1、w w w . w h u e b . c o m1电子商务物流与安全电子商务物流与安全w w w . w h u e b . c o m2(一)物流的概念(一)物流的概念物流物流狭义的物流仅指作为商品的物质资料在生产者与消费者之间发生的空间位移,属于流通领域内的经济活动。广义的物流,还包括物质资料在生产过程中的运动,它既包括流通领域又包括生产领域。 除人员以外所有货物流通的全过程,它是从原材料到制成品到消费者手中为止的所发生的一系列的空间位移社会物流(宏观、广泛)社会物流(宏观、广泛)是指超越一家一户的以一个社会为范畴面向社会为目的的物流。这种社会性很强的物流往往是由专门的物流承担人承担的,
2、社会物流的范畴是社会经济大领域。企业物流企业物流(微观、具体)(微观、具体)-重点介绍重点介绍企业生产物流、企业供应物流、企业销售物流、企业回收物物流、企业废弃物物流w w w . w h u e b . c o m3物流的重要性物流的重要性(企业物流)(企业物流)第三利润源泉第三利润源泉第一利润源泉:提高生产率,降低成本第二利润源泉:扩大市场占有率,提高销售收入第三利润源泉:物流管理“中国连锁商业百强”之首的上海联华超市建立了智能配送中心,实现24小时服务,可同时为30家超级市场配送,保证40分钟到位。海尔集团实施同步物流流程管理,使库存时间从原来的30天缩短到10-12天,每年节约资金上亿
3、元。2000年我国全社会流通费用高达1.788万亿元,约占GDP的20%,如果全社会流通费用能够降低1%,就可节约资金178亿元w w w . w h u e b . c o m4物流的重要性物流的重要性(社会物流)(社会物流)12.22,89123,74213.15,09538,774Total11.712.311.712.98378765166627,1497,0864,3875,12011.011.114.515.21,0358841,4591,7179,4367,98210,06311,263北 美欧 洲亚太地区其 它物流占GDP的%物流支出GDP物流占GDP的%物流支出GDP1992
4、1997地区全球物流支出在GDP中的比较(1992-1997,Billions of USD)w w w . w h u e b . c o m5物流的目标物流的目标恰当的产品恰当的产品( (Right product)Right product)恰当的数量恰当的数量( (Right quantity)Right quantity)恰当的条件恰当的条件( (Right condition)Right condition)恰当的地点恰当的地点( (Right place)Right place)恰当的时间恰当的时间( (Right time)Right time)恰当的顾客恰当的顾客( (Rig
5、ht customer)Right customer)恰当的成本恰当的成本( (Right cost)Right cost)w w w . w h u e b . c o m6物流的功能物流的功能功能功能主要功能:运输、储存保管、配送辅助功能:包装、装卸 搬运、流通加工、物流信息处理物流与配送物流与配送配送的距离较短,是到最终消费者的物流。配送也包含着其他的物流功能(如装卸,储存,包装等),是多种功能的组合配送是物流系统的一个缩影,是一个小范围的物流系统物流网络物流网络(Logistics Network)w w w . w h u e b . c o m7(二)物流管理(二)物流管理军事上的
6、后勤管理(JCS Pub 1-02 excerpt) :对运输和后勤保障资源的计划与执行的科学,包括军用物资调度的设计与开发;军用物资的采购、储存、运送、维护;人员和物资装备储运中心的建设、维修等。美国物流管理协会(Council of Logistics Management)关于物流管理的定义:物流管理是供应链的一个组成部分,是为了满足顾客需求而进行的对货物、服务及信息从起始地到消费地的流动过程,以及为使能有效、低成本的进行而从事的计划、实施和控制行为。是指在社会再生产过程中,根据物质资料实体流动的规律,应用管理的基本原理和科学方法,对物流活动进行计划、组织、指挥、协调、控制和监督,使各项
7、物流活动实现最佳的协调与配合,以降低物流成本,提高物流效率和经济效益。w w w . w h u e b . c o m8(三)物流系统化(三)物流系统化物流系统化物流系统化是现代物流管理的重要模式物流系统的目标物流系统的目标(5S) :优质服务(Service):无缺货,无损伤和丢失现象,且费用便宜迅速及时(Speed):按用户指定的时间和地点迅速送达。节约空间(Space saving):发展立体设施和有关的物流机械,以充分利用空间和面积,缓解城市土地紧缺的问题。规模适当(Scale optimization):物流网点的优化布局,合理的物流设施规模、自动化和机械化程度。合理库存(Stoc
8、k control):合理的库存策略,合理控制库存量。物流系统的构成物流系统的构成作业系统:围绕实体移动的作业过程信息系统:协调实体移动的信息沟通过程,低成本的信息处理可以代替高成本的库存w w w . w h u e b . c o m9物流系统构成的基础:物流系统构成的基础:作业系统作业系统运输(transportation)存储(warehousing and storage)包装(packaging)物料搬运(material handling)订单处理(order processing)预测(forecasting)生产计划(production planning)采购(purcha
9、sing or procurement)客户服务(customer service)选址(location)其他活动w w w . w h u e b . c o m10企业物流管理的组成部分企业物流管理的组成部分管理行为计划 执行 控制物流管理原材料 在制品库存 产成品自然资源(土地、设施、设备等)人力资源财务资源信息资源市场导向(竞争优势)时间和位置效率有效配送资产增值物流活动客户服务 工厂和仓库选择需求预测 采购配送通讯 包装库存控制 退货处理材料搬运 坏损物品处理订单处理 交通与运输服务支持 仓储与贮存物流的输入物流的输出供应商用户w w w . w h u e b . c o m11
10、 企业物流管理涉及的主要内容企业物流管理涉及的主要内容配送网络的设置(Distribution Network Configuration)生产计划决策(Production Planning)库存控制(Inventory Control)交叉转运(Cross Docking)库存与运输整合(Integration of Inventory and Transportation)车队管理(Vehicle Fleet Management)运送路线(Truck Routing)包装问题(Packing Problems)限时发送(Delivery Time-windows)上门收货与递送(Pic
11、kup and Delivery Systems)w w w . w h u e b . c o m12示例:示例:配送中心自动拣货配送中心自动拣货w w w . w h u e b . c o m13示例:示例:配送中心自动拣货配送中心自动拣货w w w . w h u e b . c o m14(四)电子商务物流(四)电子商务物流电子商务物流配送特点电子商务物流配送特点 批次多而批量小,范围广,覆盖群体复杂,服务要求高物流体系的建立物流体系的建立 电于商务与普通商务活动共用一套物流系统(翠微大厦、西单商场) 建立新的物流系统,如Amazon 利用社会化的物流、配送服务(第三方物流),如De
12、ll物流配送中心按运营主体可分为四种物流配送中心按运营主体可分为四种: 以制造商为主体配送中心(早期的Dell公司) 以批发商为主体配送中心(美国加州食品配送中心) 以零售业为主体配进中心(沃尔玛) 以仓储运输业为主体配送中心(美国福来明公司的食品配送中心) w w w . w h u e b . c o m15第三方物流第三方物流:企业自建资金不足;自建规模小效率不高;自建投资风险大;自建物流手段有限:第三方物流企业同货主企业的关系应该是密切的,长期的合作关系,而不是零星的业务往来。第三方物流企业不一定要保有物流作业能力,灵活运用自理和代理两种方式,提供客户定制的物流服务。综合性物流企业(如
13、:阳光网达,中国储运公司、中外运公司、大通、敦豪、天地快运、EMS、宝隆洋行等)和功能性物流企业。物流自理企业和物流代理企业。物流代理企业同样可以按照物流业务代理的范围,分成综合性物流代理企业和功能性物流代理企业w w w . w h u e b . c o m16电子商务下物流业的发展趋势电子商务下物流业的发展趋势多功能化多功能化物流业的发展方向物流业的发展方向 一体化配送中心、第三方物流、供应链物流(JIT)一流的服务一流的服务物流企业的追求物流企业的追求 重视顾客需求、由区域性到长距离、驻点于生产厂家信息化信息化现代物流业的必由之路现代物流业的必由之路 ECR&JIT、EDI&INTER
14、NET、Code&Database 支撑的信息技术:条码技术、射频技术 GIS 技术、 GPS全球化全球化物流企业竞争的趋势物流企业竞争的趋势 多国化问题(配送中心设置和多国差异) 信息共性问题、服务与效益问题w w w . w h u e b . c o m17(五)条形码技术(五)条形码技术(1/3)条形码技术包括条形码的编码技术、条形符号设计技术、快速识别技术和计算机管理技术,是实现计算机管理和电子数据交换不可少的开端技术。 条形码简称条码,是由一组黑白相间、粗细不同的条状符号组成,条码隐含着数字信息、字母信息、标志信息、符号信息,主要用以表示商品的名称、产地、价格、种类等,是全世界通用
15、的商品代码的表示方法。 条码构成。是一组黑白相间的条纹,这种条纹由若干个黑白的条和白色的空的单元所组成,其中,黑色条对光的反射率低而白色的空对光的反射率高,再加上条与空的宽度不同,就能使扫描光线产生不同的反射接收效果,在光电转换设备上转换成不同的电脉冲,形成了可以传输的电子信息。空 白 区起始字符数据字符校验字符终止字符空 白 区w w w . w h u e b . c o m18条形码技术(条形码技术(2/3)EAN条码及我国通用商品条码。EAN条码是国际上通用的通用商品代码,我国通用商品条码标准也采用EAN条码结构。主版是由13位数字及相应的条码符号组成,在较小的商品上也采用8位数字码及
16、其相应的条码符号。前缀码。由三位数字组成,是国家的代码,我国为690,是国际物品编码会统一决定的。制造厂商代码。由四位数字组成,我国物品编码中心统一分配并统一注册,一厂一码。商品代码。由五位数字组成,表示每个制造厂商的商品,由厂商确定,可标识十万种商品。校验码。由一位数字组成,用以校验前面各码的正误。w w w . w h u e b . c o m19条形码技术(条形码技术(3/3)条码识别装置。条码识别采用各种光电扫描设备,主要有以下几种:光笔扫描器。似笔形的手持小型扫描器。台式扫描器。固定的扫描装置,手持带有条码的卡片或证件在扫描器上移动,完成扫描。手持式扫描器。能手持作用和移动使用的较
17、大的扫描器,用于静态物品扫描。 固定式光电及激光快速扫描器。是由光学扫描器和光电转换器组成。是现在物流领域应用较多的固定式扫描设备,安装在物品运动的通道边,对物品进行逐个扫描。 w w w . w h u e b . c o m20其他物流技术其他物流技术射频技术(射频技术(Radio frequency) 优点:不局限于视线,识别距离比光学系统远,射频识别卡可具有读写能力,可携带大量数据、难以伪造和有智能。适用领域:物料追踪、运载工具和货架识别等要求非接触数据采集和交换的场合,由于RF标签具有可读写能力,对于需要频繁改变数据内容的场合尤为适用。GIS(geographical informa
18、tion system)从洲际地图到非常详细的街区地图,显示对象包括人口、销售情况、运输线路以及其他内容。GPS(global position system)美国国防部GPS系统:工作卫星、地面监控系统、信号接受系统俄罗斯的GLONASS系统国际海事卫星组织的INMARSAT系统 w w w . w h u e b . c o m21现代物流技术应用案例现代物流技术应用案例松下后勤服务组织(Panasonic logistics)松下公司的配送工作。它的一个新配送中心于 1997年 10月在英国 Northampton 成立。该中心在运作中有效地利用了高科技。:货物一到达仓库,就由仓库工作人
19、员人工码成托盘。一旦托盘被码好,就贴上一个交插二五条码标签。该条码包含产品号、数量和目的地的编号。标签是由放置于叉车上的Blaster直接热敏式条码打印机打印。然后,叉车将托盘放在传送带上,运送到仓库的高层货仓。标签将一直贴在托盘上直至托盘被拆卸或作为一个完整的托盘送出仓库。w w w . w h u e b . c o m22现代物流技术应用案例现代物流技术应用案例:订购的货物被装人塑料装运箱中,分拣每一件产品时,打印 Code 39条码标签并贴在装运箱上。该条码对产品、订单号及客户的信息进行编码。操作人员利用带有累加器的特制分拣车针对客户订单组装货物。此种工具车装备有名为 Tracker的
20、射频终端,该终端与 rugged scanner条码扫描器和 Blaster 打印机连接。装有产成品的箱体被分拣出来并放置于传送带上等待分类,箱体上的条码被扫描以识别其所属订单。:按键亮灯系统使操作人员能够将20件不同的订货作为一个批次装人同一装运箱中。只要将装运箱放置到运送装置上,并贴上含有订单号的条码即可。装运箱在寄销运送装置上传送时,其标签将被安装在运送装置上的 Datalogic S4110固定式扫描器扫描,系统再将装运箱送往分类系统在分类工作站,共有三个组,每组20个站点,每个站点分别为一个用户准备一个专门的物料箱。操作人员将装运箱顶部的号码输人PC机之后,扫描装运箱中的所有货物。操
21、作人员使用Symbol技术公司生产的射频链接3070型扫描器扫描货物,与该号码对应的物料箱的指示灯就会发亮,这便指示出了需要该货物的客户地址。据此,该货物就放置在这个物料箱中。w w w . w h u e b . c o m23电子商务安全电子商务安全w w w . w h u e b . c o m24(一)(一) 电子商务的安全要求电子商务的安全要求电子商务安全吗?网上交易合法利益能得到保护吗?传统安全管理措施在网上能发挥作用吗?w w w . w h u e b . c o m25传统交易的安全保障身份确认身份确认工商管理登记(地理位置)身份证,见面(会面),身份不可否认性、不易否认性
22、交易保护交易保护合同不可否认性(白纸黑字,字迹,公章)有效性(第三方公证,鉴定)合法权益保护(法律保护,属地原则)单证传输(有形)银行支付(结算,中介)货物运输(有形)w w w . w h u e b . c o m26网上销售者面临威胁中央系统安全性被破坏中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。竞争者检索商品递送状况竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,可了解有关商品的递送和货物的库存情况。客户资料被竞争者获悉客户资料被竞争者获悉。侵犯隐私、客户被抢被他人假冒而损害公司的信誉被他人假冒而损害公司的信誉:不诚
23、实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。消费者提交订单后不付款消费者提交订单后不付款。尝试性购买,不方便虚假订单虚假订单。尝试性获取他人的机密数据获取他人的机密数据。w w w . w h u e b . c o m27网上购买者面临威胁虚假订单虚假订单:假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而此时客户却被要求付款或返还商品。付款后不能收到商品付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,使客户不能收到商品。机密性丧失机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、口令等)发送给冒充销售商的机构,这些信
24、息也可能会在传递过程中被窃取。拒绝服务拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。w w w . w h u e b . c o m28网上交易的安全问题传统交易特点传统交易特点可以面对面,单证的有形,交易封闭,容易建立信任网上交易的潜在隐患网上交易的潜在隐患交易双方的虚拟性,远程性(非面对面)=缺乏信任信息传输的开放性(非封闭)=攻击可能性增大交易参与方庞杂(容易出现问题)=难以控制网上单证的数字化(非有形)=容易无痕迹修改产生交易风险产生交易风险信息传输风险、信用风险、管理风险以及法律方面风险w w w . w h u e b .
25、 c o m29信息传输风险信息传输风险含义信息传输风险含义指进行网上交易时,因传输的信息失真或者信息被非法的窃取、篡改和丢失,而导致网上交易的不必要损失信息传输风险类型信息传输风险类型冒名偷窃。如“黑客”为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。篡改数据。攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。w w w . w h u e b . c o m30信息传输风险信息丢失。可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三
26、是在不同的操作平台上转换操作不当而丢失信息。信息传递过程中的破坏。信息在网络上传递时,要经过多个环节。计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等存在着被新技术攻击的可能性。虚假信息。从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。对比:传统有形,可留下痕迹;网上容易修改、无痕迹对比:传统有形,可留下痕迹;网上容易修改、无痕迹w w w . w h u e b . c o m31信用风险信用风险来源信用风险来源来自买方的信用风险。对于个人消费者
27、来说,可能在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延货款的可能,卖方需要为此承担风险。来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签定的合同,造成买方的风险。买卖双方都存在抵赖的情况。信用风险特点信用风险特点传统可以面对面,控制风险;网上交易时空分离,环节分离,更加依赖信用体系,同时信用体系也更加脆弱w w w . w h u e b . c o m32管理方面的风险网上交易管理风险网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。交易流程管理风险交易
28、流程管理风险。在网络商品中介交易的过程中,买卖双方签定合同后,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物人员管理风险人员管理风险。内部犯罪,竞争对手还利用企业招募新人的方式潜入该企业,窃取企业的识别码、密码机密资料交易技术管理风险交易技术管理风险。无口令用户、升级超级用户(微软)比较:比较: 传统交易发展多年,机制较完善,管理规范;网上交易时间短,还不成熟w w w . w h u e b . c o m33法律方面的风险是指法律上还是找不到现成的条文保护网络交易中的交易方式造成风险法律滞后风险法律滞后风险。在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所
29、造成的风险,如通过网络达成交易合同,可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险法律调整风险法律调整风险。在原来法律条文没有明确规定下而进行的网上交易,在后来颁布新的法律条文下属于违法经营所造成的损失。如网上证券交易、网上药店w w w . w h u e b . c o m34电子商务的安全要求有效性有效性。电子商务以电子形式取代了纸张,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时间、确定的地点是有效的。机密性机密性。作为贸易的一种手段,电子商务的信息直接代表着个人、企业或国家的商业
30、机密。要预防非法的信息存取和信息在传输过程中被非法窃取。完整性完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复。真实性和不可抵赖性的鉴别真实性和不可抵赖性的鉴别。交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识w w w . w h u e b . c o m35电子商务安全管理体系重要性重要性。市场游戏规则的保证,市场逆向选择(回归传统交易来规避网上交易风险,虽然网上交易费用很低)防范体系防范体系。技术方面的考虑,如防火墙技术、网络防毒、信息加密存储通
31、信、身份认证、授权等制度方面的考虑,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。法律政策与法律保障,如尽快出台电子证据法、电子商务法、网上消费者权益法等。这方面,主要发挥立法部门和执法部门的作用w w w . w h u e b . c o m36(二)电子商务的安全管理方法w w w . w h u e b . c o m37客户认证技术客户认证客户认证(Client Authentication,CA)是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某一特定IP地
32、址的授权用户定制访问权限。特点特点。CA与IP地址相关,对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。客户认证内容客户认证内容。主要包括身份认证和信息认证。前者用于鉴别用户身份、后者用于保证通信双方的不可抵赖性和信息的完整性w w w . w h u e b . c o m38身份认证就是在交易过程中判明和确认贸易双方的真实身份危险危险:某些非法用户采用窃取口令、修改或伪造等方式对网上交易系统进行攻击,阻止系统资源的合法管理和使用功能功能:可信性。信息的来源是可信的,信息
33、接收者能够确认所获得的信息不是由冒充者所发出的。完整性。在传输过程中保证其完整性,即信息接收者能够确认所获信息在传输过程中没有被修改、延迟和替换不可抵赖性。信息的发送方不能否认自己所发出的信息。信息的接收方不能否认已收到了信息。访问控制。拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源w w w . w h u e b . c o m39身份认证方式用户所知道的某个秘密信息,例如用户知道自己的口令。用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须要有的智能卡。用户所具有的某些生物学特征,如指纹、声音
34、、DNA图案、视网膜扫描等等,这种认证方案一般造价较高,多半适用于保密程度很高的场合。混合方式。w w w . w h u e b . c o m40信息认证网络传输过程中信息的保密性问题要求要求:对敏感的文件进行加密,这样即使别人截获文件也无法得到其内容。保证数据的完整性,防止截获人在文件中加入其他信息。对数据和信息的来源进行验证,以确保发信人的身份。实现实现:采用秘密密钥加密系统(Secret Key Encryption)、公开密钥加密系统(Public Key Encryption)或者两者相结合的方式。为保证信息来源的确定性,可以采用加密的数字签名方式来实现,因为数字签名是唯一的而且
35、是安全。加密后的文件,即使他人截取信息也无法知道信息原始涵义;也无法加入或删除信息,因为无法得到原始信息。w w w . w h u e b . c o m41第三方认证专门机构从事(类似于公证服务)买卖双方的身份确认,既可以保证网上交易的安全性,又可以保证高效性和专业性。一般可用大家信任一方负责,如银行基本原理(基本原理(上海上海CA认证演示认证演示)顾客向CA申请证书时,可提交自己的驾驶执照、身份证或护照,经验证后,颁发证书,证书包含了顾客的名字和他的公钥,以此作为网上证明自己身份的依据。 做 交 易 时 , 应 向 对 方 提 交 一 个 由 C A ( C e r t i f i e
36、d Authentication)签发的包含个人身份的证书,以使对方相信自己的身份。CA中心负责证书的发放、验收,并作为中介承担信用连带责任w w w . w h u e b . c o m42CA认证的实现在SET(Security Electronic Transaction)交易协议中,最主要的证书是持卡人证书和商家证书持卡人证书持卡人证书实际上是支付卡的电子化的表示。由于它是由金融机构以数字化形式签发的,因此不能随意改变。持卡人证书并不包括帐号和终止日期信息,取而代之的是用一计算算法根据帐号、截止日期生成的一个码。如果知道帐号、截止日期、密码值,即可导出这个码值,反之不行。商家证书商家
37、证书就用来记录商家可以结算卡类型,也是由金融机构签发的,不能被第三方改变。一个商家至少应有一对证书。与一个银行打交道,一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。w w w . w h u e b . c o m43密码安全技术介绍C=E(Ke,M) M=D(Kd,M)密钥体系:通用密钥、公开密钥通用密钥:指加密和解密密钥一样;算法:置换算法公开密钥:Ke公开,Kd保密,Ke和Kd不一样; 算法:RSA算法加密E解密D明文M密文C明文MKeKd加密密钥解密密钥w w w . w h u e b . c o m44安全交易控制技术数字摘要:提供一段密文(数字指纹)
38、数字签名数字时间戳数字凭证拥有者姓名公开密钥公开密钥有效期办法单位序列号颁发单位数字签名数字凭证类型:个人、企业(服务器)、软件(开发)w w w . w h u e b . c o m45安全管理制度是指用文字形式对各项安全要求的规定,它是保证企业在网上经营管理取得成功的基础。人员管理制度人员管理制度特点:参与网上交易的经营管理人员责任重大,面临着防范严重的网络犯罪的任务。而计算机网络犯罪具有智能型、隐蔽性、连续性、高效性的特点。对有关人员进行上岗培训;落实工作责任制,违反网上交易安全规定的行为应坚决进行打击并及时的处理安全运作基本原则:双人负责原则、任期有限原则、最小权限原则w w w .
39、 w h u e b . c o m46保密安全管理制度划分信息的安全级别,确定安全防范重点绝密级。如公司战略计划、公司内部财务报表等。此部分网址、密码不在Internet上公开,只限于高层掌握机密级。如公司的日常管理情况、会议通知等。此部分网址、密码不在Internet上公开,只限中层以上使用。秘密级。如公司简介、新产品介绍及订货方式等。此部分网址、密码在Internet上公开,供消费者浏览,但必须有保护程序,防止“黑客”入侵。密钥的管理。大量的交易必然使用大量的密钥,密钥管理贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期更换,否则可能使“黑客”通过积累密文增加破译机会。w w w .
40、w h u e b . c o m47跟踪、审计、稽核制度跟踪制度跟踪制度是要求企业建立网络交易系统日志机制,自动记录系统运行的全过程。内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对系统的运行进行监督、维护分析、故障恢复,这对于防止案件的发生或在案件发生后,为侦破工作提供监督数据审计制度审计制度包括经常对系统日志的检查、审核,及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志。稽核制度稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助于稽核业务应用软件调阅、查询、审核、判断辖区内各电子商务参与单位业务经营活
41、动的合理性、安全性,堵塞漏洞,保证网上交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤及措施。w w w . w h u e b . c o m48网络系统的日常维护制度对于可管设备对于可管设备,通过安装网管软件进行系统故障诊断、显示及通告,网络流量与状态的监控、统计与分析,以及网络性能调优、负载平衡等对于不可管设备对于不可管设备,通过手工操作来检查状态,做到定期检查与随机抽查相结合,以便及时准确地掌握网络的运行状况,一旦有故障发生能及时处理定期进行数据备份定期进行数据备份,数据备份与恢复主要是利用多种介质,如磁介质、纸介质、光碟、微缩载体等,对信息系统数据进行存储、备份和恢复。这
42、种保护措施还包括对系统设备的备份w w w . w h u e b . c o m49病毒防范工作原理 可以自我复制的小程序 引导模块、传染模块、激发模块和破坏模块类型 寄生方式:系统型、外壳型和程序型 后果:良性、恶性 状态:静态、动态途径:拷贝、网络(E-mail、下载)等病毒特征(发现) 运行速度变慢、文件程度变长、出现破坏现象防治方法 监控和检测病毒 消除病毒(杀毒软件,及时更新)w w w . w h u e b . c o m50法律制度涉及法律问题涉及法律问题:合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收等诸问题难以解决美国保证电子商务安全的相关法律美国保证电子商务安
43、全的相关法律原则:采取非限制性、面向市场的做法,即颁布实施的法律是保护电子商务发展,而不是限制电子商务的发展统一商业法规(UCC)电子支付的法律制度信息安全的法律制度消费者权益保护的法律制度:个人隐私信息可能被商家掌握和非法利用;消费者退货问题;跨越国界物。禁止商家利用消费者的个人隐私信息进行商业活动;起诉商家时可以用消费者本国相关法律起诉w w w . w h u e b . c o m51(三)防止非法入侵w w w . w h u e b . c o m52网络“黑客”常用的攻击手段“黑客黑客( (Hacker)”Hacker)”源于英语动词Hack,意为“劈,砍”,引申为“辟出,开辟”
44、,进一步的意思是“干了一件非常漂亮的工作”。在本世纪早期的麻省理工学院校园侵语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。“黑客黑客”类型类型骇客,他们只想引人注目,证明自己的能力,在进入网络系统后,不会去破坏系统,或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。窃客,他们的行为带有强烈的目的性。早期的“黑客”主要是窃取国家情报、科研情报,而现在的这些“黑客”的目标大部分瞄准了银行的资金和电子商务的整个交易过程。w w w . w h u e b . c o m53黑客攻击手段中断中断(攻击系统的可用性):破坏系统中的硬件、硬盘、线路、文件
45、系统等,使系统不能正常工作;窃听窃听(攻击系统的机密性):通过搭线和电磁泄漏等手段造成泄密,或对业务流量进行分析,获取有用情报。窜改窜改(攻击系统的完整性):窜改系统中数据内容,修正消息次序、时间(延时和重放);伪造伪造(攻击系统的真实性):将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的,否认消息的接收或发送等;轰炸轰炸(攻击系统的健壮性):用数百条消息填塞某人的Email信箱也是一种在线袭扰的方法。w w w . w h u e b . c o m54防范非法入侵的技术措施网络安全检测设备:对访问者进行监督控制,一旦发现有异常情况,马上采取应对措施,防止非法入侵者
46、进一步攻击访问设备。通过给访问者提供智能卡,通过智能卡的信息来控制用户使用防火墙(firewall):它通过对访问者进行过滤,可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时,就必须采用IP地址欺骗技术才能进入系统,但增加了入侵的难度。安全工具包。安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发,开发自己的安全系统。w w w . w h u e b . c o m55小小 结结我国电子商务环境的发展状况如何?电子商务系统的主要功能有哪些?电子商务支付有哪些方式?企业电子商务物流有哪些方式实现?如何规避电子商务风险?电子商务的实现需要有一个完整的系统支持电子商务环境是电子商务顺利实施的保证电子支付系统是网上交易的基础思思 考考 题题感谢光临讲座感谢光临讲座! 欢迎交流提问!欢迎交流提问! 黄敏学 http:/