助理电子商务师专题培训

助理电子商务师培训讲义 内部资料 注意保密

助理电子商务师

培 训 资 料

华中职业技术培训中心

二OO七年五月

第一部分 职业道德

1、忠于职守，坚持原则

2、兢兢业业，吃苦耐劳

能够脚踏实地、埋头苦干、任劳任怨；能够围绕电子商务开展各项活动，招之即来，来之能干。在具体而紧张的工作中，能够不计个人得失，有吃苦耐劳甚至委曲求全的精神。

3、谦虚谨慎、办事公道、为人厚道

谦虚谨慎、办事公道，对领导、对群众都要一视同仁，秉公办事，平等相待。切忌因人而异，亲疏有别，更不能趋权附势，胸襟宽阔，在工作中充满朝气和活力。

4、遵纪守法、廉洁奉公

遵纪守法、廉洁奉公是电于商务师职业活动能够正常进行的重要保证。遵纪守法指的是电子商务师要遵守职业纪律和与职业活动相关的法律、法规，遵守商业道德。廉洁奉公是高尚道德情操在职业活动中的重要体现，是电子商务师应有的思想道德品质和行为准则。

5、严守信用、严守机密

电子商务师必须严守信用，维护企业的商业信用，维护自己的个人信用。要遵守诺言，遵守时间；言必信，行必果。在商务活动中，电子商务人员应当严格按照合同办事。通过网络安排的各种活动，自己要事光做好准备工作，避免因个人的疏忽对工作造成不良影响。严守机密是电子商务师的重要素质。电子商务师的一个显著特点是掌握的机密较多，特别是商业机密。因此，要求电子商务师必须具备严守机密的职业道德，无论是上机操作还是文字工作都要严格遵守国家的有关保密规定，自觉加强保密观念，防止机密泄露。发现盗窃机密的行为和盗窃机密的不法分子，应做坚决斗争，并应及时报告公安、保密部门。

6、实事求是、工作认真

电子商务师要坚持实事求是的工作作风，一切从实际出发，理论联系实际，坚持实践是检验真理的惟一标准。电子商务师工作的各个环节都要求准确、如实地反映客观实际，从客观存在的事实出发。电子商务师无论是搜集信息、提供意见、拟写文件，都必须端正思想，坚持实事求是购原则。在工作中，切忌主观臆断、捕风捉影，分析问题必须从客观实际出发。

7、刻苦学习、勇于创新

电子商务师工作头绪繁多、涉及面广，要求电子商务师有尽可能广博的知识，做一个“通才”和“杂家”。现代社会科学技术的发展突飞猛进，知识更新速度加快，因此，电子商务师应该具有广博的科学文化知识，以适应工作的需要。作为电子商务师，对自身素质的要求应更严格、更全面，甚至更苛刻一些。是否具有良好的素质，对于做好电子商务师工作是一个非常重要的问题，也是评价电子商务师是否称职的基本依据。因此，电子商务师必须勤奋学习、刻苦钻研，努力提高自身的思想素质和业务水平。

现在各行各业的劳动者，都在破除旧的观念，勇于开创新的工作局面。作为复合型人才的电子商务师更应具有强烈的创新意识和精神。要勇于创新，不空谈、重实干，在思想上是者，在实践上是实干家，不断提出新问题，研究新方法，走出新路子。

8、钻研业务、敬业爱岗

从发展的角度看，电子商务师必须了解和熟悉与自身职业有直接或间接关系的领域中取得的新成果，才能更好地掌握电子商务师工作的各项技能。

电子商务师要根据自身分工的不同和形势发展的需要，掌握电子商务交易所需要的技能，如计算机技能、网络技能、网络营销技能、电子支付技能等。这些技能都必须随着电子商务技术的发展和自身工作的需要，在实践中不断地学习和提高。同时，电子商务师应掌握电子商务交易中的各种管理知识，路网络技术与商业管理结合起来，提高企业应用电子商务的能力，促进企业经济效益的提高。

第二部分 计算机与网络应用知识

第一节 计算机系统的组成

计算机硬件的基本组成：中央处理器，存储器，基本输入/输出设备，其他外围设备 计算机软件的基本组成：系统软件，应用软件

第二节 计算机操作系统应用基础知识

第三节 数据库基础知识

数据库的基本概念 常用数据库简介：ORACLE 、SYBASE、DB2 、SQL Server 计算机网络的产生与发展：以单机为中心的通信系统，多个计算机互联的通信系统，国际标准化的计算机网络 计算机网络的分类与拓扑结构 计算机网络的基本组成 Internet基础知识 第四节 计算机网络应用基础知识

第三部分 电子商务基础知识

第一章 电子商务概述

一、电子商务发展简史

电子商务的发展是由于企业的需求（应用计算机技术改善顾客交互、业务流程、企业内部交流和企业间信息交换），在电子商务发展过程中以其所利用的技术的不同，将其发展划分为四个阶段：

第一阶段：EFT时代70年代，银行间电子资金转帐（EFT）开始在安全的专用网络上推出，它改变了金融业的业务流程。电子资金转帐是指通过企业间通讯网络进行的帐户交易信息的电子传输。这是电子商务最原始的形式之一，也是最普遍的形式

第二阶段：电子报文传送技术从70年代后期到80年代早期，电子商务以电子报文传送技术（如电子数据交换EDI）的形式在企业内部得到推广。电子数据交换（EDI）使企业能够用标准化的电子格式与供应商之间交换商业单证(如订单)，可以减少错误、节省打印和邮寄成本，也不再需要重新输入数据了

第三阶段：联机服务在80年代中期，联机服务开始分行，它提供了新的社交交互形式（如聊天室），还提供了知识共享的方法（如新闻组和FTP）。这就为互联网用户创造了一种虚拟社区的感觉

第四阶段：WWW90年代中期到现在，在互联网上出现了WWW的应用，这是电子商务的转折点。WWW为信息出版和传播方面的问题提供了简单易用的解决方案。WWW带来的规模效应降低了业务成本，它所带来的范围效应则丰富了企业业务活动的多样性。WWW也为小企业创造了机会，使它们能够与资源雄厚的跨国公司在平等的技术基础上竞争

二、电子商务的概念

欧洲委员会1997年对电子商务的定义：电子商务就是以电子方式进行商务交易。它以数据（包括文本、声音和图像）的电子处理和传输为基础，包含了许多不同的活动（如商品服务的电子贸易、数字内容的在线传输、电子转帐、商品拍卖、协作、在线资源利用、消费品营销和售后服务）。它涉及产品（消费品和工业品）和服务（信息服务、财务与法律服务）；传统活动（保健、教育）与新活动（虚拟商场）。

从通信的角度：电子商务是通过电话线、计算机网络或其他方式实现的信息、产品、服务或结算款项的传送。 从业务流程角度：电子商务是实现业务和工业流程自动化的技术应用。

从服务的角度：电子商务是要满足企业、消费者和管理者的愿望，如降低服务成本，同时改进商品的质量并提高服务实现的速度。

从在线的角度：电子商务是指提供在互联网和其他联机服务上购买和销售产品的能力。

三、传统商务和电子商务的比较

定义传统商务与电子商务主要是从商务的流程来进行区分的，由于流程的不同，从而确定了企业间交易数据传递的不同

1、传统商务中买方流程

确定需要——选择满足此需要的产品或服务——选择供应商——谈判——交易并支付货款——要求售后服务

2、传统商务中卖方流程

进行市场调查、了解顾客需要——制造满足此需要的产品或服务——产品广告、促销——谈判——交付产品——接受货款——提供售后服务

3、适合传统商务流程的产品特点

具有非商品化特征的产品、个人推销技巧在交易中非常重要的产品、需要消费者亲自接触才能确定的产品、涉及到现有技术和成本因素的产品

4、适合电子商务流程的产品特点

具有商品化（标准化）的产品、具有明显技术色彩的产品、电子商务发展的直接产物

5、适合传统商务和电子商务流程的产品特点

具有商品化的产品，又需要消费者亲自接触的产品

四、电子商务的优缺点

了解电子商务的关键在于理解企业是如何利用电子商务来适应商务和技术的变革。

1、电子商务的优势

（1）对企业总体而言：电子商务可以增加销售额并降低成本

（2）对企业的商业活动而言：用电子商务可以降低询价、提供报价和确定存货等活动的处理成本

（3）电子商务可以增加卖主的销售机会，企业在采购时可以方便地找到新的供应商和贸易伙伴。而且讨价还价和交易条款的传递都十分便捷。电子商务提高了企业间信息交换的速度和准确性，降低了双方的成本

（4）电子商务增加了买主的购买机会。买主可以7×24小时与卖主接触。可以及时、大量地获得所需要的信息

（5）电子商务的好处可以惠及整个社会。除互联网可以安全、迅速、低成本地实现税收、退休金和社会福利金的电子支付外，由于电子商务可以让人们在家工作，交通拥挤和环境污染也可以得到缓解。而且电子商务还可以使产品或服务到达边远地区

2、电子商务的缺点

（1）有些业务流程也许永远都不能使用电子商务（易腐蚀的食品和珠宝古董等贵重商品）

（2）对电子商务进行投资时，其受益是很难计算的，这是因为实施电子商务的成本和受益很难定量计算

（3）很多企业在实施电子商务时还会遇到文化和法律上的障碍（诚信问题、习惯问题）

（4）国际电子商务困难重重。

五、推动电子商务发展的力量

经济力量、顾客交互和技术驱动的数字化融合共同推动电子商务的发展

1、经济力量

所谓经济力量：是指源于对经济效率的追求的一种推动力量。其推动作用可具体通过内部集成和外部集成两个方面体现

所谓电子商务的外部集成，是将供应商、政府机构和公司集成为一个共同的社区，使它能在任何计算机平台之间进行通信所谓内部集成是指在企业内部形成一个共同的社区，比外部集成更为重要。电子商务的直接应用就是企业业务的内部集成。内部集成确保了关键数据能以数字化方式进行存储，而且存储的格式和媒体都便于快速检索和电子传输无论是企业外部集成还是内部集成，协调信息的传输的能力是非常重要的。

2、顾客交互

为企业提供了与顾客之间一对一的交互方式，可以说是电子商务发展的另外一个很重要推动力量。通过一对一的顾客交互，企业可开辟新的营销渠道，更好地了解顾客地需求，创造新的顾客服务和支持渠道来提高顾客满意度，还可帮助企业为目标顾客提供更详细的产品和服务信息。实际上，电子商务、信息技术的发展也推动了顾客交互功能的应用。

3、技术驱动的数字化融合

融合是指将多个现存技术结合起来，创造出比原来技术更为强大和高效的新技术，从而形成新的技术能力。 融合包括两个方面：内容的融合和传输技术的融合

内容的融合使数字化的信息（可表达为基于计算机的信息）可以低成本地进行处理、检索、分类、加强、转换、压缩、加密、复制和传送。

内容地融合所产生的影响：

（1）对基于内容的行业（如报纸、杂志和书籍）具有深远的意义。网上出版已经成为电子商务的一个重要的应用

（2）使企业用网络数据库和电子出版来提高企业和个人的决策水平和信息处理水平。

传输融合有两个方面的意思，一是指压缩和存储数字化信息，使它能通过现有的混合基础设施进行传输。另外，传输融合也指通信设备的融合，即声音、数据、图片和图像在同一条线路上传输所用的“管道”。从商业的角度看，传输融合使互联网访问非常简单。对于企业来说，则创造了低成本的产品送达渠道。

六、电子商务的结构

电子商务的一般结构一般分为六个层次：

（1）网络基础设施提供电话线的远程通信公司，提供同轴电缆和广播卫星网络的有线电视公司，提供移动通信和卫星网络的无线通信公司，计算机公司等

（2）多媒体内容和网络出版 信息高速公路是内容传输的基础，目前最常用的内容传输结构是WWW

（3）消息传送和信息发布 网络上传输的内容包括文本、数字、图片、声音和图像。信息传送包括结构化和非结构化两种。

（4）公共的商业服务基础设施 为完成在线结算并确保安全送达，结算服务基础设施需要开发加密和认证的方法来保证网络上的信息安全

（5）电子商务的应用层 包括供应链管理、VOD、远程金融服务、采购、在线营销和广告、以及家庭购物。这是最高的一个层次，它的运行是建立在以上四个层次有效运行的基础上的

（6）重要的支持层 公共政策和技术标准是所有电子商务应用和基础设施的两大支柱。与电子商务有关的公共政策涉及信息访问权、隐私和信息定价等问题。技术标准指的是对信息出版工具、用户界面和信息传输的具体规定。制定全球统一的标准不仅是必要的，也是紧迫的

七、电子商务的类型

电子商务应用有三类：企业间（B to B）、企业内部的电子商务、企业与消费者（B to C）

1．企业间的电子商务

电子商务有助于实现下列商业应用

（1）供应商管理企业间电子商务应用可帮助企业减少供应商的数量，这些应用可以降低订单处理成本、缩短处理周期、减少处理人员并同时提高处理的订单数量，加强业务伙伴关系

（2）存货管理 企业还可以确认所传输的文件，以确保文件为对方收到，从而提高审计能力

（3）配送管理 企业间电子商务应用简化了运输单证的传送，如提货单、采购订单、提前运输通知单和载货单等。

（4）渠道管理 企业间电子商务应用可快速将经营信息传递给贸易伙伴。

（5）结算管理 企业间电子商务应用可将企业与供应商和分销商连接起来，使结算能以电子方式发送和接收。电子结算减少了单证错误，提高了企业处理发票的速度，并且降低了交易费用

2．企业内部的电子商务

电子商务可以有助于实现企业内部下列商业应用：

（1）工作组的通信 这种应用使管理者能够通过电子邮件、视频会议和公告牌与员工进行交流、其目标是利用技术来提高信息的传送速度，使员工能够掌握更多的信息

（2）电子出版 企业能够应用WWW等工具来组织、出版和分发人力资源手册、产品规格和会议纪要等信息

（3）销售队伍生产率 提高了信息在生产部门和销售队伍之间、企业和顾客之间的流动速度。企业可将销售队伍和其他部门更好地组织起来，从而迅速获得更多关于市场和竞争地信息，制定出更好地战略决策

3．企业与消费者之间电子商务

（1）社交 电子商务使消费者能通过电子邮件、视频会议和新闻组相互交流

（2）个人理财 像Quicken这样的应用程序使消费者能使用在线金融服务工具管理投资事务和个人理财

（3）购买产品和信息 消费者总是想以更低的价钱更便利的方式购买产品和服务。电子商务向消费者提供了方便的购物方式。消费者能找到减少各种产品和服务的在线信息

4．中介和电子商务

中介（即电子经纪）是处于交易双方之间的经济代理，其任务是执行合同履行所必须的职能。P22列出了各种中介类型

对于零售而言，在线中介改变了传统的零售分销渠道；在线中介能够处理交易链上的信息并实现增值服务；同时中介还可通过计算机网络完成信息包装和销售。最成功的中介行业是在线商品目录。

第二章 电子商务基本框架与模式

一、电子商务基本框架

二、电子商务基本模式

1、生产制造领域电子商务模式

2、消费领域电子商务模式

3、电子商务应用模式

注：网络经济中的电子商务模式创新，详见第6届全国青年管理科学与系统科学术会议论文集。

4、企业自我实施电子商务模式

第三章 电子商务技术基础

一、包交换和线路交换

包交换和线路交换都是点到点的数据传输方式，但由于他们所采用的原理不同因而所具有的优势也不同 线路交换：这种中央控制的单线连接模式叫做线路交换。

线路交换适合于电话，但对于网络之间的数据交换而言，它既不经济又难以管理，因而采用包交换。

包交换：在包交换网络中，将文件和信息分解成包，在这些包上打上信息源和目的地的电子标签。这些包在网络中从一台计算机传输到另一台计算机，直至抵达目的地。目的地的计算机再把这些包集中起来，并把每个包中的信息重新集合成原先的数据。

包交换的优点：

A 避免了网络中交通拥挤长数据流会分解成易于管理的小数据包，小的数据包沿着大量不同的路径进行传输

B 在数据包到达目的地后，更换受损数据包的成本较低，因为如果一个数据包在传输途中被改变了，只要重新传输这个数据包就可以了，而无须整个数据都要重新发送。

二、TCP/IP的结构

在互联网早期，ARPANET上使用的负责数据传输的协议是NCP。后来，TCP/IP协议逐渐取代了NCP。 TCP/IP是互联网基本协议之一，它是一种双层程序，由两个部分组成：传输控制协议（TCP）和互联网协议（IP）。

TCP控制信息在互联网传输前的打包和到达目的地后的重组。

IP控制信息包从源头到目的地的传输路径。IP处理每个信息包的所有地址信息，确保每个信息包都打上了正确的目的地地址标签。

在OSI网络模型中，网络共分为7层，分别为：物理层、链接层、网络层、传输层、会话层、表示层、应用层。最低层也是最基本的功能层是物理层，它管理互联网的相关设备。最高层是应用层，它是互联网的服务程序运行的地方。每一层为上一层提供服务。TCP协议相当于传输层，IP属于网络层。

三、IP地址和域名

IP地址：用一个32位的数字来表示互联网地址，这个数字成为IP地址。IP地址一般写成四组圆点分隔的数字，这种地址称为点分四元组。一般而言四组数中第一组代表计算机所在的网络，剩下的数字代表网络上的一台特定的计算机。

URL称为统一资源定位符，它由名称和缩略语构成，其主要优点是容易记忆。一个URL至少包括两个部分，至多包括四个部分。一个简单的两部分URL的前一部分表示互联网访问的资源所采用的协议名称，后一部分表示资源位置。

域名：是指包括两个或两个以上的圆点分隔的单词。除“WWW”之外，域名越左面的部分越具体，从左到右越来越通用，域名最右部分是域名中最通用的部分。

四、HTTP、SMTP、POP、IMAP和FTP协议

（1）HTTP是超文本传输协议的缩写，它是负责传输和显示页面的互联网协议。HTTP运行在OSI模型的应用层。HTTP采用B/S模式。

（2）SMTP和POP是负责用B/S模式发送和检索电子邮件的协议。用户计算机上运行的电子邮件客户机程序请求邮件服务器进行邮件传输，邮件服务器采用简单邮件传输协议（SMTP）标准。SMTP协议规定了邮件信息的具体格式和邮件的管理方式。

（3）POP是邮局协议的缩写，它负责从邮件服务器中检索电子邮件。它要求邮件服务器完成下面集中行动之一：从邮件服务器中检索邮件并从服务器中删除这个邮件；从邮件服务器中检索邮件但不删除它；不检索邮件，只是询问是否有新邮件到达。POP协议支持多用互联网邮件扩展（MIME）。

（4）IMAP（互联网信息访问协议）是一种由于POP协议的新的协议。它可以决定客户机请求邮件服务器提交所收到邮件的方式，请求邮件服务器只下载所选中的邮件而不是全部邮件。客户机会先阅读邮件信息的标题和发送者的名字再决定是否下载这个邮件。通过你的客户机电子邮件程序，IMAP可让你在服务器上创建并管理邮件文件夹或邮箱、删除邮件、查询某封信的一部分或全部内容。完成所有这些工作时都不需要把邮件从服务器下载到你的个人计算机上。

（5）FTP是TCP/IP的组成部分，它在TCP/IP连接的计算机之间传输文件，采用的是客户机/服务器模式。FTP

允许文件采用双向传输；FTP既可以传输二进制数据，也可以提供其他一些服务，如显示远程或本地计算机目录、改变客户机或服务器的现有活动目录、创建并移动本地或远程目录等。

五、电子邮件、Telnet和FTP的应用

（1）电子邮件的优点：电子邮件是互联网早期的一种应用，而且也是把众多的人吸引到互联网的一个原因。电子邮件传输的信件可以是简单的ASCII码文本，也可以是类似文字处理程序中字符的信息。邮件传输的信件可附带文件、图片、电影、电子表格和其他重要的信息，这些附件常常是信件最重要的部分，也是邮件使用的一大优点。

电子邮件的缺点：电子邮件最大的缺点是垃圾邮件。垃圾邮件最常见形式是商业广告。惩治垃圾邮件制造者的一个有效方法就是冻结他们在ISP的帐户。

（2）Telnet是一种让你登录到互联网上的远程计算机的应用软件，Telnet可以让你使用远程主机的命令和程序。Telnet可以模仿多种终端

（3）FTP是计算机间传输数字化信息的最快途径。用FTP访问远程计算机可全权访问或匿名访问。全权访问比匿名访问往往有更多的权利。访问远程计算机有上载和下载两种方式。

六、标注语言

1、标准标注通用语言(SGML)

标准标注通用语言（SGML）是最早的标注语言。SGML提供了一套标注文档的系统，该系统独立于其他任何应用软件。它还包括一套国际标准，这个标准定义了同设备和机器无关的电子文档表示方法。

2．超文本标注语言（HTML）

HTML的基础是SGML。HTML是一种特殊的SGML文档类型，它比SGML更容易学习和使用。HTML是一种文档生成语言，它包括一套定义文档结构和类型的标记，用来描述文档内文本元素之间的关系。HTML特别适用于页面的显示。

HTTP协议用于在服务器和用户之间传输超文本标注语言生成的页面。文档页面间的超链接形成了文档页面的“Web”。你可以点击超链接从一个页面转到另一个页面。

3．扩展标注语言（XML）

XML是SGML的一个最新的变种，称为扩展标注语言。而且，XML优于HTML的一个最重要的特点是尽管HTML可以提供大量描述页面格式的标记，但它不能描述页面的具体内容，即不能解释页面上数据的含义。与之相反，XML可以描述页面的内容。另外，XML可用来定义数据结构，使设计者很容易地以标准化的、连续的方式来描述并传输来自任意应用程序的结构化数据。

XML的优势还体现在：有数据跟踪能力；可以提供元数据（关于信息的数据）；用户可以用低成本的软件处理数据；简化企业间的数据交流；服务于企业或个人的电子商务代理人提供有助于自动业务处理的信息。

七、WWW的客户机／服务器体系结构

WWW的客户机服务器结构实际上包括三个组成部分：运行浏览器的客户机、互联网、WWW服务器。 基于WWW的电子商务技术结构的主要组成部分包括客户机浏览器、WWW服务器和第三方服务。客户机浏览器与WWW服务器进行交互，WWW服务器再与第三方服务进行交互，发挥的是一种中介作用。

www服务器功能主要有信息检索、数据管理和事务及安全管理。第三方服务是另外的WWW服务器，提供内容、信息处理工具和电子支付系统。

客户机/服务器是W W W体系结构的核心，W W W体系结构使PC机用户能够联网，访问分布式数据库和其他资源；另外，WWW可以避免不同操作系统带来的复杂性和不兼容性，使用户可以使用不同的应用程序和应用程序不同的版本。

WWW客户机（即浏览器）提供了访问和显示WWW内容的图形用户界面。WWW服务器是存放内容的软、硬件总称，其内容可用浏览器访问。客户机/服务器体系结构可用于局域网、广域网和WWW。这三种网络的一个共同特点是工作负荷在服务器和客户机之间的分配。

一般服务器负责处理客户机的要求，而客户机不做什么工作。客户机的工作负荷很轻，服务器的工作负荷却很重。所以服务器通常是可*的、价值昂贵的计算机，有巨大的磁盘容量、容错的处理器和巨大的存储器。而客户机只是一台普通的个人计算机。

八、交互式应用的扩展

随着WWW的日渐成熟，对交互式应用需求也越来越大。WWW上的交互性发展经历了三个阶段，它们是共

享静态文件、交互式网页的应用和WWW文件中包含有动态内容或根据用户的请求即时创建的内容。

信息集成是开发基于WWW的交互式应用的关键。

（1）数据库集成。WWW是对传统数据库管理系统（DBMS）的补充，而并非完全的替代。数据库应用程序能够捕获、管理和共享组织内的各种结构化数据。WWW应用则不一样，它捕获、管理和共享的是半结构化的信息，其中包括文件和图片及其他各种各样的数据对象，如声音数据和视频数据等。另外，WWW应用利用电子消息传送来实现文件的发布。但WWW应用不能直接作用于业务系统。

（2）脚本编辑和可移动的小应用程序。脚本编辑是应用程序开发的重大变化，它使应用开发商具备了编写在WWW上运行脚本的能力。网页从此具有了更强大的交互功能，也更具有动态的特点。在创建动态网页方面表现最出色的要数Java语言了。

Java给HTML组合增加新软件或小应用程序（applet）：从WWW服务器下载并在浏览器上运行的微型应用程序。小应用程序和浏览器的结合，就使网页几乎可以执行所有的任务：动画、计算、输人等等。

脚本编辑语言并不只有Java一种，还有如微软公司的 Visual Basic。

（3）网页外观。现在的HTML还不能够实现很好的网页外观，甚至不能选择显示在页面上的字体。

（4）多媒体扩展。多媒体扩展有两个方面，第一是用虚拟现实建模语言（VRML）来创建三维世界；第二是实现点对点的音频广播（如 RealAudio）、新闻广播（如 PointCasting）和视频广播（如 Intercasting）。

九、CGI脚本与数据库管理系统间的交互

CGI(应用程序网关)的用途是将www和现有的企业数据应用集成起来。企业数据分布在多个数据库和文件中，所以必须提供一个网关来实现对这些重要数据资源的访问。

CGI是在浏览器同www服务器上的程序之间进行数据通信需遵守的规定，CGI脚本是在www服务器同外部应用程序间协商数据流动的程序。当www服务器需要向另一个应用程序发送或接收数据时，就要用到CGI。

CGI将数据送到数据库中．并将从数据库中返回的数据作为格式化的HTML文件送到浏览器中。CGI还可以把用户在HTML表格中填人的数据从WWW服务器传送到数据库中。

在HTMI文件中加入了对CGI脚本的调用，常见的形式就是超级链接，点击此链接就会在WWW服务器上执行这个CGI脚本。

数据还可以借助于CGI脚本返回到用户的浏览器上。CGI脚本可以接收输入的参数，并返回含有文本的结果。无论返回什么结果，都必须格式化成HTML才能显示在浏览器上。所以对结果的重新格式化就是CGI脚本的最重要功能。最常用的编程语言是c语言和PERL语言，这主要是因为它们跨平台运行的能力比较强，但实际上CGI脚本可以用任何高级语言编写。

十、内部网的应用及其优缺点

内部网是使企业经营发生革命性变化的应用，是www应用中成长最快的部分。从技术上讲，内部网和互联网没有太大的差别，只是访问内部网需要授权。所以，内部网是访问需要授权的，在基于互联网的协议上运行的，企业内部的网络。

(1)内部网能实现高效、节约和环保(“绿色”)的内部交流。现代的工作流程要求员工能及时获得各种来源的信息，并与自己的业务伙伴共享这些信息。而内部网恰好能满足这个要求。内部网能够改善两种类型的企业沟通：一对多的应用；多对多的应用。

(2)内部网的成本很低。内部网的基础设施包括一个TCP／IP网络、www制作软件、www服务器硬件和软件、www客户机和一台防火墙服务器(防火墙可在专用的企业内部网和外部互联网之间提供安全保障)。因为内部网使用的是客户机/服务器的两层或三层结构，所以在内部网上运行的硬件和软件也可以在互联网上运行。此外，内部网使用标准的TCP／1P协议。这就说明不需要多种标准来同时支持互联网和内部网，只要有一种标准就足够了。不管大企业还是小企业，内部网总是传输各种企业内部信息的最佳手段。

(3)内部网还加快了应用软件的分发和升级。由于一般企业管理和维护PC软件的成本很高。减少了软件维护和升级费用，网络系统总成本也随之降低了。内部网在这方面的用途是：计算机维护人员可把软件的升级和更新内容放入内部网，企业雇员下次登录自己的工作站时，相应的脚本就可自动更新工作站。

内部网也有一些缺点。如开发需要有一定的投入；目前很难精确计算投资回收期；开发内部网的一些工具还不成熟；内部网很容易失去控制等。

十一、外部网的应用

外部网是把企业及其供应商或其他贸易伙伴联系在一起，实现信息共享。外部网的信息是安全的，它可以防

止信息泄露给未经授权的用户。外部网可以是公共网络、安全(专用)网络或虚拟专用网络(VPN)中的任何一种。

(1)公用网络。在这种结构中，安全性是个大问题。这就是公共网络外部网在实际中很少采用的原因。

(2)专用网络。专用网络是两个企业间的专线连接，这种连接是两个企业的内部网之间的物理连接。专线是两点之间永久的专用电话线连接。和一般的拨号连接不同，专线是一直连通的。这种连接的最大优点就是安全。所以，专用网络保证了信息流的安全性和完整性。专用网络的最大缺陷是成本太高，因为专线非常昂贵。

(3)虚拟专用网络(VPN)。VPN外部网是一种特殊的网络，它采用一种叫做“IP通道”或“数据封装”的系统，用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是互联网上的一种专用通路，可保证数据在外部网上的企业之间安全地传输。这种网络的成本也很低，因为它不需要建立专线。

第四章 电子商务软件和工具

一、自营主机与主机托管的选择

如何决定是否使用自营主机？考虑这个问题时，首先要了解企业的www和商务要求。一般说来．主机托管是最好的起步方案。当企业的网站较小或所销售的产品品种有限时，应该采用主机托管的方案。

采用主机托管服务的优点是：www和电子商务领域的新手不需要采购硬件或软件就可以开办www网站；主机托管服务商能够满足员工提出的耗时开发的需求；企业自营网站出现的任何问题都需要企业自己解决；除非是拥有大量计算机专业人员的企业，采用企业外部的主机托管服务总要合算一些。

网站的访问要求和带宽也会影响企业是否自营主机的决策。如果一个网站可同时接待很多访问者，这个网站的带宽就很大，反之，它的带宽就很窄。

全国性的ISP通常有高速的互联网主干网。他们所提供的带宽基本上不成问题。

二、WWW服务器硬件选择

企业在选择www服务器硬件时要考虑的另一重要因素是在服务器上可能发生的内部和外部的信息访问量或交易数。

硬件决策、操作系统选择和应用服务器软件的选择这三者是密切相关的。它们共同决定了你的www系统的性能。服务器决策的一个最重要因素就是服务器硬件是否可伸缩，即可以升级，甚至无缝联上更多的服务器。

选择服务器的最佳途径是测试各种硬件和操作系统的组合。记住，一定要考虑系统在需要时升级的能力。

三、操作系统

操作系统：是一种软件，它帮助计算机完成基本的任务，包括运行程序、向各种程序分配内存和磁盘空间等计算机资源、为计算机的其他设备键盘和监视器提供输入和输出。大多数应用服务器都运行在Windows NT或Unix操作系统上。这两种操作系统及各自的计算机平台都各有明显的优缺点。windows NT比较简单，易于学习和使用，而安装基于Unix的应用服务器需要掌握晦涩难懂的计算机语言。

四、www服务器性能评价

WWW服务器是电子商务的关键。

基准测试是用来比较硬件和软件性能的一种测试方法。对www服务器的硬件和软件组合的基准测试可以为企业在制定网络系统决策时提供足够的信息。

硬件和操作系统是基准测试的主要领域。影响www服务器性能的另一个因素是连接速度。还有一个应考虑的因素是服务器可处理用户的数量，这个能力取决于服务器的线路速度、客户机的线路速度以及传输的www页面的正常大小；测量服务器www页面传输能力的重要指标是吞吐能力和响应时间，吞吐能力是某种硬件和软件的组合在单位时间内能够处理HTTP请求的数目，响应时间是服务器处理一个请求所需的时间。

系统所传输的页面的组合和类型也会大大影响服务器的性能。

五、WWW服务器软件的功能

1．www服务器软件的核心功能

WWW服务器的最基本的任务就是对用HTTP协议发来的客户机请求进行处理并做出响应。

(1)安全性。安全性和验证服务对内部网的www服务器至关重要，它验证从互联网进入内部网服务器的员工身份。安全服务不仅包括用户名和口令的验证，还包括认证和私有/公开密钥对的处理。访问控制可基于用户名或URL同意或拒绝用户对文件的访问。服务器支持安全套接层协议(SSL)，网站使用SSL接收来自www客户机的保密信息，如用户的信用卡号码。

(2)FTP。www服务器提供文件传输协议(FTP)服务，用户可用FTP向服务器传输文件或从服务器获取信息。此外，大部分服务器允许用Gopher方式访问网站。

(3)检索。检索引擎和索引程序是www服务器的标淮服务。检索引擎或检索工具可在本网站或整个www检索所请求的文档。索引程序提供全文索引，即为存储在服务器上的所有文档所创建的索引。当浏览器请求www网站检索时，检索引擎比较索引中的术语和请求者的检索术语，寻找与请求术语相匹配的文档。

(4)数据分析。www服务器可获取访问者的信息．包括谁正在访问一个www网站(访问者的URL)，访问者浏览网站的时间有多长，每次访问的日期和时间，以及浏览了哪些页面。这些数据放在WWW运行日志文件里。对运行日志文件进行认真分析会有很大收获．它可以揭示出访问者的很多有趣信息，以及他们喜欢什么或不喜欢什么。

2．www服务器软件的功能：网站管理

首先，网站管理工具提供链接检查。链接检查软件可检查网站的所有页面，并报告断开的、似乎断开的或有些不正常的URL。另外还可以发现孤立文件，即www网站中没有同任何页面建立链接的文件。网站管理的其他重要功能包括脚本检查和HTML验证。总之，网站管理工具浏览大网站，消灭混乱的状态，建立良好的秩序。它们可以迅速浏览整个网站，找到出错的页面和代码，列出断开的链接。网站管理工具可以用电子邮件把网站维护的结果发到www上的任何地址上。

3．WWW服务器软件的功能：应用构造

应用构造是使用www编辑软件和扩展软件来生成静态或动态的页面。功能强大的www页面生成软件可发现任何异于现有标准或用于专用www浏览器的代码。有些www开发软件包可创建特殊的www页面，这些页面可识别出正在请求www页面的浏览器，并回复一个动态生成的页面，所生成的页面可完全适合此浏览器的独特配置。

4．www服务器软件的功能：动态内容

动态内容是响应www客户机的请求而构造的非静态的信息。动态页面的内容来自企业的后端数据库或WWW网站的内部数据，动态页面可根据请求者的询问内容定制。任何可处理动态内容的服务器都可处理来自多种数据库的信息。www服务器可用开放式数据库连接(ODBC)从多种不同的数据库系统中获取信息。

5．www服务器软件的功能：电子商务

好的电子商务软件可以根据需要生成销售报告，使商店管理者掌握最新数据，了解哪些商品正在销售、哪些商品非常畅销以及其他销售信息。另外，你的软件还能自动地重复和更换www上的广告。电子商务软件可以让你为广告确定权重，这样就可以决定不同广告的播出频率了。

六、网站开发工具

网站开发工具的功能包括HTML或可视化www页面编辑软件、软件开发套件和www页面上载支持。这些工具中最有名的是HTML编辑软件和可视化www页面编辑软件。代表性的工具有Frontpage、Dreamweaver、Cold Fusion、PageMill、HoTMetal Pro和Netscape Composer。

七、服务器软件

1、Apache HTTP Server

Apache是连续合作开发的结果。这个系统由最初的核心系统和大量的“补丁”构成。Apache可运行在多种操作系统及其相应的硬件平台上。Apache有内置的检索引擎和HTML编辑工具，还支持FTP。

用户可以通过服务器控制台或浏览器来管理Apache。还有可用于创建网站和目录的自动帮助工具，服务器也提供了多重运行日志文件，可自动更新或存档。运行日志的条目遵循标准的NCSA通用运行日志文件格式，很多服务器也都遵循这种格式。

Apache的安全性是经过精心考虑的，它支持口令验证和数字证书。可按照域名、IP地址、用户或用户组来决定哪些用户有权访问。Apache禁止按目录或文件访问，它支持SSL。

Apache的应用开发工具支持CGI和多种专用API，也支持活动服务器页面(ASP)和Java服务件。Apache支持ODBC标准，可以访问Oracle、Sybase、Microsoft SQL Server和IBM DB2等数据库。

2．微软公司的Internet Information Server

IIS既可用于内部网服务器．也可用于互联网服务器。作为一种功能强大的www服务器程序，IIS既适用于小网站，也适用于交易量很大的企业级网站。

目前，IIS只能运行在windows NT操作系统上。IIS内有一个集成的检索引擎，允许用户用多种工具来创建定制的检索表。IIS服务器还带有微软的Frontpage HTML开发工具和Crystal的报表生成工具。IIS支持FTP，即允

许用户从支持FTP协议的IIS服务器网站上下载文件和数据。

IIS可创建CERN／NCSA通用运行日志文件格式，并允许重复写入运行日志。IIS中的微软管理控制台（MMC）可从网络上的任何一台服务器上提供中央服务器管理服务。IIS也允许用远程浏览器对服务器进行管理。因为Windows NT可将多个IP地址关联到一张网络接口卡（NIC）上，所以IIS支持多个虚拟主机。也就是说，IIS允许每台虚拟服务器拥有自己的IP地址。

IIS的安全性同Windows NT操作系统的安全性是分不开的。所以，IIS也提供NT基本的访问控制机制(用户名／口令)和SSL软件加密功能。IIS有一台内置的认证服务器，允许企业发放并管理数字证书。访问控制可按用户组或按个人进行限制，也可按目录或文件进行控制。因为IIS包含ASP，所以它也提供了一个良好的应用环境，可以将HTML页面、ActiveX控件和脚本综合起来生成动态页面。数据库支持包括ODBC和微软的SQL。

3、网景公司的Netscape Enterprise Server

是最早的WWW服务器程序之一。

NES提供了功能强大的开发环境，支持可在互联网、内部网和外部网上运行的基于WWW应用程序的开发。NES的内容管理允许用户个人主目录的方法来创建自己的Netshares，即这种方法提供的服务包括链接管理、WWW内容发布、代理服务及访问和版本控制。NES的Web Publisher可以让网络新手把自己计算机上完成的页面上载到WWW主机上。NES提供的这种本地内容的发布机制是独一无二的。

NES有文档转换和建立索引的实用程序，这些程序与Verity检索引擎捆绑在一起。

NES的管理工具允许网络管理员交互式管理用户并监控服务器的活动。管理员可用集成化的网景目录服务器（NDS）来集中增加、删除或改变用户的信息。NES还提供组管理功能，即管理员可把多个远程服务器作为一个组来进行管理。这样，管理员就可以远程更新配置文件或启动、关闭一组服务器。

NES不仅提供口令和用户验证服务，还提供了数字证书服务。NDS的认证管理系统（CMS）集成在企业服务器上，提供数字证书的验证管理。NES也可以同SSL增强设备协同工作，后者可执行SSL功能时提高服务器的效率。

和大部分服务器程序一样，NES支持动态应用程序开发，包括CGI和网景自己的应用程序界面：网景服务器API（NSAPI）。NES支持服务器端应用的Java服务件API。

八、WWW服务器其他工具

1．网络门户

网络门户(也简称为门户)是WWW上的“网络之门”；它好比是一个为用户定制的主页，用户通过它开始自己的检索、漫游和其他WWW活动。

2．检索引擎

检索引擎是一种特殊的WWW页面软件，可找到与用户输入的单词或短语匹配的页面。你所输入的单词或短语叫做检索词，它包含告诉检索引擎进行检索的指令。

检索引擎由三部分组成。第一部分是称作网络蜘蛛、网络爬虫或网络机器人的程序，这种程序可以自动地频繁检索WWW以找到相应的页面，还可以更新数据库中现有网站的信息。网络蜘蛛所找到的所有内容都放入检索引擎的第二部分——索引。索引包含网络蜘蛛发现的所有页面。当一个页面改变时，网络蜘蛛就会注意到这种变化并更新这本“书”(即索引)。检索引擎实用程序就是检索引擎的第三部分；当你请求检索时；检索引擎就浏览数百万页面来寻找匹配的页面；并根据每个链接的相关性按一定顺序显示。

3．推式技术

推式技术是自动把特定的信息从WWW服务器传输到你的计算机上。

推式技术对内部网用户特别有吸引力，企业可在WWW服务器上采用推式技术，把关键信息推向员工，如福利信息、员工奖励通知、企业政策的变化、与员工有关的收购和兼并信息。推式技术也能够帮助贸易伙伴彼此传递信息。

4．智能代理

所谓代理、智能代理、软件代理或软件机器人实际上都是同一种程序，它可以代表个人或组织完成信息收集和过滤等工作。

九、电子商务软件必备的功能

(1)商品目录显示

只销售数十种商品的小网站的商品目录非常简单，就是商品的一个静态表；大一些的商品目录可以有商品的

照片和简单描述，并提供检索功能以便于商品查找和查看现货情况。大的商品目录一般存储在数据库里，这个数据库通常不在电子商务软件所在的商务服务器上。

商品目录是所销售的商品／服务的有效组织。如果商品品种更多时，还可按商品部来组织。在线商店的商品销售与传统商店一样，可以组织成商品部，以方便顾客寻找商品。在线商通常采用同传统商店一样的商品部名称。

(2)购物车

在电子商务初期，购物者需要在线填写表格来选择所购物品。用户可用文本框和列表框来指明所选的商品，在“数量”文本框中输入某种商品的数量，还要在不同文本框中输入商品编码和单价等信息。这种基于表格的采购存在的问题是：顾客必须记下商品编码、单价和商品的其他信息，以便在进入订单页面时再输入这些信息。另一个问题是顾客有时会忘记已按下了“提交”按钮，或以为已按过“提交”按钮而实际并未按过。这种方法会使顾客不知所措，而且很容易出错。

基于表的订购方式已被电子购物车替代了。后者已经成为目前电子商务的标准方法了。

(3)交易处理机制

当顾客按下“结账”按钮，就来到了虚拟收款台开始“交易处理”了。这时，电子商务软件要进行一些最后的计算工作，包括计算折扣和送货费等。结账时，浏览器会自动切换到安全通讯状态，这时会出现一个对话框说明浏览器已进人或退出安全状态。现在所有的浏览器都支持安全套接层(SSL)和其他安全协议。交易处理是电子销售最复杂的部分，这时需要计算送货费，管理人员必须经常检查运费表，以保证其内容能够及时更新。当然，交易处理软件还得处理其他细节工作，如免税销售。在许多企业间交易中，如果采购商品是为经销这种商品，这时就会涉及到免税销售的情况。许多网站的电子商务软件还可连接到公司内部的交易系统上，这样网上的销售就可立即传入公司的内部交易处理系统上。

(4)电子商务工具

创建在线商店有简单的低成本方案，也有复杂的高成本方案。你可选择门户网站上的低成本的电子商亭，由这些网站提供主机托管服务和快速创建电子商亭的软件。大型的企业——消费者商务系统或企业间商务系统对软、硬件的需求差异很大，需要稳健的电子商务软件包，能够在大型计算机上运行，能与数据库系统通讯以便显示商品目录并处理订单。这种系统的创建和运行成本都很高，并需要有专门的人员来维护。

对于大多数在线商店而言，需要数据库得支持，以便保存众多商品得规格、颜色和价格等详细信息。选择数据库的原则是：与公司现有的数据库相同；与电子商务软件相配套等。

十、基本功能软件包

基本功能软件包是主机托管服务商提供的免费或廉价的电子商务软件，这类服务每月只需几百块钱，软件放在主机上，你可随时在主机服务器上来创建电子商务商店。

十一、中高档软件包

基本功能软件包和中档软件包之间的界限较模糊。但中档软件包有几个较关键的特点。

首先，中档软件包所支持电子商店的店主对商品销售规模、网站布局、内部结构、远程和本地管理方案都有很好的控制能力。

另外，中档软件包同基本功能软件包在功能、价格、数据库连接能力、软件便利性、软件定制工具及对店主的计算机知识要求都有很大的差别。

所有中档软件系统都是在电子商店店主的计算机上运行的。

中档电子商务软件和企业级的电子商务软件之间的界限比基本功能系统与中档电子商务软件系统之间的区别明显得多。最重要的差别就是价格，其他差别还有对企业间商务的支持功能，这是企业级电子商务软件的独有特征。这些软件提供了对企业间商务和企业到消费者商务的支持工具，另外可同现有的后台系统(包括各种数据库系统、会计系统和ERP系统)连接。

大型在线企业所用的电子商务软件除需要www服务器前端系统和必要的防火墙外还需要一个或多个专用的计算机。企业级电子商务软件一般都为连接和支持供应与采购活动提供了良好的工具。企业间商务的大部分工作就是从贸易伙伴处订购原料并签发相应单证(如采购订单)。对销售企业来说，企业级电子商务软件还支持标准的电子贸易业务，包括安全交易和订单履行。但企业级电子商务软件的功能还不止这些，例如还可同企业的库存系统进行交互并对库存进行适当调整．在库存达到安全库存的下限时签发采购订单，并在ERP或现有会计系统中生成会计凭证。

第五章 电子商务安全

5.1 电子商务中安全要素及面临的安全问题

5.1.1 电子商务的基本安全要素

5.1.2 电子商务中的安全问题

5.2 病毒及黑客防范技术

5.2.1.单机病毒

5.2.2网络病毒及其防范

5.2.3 网上炸弹及其防范

8.3 防火墙技术

8.3.1 防火墙定义

8.3.2 包过滤技术

8.3.3 应用网关技术

8.3.4 代理服务技术

8.3.5 防火墙技术的发展

8.4 加密算法

8.4.1对称密钥加密算法

8.4.2非对称密钥加密算法

8.4.3散列函数

8.4.4一种组合的加密协议

8.5 基于公开密钥体系体系的数字证书认证技术

8.5.1公开密钥体系的定义

8.5.2 CA认证中心及数字证书

8.5.3.数字证书类型

8.6 安全套接层（SSL）协议

8.6.1概述

8.6.2 SSL握手协议

8.6.3 SSL记录协议

8.7 安全电子交易SET分析

8.8 Windows 系统中证书的应用

安全电子商务模型

一、计算机安全的基本概念

1．计算机安全的定义

(1)计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两大类的安全：物理安全和逻辑安全。

(2)物理安全是指可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为逻辑安全。

(3)计算机安全的分类。计算机安全可分成三类，即保密、完整和即需。保密是指防止未授权的数据暴露并确保数据源的可*性；完整是防止未经授权的数据修改；即需是防止延迟或拒绝服务。

2．为了保护计算机的安全不受侵害必须制定相应的安全策略及安全措施

(1)安全策策略是明确描述对所谓保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。

(2)好的安全计划必须能识别出风险、确定对受到安全威胁的资产的保护方式并算出保护资产的成本。

(3)安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责安全的人员必须定期修改安全策略。

制定安全策略，首先要确定保护的内容（如保护信用卡号）；再确定谁有权访问系统的那个部分，不能访问那个部分；然后确定有那些资源可用来保护这些资源。

二、版权和知识产权的安全威胁

1．版权与知识产权的基本概念

(1)所谓保护版权一般是指包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。是一种对表现的保护。

(2)知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。

（3）版权法规定的是固定期限的保护。1976年美国的版权法规定，对1978年以前出版的作品保护期为出版后75年，对1978年1月1日以后出版作品的保护期为作者去世后50年或作品发表以后的75年。

(4)所有作品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护。这一点考生应该牢记。

互联网成为版权侵犯者诱人的目标，两个原因：首先，网上的信息无论是否受到版权保护，它都非常容易复制；其次，很多人不了解保护知识产权方面的版权规定。在互联网上很多的侵权都是无意的。

2．保护数字化的知识产权和保护传统的知识产权不同

(1)传统的知识产权(如文字作品、艺术和音乐等)主要通过国内法律甚至国际法来保护。数字知识产权(包括网站上的艺术图形、图标和音乐)也受到法律保护。数字化的知识产权所面临的困境是如何在网站上发表知识产权作品的同时又能保护这些作品。

(2)为保护知识产权，提出了很多保护的方式，包括主机名阻塞、包过滤、代理服务器、软件测量和数字信封（信息认证码）等，其中数字水印是一种新技术．它是隐蔽地嵌入在数字图像或声音文件里的数字码或数字流。可对其内容加密或简单地隐藏在图像或声音文件的字节里。

三、客户机受到的安全威胁

1．活动内容的概念

(1)活动内容是指在页面上嵌入的对用户透明的程序，它可以显示动态图像、下载和播放音乐或实现基于www的电子表格程序。

(2)Java是一种高级程序设计语言，它是真正面向对象的语言，Java支持代码重用．可在操作系统上运行，而且与平台无关，可以在任何一合计算机上使用，它之所以被广泛应用．是取决于它“一次开发多处使用”的特点。

(3)脚本语言JavaScript和VBScript是可以执行的命令。支持页面设计者创建活动页面。小应用程序是可在另一个程序中执行的程序，但它不能在计算机上直接执行，小应用程序通常是在WWW浏览器中运行。

(4)JavaScript与Java程序或Java小应用程序不同，JavaScript程序不能自行启动。有恶意的JavaScript程序要运行，必须由人亲手启动。

(5)Active X控件的构建源于许多程序设计语言，它的特点是只能在装Windows(95,98或2000)的计算机上运行，并且只能在支持Active X控件的浏览器上运行。Active X可全权访问你的计算机，它能破坏保密性、完整性和即需性。Active X不能控制，但可以管理。

(6)图形文件、浏览器插件和电子邮件附件都是潜在的安全威胁，因为嵌入在图形中的代码都是可以储存和可以执行的命令，所以都有可能破坏计算机。

(7)特洛伊木马是典型的利用活动内容破坏计算机安全的例子。它是隐藏在程序或页面里面掩饰其真实目的的程序，它可以窃听计算机上的保密信息，并将这些信息传给它的服务器．从而构成保密性侵害。

(8) Cookie可以储存诸如用户名、密码/口令等许多信息，可以让你在下一次访问时不需要重新输入用户名和口令，这虽然给用户带来了很大的方便，但是有恶意的攻击者会利用它，对计算机的保密性、完整性和即需性进行破坏。

(9)信息隐蔽是指隐藏在另一片信息中的信息，例如“发送”、“接收”等命令，其目的可能是善意的，也可能是恶意的。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式，粗心的观察者看不到后者中含有的重要信息。加密文件是使其不能被阅读，信息隐藏是使信息不被人看到。

2．对客户机的保护措施

(1)数字证书是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。它有向网页或电子邮件附件原发送者发送加密信息的功能。如果电子邮件消息或网页含有数字证书，就称之为签名消息或签名代码。

数字证书并不保证所下载软件的功能和质量，只证明所提供繁荣软件不是伪造的。

(2)对浏览器储存Cookie加以限制，选择“储存”或“不允许储存”的方法来减少有可能对计算机带来的安全威胁。

(3)使用防病毒软件。

(4)召集计算机犯罪专家来收集、保管和分析与计算机有关的法律证据，来实现对客户机的保护。

3．对保护通讯信道的保护措施

电子商务通道的安全意味着通讯的保密性、消息的完整性和渠道的可用性。

通讯信道受到的安全威胁主要有：

对保密性的威胁来自未经授权的访问，在互联网上破坏保密信息并不困难，有些是因为用户的不经意的错误操作而造成的。 保密和隐私虽然很相似，但却是不同的问题。保密是防止未经授权的信息泄露，而隐私是保护个人不被曝光的权利；保密是要求繁杂的物理和逻辑安全的技术问题，隐私则需要法律的保护。 对完整性的安全威胁来自于未经授权方的主动搭线窃听，改变了信息流，而造成完整性被破坏。破坏他

人网站、电子伪装都是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。电子伪

装是指某人装成他人或将某个网站伪装成另一个网站。

破坏了完整性也就意味着破坏了保密性，因为能改变信息的窃听者必定能阅读此信息。完整性和保密性

之间的差别在于：对保密性的安全威胁是指某人看到了他不应看到的信息，而对完整性的安全威胁是指

某人改动了传输的关键信息。

对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁，其目的是破坏正常的计算机处理或完全拒绝处

理。

对通讯信道实施保护的方法主要有：

(1)加密。

加密就是用基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。研究加密的科学叫密码学。它研究隐藏信息，以便只有接收者和发送者才能阅读信息。密码学和信息隐蔽无关。信息隐蔽是指不让人看见文字；而密码学并不是想隐蔽文字，只是将文字转化为可见的但看不出意义的字符串。这些无法识别的字符串是由位的组合分别对应某些字符/数字，而字符/数字看起来是完全随机的组合。

将明文转成密文的程序称作加密程序。加密程序的密钥非常重要，即使知道加密程序的细节．没有加密用的密钥也无法将信息解密。而且加密消息的保密性取决于加密所用密钥的长度。密钥位数越长（最低为40位），信息的保密程度越高。

按密钥和相关加密程序类型可把加密分为三类：散列编码、对称加密和非对称加密。

a．散列编码是用散列算法求出某个消息的散列值的过程。散列编码对于判别信息是否在传输时被修改非常方便。如果信息被改变，原散列值就会与由接收者所收消息计算出的散列值不匹配。散列编码相当于消息的指纹。

b．非对称加密也叫公开密钥加密，它用两个数学相关的密钥对信息进行编码。在此系统中，其中一个密钥叫公开密钥，可随意发给期望同密钥持有者进行安全通讯的人。公开密钥用于对信息加密。第二个密钥是私有密钥，

属于密钥持有者．此人要仔细保存私有密钥。密钥持有者用私有密钥对收到的信息进行解密。

c．对称加密又称私有密钥加密，它只用一个密钥对信息进行加密和解密。与公开密钥加密不同的是，私有密钥加密只用一个密钥对信息进行加密和解密。私有密钥加密在很多情况下都很有效，但也有比较大的局限性：所有各方都必须相互了解．并且完全信任，而且每一方都必须妥善保管一份密钥。如果发送者和接收者处在不同地点，就必须当面或在公共传送系统中无人偷听偷看的情况下交换密钥。在密钥的交换过程中，任何人一旦截获了它，就可用它来读取所有加密消息。

(2)安全套接层(SSL)。

SSL系统是由网景公司提出，S-HTTP是由CommerceNet公司提出，它们是用互联网进行安全信息传输的两个协议。SSL和S-HTTP支持客户机和服务器对彼此在安全WWW会话过程中的加密和解密活动的管理。

SSL是在互联网上进行安全信息传输的协议。它支持两台计算机间的安全连接，并处于Internet多层协议集的传输层。SSL对计算机之间的各种通讯都提供安全保护。SSL的工作原理是首先对服务器进行认证，然后对两合计算机之间所有的传输进行加密。SSL用公开密钥加密和私有密钥加密来实现信息的保密。

SSL有两种安全级别：40位和128位。是指每个加密交易所生成地私有会话密钥的长度。

SSL用公开密钥加密和私有密钥加密来实现信息的保密。虽然公开密钥非常方便，但速度很慢。所以，SSL几乎都使用私有密钥进行加密的原因。那么客户机和服务器是如何能够共享一个私有密钥的？答案是浏览器为双方生成私有密钥，然后由浏览器利用服务器的公开密钥对私有密钥进行加密。

(3)实现SSL的协议是HTTP的安全版，名为S-HTTP，它提供了多种安全功能．包括客户机与服务器认证、加密、请求／响应的不可否认等。它提供了用于安全通讯的对称加密、用于客户机与服务器认证的公开密钥加密以及用于实现数据完整性的消息摘要。客户机和服务器可以单独使用S-HTTP技术，也就是说，客户机的浏览器可用私有密钥得到安全保证，而服务器可用公开密钥技术来请求对客户机的认证。

S-HTTP与SSL的不同之处在于S—HTTP建立了一个安全会话。SSL是通过客户机与服务器的“握手”建立了一个安全通讯．而S—HTTP则是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。SSL是支持两台计算机间的安全连接，而S-HTTP则是为安全地传输信息。SSL处于传输层，而S-HTTP处于应用层。

（4）保证消息的完整性

一般情况下是将两个算法同时应用到消息上，首先用散列算法，散列算法是单向函数，即无法根据散列值得到原消息。由散列函数计算出散列值后，就将此值附加到这条消息上，对方收到消息后计算出消息摘要与原附加的消息摘要进行比较确认消息的完整性。由于散列算法是公开的，在消息的传输过程中也会造成消息的篡改，这时发送者用自己的私有密钥对消息摘要进行加密。（加密后的消息摘要称为数字签名）

（5）渠道的安全性

保证交易能够顺利传输，TCP/IP在数据中加入校验位，就能够知道数据包是否被改变、丢失或出现其他问题。

五、对服务器的安全威胁

1．服务器有很多弱点可被利用

(1)其中一个入口是www服务器及其软件，www服务器软件是用来响应HTTP请求进行页面传输的。虽然www服务器软件本身并没有内在的高风险性，但其主要设计目标是支持www服务和方便使用，所以软件越复杂，包含错误代码的概率就越高，有安全漏洞的概率也就越高。

(2)电子商务系统以数据库存储用户数据，并可从wwW服务器所连的数据库中检索产品信息。数据库除存储产品信息外．还可能保存有价值的信息或隐私信息，如果被更改或泄露，会对公司带来无法弥补的损失。

(3)公用网关接口(CGI)可实现从WWW服务器到另一个程序(如数据库程序)的信息传输。CGI和接收它所传输数据的程序为网页提供了活动内容。因为CGI是程序，如果滥用就会带来安全威胁。同www服务器一样，CGI脚本能以高权限来运行。因此，能自由访问系统资源的有恶意的CGI程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息。

(4)对www服务器的攻击可能来自服务器上所运行的其他程序。例如通过客户机传输给WWW服务器或直接驻留在服务器上的Java或C＋＋程序需要经常使用缓存。

(5)还有一种溢出攻击就是将指令写在关键的内存位置上．使侵入的程序在完成了覆盖缓存内容后，www服务器通过载入记录攻击程序地址的内部寄存器来恢复执行。这种攻击会使www服务器遭受严重破坏，因为恢复运行的程序是攻击程序，它会获得很高的超级用户权限，这就使每个程序都可能被侵入的程序泄密或破坏。

(6)邮件炸弹也是一种常见的攻击方法，它的目标一般是邮件服务器，方法是数以千计的人将同一消息发给一

个电子邮件地址，邮件炸弹的目标电子邮件地址收到大量的邮件，超出了所允许的邮件区域限制，导致邮件系统堵塞或失效。

2．要避免服务器受到以上的安全威胁．可采取的安全解决方案

(1)访问控制和认证。

访问控制和认证是指控制访问商务服务器的人和访问内容。认证就是验证期望访问计算机的人的身份，通常是用数字证书进行验证。证书是用户的许可证。当服务器要求识别客户机和其用户时，它会要求客户机发出一个证书。服务器可用多种方式对用户进行认证。

第一，服务器使用用户的公开密钥对证书的数字签名进行解密，若解密成功，就说明此证书来自真正的所有者。

第二，服务器检查证书上的时间标记以确认证书未过期．井拒绝为过期证书提供服务。认证中心利用证书的有效期方法避免了为证书持有人的信用过久担保。

第三，服务器可使用回叫系统，即根据用户名和为其指定的客户机地址的清单来核对用户名和客户机地址。这种方法对那些客户机地址得到严格控制和系统管理的内部网是非常有用的。

www服务器一般是以提供访问控制表的方式来限制用户的文件访问权限。

(2)操作系统控制。

大多数操作系统都有用户名／口令的用户认证系统。操作系统为其所运行的主机上驻留的www服务器提供了安全子结构。访问控制表和用户名／口令的保护机制就属于这种安全子结构。

(3)防火墙。

防火墙是在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立的保护层，防火墙具有以下特征：首先，由内到外和由外到内的所有访问都必须通过它。其次．只有本地安全策略所定义的合法访问才被允许通过它。而且防火墙本身无法被穿透。

防火墙内的网络通常叫可信网络，而防火墙外的网络叫不可信网络。防火墙相当于一个过滤设备，它允许特定的信息流人或流出被保护的网络。在理想的情况下，防火墙保护应阻止未经授权的用户访问防火墙内的网络，从而保护敏感情息。同时又不能妨碍合法用户，在防火墙之外的员工应能访问防火墙所保护的网络和数据文件。防火墙还可把公司的网络分成若干安全区，防止某个部门的员工访问本企业另一个部门的信息。用防火墙把企业的网络分成多个不同的安全区，这时防火墙的作用就相当于一个简单的访问权限过滤设备。

防火墙在协议中处于应用层，也可在网络层和传输层上操作。如果企业有多个网站，那么每一个与互联网的连接处都要有防火墙，这样才能保证整个企业有一个安全边界。另外公司的每个防火墙都得遵守同样的安全策略；否则．如果一个防火墙允许一种交易进入，而另一个防火墙不允许进入的企业网络，结果就会造成非法访问进入到企业的整个网络上，因为这个防火墙给防火墙里的整个企业网络留下了一个小漏洞。

企业在建立防火墙时，应当仔细检查计算机内的所有软件，去除那些与支持操作系统无关的软件。防火墙计算机就是用作防火墙，不应用作通用的计算机设备。这台计算机上只应保留必需的操作系统软件和防火墙专用的软件。软件程序越少，就意味着恶意软件对安全破坏的可能性越小。应把对防火墙的访问限制在直接连到防火墙的控制台上，否则，如果提供了对防火墙的远程管理，就为侵入者利用管理员所用的路由访问防火墙并破坏防火墙提供了可能。

防火墙的种类包括包过滤、网关服务器和代理服务器。包过滤防火墙要检查在可信网络和互联网之间传输的所有数据，包括信息包的源地址、目标地址及进入可信网络的信息包的端口，并根据预先设定的规则拒绝或允许这些包进入。

网关服务器是根据所请求的应用对访问进行过滤的防火墙。应用网关对网络内部和网网络外部的访问进行仲裁。网关服务器提供了一个中心点．在此处可对所有请求进行分类、登录和事后分析。

代理服务器是代表某个专用网络同互联网进行通讯的防火墙，当我们将浏览器配置成使用代理功能时，防火墙就将浏览器的请求转给互联网；当互联网返回响应时，代理服务器再把它转给我们的浏览器。代理服务器也用于页面的缓存。代理服务器在从互联网上下裁特定页面前先从缓存器取出这些页面。

本文来源：https://www.bwwdw.com/article/c2ji.html