助理电子商务师 理论模块-02-电子商务基础

1、1,助理电子商务师考试培训 理论模块2,山东商业职业技术学院 电子商务教研室,2,助理电子商务师考核内容 理论模块,模块1：计算机与网络基础知识 模块2：电子商务基础能力知识 模块3：网络营销知识 模块4：物流信息管理,3,第1节 电子商务基础知识 第2节 电子交易 第3节 电子商务安全 第4节 电子商务法律法规,模块2：电子商务基础能力知识,4,第1节 电子商务基础知识,一、电子商务Electronic Commerce/EC 或者 Electronic Business/EB 1.电子商务，指交易当事人或参与人利用计算机技术和网络技术（主要是互联网）等现代信息技术所进行的各类商务活动。包括

2、货物贸易、服务贸易和知识产权贸易。 电子商务采用了最先进的信息技术。 电子商务实质上形成了一个虚拟的市场交换场所 电子商务是“信息技术”和“商务”两个子集的交集。 电子商务不等于商务电子化。,5,电子商务给“我” 带来什么利益呢？,企业、消费者、社会,第1节 电子商务基础知识,2 电子商务的优势：,6,降低成本 提高竞争力,降低采 购成本,降低库 存成本,降低营 销成本,降低管 理费用,从企业角度,第1节 电子商务基础知识,2 电子商务的优势：,7,个性化 管理,创造新的 市场机会,任何 时间,任何 地点,提高消费 者满意度,满足个性 化需求,可以定制产品,从企业角度,第1节 电子商务基础知识

3、,2 电子商务的优势：,8,EC的优势： 消费者,可参与 拍卖,购物 便利,定制化产 品、服务,低价 购买,从消费者角度,第1节 电子商务基础知识,2 电子商务的优势：,9,EC的优势： 社会,提高公民 生活质量,远程办公,公共服务 的有效性,远程教育,从社会角度,第1节 电子商务基础知识,2 电子商务的优势：,10,电子商务将改变商务活动的方式,网上采购,网上谈判,网上结算等,第1节 电子商务基础知识,3 电子商务带来的影响：,11,电子商务将改变人们的消费方式,传统柜台,电子购物,开架自选,3 电子商务带来的影响：,12,电子商务将改变企业的生产方式,按照用户的个性化要求， 做到按需供应。

4、,提示 定制，是一个古老的概念。电子商务使定制更加容易实现而已！,3 电子商务带来的影响：,13,电子商务将对传统行业带来一场革命,3 电子商务带来的影响：,14,电子商务将带来一个全新的金融业,3 电子商务带来的影响：,15,电子商务将转变政府的行为,3 电子商务带来的影响：,16,二、电子商务的分类,1 按 照 交 易 对 象 分 类,企业与消费者之间的电子商务 B2C（Business to Customer）,企业与企业之间的电子商务 B2B（Business to Business）,消费者与消费者之间的电子商务 C2C（Customer-to-Customer）,企业与政府方面的电

5、子商务 B2G（Business to Government）,17,B2B电子商务,B to B，是指企业与企业之间的电子商务，它是一个将买方企业、卖方企业以及服务于它们的中间商(如金融机构)之间的信息交换行为集成到一起的电子运作方式。目前企业的B2B电子商务可以分为： 面向中间交易市场的水平B TO B。 水平网站将买方和卖方集中到一个市场上来进行信息交流、广告、拍卖竞标、交易、库存管理等。如阿里巴巴、环球资源网等。 面向制造业或面向商业的垂直B TO B 垂直B TO B电子商务可以分为两个方向，即上游和下游。如Dell、Cisco等,18,企业对个人的电子商务(B to C，Busin

6、ess to Customer)，是企业通过Internet向个人提供商品消费和其他服务的商务模式。它是随着www的出现而迅速发展的，一般以网络零售业为主。,B2C电子商务,B2C模式电子商务的分类：,1 经营着离线商店的零售商,2 没有离线商店的虚拟零售企业,3 商品制造商,19,消费者,销售商,银行,信用卡公司,订单,发货,转帐,通知,清单,支付,转 帐,回执,B2C模式基本流程,20,B2C电子商务的组成部分：,1 为顾客提供在线购物场所的网上商场,2 负责为顾客所购商品进行配送的物流配送系统,3 进行支付结算的银行,4 进行身份认证的认证中心（CA）,21,消费者对消费者的电子商务（C

7、 to C，Customer to Customer），是指买方为消费者，卖方也是消费者，即消费者之间的电子商务。 典型的C to C类型是拍卖网站。,典型网站：淘宝网、拍拍网等 CtoC网站上的交易有定价（一口价）和竞价（拍卖）两种方式。,C2C业务：,22,企业对政府的电子商务（B to G，business to government ），将政府与企业之间的各项事务都可以涵盖在其中。包括政府采购、税收、商检、管理条例发布等。,B2G业务：,政府在电子商务中的扮演了什么角色？,23,.服务者,.管理者,.消费者,资料电子化,沟通电子化,市场规范电子化,监督职能电子化,政府在电子商务中扮演的

8、角色：,监督电子化,24,按照商务 活动内容 分类,间接（不完全）电子商务， 有形货物的电子订货,直接（完全）电子商务， 无形货物和服务,从亚马逊网站买一本书，是间接电子商务； 从亚马逊网站买一本电子图书，是直接电子商务。,二、电子商务的分类,25,按照网络 类型分类,EDI商务,互联网（Internet）商务,二、电子商务的分类,内联网（Intranet）商务,26,三、电子商务的基本组成要素,网 络,身份的确认,27,三、电子商务的基本组成要素,网络：包括Internet、Intranet和Extranet。 用户：分为个人用户和企业用户。 认证中心（CA）：受法律承认的权威机构，负责发放

9、和管理数字证书，使网上交易的各方能互相确认身份。 物流配送：组织运送无法从网上直接得到的商品。 网上银行：在Internet上实现传统银行的业务，为用户提供24小时实时服务。,28,电子商务概念模型,在电子商务概念模型中，强调信息流、商流、资金流和物流的整合，而信息流作为连接的纽带贯穿于电子商务交易的整个过程中，在起着串联和监控的作用。,29,四、EDI电子商务,1 EDI（Electronic Data Interchange，电子数据交换），是将商业或行政事务处理按照一个公认的标准，形成结构化的事务处理或报文数据格式，从计算机应用系统到计算机应用系统的电子传输方法。 EDI的三关键性要素

10、EDI技术是计算机应用系统之间的数据传输 EDI技术使用统一的标准编制被传输的资料 EDI技术使用电子方式进行数据的传输,30,2、EDI的技术标准 EDI的核心是被处理业务数据格式的国际统一标准。 EDI的技术标准 由联合国欧洲经济委员会（UN/ECE）制定颁布的行政、商业和运输业电子数据交换规则（EDIFACT）; 由美国国家标准局特命标准化委员会第十二工作组制定的ANSI X.12。 除此之外，还有行业标准。如CIDX（化工）、VICX（百货）、TDCC（运输业）等。,四、EDI电子商务,31,3、EDI的工作环境 （1）硬件环境： 计算机、调制解调器、路由器、通信网络。 （2）EDI软

11、件： 转换（映射）软件：原始文件平面文件或平面文件原始文件 翻译软件：平面文件标准报文或标准报文平面文件 通信软件：标准报文的发送或接收。,四、EDI电子商务,32,4、EDI系统构成,EDI应用系统是基础； 格式转换系统，包括转换（映射）软件和翻译软件； 传输系统，包括计算机网络和EDI交换平台。,EDI系统示意图,33,5、EDI报文产生与传递,以出口企业向商检局发送出口货物商检报检单为例说明EDI工作流程： 发送方生成原始报文 进行数据映射 进行数据翻译 发送方对报文加封 发送EDI报文 接收方收到EDI报文后进行反向处理 接收方应用系统进行数据处理。,34,例题1：EDI业务所使用的翻

12、译软件主要用于（ ） A.用户格式报文与平面文件之间的翻译 B.平面文件与EDI标准报文之间的翻译 C.用户格式报文与EDI标准报文之间的翻译 D.不同文字报文之间的翻译 例题2：通常我们所说的EDI标准是指（ ）。 A. GTDI B. UN/EDIFACT C. ANSI/X.12 D. UNSM,四、EDI电子商务,参考答案：1. B 2. BC,35,一、网上单证 二、电子合同 三、电子支付 四、售后服务,第2节 电子交易,36,1、网上单证的概念 所谓网上单证，就是在电子交易中使用的表格和单证。它是计算机网络的数据库与用户之间的联系界面，是电子交易信息流的逻辑载体。它可以通过网页的形

13、式来表现和传播，向用户收集和传递必要的商务信息。 从表面形式上看，它与纸质单证没有区别，但实际上，它通过计算机程序与数据库紧密相连，并可通过计算机根据不同的需求，进行不同的处理，从而实现交易的自动化。,一、网上单证,37,2、网上单证的设计方法 设计本商店网上单证的种类和格式、内容。（如客户注册单证、商品信息表、购物车等） 设计本商店网上单证的风格。（包括色彩、字体、字形等） 设计本商店网上单证的功能和链接。（如购物车中的商品确认和删除功能、对客户输入数据的核对功能等）,一、网上单证,38,3、网上单证设计的技巧 尽力使客户在购物时感到方便。 使客户对商店产生强烈的第一印象（所以，突出商店的商

14、标是第一位的） 把干扰减少到最小，广告不一定是必需的 个性化和问候语 简洁明了（单证上不需要做过多的说明） 提供可视化的线索（如商品图片）和与购物车链接 在长列表中使用交替背景色（增强可读性） 给客户一个暂时存放的地方（如购物篮、暂存货架等）,一、网上单证,39,4、网上单证的后台处理 不同网站对于网上单证的后台处理流程是不同的，一般来说，网上单证的后台处理过程主要包括： 订单准备 订单传递 订单登录 按订单供货 订单处理状态追踪,一、网上单证,40,5、网上订单的合并 网上购物时应尽量把要买的商品放在一张订单上，以节省运费。 允许合并的订单状态： 有效订单，未发货 待核对 无法合并的订单状态

15、： 第一份订单处于“已发货”状态 支付成功的订单,一、网上单证,41,6、网上订单常见的问题及解决方法 客户不知道订单是否提交成功。 交易结束后立即发邮件等方式与客户进行联系确认 有效地订单但是尚未付款，客户希望完成付款 取消原来订单，请客户重新填一次订单，并网上支付 请客户与客服联系，修改支付方式 网上支付出现错误 向客户说明原因，致歉，并允许改用其他方式付款 网上订单的确认、提交与合并 关键步骤进行提示，并在一定前提下，允许订单合并,一、网上单证,42,6、网上订单常见的问题及解决方法 订单的查询和修改 查询订单。 修改订单。 删除订单。客户可以将已生效的订单删除，或恢复删除的订单。 合并

16、订单。所有未经处理的订单都允许任意合并。 取消订单 如果订单尚未进入配送程序前，应允许直接取消。,一、网上单证,43,7、网上订单的各种状态 未处理 待确认。（货到付款方式，但订单信息不详，需确认） 已确认。（货到付款方式，订单已经过确认，开始配货） 已收款。（已付款，有效，进入配货流程） 已取消。 全部发货。（订单中全部商品配货成功，已发货） 部分发货。（部分已发货，缺货部分按客户设定处理） 交易完成。,一、网上单证,44,8、网上订单流程的完善 订单处理是电子商务企业的核心业务流程。 完善网上订单流程的关键因素： 时间因素缩短订单周期 供货准确性因素确保准确性 成本因素储存成本、运输成本等

17、的控制 信息因素准确、完备、快速的信息服务。,一、网上单证,45,1、电子合同，是通过计算机网络系统订立，以数据电文的方式生成、储存或传递的合同。 与传统合同相比，电子合同的意义、作用没有发生变化，但是形式发生了极大的变化。,二、电子合同,46,2、电子合同与传统合同的区别 合同订立的环境不同。现实世界与虚拟空间 合同订立的各个环节发生了变化。电子合同较复杂 合同的形式发生了变化。纸质合同与数据电文 合同当事人的权力和义务有所不同。 电子合同的履行较传统合同复杂 电子合同形式上的变化对与合同密切相关的法律产生了重大影响，如知识产权法、证据法等。,二、电子合同,47,3、电子合同的分类 按标的不

18、同分类： 信息产品合同 非信息产品合同 按信息是否有有形载体分类： 有形信息产品合同 无形信息产品合同 按合同标的性质的不同分类： 信息许可使用合同 信息服务合同,二、电子合同,48,4、电子合同的特点 电子数据的易消失性 电子数据的易改动性 电子合同的局限性等,二、电子合同,49,5、通过“电子签名”实现电子合同的有效性 电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。 中华人民共和国电子签名法于2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过,自2005年4月1日起施行。 电子签名需要实现两个基本功能： 确认文件作者的身份

19、证实该作者同意文件的内容 关于CA认证机构的功能，详见“电子商务安全”部分。,二、电子合同,50,1、电子支付（Electronic payment），指的是交易的当事人（包括消费者、商家和金融机构），通过计算机网络系统以电子信息传递的形式实现的货币支付与资金流通。 电子支付方式众多，如电子现金、电子支票、网上银行、第三方支付平台等。,三、电子支付,51,支付方式,工作环境,时空观念,明显优势,安全问题,数字支付 & 物理流转,开放的网络 & 封闭的环境(分行间),365724 & 朝9晚5,方便、快捷、高效、经济,安全问题仍需注意。,三、电子支付,2、电子支付的特点,52,3、电子支付的协议

20、 （1）SSL协议 SSL（Secure Socket Layer，即安全套接层）协议，是用于浏览器和Web服务器之间的安全连接技术。它能确保两个应用程序之间通信内容的保密性和数据的完整性。 它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡支付协议。 SSL协议层包括： SSL记录协议 SSL握手协议,三、电子支付,53,SSL协议下的电子交易过程：,（）客户购买信息发往商家； （）商家再将信息转发银行； （）银行验证客户信息合法性； （）银行通知商家付款成功； （）商家通知客户购买成功。,三、电子支付,54,3、电子支付的协议 SSL记录协议基本特点 连接是专用的 连接是可靠

21、的 SSL握手协议基本特点 能对通信双方的身份进行认证 进行协商的双方的秘密是安全的 协商是可靠的 SSL是属于网络对话层的标准协议，它可以用于加密任何基于TCP/IP的应用，如HTTP、Telnet、FTP等。,三、电子支付,55,3、电子支付的协议 （2）SET协议 SET(Secure Electronic Transaction)，安全电子交易协议。是由Visa和MasterCard两大信用卡组织提出的，在微软、IBM、NetScape等公司的支持下联合设计的安全协议。 它是网络应用层上的以信用卡为基础的电子支付系统协议。,三、电子支付,56,SET协议主要使用的技术： 对称密钥加密、

22、公共密钥加密 哈希（Hash）算法 数字签名技术 公共密钥授权机制等。 SET协议运行的目标： 保证网上传输的信息的安全，防止数据被窃取 保证电子商务参与者信息的相互隔离 解决网上相互认证问题 保证网上交易的实时性 效仿EDI贸易的形式，规范协议和消息格式，促进兼容,三、电子支付,57,SET的工作过程,三、电子支付,58,SET的工作过程描述,1）持卡人使用浏览器在商家的Web主页上查看在线商品目录，浏览商品。 2）持卡人选择要购买的商品。 3）持卡人填写订单，包括：项目列表、价格、总价、运费、搬运费、税费。 4）持卡人选择付款方式，此时SET开始介入。 5）持卡人发送给商家一个完整的订单及

23、要求付款的指令。 6）商家接受订单后，向持卡的金融机构请求支付认可。 7）商家发送订单确认信息给顾客。 8）商家给顾客装运货物，或完成订购货物者的账号转移到商家账号，也可以等到某一时间，请求成批划账处理。 9）商家从持卡人的金融机构请示支付。,59,SET协议涉及的对象 消费者。 在线商店。 收单银行。通过支付网关处理消费者和在线商店之间的交易付款问题。 电子货币发行机构。负责处理信用卡的审核和支付工作。 认证中心（CA）。负责对交易双方的身份认证。,三、电子支付,60,4.网上银行 网上银行（Internet Bank or E-Bank），是依托计算机与通信技术，利用渗透到全球各个角落的因

24、特网，摈弃银行由店堂前台承接业务的传统服务方式，在互联网上开设的银行或银行柜台在互联网上的延伸。 网上银行的模式 一种是完全依赖于因特网发展起来的全新电子银行。如1995年10月在美国亚特兰大诞生的SFNB(安全第一网上银行） 另一种发展模式是传统银行开设电子分行。在中国， 1996年招商银行率先推出网上金融服务业务：一网通网上支付。,三、电子支付,61,网上银行的功能,三、电子支付,银行业务,商务服务,信息发布等,个人银行服务、网上信用卡业务 、对公业务、其他付款方式、国际业务、信贷、特色服务。,投资理财、资本市场、政府服务。,国际市场外汇行情、兑换利率、储蓄利率、汇率、国际金融信息、证券行

25、情、银行信息等。,62,网上银行的优势 低成本和价格优势 组建成本低 业务成本低 价格优势 互动性和持续性服务 在线实时沟通，24小时不间断服务 私密性和标准化服务 隐私保护，服务更标准、更规范 服务全球化,三、电子支付,63,5.电子钱包与电子货币 电子钱包，是电子商务活动中网上购物顾客常用的一种电子支付工具，它是一种软件，是在小额购物或购买小商品时常用的新式钱包。 电子钱包内可以装入各种电子货币、电子零钱、电子信用卡、电子借记卡等。 电子商务活动中的电子钱包软件，通常是免费提供的。,三、电子支付,64,5.电子钱包与电子货币 电子货币（电子现金），是一种以数据形式流通的货币。它把现金数值转

26、换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。 用户在开展电子现金业务的银行开设账户并在账户内存钱后，就可以下载电子现金，并在接受电子现金的商店购物了。,三、电子支付,65,5.电子钱包与电子货币 电子现金的存储形式：,智能卡形式的支付卡，如Mondex卡 数字方式的货币文件，如eCash,Mondex卡既可在线支付，也可离线使用。离线支付时无需签单，用一套简单的电子设备可以将电子货币从一张卡转到另一张卡。,eCash等数字形式的电子货币，主要用于网上支付。以数字形式下载到硬盘上，以E-mail、FTP等方式传递。,三、电子支付,66,5.电子钱包与电子货币 Mondex

27、卡。是一种内置由微处理器的类似信用卡的卡片。 Mondex最早由英国的西敏寺银行（National West Minster Bank）和米德兰银行（Mid Land Bank）为主开发的电子货币系统。 使用Mondex卡，需要一套电子设备，包括一台可以随身携带的微型显示器和一部Mondex兼容电话。,三、电子支付,67,5.电子钱包与电子货币 Mondex卡。Mondex卡的使用具有的特点： 卡内金额能把兑换成任何货币，用于国际结算； 能通过ATM机方便的增加卡中金额； 数字签名技术的使用，使得该卡的支付比现金支付安全； 本地支付，交易成本低； 匿名操作； 一旦遗失无法挂失。,三、电子支付,

28、68,5.电子钱包与电子货币 eCash。eCash与Mondex卡差不多同时推出的电子货币。 eCash是DigiCash公司的产品，主要用于网上购物和获得服务。 实际付款时，消费者用安全加密协议对eCash进行加密，将之发送给商家。发送时，可以用E-mail、FTP等各种数据通信媒体。 DigiCash公司开发了“遮蔽式签名”系统，它允许消费者从银行得到电子货币，而银行却不能将消费者的身份与所领取的现金联系起来。,三、电子支付,69,1.网上购物的一般流程： 进入网上商城查找选购商品查看、修改购物车继续购物结算订单生成订单跟踪 客户可以查看到的订单状态： 正在处理。（还未安排配送） 货在途

29、中。（正在配送或正在安排配送） 处理完毕。（收到商品，付款且满意） 缺货。,四、售后服务,70,2.取得用户反馈的一般方法： 网上调查表调查 创建在线社区 提供免费产品 网站方便顾客联系 定期与客户保持联系,四、售后服务,71,3.网上售后服务。主要有两类： 基本的网上产品支持和技术服务； 企业为满足客户的附加需要所提供的增值服务。（如网购玫瑰等干花，附赠花草茶冲泡秘籍等） 网上售后服务的特点： 方便快捷 直接 个性化,四、售后服务,72,4.处理客户投诉 回复投诉。要在2小时内向客户表示歉意，并感谢其信任 记录投诉。 判断投诉。将不合理的投诉以委婉的方式答复，请求谅解，并感谢信任等。 分析投

30、诉。 反馈投诉。 投诉回访。,四、售后服务,73,4. 客户投诉的内容 商品质量投诉 购销合同投诉 服务投诉 流通投诉 处理客户投诉的原则： 预防原则 及时原则 责任原则 管理原则,四、售后服务,74,第3节 电子商务安全,一、电子商务安全概述 二、电子商务安全架构 三、计算机网络安全 四、电子商务交易安全,75,案例1：网络风险凸现 1988/11/2日，23岁的USA康耐尔大学学生罗伯特英瑞斯在自己计算机上将用远程命令编写的蠕虫程序送进网络，一夜之间，网上约6200台VAX系列小型机及Sun工作站、USA300多所大学、议院、研究中心、国家航空航天局及几个军事基地死机（10%），损失960

31、0万美圆。,第3节 电子商务安全,76,1994年4月-10月间，俄国彼得堡OA土星公司24岁的电脑专家弗拉基米尔列列文通过互联网多次侵入USA花旗银行在华尔街的中央电脑系统的现金管理系统，窃走1000万美元（40笔款），大银行的电脑系统首次被外人侵入。 1999年，有人利用从新闻讨论组中查到的普通的技术手段，轻易而举地从USA多个商业网站中窃取了80000多个信用卡帐号和密码，并标价26万美元出售。,第3节 电子商务安全,77,2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。 2006年9月12日晚，国内知名搜索网站百度，遭到其有史以来最

32、大规模黑客袭击，导致百度搜索服务在全国各地出现近30分钟的故障。 2007年爆发的“熊猫烧香”病毒，会使所有程序图标变成熊猫烧香，并使它们不能应用。,第3节 电子商务安全,78,2008年“扫荡波”。利用系统漏洞从网络入侵的程序，这个病毒可以导致被攻击者的机器被完全控制。 2009年“木马下载器”。本年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名。 。,第3节 电子商务安全,79,网络，还会有安全吗？,网络，还会有安全吗？朋友们，我只能说，永远也不会了，就如我们在生活中不是每一个人都善良一样。在网络中，与你相逢的人，有一些会成为朋

33、友，有一些依然陌生，有一些却视你为肥羊。当网络越来越象一个社会的时候，我们会发现我们真的好象是游走在两个世界中在每个世界里都别迷失了自己，记好每个世界的规则，欣赏每个世界的美好以及所处的危险，这样会一切都好,第3节 电子商务安全,80,1 电子商务 安全,计算机网络安全,商务交易安全,第3节 电子商务安全,81,计算机 网络安全,网络设备安全,网络系统安全,其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。,第3节 电子商务安全,1 电子商务安全,82,商务交易 安全,信息传输的保密性；,交易者身份的确定性,围绕传统商务在互联网络上应用时产

34、生的各种安全问题，在网络安全的基础上，如何保障电子商务过程的顺利进行。,交易的不可抵赖性（不可否认性）,交易文件的完整性（不可修改性）,第3节 电子商务安全,1 电子商务安全,83,第3节 电子商务安全,2 电子商务安全架构,84,人员管理制度 人员选拔、工作责任制等 保密制度 信息的安全级别（绝密级、机密级、秘密级） 跟踪、审计、稽核制度 跟踪制度：企业应建立网络交易系统日志机制 审计制度：对系统日志的检查、审核，以发现问题 稽核制度：工商、税务等对企业的稽核,第3节 电子商务安全,3 网络安全技术网络安全管理制度,85,系统维护制度 硬件的日常管理和维护、软件的日常管理和维护 建立数据备份

35、制度 病毒防范制度 安装杀毒软件、病毒定期清理制度、控制权限等 应急措施 瞬时复制技术 远程磁盘镜像技术 数据库恢复技术等,第3节 电子商务安全,3 网络安全技术网络安全管理制度,86,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。 计算机病毒的组成： 引导模块、传染模块和表现模块,第3节 电子商务安全,3 网络安全技术病毒防范认识病毒,87,电脑病毒的概念是由电脑的先驱者冯诺伊曼（John Von Neumann）提出的。 到了1987年，第一个电脑病毒C-BRA

36、IN终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，所以又称巴基斯坦大脑（Pakistani Brain）病毒。从此之后逐渐进入病毒的高发期！,第3节 电子商务安全,3 网络安全技术病毒防范认识病毒,88,巴基斯坦大脑（Pakistani Brain） DOS系统下 耶路撒冷（Jerusalem） windows时期的 宏病毒 32位病毒-CIH Internet上盛行的各种病毒： 蠕虫 特洛伊木马等,第3节 电子商务安全,3 网络安全技术病毒防范病毒发展,89,引导型病毒。其传染对象是软

37、盘的引导扇区和硬盘的主引导扇区和引导扇区。在系统启动时，先于正常系统启动。典型代表：“大麻”、Bloody、Brain等。 文件型病毒。广义的文件型病毒包括可执行文件病毒、源码病毒和宏病毒。文件型病毒主要感染可执行文件，又可分为：寄生病毒、覆盖病毒和伴随病毒。 混合型病毒。集引导型和文件型病毒为一体的病毒，感染力强。 宏病毒。使用宏语言编写的程序，依赖于微软office办公软件传播。,第3节 电子商务安全,3 网络安全技术病毒防范病毒分类,90,第3节 电子商务安全,计算机病毒的特点： 传染性。传染性是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 潜伏性。有些病毒

38、像定时炸弹一样，让它什么时间发作是预先设计好的，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。 隐蔽性。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来。 破坏性。计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。,3 网络安全技术病毒防范病毒特点,91,安装防病毒软件，加强内部网的整体防病毒措施； 加强数据备份和恢复措施； 对敏感的设备和数据要建立必要的物理或逻辑隔离措施等,3 网络安全技术病毒防范,第3节 电子商务安全,92,防火墙（Firewall），是用来保

39、护内部网络不受来自外界的侵害的一种逻辑装置。作为一种隔离控制技术，它的作用是在内部网络和外部网络之间架设屏障，以阻止外部非法信息的侵入和内部专有信息的任意流出。,3 网络安全技术防火墙技术,第3节 电子商务安全,93,防火墙示意图,94,屏蔽路由器。屏蔽路由器是防火墙的最基本的构件。它可以由路由器实现，也可以由主机实现，作为内、外网连接的唯一通道，要求所有的报文都必须在此通过检查。 路由器上可以安装报文过滤软件，实现报文过滤功能。 此防火墙的危险区域是路由器本身及路由器允许访问的主机。路由器一旦被控制，很难发现。,3 网络安全技术防火墙技术基本结构,第3节 电子商务安全,95,双宿主机防火墙。

40、用一台装有两张网卡的堡垒主机做防火墙，两张网卡分别与内、外网相连。 堡垒主机上运行防火墙软件。 其致命弱点是，一旦堡垒主机被侵入，并使其只有路由功能，则网上任何用户都可自由访问内网。,3 网络安全技术防火墙技术基本结构,第3节 电子商务安全,96,屏蔽主机防火墙。一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤原则，并使用这个堡垒主机成为外部网络唯一可以直接到达的主机，确保了内部网络不受未经授权的外部用户的攻击。 这种方法易于实现，比较安全，广泛应用。,3 网络安全技术防火墙技术基本结构,第3节 电子商务安全,97,屏蔽子网防火墙。在内、外网之间建立一个

41、被隔离的子网，用两台分组过滤路由器将这个子网分别与内、外网分开。在子网内构成一个非军事区。 这种方法的危险区域仅限于子网内主机及起到连接和屏蔽作用的路由器。,3 网络安全技术防火墙技术基本结构,第3节 电子商务安全,98,数据包过滤技术。在网络中适当的位置，依据系统内设置的过滤规则对数据包实施有选择的通过。过滤规则通常成为访问控制表，只有满足过滤规则的数据包才被转发到相应的目的地，其余数据包则被从数据流中删除。 代理服务。运行在防火墙主机上的专门的应用程序或服务器程序，这些程序根据安全策略接收用户对网络服务的请求，并将它们转发到实际的服务。,3 网络安全技术防火墙技术,第3节 电子商务安全,9

42、9,流过滤技术。以状态包过滤形态，通过内嵌的专门的TCP协议栈，实现通用的应用信息过滤机制。 智能防火墙技术。以智能访问控制技术为核心，利用统计、记忆、概率和决策的智能方法对数据进行识别，以达到访问控制的目的。,3 网络安全技术防火墙技术,第3节 电子商务安全,100,4 交易安全技术,第3节 电子商务安全,101,OSI模型的设计目的是成为一个所有销售商都能实现的开放网路模型，来克服使用众多私有网络模型所带来的困难和低效性 OSI是在ISO（国际标准化组织）的参与下完成的。,4 交易安全技术OSI安全体系,第3节 电子商务安全,102,为了解决不同体系结构的网络的互联问题，国际标准化组织IS

43、O于1981年制定了开放系统互连参考模型（Open System Interconnection Reference Model，OSI/RM）。 这个模型把网络通信的工作分为7层,它们由低到高分别是 物理层（Physical Layer),数据链路层（Data Link Layer),网络层(Network Layer),传输层（Transport Layer),会话层（Session Layer），表示层（Presentation Layer)和应用层（Application Layer)。 每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持，而网络通信则可以自上而下（

44、在发送端）或者自下而上（在接收端）双向进行。,4 交易安全技术OSI安全体系,第3节 电子商务安全,103,OSI划分层次的原则 网络中各结点都有相同的层次 不同结点相同层次具有相同的功能 同一结点相邻层间通过接口通信 每一层可以使用下层提供的服务，并向上层提供服务 不同结点的同等层间通过协议来实现对等层间的通信,4 交易安全技术OSI安全体系,第3节 电子商务安全,104,OSI制订了5种标准的安全服务： 数据保密服务。防止信息被截取或被非法存取 数据完整性服务。防止传输中的数据被非法增删改，同时防止数据在传输中丢失 交易对象认证服务。确认交易双方身份的真实、合法 访问控制服务。防止非授权用

45、户非法使用系统资源 防抵赖安全服务。用于证实已发生的交易行为，防止交易双方对自己的行为进行否认。,4 交易安全技术OSI安全体系,第3节 电子商务安全,105,安全套接层协议SSLSecure Sockets Layer 安全电子交易协议SETSecure Electronic Transaction,4 交易安全技术安全协议,第3节 电子商务安全,106,加密技术：是实现信息保密性的一种重要手段，目的是为了防止合法接收者之外的人获取信息系统中的机密信息。 加密：明文到秘文 解密：秘文到明文 加密、解密过程依靠的是算法和密钥，两者缺一不可 例：经典的Caesar加密法,4 交易安全技术加密技术

46、,第3节 电子商务安全,107,例：明文（记做m）为“important”，Key=3，则密文（记做C）则为“LPSRUWDQW”。,108,加密与解密使用同一个密钥 优点：加密、解密速度快，效率高 缺点：密钥难以共享，需太多密钥，管理困难 适用：广泛应用于大量数据加密,密钥SK,4 交易安全技术加密技术私钥加密,第3节 电子商务安全,109,甲地的发送方和乙地的接收方需要进行安全的通信，他们同时获得一个作为密钥的数据值SK，该密钥只有两个企业知道，对于其它人是保密的， 这样甲地的发送方把文件M进行加密形成密文CM，通过公开信道进行传输，对于密钥SK，则通过秘密渠道传递给乙地的接收方，使其可以

47、使用密钥SK对加密的文件CM进行解密。 常用的算法：DES、IDEA、AES等。,4 交易安全技术加密技术私钥加密,第3节 电子商务安全,110,非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。 公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。 常用的算法：RSA、LUC、椭圆曲线等。,4 交易安全技术加密技术公钥加密,第3节 电子商务安全,111,优点：密钥少，易于实现，适用灵

48、活。 缺点：效率低，不适合对数据量大的报文进行加密 适用：广泛应用于因特网上的加密（与对称加密配合使用），认证和签名。,4 交易安全技术加密技术公钥加密,第3节 电子商务安全,112,公钥加密的工作原理是： 甲地的发送方A和乙地的接收方B需要进行安全的通信，发送方A用接收方B传递给它的公钥对文件M进行加密，形成密文CM，并通过公开信道传递给接收方B， 接收方B在收到密文CM后，利用只有它自己知道的私钥（密钥）对文件进行解密，这样即可保证文件传输的安全。,4 交易安全技术加密技术公钥加密,第3节 电子商务安全,113,4 交易安全技术加密技术对比,第3节 电子商务安全,114,信息摘要，又称信息

49、鉴别码（MAC，Message Authenticator Code）。采用单向HASH函数将需要加密的明文“摘要”成一串128位的密文，这128位的密文就是所谓的信息摘要（数字指纹）。 消息摘要方法，也称安全Hash编码法或MD5。,4 交易安全技术数字签名信息摘要,第3节 电子商务安全,115,用安全的单向散列函数对源数据产生数字摘要，用用户私钥对其进行加密。,4 交易安全技术数字签名,第3节 电子商务安全,116,(1)原文被发送方用SHA编码加密产生128位的数字摘要。 (2)发送方用自己的私人密钥对摘要加密，形成数字签名。 (3)将原文和加密的摘要同时传送给接收方。 (4)接收方用发

50、送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。 (5)将解密后的摘要和接收方新产生的摘要相互对比。如两者一致，则传送过程中信息是完整的。如两者不一致，则说明在传送过程中信息被修改过。,4 交易安全技术数字签名,第3节 电子商务安全,117,数字证书，是由CA（Certificate Authority，证书授权）中心发行的，在互联网上识别、验证通信各方身份的方式。 其实质是一个经过CA中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。 数字证书的格式遵循ITUT X.509国际标准。其内容一般为： 证书的版本信息、序列号、使用的签名算法 证书的发行机构名称、有

51、效期 证书所有人的姓名、公开密钥 证书发行者对证书的签名。,4 交易安全技术数字证书,第3节 电子商务安全,118,119,企业身份证书是用来表明和验证企业用户在网络上身份的证书，它确保了企业网上交易和作业的安全性和可靠性。,网关证书，用于安全网上信用卡支付的一种证书,CA证书，证明CA身份和CA的签名密钥,4 交易安全技术数字证书,第3节 电子商务安全,个人身份证书是用来表明和验证个人在网络上的身份的证书，类似于我们的“身份证”，它确保了网上交易和作业的安全性和可靠性。,120,CA中心，又称为证书授权中心（Certificate Authority） CA机构作为电子商务交易中受信任的第三

52、方，承担公钥体系中公钥的合法性检验的责任，它负责产生、分配并管理所有参与电子交易的个体所需的数字证书，因此是安全电子交易的核心环节，CA运行的好坏直接影响到电子商务发展的成败。,4 交易安全技术CA中心,第3节 电子商务安全,121,(1)证书的发放 (2)证书的更新 (3)证书的撤销 (4)证书的验证 (5)证书的归档,4 交易安全技术CA中心职能,第3节 电子商务安全,122,A 信息披露与通知义务 信息披露制度的目的是维护社会公共利益和保护信息弱势群体。CA需承担一定的信息披露与通知义务： CA的根证书 任何有关的认证做法说明 CA证书的作废、中止和撤销 任何其他实质上相反的影响证书可信

53、度或机构提供服务能力的事实。,4 交易安全技术CA中心承担的义务（P136）,第3节 电子商务安全,123,B 安全义务 安全可信度是公众对CA的要求，认证机构应采用能满足下列目的的安全系统： 确认数据电文的归属 从某一特定时刻开始，保证数据电文在传递、接受和储存中完整性不被篡改 合理的避免被侵入和人为破坏 合理的安全程序。,4 交易安全技术CA中心承担的义务,第3节 电子商务安全,124,C 保密义务 除非应法院或有关国家机关的要求，认证机构不得对外披露以下信息： 证书用户在申请数字证书时，向认证机构提供的身份信息及其他有关信息 证书用户的密钥 D 其他义务，如举证义务等。,4 交易安全技术

54、CA中心承担的义务,第3节 电子商务安全,125,PGP（Pretty Good Privacy），是美国Network Associate INC.研制的加密软件，是一种非常好的对私人文件、邮件进行加密的安全方法，还可以与同样装有PGP软件的网络用户交互加密文件。 PGP是一个公钥加密程序。 PGP还可以在文档中使用数字签名。,4 交易安全技术安全工具PGP,第3节 电子商务安全,126,身份识别是判断和确认交易双方真实身份的重要环节。有三种基本方式： 用户所知道的某个秘密信息。如，口令。 用户所持有的某个秘密信息。如硬件（USBkey、智能卡等），访问系统资源必要要用此信息。 用户所具有的某些生物学特征。如指纹、声音、DNA图案、视网膜扫描等等。,4 交易安全技术身份识别技术,第3节 电子商务安全,127,A 电子商务法的调整对象 调整对象是立法的核心问题 电子商务法的调整对象是电子商务交易活动中发生的各种社会关系。 B 电子商务法涉及的技术范围 任何通信技术（包括先进的和不大先进的技术）都应包括在电子商务立法范围内。,1 电子商务立法范围,第4节 电子商务法律法规,128,C 电子商务法涉及的商务范围 电子商务环境下的合同、支付