰密鑰系統有RSA密碼系統、橢圓曲線密碼系統ECC等。
數字簽名是一項專門的技術,也是實現電子交易安全的核心技術之一,在實現身份認證、數據完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務等領域有重要的應用價值。數字簽名的實現基礎是加密技術,它使用的是公鑰加密算法與散列函數一個數字簽名的方案一般有兩部分組成:數字簽名算法和驗證算法。數字簽名主要的功能是保證信息傳輸的完整性、發送者身份的驗證、防止交易中抵賴的發生。
二、信息認證和訪問控制技術
信息認證技術是網絡信息安全技術的一個重要方面,用于保證通信雙方的不可抵賴性和信息的完整性。在網絡銀行、電子商務應用中,交易雙方應當能夠確認是對方發送或接收了這些信息,同時接收方還能確認接收的信息是完整的,即在通信過程中沒有被修改或替換。
①基于私鑰密碼體制的認證。假設通信雙方為A和B。A,B共享的密鑰為KAB,M為A發送給B的信息。為防止信息M在傳輸信道被竊聽,A將M加密后再傳送。
由于KAB為用戶A和B的共享密鑰,所以用戶B可以確定信息M是由用戶A所發出的,這種方法可以對信息來源進行認證,它在認證的同時對信息M也進行了加密,但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數,可以解決信息完整性的鑒別問題,如圖2所示
用戶A首先對信息M求HASH值H(M),之后將H(M)加密成為m,然后將m。和M一起發送給B,用戶B通過解密ml并對附于信息M之后的HASH值進行比較,比較兩者是否一致。圖2給出的信息認證方案可以實現信息來源和完整性的認證。基于私鑰的信息認證的機制的優點是速度較快,缺點是通信雙方A和B需要事先約定共享密鑰KAB。
②基于公鑰體制的信息認證。基于公鑰體制的信息認證技術主要利用數字簽名和哈希函數來實現。假設用戶A對信息M的HASH值H(M)的簽名為SA(dA,H(m),其中dA為用戶A的私鑰),用戶A將M//SA發送給用戶B,用戶B通過A的公鑰在確認信息是否由A發出,并通過計算HSAH值來對信息M進行完整性鑒別。如果傳輸的信息需要報名,則用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB,A將信息簽名和加密后再傳送給B,如圖3所示。由圖3可知,只有用戶A和B擁有共享密鑰KAB,B才能確信信息來源的可靠性和完整性。
訪問控制是通過一個參考監視器來進行的,當用戶對系統內目標進行訪問時,參考監視器邊查看授權數據庫,以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。而數據庫的授權則是一個安全管理器負責管理和維護的,管理器以阻止的安全策略為基準來設置這些授權。
③防火墻技術。防火墻是目前用得最廣泛的一種安全技術,是一種由計算機硬件和軟件的組合。它使互聯網與內部網之間建立起一個安全網關,可以過濾進出網絡的數據包、管理進出網絡的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內容和活動及對網絡攻擊進行檢測和告警等。防火墻的應用可以有效的減少黑客的入侵及攻擊,它限制外部對系統資源的非授權訪問,也限制內部對外部的非授權訪問,同時還限制內部系統之間,特別是安全級別低的系統對安全級別高的系統的非授權訪問,為電子商務的施展提供一個相對更安全的平臺,具體表現如下:
①防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻身上。
②對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
③防止內部信息的外泄。通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣臺主機的域名和IP地址就不會被外界所了解。
④網絡安全協議。網絡協議是網絡上所有設備之間通信規則的集合。在網絡的各層中存在著許多協議,網絡安全協議就是在協議中采用了加密技術、認證技術等保證信息安全交換的安全網絡協議。
目前,Intemet上對七層網絡模型的每一層都已提出了相應的加密協議,在所有的這些協議中,會話層的SSL和應用層的SET與電子商務的應用關系最為密切:
①ssL協議(SecureSocketsLayer)安全套接層協議。SSL使用對稱加密來保證通信保密性,使用消息認證碼(MAC)來保證數據完整性。SSL主要使用PKI在建立連接時對通信雙方進行身份認證。SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性。它主要適用于點對點之間的信息傳輸,提供基于客戶/服務器模式的安全標準,它在傳輸層和應用層之間嵌入一個子層,在建立連接過程中采用公開密鑰,在會話過程中使用私人密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。SSL安全協議是國際上最早應用于電子商務的一種網絡安全協議,至今仍然有很多網上商店使用。在傳統的郵購活動中,客戶首先尋找商品信息,然后匯款給商家,商家將商品寄給客戶。這里,商家是可以信賴的,所以客戶先付款給商家。在電子商務的開始階段,商家也是擔心客戶購買后不付款,或使用過期的信用卡,因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。所以,它運行的基點是商家對客戶信息保密的承諾。顯然,SSL協議無法完全協調各方間的安全傳輸和信任關系。
關鍵詞:校園;電子商務;安全;解決方案
引言
隨著網絡的不斷普及和電子商務的迅猛發展,電子商務這種商務活動新模式已經逐漸改變了人們的經濟活動方式、工作方式和生活方式,越來越多的人們開始接受并喜愛網上購物,可是,電子商務發展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的核心問題,是實現和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環境下的具體應用與實現,其安全性也同樣是其發展所不容忽視的關鍵問題,因此應當著重研究。
1校園電子商務概述。
1.1校園電子商務的概念。
校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統。
1.2校園電子商務的特點。
相對于一般電子商務,校園電子商務具有客戶群穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。
2校園電子商務的安全問題。
2.1校園電子商務安全的內容。
校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。校園支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。
2.2校園電子商務安全威脅。
校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而,網絡安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,比如:身份竊取、非授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。
2.3校園電子商務安全的基本安全需求。
通過對校園電子商務安全威脅的分析,可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。
3校園電子商務安全解決方案。
3.1校園電子商務安全體系結構。
校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對校園人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合的電子商務的安全技術,總結校園電子商務安全體系結構,如圖所示:
上述安全體系結構中,人文環境層包括現有的電子商務法律法規以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。
針對上述安全體系結構,具體的方案有:
(1)營造良好校園人文環境。加強大學生的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。
(2)建立良好網上支付環境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。
(3)建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。
(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。
3.2校園網絡安全對策。
保障校園網絡安全的主要措施有:
(1)防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問,防止來自外部互聯網對內部網絡的破壞。
(2)病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網絡安全的重要環節。
(3)VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數據的安全傳輸。有效保證了網絡的安全性和穩定性且易于維護和改進。
3.3交易信息安全對策。
針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。
(1)數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務中,網上交易認證可以通過校園統一身份認證系統(例如校園一卡通系統)來進行對交易各方的身份認證。
(3)安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。
3.4基于一卡通的校園電子商務。
目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:超級秘書網
(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。
(2)校園一卡通具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。
4結束語。
開展校園電子商務是推進校園信息化建設的重要內容,隨著我國校園信息化建設的不斷深入,目前已有許多高校開展了校園電子商務,它極大的方便了校園內師生員工的工作、學習、生活。可是與此同時,安全問題成為制約校園電子商務發展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環境,讓師生能夠方便可靠的進行校園在線交易和網上支付,是當前校園電子商務發展要著重研究的關鍵問題。
參考文獻:
[1]李洪心。電子商務安全[M].大連:東北財經大學出版社,2008.
[2]楊堅爭,趙雯,楊立釩。電子商務安全與電子支付[M].北京:機械工業出版社,2008.
[3]劉克強。電子交易與支付[M].北京:人民郵電出版社,2007.
論文摘要:互聯網的快速發展不但給電子商務提供了巨大的發展機遇,而且也帶來了相應的網絡安全問題。當前,電子商務中網絡安全問題產生的主要原因有:黑客攻擊、軟件漏洞、網絡缺陷和技術管理欠缺等,其中的關鍵問題是電子商務企業本身的安全管理問題。所以,需要對電子商務實施技術和管理的安全策略。
1 引言
隨著互聯網的快速發展,人們的生活方式有了非常大的改變,對應的經濟社會也受到了巨大的影響。在商業貿易領域,因為網絡的快速發展,產生了電子商務這樣一種貿易方式。但是電子商務也是經歷了一番坎坷的,因為網絡的特殊性,在電子商務發展中產生了交易安全的問題,對電子商務的穩定發展帶來了一定的沖擊。internet網是一個互連通的自由空間,一些人常常會因為某些目的攻擊電子商務網站,比如盜竊資金、商業打擊、惡作劇等,導致有些企業的電子商務網站貿易交流受損、服務暫停,甚至出現資金被盜的現象。據有關數據的統計,美國每年因為網絡安全問題在經濟上造成的損失就達到近百億美元,而國內的情況也不容樂觀。因此,當我們在享受互聯網給生活帶來的這些好處的時候,網絡的安全問題,早已變成電子商務的重大難題,給電子商務企業的發展帶來了極大的阻礙。所以,計算機網絡安全是電子商務發展過程中所面臨的重大挑戰和問題。電子商務企業必須從維護顧客利益和自身利益出發,做好安全防范和自身安全管理工作,才能得到持續快速的發展。
2 電子商務面對的網絡安全問題
當前,電子商務安全問題受到多方面的影響,不但有技術管理的問題,而且也有網絡缺陷的因素,具體地說,直接原因有以下幾點:
2.1 網絡“黑客”侵犯電子商務網站
網絡黑客是專門在網絡中利用本身掌握的技術非法強行進入他人網站后臺的人,這類人具有高超的網絡技術,能夠不受電子商務網站技術防護的限制。許多“黑客”篡改內容信息、破壞網站;盜取商戶或企業的賬戶資金,極大地影響了電子商務的正常進行。
2.2 電子商務軟件有漏洞
許多軟件研發單位研發的技術不成熟的電子商務軟件,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破,導致電子商務企業受到很大的經濟損失;有的企業即使安裝了防護軟件,但由于軟件沒有得到及時升級,致使軟件喪失了應有防護功能。
2.3 電子商務網絡自身存在安全問題
網絡具有共享性、開放性等特點,它的設計原則是確保信息傳輸不會受到局部損壞的影響。所以,對網站安全帶來了極大的隱患。特別是對電子商務企業情況更加嚴峻。
2.4 網站管理的缺失
由于電子商務企業缺乏警惕性,不重視網絡安全的管理,通常只有在受到攻擊以后才會去加強網站安全;部分企業則以為只要安裝了入侵監測系統、殺毒軟件、防火墻等安全產品,就能保障網站的安全,所以沒有根據企業實際情況制定相應的管理制度,也沒有加強技術防范,給入侵者提供了機會。
3 應對的措施
電子商務安全問題是在網絡化、電子化技術發展的前提下出現的,所以很多傳統的解決辦法不能簡單地應用過來。電子商務企業想要取得效益,就要從企業的健康發展出發,改善企業的安全管理,提高技術投入。具體的防范措施有:
3.1 安全技術管理需要加強
需要重視電子商務網站的維護、升級等方面,做好每天的安全備份,加強網站服務器的管理。制定安全防范預案,只要發生安全事件,能夠得到盡快解決,從而減少損失。使用權威性較強的安全防護軟件,并能夠正常啟動、正常升級,發揮應有的防護功能。
3.2 在電子安全方面擴大管理和技術投入
企業需要加大安全方面的資金投入,購買技術防護設備,加大對技術改造與設備更新的投入。引進安全管理的相關技術,招聘相應的管理人才,并進行適當的待遇傾斜,確保安全管理團隊的穩定。
3.3 使用密碼管理技術
電子商務中最重要的防范環節是密碼管理,要使用先進的密碼管理手段,確保能發揮特定的功能,重點有交易信息安全、身份認證安全和賬戶安全等。
3.4 電子商務企業自身的管理需要得到強化
安全技術是電子商務企業的首要防范措施,但發揮其作用的關鍵還是嚴密的管理,只有建立完善的安全防范管理系統,才能保證企業的安全。所以電子商務企業,需要制定安全防護制度,保證明確職責;要有獎懲制度,責任事故的時候,能夠做到及時追究,提高技術管理人員的責任意識。
4 總結
總的說來,電子商務企業的安全問題,表面上像是計算機網絡的安全問題,但主要還是在于企業的制度建設、安全管理和重視程度等情況。企業不當的安全管理,不僅會發生企業賬戶資金被盜的問題,甚至有可能地客戶的利益造成損害,讓客戶對電子商務企業不再信任。電子商務企業維護客戶市場的關鍵是信譽度,所以,應當重視網絡安全,克服網絡技術自身的弊端,使企業能得到持續穩定的貿易發展。
參考文獻:
[1] 祁明.電子商務實用教程[m].北京:高等教育出版社,2006.
[2] 陳輝.淺談電子商務的安全與技術保障[j].河南教育學院學報(自然科學版),2006(01).
[3] 楊愛民.電子商務安全現狀及對策探討[j].科技資訊,2006(06).
模擬試題
一、判斷題(每題2分)
1.信息安全保護能力技術要求分類中,業務信息安全類記為A。
錯誤
2.OSI安全體系結構標準不是一個實現的標準,而是描述如何設計標準的標準。正確
3.只靠技術就能夠實現安全。
錯誤
4.災難恢復和容災是同一個意思。
正確
5.VPN與防火墻的部署關系通常分為串聯和并聯兩種模式。
正確
6.美國的布什切尼政府把信息高速公路,互聯網的發展推動起來了。
錯誤
7.兩種經濟形態并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務是成長潛力大,綜合效益好的產業。
正確
9.電子商務促進了企業基礎架構的變革和變化。
正確
10.在企業推進信息化的過程中應認真防范風險。
正確
11.科研課題/項目是科學研究的主要內容,也是科學研究的主要實踐形式,更是科研方法的應有實踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導意義和學術價值。
錯誤
13.西方的“方法”一詞來源于英文。
錯誤
14.科學觀察可以分為直接觀察和間接觀察。
正確
15.統計推論目的是對整理出的數據進行加工概括,從多種角度顯現大量資料所包含的數量特征和數量關系。
錯誤
16.學術論文是學位申請者為申請學位而提交的具有一定學術價值的論文。
錯誤
17.期刊論文從投稿到發表需要有一個編輯評價的標準,但是它更需要有一個質量的監控體系、監控體制。
正確
18.科研成果是衡量科學研究任務完成與否、質量優劣以及科研人員貢獻大小的重要標志。正確
19.一稿多投產生糾紛的責任一般情況由作者承擔。
正確
20.知識產權保護的工程和科技創新的工程是一個系統的工程,不是由某一個方法單獨努力就能做到的,需要國家、單位和科研工作者共同努力。
正確
二、單項選擇(每題2分)
21.信息安全的安全目標不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計算機信息系統安全保護條例》規定,(B)主管全國計算機信息安全保護工作。
A、國家安全部
B、公安部
C、國家保密局
D、教育部
23.《計算機信息系統安全保護條例》第14條規定:“對計算機信息中發生案件,有關使用單位應當在24小時內向當地(B)人民政府公安機關報告。”
A、區級以上
B、縣級以上
C、市級以上
D、省級以上
24.根據SHARE 78標準,在(D)級情況下,備份中心處于活動狀態,網絡實時傳送數據、流水日志、系統處于工作狀態,數據丟失與恢復時間一般是小時級的。
A、本地冗余設備級
B、應用冷備級
C、數據零丟失級
D、應用系統溫備級
25.(A)是密碼學發展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對稱密碼體制
C、非對稱密碼體制
D、加密密碼體制
26.以下(C)不屬于計算機病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進行網絡部署時,(B)在網絡層上實現加密和認證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測
28.美國(A)政府提出來網絡空間的安全戰略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對于電子商務發展存在的問題,下列說法中錯誤的是(C)
A、推進電子商務發展的體制機制有待健全
B、電子商務發展的制度環境不完善
C、電子商務的商業模式成熟
D、電子商務對促進傳統生產經營模
30.下列選項中,不屬于電子商務規劃框架的是(C)
A、應用
B、服務
C、物流
D、環境
31.(D)是創新的基礎。
A、技術
C、人才
D、知識
32.兩大科研方法中的假設演繹法以(B)為代表。
A、達爾文的《進化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創新的特征的是(D)
A、繼承性
B、斗爭性
C、時代性
D、減速性
34.(A)主要是應用已有的理論來解決設計、技術、工藝、設備、材料等具體技術問題而取得的。
A、科技論文
B、學術論文
C、會議論文
D、學位論文
35.(B)是通過查閱相關的紙質或電子文獻資料或者通過其他途徑獲得的行業內部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實驗材料
36.(C)是整個文章的整體設計,不僅能指導和完善文章的具體寫作,還能使文章所表達的內容條理化、系統化、周密化。
A、摘要
B、引言
C、寫作提綱
D、結論
37.期刊論文的發表載體是(C)。
A、娛樂雜志
B、生活雜志
C、學術期刊
D、新聞報紙
38.(B)是指科研課題的執行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。
A、開題報告
B、中期報告
C、結項報告
D、課題報告
39.我國于(A)年實施了《專利法》。
A、1985
B、1986
C、1987
D、1988
40.知識產權具有專有性,不包括以下哪項(D)。
A、排他性
B、獨占性
C、可售性
三、多項選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強制性技術標準
E、道德體系
42.信息系統安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統安全
C、網絡安全
D、應用安全
E、基礎安全
43.網絡隔離技術發展經歷了五個階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數據轉播隔離階段
D、空氣開關隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務安全工作取得的新進展的有(ABCDE)
A、重新成立了國家網絡信息安全協調小組
B、成立新一屆的國家信息化專家咨詢委員會
C、信息安全統一協作的職能得到加強
D、協調辦公室保密工作的管理得到加強
E、信息內容的管理或網絡治理力度得到了加強
45.下列說法正確的是(ABCDE)
A、電子商務產業是以重大技術突破和重大發展需求為基礎的新興產業
B、電子商務對經濟社會全局和長遠發展具有重大引領帶動作用
C、電子商務是知識技術密集的產業
D、電子商務是物質資源消耗少的產業
E、應把優先發展電子商務服務業放到重要位置
46.科研論文按發表形式分,可以分為(ABE)
A、期刊論文
B、學術論文
C、實驗論文
D、應用論文
E、會議論文
47.學術期刊的文章類型有(ABC)。
A、綜述性的文章
B、專欄性的文章
C、報道性的文章
D、文言文
E、以上都正確
48.期刊發表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識產權的三大特征是(ABC)。
B、時間性
C、地域性
D、大眾性
E、以上都不正確
50.從個人層面來講,知識產權保護的措施有(ABC)。
A、在日常的科研行為中一定要有相應的行動策略
B、在科研轉化的過程中,要注意保護自己的著作權
C、作品發表后或者出版后,還要對后續的收益給予持續的關注和有效的維護