A. 电子商务有关的基本名词及其定义
电子商务 电子商务常缩写为EC(Eletronic Commerce),有人也称为电子贸易,它是指采用网络技术实现数据的交换,从而完成整个的商业交易过程。电子商务所包含的内容非常多,不仅包括商业交易,还包括政府职能部门提供电子化服务,电子银行,跨企业共同协作,网络购物等等。其最初的形式是电话、电报、电子邮件和EDI(电子数据交换),到今天已经发展为通过网络来实现商品的交易和结算,使网络真正成为电子商务的重要工具,从而形成了完整的电子商务概念。 网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说,网上银行是在Internet上的虚拟银行柜台。网上银行可以减少固定网点数量、降低经营成本,而用户却可以不受空间、时间的限制,只要一台PC、一根电话线,无论在家里,还是在旅游中都可以与银行相连,享受每周7天、每天24小时的不间断服务。网上银行的客户端由标准PC、浏览器组成,便于维护。网上E-mail通信方式也非常灵活方便,便于用户与银行之间,以及银行内部之间的沟通。 电子钱包(E-wallet)是一个可以由持卡人用来进行安全电子交易和储存交易记录的软件,就像生活中随身携带的钱包一样。电子钱包在具有中文环境的Windows操作系统上运行。电子钱包具有如下功能:(1)电子安全证书的管理:包括电子安全证书的申请、存储、删除等;(2)安全电子交易:进行SET交易时辨认用户的身份并发送交易信息;(3)交易记录的保存:保存每一笔交易纪律以备日后查询;持卡人在进行网上购物时,卡户信息(如帐号和到期日期)及支付指令可以通过电子钱包软件进行加密传送和有效性验证。电子钱包能够在Microsoft、Netscape等公司的浏览器软件上运行。持卡人要在Internet上进行符合SET标准的安全电子交易,必须按照符合SET标准的电子钱包。 电子安全交易协议(Secure Electronic Transfer Protocol)1997年5月31日,由美国VISA和Mastercard国际组织等联合指定,该协议得到大多数厂商的认可和支持,为在开发网络上的电子商务提供了一个关键的安全环境。安全电子交易规范(SET)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由VISA国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。基于EDI的电子商务EDI在60脑袋末期产生于美国,EDI:是将业务文件按一个公认的标准从一台计算机传输到另一台计算机上去的电子传输方法。由于EDI大大减少了纸张票据,因此,人们形象地称之为“无纸贸易”或“无纸交易”。 加密技术加密技术是电子商务采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。RSA(即Rivest,Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题的算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。 数字签名数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。 企业内部电子商务即企业内部之间,通过企业内部网的方式处理与交换商贸信息。企业内部网是一种有效商务工具,通过防火墙,企业将自己的内部网与Internet隔离,它可以用来自动处理商务操作及工作流,增强对重要系统和关键数据的存取,共享经验,共同解决客户问题,并保持组织间的联系。通过企业内部的电子商务,可以增加商务活动处理的敏捷性,对市场状况能更快的作出反应,能更好地为客户提供服务。 企业间的电子商务(B2B)即企业与企业(Business-Business)之间,通过Internet或专用网方式进行电子商务活动。 企业与消费者之间的电子商务(B2C)即企业通过Internet为消费者提供一个新型的购物环境——网上商店,消费者通过网络在网上购物、在网上支付。 眼球经济注意力经济又被形象地称作“眼球经济”,是指实现注意力这种有限的主观资源与信息这种相对无限的客观资源的最佳配置的过程。在网络时代,注意力之所以重要,是由于注意力可以优化社会资源配置,也可以使网络商获得巨大利益,注意力已成为一种可以交易的商品,这就是注意力的商品化。注意力作为一个个体资源虽然是有限的,但如果从全社会总体角度看,它又是非常丰富的资源,而且其再生成本几乎可以忽略不计,从而引发的经济效益是具有倍增的乘数作用。这就是为什么网络的点击数(访问量)、网民数往往比利润更受到风险投资者的重视。因为点击率能够帮助我们破译注意力“密码”,从而准确地把握市场走向。在这里注意力是第一位的,利润反居次要地位。在网络时代没有注意力就没有利润,而没有利润的企业最终要失败。 耳朵经济倾听力是指人们用耳朵的听力消费信息的能力,又称“耳朵经济”。在网络时代,只要是能够消费信息的能力——人们的主观资源,迟早都会出现短缺,形成人们占有和使用信息的瓶颈。一旦我们把网上可视信息变成可听信息,不仅可以缓解注意力短缺的压力,而且可以使倾听力资源发挥作用,从而也就找到了网络经济的另一个增长点。 嘴巴经济语音力又称“嘴巴经济”,是人们通过语音来支配、使用和调动信息的能力。语音力的短缺也属于主观资源短缺,是由于目前的网络技术和电子信息技术的限制,还不能有效地加以利用,以提高人们消费信息的主观能动性。语音力资源的开发也是网络经济的一个重要发展方向——傻瓜化。 安全认证体系开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任问题,即建立安全认证体系(CA)问题;选择安全标准(如SET、SSL、PKI等)问题;采用加、解密方法和加密强度问题。其中建立安全认证体系的关键。安全支付结算体系银行业务的电子化,使得电子货币正在逐步取代传统纸币,发挥越来越重要的作用。随着网上交易的增多,网络银行、数字货币等全新的概念也应运而生。无论是完全依赖于网络的银行,还是传统银行利用网络开展银行业务,安全问题都是十分重要的。 协同作业体系电子商务中所谓协调作业,包括工商、税务、银行、运输、商检、海关、外汇、保险、电信、认证等部门,以及商城、商户、企业、客户等单位按一定规范与程序相互配合,相互衔接,协调工作,共同完成有关电子商务活动。协调作业体系包括:(1)有关协调作业部门(不含广大客户)通过专线或IP隧道与电子商城互连;(2)共同协商制定同意高效的作业规范与程序;(3)共同制定降低电子商务运行成本的资费政策;(4)推行实施协调工作(CSCW)。 全球电子商务纲要1997年7月1日美国克林顿政府发布了“全球电子商务纲要”,其中定义了两大商务类别,一类是企业对企业的电子商务,一类是企业与个人的电子商务。第一类主要强调企业与企业之间的EDI联系;而第二类,企业与个人,对于个人,也就是消费者而言,电子商务就是我们常说的电子消费,网上购物,它也称为电子商业。这两种商务类别的侧重点不同,企业与企业之间,多数着重企业的经营效率,利用网络整体提高企业的管理,经销,产品推广实力水平。从而改善传统商业模式所带来的弊端,对于企业的新产品推广,更易快速打入市场。而企业与个人,对于企业来说是扩大企业产品的知名度,拥有更大的市场,以及利用网络的跨地域性,在销售通道上,更易控制和掌握。而对于个人来说,进行电子消费,不受时间及地域限制,有更多的自主权。在消费变的方便的同时,消费者作为个体,将有更多的时间及精力来完成其它生活事务。 PHP:Hypertext PreprocessorPHP是一种跨平台的服务器端的嵌入式脚本语言,它大量地借用C,Java和Perl语言的语法,并耦合PHP自己的特性,使WEB开发者能够快速地写出动态生成页面。它支持目前绝大多数数据库,是开发电子商务应用的利器。 网上交易市场网上交易市场是企业间电子商务所需要的电子化和网络化的商务平台。通过网上交易市场,可以改变传统贸易中的一对一或一对多的模式,变成了多对多模式,并创造众多买卖商家聚集的在线交易空间。买卖双方不仅可以寻找到更多的贸易伙伴,增加更多的商业机会,还能够享受更多的方便和标准化的商务服务,获得一个良好的商务环境。
B. 电子商务企业价格竞争策略都有哪些啊要详细的,好心人,谢谢啦
当前,网络经济和电子商务的大潮滚滚而来。网站建设呈爆炸式增长。据统计,至3月底,国内的商业网站已有近9000家。仅商务网站就有近800家,网上书店就有近200家,网上拍卖店铺180家。网站的爆炸式增长和网站的无效益落地形成了巨大的反差,一场网络企业的淘汰赛已经开始。因此,认真研究电子商务的竞争战略问题,就十分必要了。
一、抢占快车道战略
抢占快车道战略是一种抢先控制市场的战略。抢占快车道战略的优点在于,易于形成—种商业龙风,迅速增强互联网企业的业务胎能力;易于调动企业内部的驱动力,使企业各方面的力量为抢占市场形价种合力;易于吸引人才和争取宽松的外在市场环境;易于增强和各方对手谈判的主控力;易于调动媒体花钱的嘴。进行炒作,动摇竞争对手在同—业务领域扩展的信心。
新浪、网易、搜弧均是当前抢进快车道的网站。以新浪为例,抢占快车道的战略确实给它帮了大忙,使它既打出了品位又得尽了香火。特别是当他具有了抗风险能力以后,又加快了全线的资本运作,迅速地进军电子商务,快捷地并购小型网站,使网站迈入了快速发展的历程。
抢占快车道战略有优点也有弊端。一是目标具有不可替代性,因此不好随意变动和更改,否则将丧失竞争中的有利形势和主动地位。二是你的战略目标是暴露的。你的决心、招法、态势、技术上的进展、访问量的多少、成交量的大小、人员的变动、机构的调整,一切一切,都会成为对手研究分析的重点。抢先还具有冒险性。这种冒险性主要表现在:较早地进行了大量的资源投入,用于竞争的成本过大,难于短收回;进入快车道后,需要强大的技术和资金支持,一旦有的环节出现问题,被别人反超的可能性很大;迅即膨胀起来的机构,必然造成朗上的黑洞,留下很大的隐患。
二、专一化战略
专一化战略,是一种避免全面出击,平均使用兵力的个性化战略。这种专一,是从全局出发的专一。专一的出发点和落脚点是为了争得在全局中的有利形势和主动地位。它把有限的人力、财力、物力、领导的关注力、企业的潜在力,集聚在某一方面,力求从某一局部、某一专业,进行渗透和突破,形成和突现出局部优势。进而通过局部优势的能量累积,争得竞争中全局的主动地位和有利形势。
8848网站是实施专一化战略的突出代表。该网站从自身具有进销存和市场促销经验的实际出发,以自己熟悉的软件、音像制品、图书等为切入点,进军电子商务领域,获得了较快的发展。
在网上商城构建上,目前,他们的日访问量已近200万PageView,日营业额在30.50万元。经营的商品已达30万余种,已成为一座大型的网上超市。
在配送体系上,他们建立了专业和民间双向配送系统,从而保证了他们在全国400多个城市可以实现送货上门。
在支付手段上,他们采取了多种支付方式。既可以在网上即时划付,又可以从银行转账、邮局汇款,部分地区可以货到付款,使网民感受到了电子商务的便利。
在技术支撑上,他们建立了从接单开始,全程跟踪的一整套电子管理系统。自主开发出了一套高适应性、高扩展性的在线销售系统,并且取得了英特尔公司的后续支持,从而保证了电子商务的安全运行。
单看某一项局部的突破,其能量都是有限的。但是,无数局部的连锁突破,就会形成一种增量无形资本。正是这种增量无形资本,使8848网站站住了脚,挺直了腰。
在电子商务实践中,个性化越强的网站,越有稳定的客户群。像国内首家消费者权威信息网站——阿凡提网站;全国最大的少年儿童网上超市——乐友网站;肾病人的专业网站——肾移植网站等,都以其鲜明的专一特色,赢得了网民的喜爱。
三、人才风险战略
人才是互联网企业的未来。人才的竞争,比资源的竞争、市场的竞争,更加外露,更加明显,更加激烈。
1.无声走失风险。这是当前各个网络公司遇到的最普遍、最头痛的一个问题。绝大多数网络企业都经历了因人才流失而造成的痛苦与无奈。因此,对于人才走失可能造成的风险和震颤,不少企业已经体会很深。在各种诱惑之下,他们经常拔腿走人,无声离去。
2.无形资产流失风险。网络企业一项最重要的资本就是无形资产。通过获取竞争对手的商业秘密、技术机密,把对歹搞垮是一种非常险恶的招法。由于网络实在太没有规则,太缺少秩序,恰恰绘竞争者们太多的施展心计的余地和机遇。他们会选择你最困难的时候下手。既挖走了人才,又获取了价值连城的无形资产。
值得指出的是,当前一些网络公司的领导,缺少对竞争残酷性的认识。一面善待竞争对手,一面继续对人才进行大幅度调整。有的单位人才的进出比高达50%。这种大进大出的最大恶果,在于破坏了网络企业稳定的工作环境、心理环境和文化氛围。企业筛选人才的自自由度越大,人才流动的随意性越大,人才带走的无形资产越多。长此以往,要么成了结工资的培训学校。这些人,今后将使企业增加10倍的管理成本。
3.竞争战略外泄风险。通过获取对手的竞争战略,把对手搞垮,是现代商战中常用的手法。竞争战略外泄,一般有三种可能:一是核心人员走失而带去的;二是竞争对手刺探挖去的;三是内部人员无意泄露的。因此,我们一定要有清醒的认识和恰切的估价,并尽快建立起抵抗人才风险的机制和严格的管理制度,防范和化解人才风险。
4.整合聚才风险。电子商务网站增多的结果,必然是部分有实力网站的迅速崛起和一批弱小网站的接连倒闭。这就是市场的法则。这种法则在人才问题上的最激化的表现,就是“为了得到鱼仔而吞掉鱼”。通过收并弱小网站,迅速地把各路人才聚拢起来,搭建起自己的、合理的人才构架。这被那些正在崛起的网站,看成是最便宜的事。这里,整合是手段,赤裸裸地挖人才是目的。事情的结果,已经不是人才的个别和局部的流失,而是整个网站的灭失。
四、从不定式中寻找定式战略
一条道大家都走,必然拥挤不堪。于是人们开始另辟蹊径。在我们进军电子商务的进程中,很有必要把这种另辟蹊径的思路,提升到战略高度来审视。当前电子商务中,业界公认的有三种商业运作模式。即CtoC模式、BbC模式和BtoB模式。第一种模式是一种交易市场模式。网站提供交易区和拍品,消费者对消费者自由竞价成交。雅宝、易趣网均是这种类型的。第二种模式是商家通过网站,把商品直接交给最终消费者。亚马逊和8848网站均是这种类型。第三种模式是从企业到企业之间进行的买卖行为。通用、波音、福特等一大批企业,较早地就在互联网上进行了这种商务运作,极大地降低了他们采购成本。
克隆以上三种模式似乎成了电子商务的定式。于是,它获得了多种技术支持。然而,我国市场发育尚不健全,市场的不确定性,地域情况的差异性,资源的受约性,产业发展的外在性,都要求我们结合我国国情进行新的探索。当初,书生之家网站就走出了这样一条探索之路。王东临没有因袭亚马逊模式。他认为做单和构建庞大的配送系统,不是自己的优势。而在中文全息化技术上,在数十万源代码软件的积累上他具有自己的优势。他扬其所长,避其所短,找到了一种以自己独有技术为依托,以网上开架浏览为特点,以销售服务延伸下家,连锁完成配送,发展出BtooBtoC的新模式。王东临走出了一条电子商务模式的创新之路,而且形成和利用了自己的无形资产,减少了技术上的依赖性。
五、隐形进攻战略
隐形进攻战略是避开对手锋芒的一种进攻战略,是在竞争态势上隐蔽地进攻,渐进地成长,悄然地发展。后起的、弱小的网站宜采用这种战略。其主要特点是:
1.利用特色,快速发展。网上营销要有特色。有特色,才能有人气;有人气,才能有商机。为了让网上竞标和网下交易在大学更加方便,易趣网前不久开展了一项别具特色的校园行活动。他们这样做的战略出发点,是想完善校园物品交换的网络平台和条件,抓住1000万网民中最有希望、最活跃的群体,使之成为网站的主体。他们还把网上交流和网下交易有机地结合起来,让网上交易促进网下交易市场的形成和发展;网下交易,成为网上交易的发展和延伸。
2.利用夹缝,快速发展。大山深处的几朵小花,注往长得很茂盛。当别人发现它们的时候,它们已经具有了抗风险能力。实行夹缝战略要随时掌握全局的动态和发展。商战中,竞争的态势干变万化,商机的出现稍现即逝。我们必须适时地、谨慎地做出第一反应。与此同时,还要抓好理财。摒弃那种一掷干金的阔少作风,力争以最小的投入产出比,在最快的时间内,走出亏损。
3.参与整合,寻求发展。随着竞争的加剧,网络企业必然出现狼吃小羊的现象,收购和兼并是竞争的必然。你越有特色,越容易成为整合的目标。这时,有两种办法。一是参与整合,获得发展。要在参与的过程中借船海,借鸡下蛋,使自己尽快发展壮大起来。“脱壳整合”,不失为另一上策。作为被整合者,脱空交壳,既可以实现无形资产的无成本转移,又可以增强谈判的实力,其实是一种反竞争战略。
C. 电子商务论文
http://www.bcu.e.cn/truekxyj/gerenwangye/hyeleem/xinxikx/jsjwlaq/wlaq.doc
字数超了 ,你觉得好就直接下上面的地址
下面是摘抄 前面一点点部分的
第1章 电子商务与网络安全
1.1什么是网络安全
电子商务的网络环境
1.互联网
互联网的出现与发展是上个世纪末人类生活中最具影响的重大事件之一.
根据 www.glreach.com 2000年12月30日的全球在线统计,全球上网用户为4亿零300万,其中使用英语的用户数为1亿9210万,占全球上网用户总数的47.6%,非英语用户数为2亿1130万,占全球上网用户总数的52.4%,在非英语用户中,使用汉语的用户数为2900万,占全球上网用户总数的7.2%.估计到2003年,全球上网用户为7亿9000万,其中使用英语的用户数为2亿3000万,占全球上网用户总数的29.1%,非英语用户数为5亿6000万,占全球上网用户总数的70.9%,在非英语用户中,使用汉语的用户数为1亿6000万,占全球上网用户总数的20.3%.
根据INTERNIC的统计,全球已注册域名35244448个,其中以 .com 注册的公司域名为21285794个.中国大陆以 .cn 注册的域名106272个,中国台湾以 .tw 注册的域名36546个,澳门以 .mo 注册的域名395个,香港未详.
另据香港政府的资讯科技及广播局的统计资料,全港所有住户中,49.7%家中有个人电脑 ,其中73.3%的个人电脑已接入上互联网,37.3%的机构单位已联接互联网.一九九九年,所有机构单位通过电子途径售卖产品,服务或资料而获得的业务收益合计为46亿元港币.
根据中国互联网络信息中心(CNNIC)2001年1月17日在北京发布的《中国互联网络发展状况统计报告》,截止到2000年12月31日止,我国上网计算机数有约892万台,其中专线上网计算机141万台,拨号上网计算机751万台.我国上网用户人数约2250万人,其中专线上网的用户人数约为364万,拨号上网的用户人数约为1543万,同时使用专线与拨号的用户人数为343万,除计算机外同时使用其他设备(移动终端,信息家电等)上网的用户人数为92万.CN下注册的域名总数为122099个,WWW站点数(包括.CN,.COM,.NET,.ORG下的网站)约265405个,我国国际线路的总容量为2799M.
2.电子商务
互联网的迅猛发展极大地改变了人类的生活方式,给世界的经济,政治,文化带来了深刻的影响.在这种背景之下,电子商务的异军突起掀起了网络上的浩荡风云.这首先是由于,互联网加速了经济全球化的进程,人们通过网络可以更快,更省地处理经济事务,节省大量的财力,物力,人力,所有的这些都大大减少了交易费用,节余了更多的社会财富.其次,互联网极大地拓展了市场交易的时间和空间,创造了更多的市场交易机会,为经济的发展起到了推波助澜的作用.互联网可以帮助人们挖掘潜在的市场需求,甚至在创造着人类前所未有的新需求,例如创造和激发了巨大的信息消费市场.同时,互联网还创造了互联网基础建设,互联网应用,互联网中介,互联网商务等市场需求.这些新增长的需求必然带来更多的就业机会.再次,互联网促进竞争,促进创新,提高整个社会资源的配置效率.互联网使每一个厂商都面临着同样的全球化的市场,自由竞争将导致经济资源的优化配置,极大地推动经济的发展.这是由于互联网使得供需双方的信息能够充分流通,减少双方的信息不对称,不完全状况,从而为资源的最优配置创造了必要的条件,也十分自然地优化着社会资源的配置.
根据贝克利大学世界经济圆桌会议的报告,1999年的全球网络购物和网络交易额为130亿美元,2000年估计为2000亿美元,2003年估计将超过3万亿美元.
面对这样一个巨大的市场,世界各国无不磨拳擦掌,惟恐裂肉分羹之不及.美国作为网络技术和应用最先进的经济发达国家,正逐步加强自己在世界经济中的霸主地位.欧洲各国也不甘落后,1999年12月7日,欧盟15国在布鲁塞尔召开部长级会议,通过了《欧盟电子商务统一法》,明确规定凡在一个成员国签署的有关电子商务合同,其法律效力在欧盟其他成员国都将得到承认,以此推动电子商务在欧洲的发展.2001年2月15日,德国议会通过了使电子签名具有与手写签名同样的法律效力的议案,用电子签名签订的合同将具有同样的合法性,这使德国成为第一个电子签名合法化的欧洲国家.目前在欧元区信息技术部门内共雇佣了80万人,至2020年还将创造75万个就业机会.日本则于1999年推出纲领性文件《迈向21世纪的数字经济》,并投资几十亿美元发展本国的电子商务.新加坡政府把推动电子商务作为21世纪的经济发展策略,并立志将新加坡建设成为国际电子商务中心.随着我国加入WTO的日子的到来,在国际经济贸易的竞争更加激烈,机遇与挑战并存的时代,如果我国能够及时调整对策,变革传统的贸易方式,我们将在21世纪国际贸易竞争中有望占有我们应得的市场份额,由此将对我国的经济发展,社会稳定和人民的生活幸福产生深远的影响.
3.网络安全
互联网犹如为电子商务铺设了四通八达的道路.但是在这些道路上并不是很安全的,而是危机四伏,险象环生.当然,我们不能因为路上不太安全,就关张落板,不做买卖了,缩回到"民老死不相往来"的封闭时代.我们要做的是权衡利弊,评估风险,以适当的代价,建立起电子商务的安全系统,争取在电子商务活动中获得较高的收益.
说到安全,我们满耳朵灌进来的是各种各样的令人头昏的字眼.诸如"网络安全","信息安全","计算机安全","数据安全"等等,等等.界定这些名词的内涵与外延,是语义学专家们的事情.我们也不想从那些难以咀嚼的定义出发,来圈定本书的内容.
我们的想法是很直接,很朴素的.我们经过调查研究,从电子商务的实际需要出发,来组织本书的内容.电子商务在网络上遇到的安全问题是错综复杂的,我们经过梳理,勾画出本书的轮廓,方方面面有关安全的问题我们都要点到,做适当的介绍.这本书作为高等职业学校的电子商务专业的教材,我们的目的不是去探讨高深的网络理论,而是要引导学生通过实践获得切合实际需要的知识和能力.
针对危害安全的某些因素,我们采取了相应的安全措施.也许由于我们的安全措施存在某些遗漏或缺陷,一些不安全因素会得以扩张它的危害,我们必须想法弥补和加固我们的防护堤坝.然而,新的不安全因素是会在你一眨眼之间随时出现的,我们维护系统安全的战斗将永不停息.因此,本书并没有企图罗列若干万无一失的安全解决方案,以为铸造几个坚固的铁壳就可以钻在里面高枕无忧了,而是着眼于培养学生分析问题,解决问题的能力,去应对不断出现的新的挑战.
满山的草木千姿百态,我们只能摘一片叶子夹在书中留作纪念.电子商务所面临的安全问题千奇百怪,解决之道也是层出不穷.要找一个非常准确的名词来概括不是一件容易的事儿,权且叫做"网络安全"吧.
网络安全隐患分析
电子商务之所以非要在危机四伏,险象环生的网络环境中谋求生存,其根本原因出自以下的四大矛盾:
商务活动要求广泛的互联而不能与世隔绝,然而这也给盗贼的潜入架桥开路:
网络的体系结构和协议以及计算机的操作系统为互联就必须开放,然而这也给病毒妈咪和黑客们尽数亮开了家底:
电子商务的操作必须简单,方便,然而这就给严格的安全检查出了难题:
互联网的建立的初衷是友善的交流,合作,资源共享,它的结构和协议也不曾想到什么安全不安全,然而谁曾料想美好的乌托邦竟然成为刀光剑影的打斗场.
网络安全的隐患主要来自操作系统,网络和数据库的安全的脆弱性和安全管理上的疏忽.
操作系统的安全的脆弱性
操作系统为了系统集成和系统扩张的需要,采用了支持动态联接的系统结构.系统的服务和I/O操作都可以用打补丁的方式进行动态联接.打补丁的方法为黑客们所熟知,也是病毒孳生的营养缸.
操作系统的进程是可以创建的,而且这种进程可以在远程的网络节点上创建和激活,更加要命的是被创建的进程还继承了再创建进程的权力.这样,黑客们在远程把间谍补丁打在一个合法用户特别是超级用户的身上,就能够逃脱系统作业与进程的监视程序的眼睛.
操作系统为维护方便而预留的免口令入口和各种隐蔽通道,实际上也是黑客们进出的方便之门.
操作系统提供的具有与系统核心层同等权力的daemon软件和远程过程调用RPC服务,网络文件系统NFS服务,以及Debug,Wizard等工具,更是黑客们翻云覆雨的百宝囊.
计算机网络的安全的脆弱性
互联网的体系结构和TCP/IP协议在创建之时并没有适当地考虑安全的需要,因而存在着许多安全漏洞和根本性的缺陷,给攻击者留下了可乘之机.计算机网络安全的脆弱性主要表现在:
(1)很容易被窃听和欺骗
数据包在互联网上传输的时候,往往要经过很多个节点的重发.而在局域网内,通常采用的以太网或令牌网技术都是广播类型的.这样,窃听者便可以轻而易举地得到你的数据包.如果你的数据包没有强有力的加密措施,就等于把信息拱手送给了窃听者.比较陈旧的DNS服务软件易受虚假的IP地址信息的欺骗.另外一种IP地址的欺骗方式是在阻塞了受害的某台主机后再用受害者的IP地址在网络上冒充行骗.
(2)脆弱的TCP/IP服务
基于TCP/IP协议的服务很多,最常用的有WWW,FTP,E-mail,此外还有TFTP,NFS,Finger等,它们都存在着各种各样的安全问题.WWW服务所使用的CGI程序,Java Applet小程序和SSI都有可能成为黑客的得力工具.FTP的匿名服务有可能浪费甚至耗尽系统的资源.TFTP则无安全性可言,它常被用来窃取口令文件.E-mail的安全漏洞曾经导致蠕虫在互联网上的蔓延.E-mail的电子炸弹和附件里经常携带的病毒,严重地威胁着互联网的安全.至于X Windows服务,基于RPC的NFS服务,BSD UNIX的"r"族服务如rlogin,rsh,rexec等,如果你在配置防火墙时忘记了关闭它们在互联网上的使用,那么你的内部网络就等于裸露在黑客们的面前.
(3)配置的错误和疏忽
由于网络系统本身的复杂性,配置防火墙是一件相当复杂的事情.在没有更好的辅助工具出现之前,缺乏训练的网络管理员很有可能发生配置错误,给黑客造成可乘之机.在系统配置时过于宽容,或者由于对某些服务的安全性了解不够而没有限制或禁止这些不安全的服务,或者对于某些节点的访问要求给予太多的权力,都会给安全带来危害.
3. 数据库管理系统安全的脆弱性
数据库管理系统主要通过用户的登录验证,用户的权限,数据的使用权限以及审计功能提供安全性能.但是黑客通过探访工具强行登录和越权使用数据库的数据,有可能带来巨大的损失.对数据进行加密可以提高安全性,但是加密往往与数据库管理系统的功能发生冲突或者影响了数据库的运行效率,不一定总是可行.使用"服务器—浏览器"结构的网络应用程序因为由应用程序直接对数据库进行操作,应用程序的某些缺陷有可能威胁到数据库的安全.使用"数据库—服务器—浏览器"的三层结构的应用程序通过标准的工具对数据库进行操作,其安全性有所加强.数据库的安全等级应当与操作系统的安全等级相适应,否则缺口是会首先从最薄弱的环节打开的.
系统管理员对系统和数据库的绝对的控制权力也是安全的一个突出问题.作为一个系统管理员,他有权查阅和删改任何任何敏感数据,系统对他的权力没有任何约束,这就可能出事.应当实行系统管理员,安全员,审计员三权分立的互相制约的机制.而且这种机制必须得到操作系统和数据库管理系统的支持才能生效.
4.安全管理的不力
调查表明,国内的多数计算机网络,都缺少经过正规教育和训练的专职的网络安全管理员,缺少网络安全管理的技术规范,没有定期的安全测试和检查,更没有安全监控.甚至有许多网络已经运行多年了,而系统管理员和用户的登录名字和口令还是缺省状态未予改动.对于病毒妈咪和黑客们来说,这些网络真是"笑人齿缺曰狗窦大开".
危害网络安全的典型案例
世界上第一个病毒程序是在1983年11月由Fred Cohen博士研究出来的.它潜伏在DEC公司的VAX 11/750型计算机系统上,具有自我复制能力,在一定条件下当它发作时则具有一定的破坏性.从此,在神奇美丽的计算机王国里,开始了一场挥之不去的恶梦.
1988年11月3日,由Cornell大学的23岁的研究生Robert Morris制造的"蠕虫"病毒感染了当时的互联网上将近1/10的6000多台计算机,使网络陷入瘫痪,造成的经济损失估计在1500万到1亿美元.Robert Morris也因此被判刑3年监禁缓刑,罚款1万美元和做400小时的社区服务.Robert Morris的父亲老Morris是一个对互联网的创立做出杰出贡献的工程师,并服务于美国国家安全局.Robert Morris以自己的"蠕虫"盖过了他父亲的一代英名.
最离奇的一个案例是Randal Schwartz.他是一个 在编程方面特别是Perl语言上功绩彰著的优秀程序员.1993年他在Oregon为Intel公司工作,作为系统管理员维护计算机系统的安全.他为网络安全而安装了一个Crack工具软件,这个工具软件可以用来破译UNIX中的密码和网络口令.1993年10月28日,另一个系统管理员发现了这个Crack软件,并于4天后向警方作证而导致Schwartz被捕,罪名是违反了Oregon的计算机犯罪条例.
1995年,俄罗斯的列文(∧евин)在英国被捕.他被指控使用笔记本电脑从纽约的花旗银行非法转移至少370万美元到他自己的帐户.后来列文被引渡到了美国,被判处3年监禁和归还花旗银行24万美元.花旗银行除了蒙受了经济损失之外,尤其严重的是商业信誉上的损失.当时就有6家竞争对手立即利用这个事件游说花旗银行的最大的20个客户改换门庭.因此有许多金融和商业机构在遭受黑客袭击时却严格保密不敢露出风声,惟恐因为自己的计算机网络系统的安全缺陷而导致丢失自己的客户.
1998年我国某工商银行的网络管理员郝金龙和他的弟弟内外勾结,在银行的电脑终端机植入一个控制软件,同时用各种化名在该银行开设了16个帐户.他们利用这个软件将虚拟的720000元人民币电汇划入银行帐户,之后从该银行的8个分行提取真实的人民币260000元.后来,郝金龙兄弟2人被江苏省扬州市人民法院依法判处了死刑.
每年4月26日发作的CIH病毒感染了全球6000万台计算机.这种病毒是一种恶性的
病毒,它发作时能用垃圾数据填充硬盘而毁坏所有文件和数据,尤其可恶的是它能改写Flash 芯片的BIOS程序,使计算机完全瘫痪.受害者为之莫不咬牙切齿.CIH病毒是台湾大同工学院的4年级的学生陈盈豪在1998年制作的.当年因为无人告诉,警方不能采取行动,使陈盈豪长期逍遥法外.毕业后在台军方服役,曾扬言要制作针对大陆的简体汉字系统的病毒.1999年4月30日,有CIH病毒受害者曾先生起诉陈盈豪,陈乃被台北警方逮捕.
2000年2月在3天的时间里,来自世界各地的黑客攻击了美国的数家顶级网站,包括Yahoo,Amazon,eBay,CNN等.黑客们用大量的垃圾信息阻塞了网站的服务器,使其无暇为用户提供正常的服务而陷入瘫痪,称为"拒绝服务"攻击.一时间,引起这些顶级网站的股票一路下跌.
2000年5月4日,一种叫做"我爱你"(ILoveYou)的电脑病毒开始在全球迅速蔓延,短短的一两天内就侵袭了100多万台计算机.美国和欧洲 的计算机系统损失尤为惨重."爱虫"病毒通过电子邮件传播,与1999年席卷美国的"梅丽莎"病毒类似.它的攻击对象是使用微软视窗操作系统及Outlook电子邮件系统的计算机.这种病毒能删除计算机上的部分文件,并 制造大量新的电子邮件,使用户文件泄密,网络负荷剧增.英国约有10%的企业遭到了它的攻击,英国劳埃德银行估计,这一病毒将给英国造成数千万英镑的损失.美国参议院,国务院和国防部,美国在线-时代华纳公司等诸多机构也受到"爱虫"病毒的攻击.在瑞士,"爱虫"病毒袭击了瑞士通讯社,法语广播电台等机关和企业,甚至苏黎世州警察局也未能幸免.另外,在4日德国至少有5万台电脑被传染上"爱虫"病毒,丹麦议会,丹麦电信局和挪威一家电视台都宣布受到"爱虫"病毒的侵害.追查"爱虫"病毒妈咪扑簌迷离.有人说是菲律宾的一些黑客,也有人说是一名在澳大利亚学习的名叫迈克尔的德国学生.
还有一个笑话.北京有一家公司研制开发了一个防火墙,于是向全世界的黑客发出挑战,称谁能攻破我的防火墙,我就付你奖金若干若干.但是这家开发防火墙的公司,竟然忘记了要给自己公司的网站安置一道防火墙.甘肃省有一个叫"黑妹"的,把这家公司的主页黑掉了.公司经理说:"哎呀呀,不算不算!我忘了." 因为管理上的疏忽,导致安全事故的发生,往往是要付出沉重代价的.
物理上的破坏也严重地威胁着网络的安全.我们经常可以反复看到一些如出一辙的报道,称某某地方的架空光缆又被无知的盗贼割断了,不同的只是时间和地点的变换.以至于光缆的架空杆子上挂出了这样的牌子:"光缆割断不能卖钱……"就是沉入海底的光缆也不能幸免于难.2001年2月9日上午中美海底光缆被帆布涨网鱼船在该海域非法作业时钩断,一时间,使用这一光缆的中国,日本,新加坡和韩国的数百万互联网用户发生"大堵车",直至2月23日才得以修复.直接维修费用估计在500万至600万人民币,间接经济损失更是无法估算.帆布涨网捕鱼是在90年代中期从韩国流传过来的,这一作业方式对海底光缆威胁最大.2000年,有关部门决定在5年内彻底淘汰这一作业方式,但是帆布涨网渔船有增无减,仅浙江舟山地区就有1500艘.据了解,1999年中国海域内海底光缆被阻断达18次之多.为了避免再发生类似的事故,中国海底电缆公司准备增加4条巡逻船,加强24小时雷达监控.同时,上海有关部门加强了打击破坏光缆的力度,严禁渔船在海缆路由及两侧各两海里范围内抛锚及进行捕捞作业.
解决网络安全问题的途径
加强国际合作,从根本上改善网络体系结构和协议的安全性能
例如IPSEC工作组推出的IP协议新版本IP v6,Netscape公司在ISO/OSI七层体系结构的传输层加装的安全套接层协议SSL,以及Phil Zimmermann在应用层开发的PGP加密软件包等等,都可以看作是在这个方向上的努力.
加强国家的安全立法工作,为网络安全提供法律依据
有关安全的法律体系包括:① 国家的根本大法即宪法有关国家安全,社会稳定和人民权利的根本性的法律规定;② 国家安全法,保密法等通用的涉及国家安全和信息活动的法律;③ 有关互联网和电子商务,网络安全的专用法律;④ 有关具体信息行为的法律界定.
我们国家的法律,不但要规范中国公民的行为,维护国家的统一和政权的稳定,而且要在一个经济全球化的进程中,能够维护国家的利益和本国公民的权益.日本等一些发达国家之所以胆敢把一些有问题的产品销往中国,其原因之一就是中国的法律的不完善.中国公民在国际交往中受到了损害,却拿不出索赔的法律依据.
研究开发具有中国独立版权的安全产品
我国现在所用的大多数安全产品都是进口的,这种状况潜伏着巨大的危险.一方面,发达国家的政府禁止向我国出口高等级的安全产品,我们只能拿到低等级的安全产品.另一方面是各种安全产品都存在着后门和隐蔽通道,有的进程甚至可以远程激活.在两国友好的时候他们可能会跟我们开开玩笑,当国家利益发生冲突时谁又能料想怎样呢
从单纯的经济的角度看,在一个社会信息化的进程中,安全产品是一个巨大的市场.对这样一个市场熟视无睹拱手让人确实有欠明智.
研究中国独立的加密体制
加密体制是安全的一个核心问题.在加密体制上受制于人就更不可取了.中国人的思维方式是和西方人的思维方式有很大的不同的.在加密上我们会有一些更加奇特的思想.我国目前的法律规定加密的算法只有特定的部门才能研究,这当然有利于阻止民间产生一些政府安全部门所不了解的密码.如何在更加广泛的基础上集中民族的智慧维护国家的利益,这是一个有待探讨 的问题.
5.培养网络安全的各个层次的人才
目前我国的网络安全人才,无论是高级的研究开发人才,还是大量需要的管理应用人才,都存在较大的缺口.在正规的教育体系中,只有四川大学,北京邮电大学,海淀走读大学等少数学校开设有信息安全专业,而一般电子商务专业,网络工程专业,计算机应用专业等开设网络安全课程的也为数不是很多.有的学校不是不想开设网络安全的课程,而是苦于师资无法解决.
建立网络安全的组织机构
国家通过一定的组织机构对网络进行分类,分级的管理.在种类上网络分为:① 互联网,② 国际专业计算机信息网络,③ 通过专线接入互联网的企业内部网络.在级别上分为:① 互联网络,② 接入网络,③ 用户网络.
在各个部门和企事业单位,在建立计算机网络的同时,也应该建立相应的安全组织机构.这个机构应当赋予相当的权力,能够处理涉及安全的各种问题和协调单位内部的各种关系.同时机构内部的各个成员的权力必须有互相制约的机制,避免内部成员的权力失控带来的安全危害.在网络管理中心,系统管理员,安全员,审计员的三权分立是一种有效的安全机制.
建立网络安全的规章制度
网络的所有的用户在网络上的行为必须有章可循.必须做什么,可以做什么,禁止做什么,都必须明确规定,并有相应的奖励和惩罚制度.规章制度要简明扼要,严密详尽,具有较强的可操作性.要通过各种形式,经常性地反复宣传和教育,使之深入人心,得到切实的执行.
网络安全要贯穿于网络生存的全过程
在规划设计一个网络时,就应当列入网络安全的需求.在建设一个网络时,网络安全要同步地建设.在发展一个网络时,网络安全必须同步地发展.在维护一个网络时,网络安全必须同步地维护.任何一种延误,迟缓和失误,都有可能给网络安全带来危害.
应当看到,网络安全的工作并不是一劳永逸的.同各种危害网络安全的内外因素的斗争,是一个长期的反复的过程,任何时候都不能有懈怠和侥幸的心理.
1.2 电子商务对网络安全的需求
D. 电子商务B2C的实验流程是什么
BtoC是指企业以互联网为主要服务提供手段,实现公众消费和提供服务,并保证与其相关的付款方式电子化的电子商务运营模式。
BtoC实验内容是以消费者在“阿拉丁商场”选购物品为演示内容,流程划分为三个部分 准备流程一:个人消费者和商场管理人员分别进行注册,以取得相应实验角色的身份,个人消费者注册成功后登录系统。
准备流程二:“商场管理人员”注册成功后,选择一家商场进行管理,并登录系统。
流程一:“个人消费者”到CA认证中心申请个人数字证书,成功后取得公钥和私钥,并可进行相关信息查询。
流程二:“个人消费者”到网上银行申请银行支付卡号并设立密码,要牢记卡号和密码,将来要用它进行网上支付。
流程三:“个人消费者”刘一然到“大上海鲜花礼品汇总”选购了一束“99朵玫瑰”和一束“心心相印”。
流程四:“个人消费者”刘一然填写订单并发送,此时“商场管理员”李二男登录后,确认该订单。
流程五:“个人消费者”刘一然到网上银行进行在线转账,“商场管理员”李二男确认收款后,生成发货 单,物流公司确认后,生成出库单,物流公司送货。
流程六:“个人消费者”刘一然收到货后进行签字确认,“商场管理员”对此业务生成销售账和财务账,整个流程结束。