1、用户接口设计,6.6,图6.31展示了购物车屏幕的一个原型屏幕。,图6.31 原型界面,存储对象,6.7.1,对于需要存储的对象,我们会对其建立实体关系图(E-R图,Entity -Relationship)。实体关系图非常类似于类图,也可以看作类图的子集。它们被数据库设计者们广为采用。不同的是它们代表数据表,而不是对象。在表上不存在操作,只有属性,而属性甚至不被列出来。图6.32是一个描述订货关系的E-R图。,图6.32 订货过程部分实体关系图,实现一对多关系,6.7.2,图6.33显示了两个一对多的关联。在Customer-Order关联实施时,为顾客设置一个关建字( customer n
2、umber) ,并且建立了如表6.2所示的顾客表。然后,我们将顾客号(customer number)存于存放订货(Order)类的表中,如表6.3 所示,这样,通过关键字链接回到顾客表上 。订货表也有它自己的关键字,叫做订单号( order number ) ,它将用在存储订单条目(OrderLine)类的表中如表6.4所示。,图6.33 数据库中实现的一对多关联,实现一对多关系,6.7.2,表6.2 通过加关键字,实现“顾客”对象的数据库表 顾客号(customer number) 姓名(name) 地址(address) 10001 Briggs Metal 14 Iron Way 10
3、002 Mary Unit 4,Bridge Park表6.3 通过加关键字,实现“订货”类的数据库表 订单号(order number) 日期(date) 顾客号(customer number) 4001 2006-07-07 10001 4002 2006-07-08 10001 4003 2006-07-08 10002表6.4 包含附加关键字,实现“订单条目”类的数据库表 订单号(order number) 产品(product) 数量(quantity) 4001 5mm螺丝钉 200 4001 5mm垫圈 500 4002 6mm螺栓 300 4002 6mm螺母 400 400
4、3 6mm钢板 100 4003 6mm螺栓 300,实现多对多关系,6.7.3,考虑到图6.34所示的关联,一次订货可以对应多次发货,而一次发货可以对应多次订货。订货表如表6.5所示,发货表如表6.6所示。关系数据库的字段不允许是数组,或其他复杂的数据结构。因此,我们需要增加的表如表6.7所示,其中,保留了订货表和发货表的关键字。,图6.34 多对多关联,表6.5 存储“订货”类的数据库表,订货号(delivery number) 日期(date) 9234 2006-07-05 9235 2006-07-05 9236 2006-07-05,实现多对多关系,6.7.3,表6.6 存储“发货
5、”类的数据库表 发货号(delivery number) 日期(date) 9234 2006-07-07 9235 2006-07-08 9236 2006-07-08 表6.7 实现订货类与发货类之间多对多关系的数据库表 订单号(order number) 发货号(delivery number) 4001 9234 4002 9235 4003 9236,实现一对一关系,实现一对一关系,6.7.4,一对一关系提供了广阔的可能性。可以将一个对象的关键字加入另一个对象中,从而建立链接。这种方法,在一对一关系的两个对象的任何一方进行都可以。,组件,6.8.1,一个典型的电子商务系统通常由数十个
6、或数百个类构建而成。为了便于实现,要将这些类分组,使相关的类聚集到一起。而组件便是聚集在一起的一组对象。 图6.38显示了一个应用系统的组件图。,图 6.38定义整个应用系统的组件的组织,基于组件重用的开发,6.8.2,基于组件开发的一种选择是购买预定义的组件。这个市场很小,但也在不断增长。这些预定义组件绝大部分都是出于技术方面的原因,如图形生成或者条码阅读。也有一些为特殊的商业部分而设计的专用组件,比如金融产业。组件遵从专门的技术标准,例如JavaBean 或Microsoft 的组件模型。把来自不同技术平台的组件混和起来使用,通常是不可能的。因此,关键构架的决策(称为技术平台)将决定组件的
7、构架和对第三方组件的选择。,第7章 电子商务网站的设计,7.2 电子商务网站设计的要素,7.1 电子商务网站的概述,7.3 电子商务网站设计的流程,7.4 电子商务网站的内容与功能设计,7.5 电子商务网站信息结构与风格设计,电子商务网站,7.1.1,在电子商务中,网站是发布商务信息、实现商务管理和交易的重要方式,是其拥有者与用户交流及沟通的窗口,是买方和卖方信息交汇与传递的渠道,是企业体现其企业形象和经营战略的载体,是企业开展商务活动的舞台,是企业开展电子商务的基础设施和信息平台,是实施电子商务的公司或商家与服务对象之间的交互界面,是电子商务系统运转的承担者和表现者。电子商务网站在软、硬件基
8、础设施的支持下,由一系列网页、制作工具、编程技术、后台数据库等构成,具有实现不同电子商务应用的各种功能,可以实现广告宣传、经销代理,银行与运输公司中介等方而的作用。,门户网站企业门户网站,电子商务网站的分类,7.1.2,按照不同的分类方法,可以将电子商务网站分为不同的类型。(1)按照商务目的和业务功能分类可以将电子商务网站分为基本型商务网站、宣传型商务网站、客户服务型商务网站和完全电子商务运作型网站。(2)按照构建网站的主体分类可以将电子商务网站划分为:行业电子商务网站、企业电子商务网站、政府电子商务网站、服务机构电子商务网站等。(3)按照网站拥有者的职能分类可以将电子商务网站分为生产型商务网
9、站和流通型商务网站两类。(4)按照产品线的宽度和深度进行分类,可以划分为水平型网站、垂直型网站、专门网站和公司网站四种类型。这种电子商务网站的划分方法主要是针对B2B电子商务模式的,依据产品线的宽度和深度来划分。(5)按照电子商务模式划分可以将电子商务网站分为BtoB(Business-Business)商务网站、BtoC (Business-Customer)商务网站、CtoC (Customer-Customer)商务网站、BtoG (Business-Government)商务网站及CtoG (customer-Government)商务网站等。,电子商务网站的特点,7.1.3,电子商务
10、网站与一般网站相比具有以下特点:(1)商务性。 (2)服务性。 (3)集成性。 (4)可扩展性。 (5)安全性。 (6)协调性。,网站与电子商务系统的关系,7.1.4,可以将网站视为企业电子商务系统的一个重要组成部分。需要说明的是,企业的电子商务系统因企业的规模、服务方式不同而使其功能差异很大,但绝大多数的电子商务系统都是利用网站与客户进行交互的。另一方面,一些企业电子商务系统的规模较小且商务处理功能很弱,例如,仅仅实现企业形象宣传功能,因此,这时的电子商务系统从外部就表现为网站的形式。企业内部信息系统的各种信息通过网站向外发布,改变了原先企业信息利用率不高,资源无法被外界获得的局面。没有网站
11、的电子商务系统是不完私的,而将企业电子商务系统等同于企业的网站也是不够全面的。,电子商务网站设计的要素,7.2,网站想取得成功,需要考虑如下要素:1、网站必须有良好的可扩充性 2、高效率的并发处理能力 3、强大的管理工具 4、与企业已有信息资源的整合 5、网站必须可靠地确保提供724小时的可靠的服务 6、良好的容错性能 7、支持多种客户终端 8、安全的运行环境 9、页面下载速度快 10、使用方便 11、联系信息方便多样 12 保护个人信息,电子商务网站设计的流程,7.3,网站建设流程一般可以分成如下4步: 1确定网站构建的目标 2 网站内容与功能设计 3网站的信息结构与风格设计 4网站的建设,
12、电子商务网站设计的流程,7.3,网站建设流程一般可以分成如下4步:1 确定网站构建的目标 2 网站内容与功能设计 3 网站的信息结构与风格设计 4 网站的建设网站的建设是细化设计工作和实际完成网站的建设工作。 编写网站设计的计划书,明确人员分配、协调与进度。较大的网站设计一般由项目小组完成,项目经理负责人员的分工协调,把握整体进度。 由美工设计师制作网页,完成网站的应用层;网络工程师制作后台代码,完成网站的商业逻辑层;网络工程师建立数据库,完成网站的数据层。 在不同的平台浏览器上测试网页。这一过程主要测试网页在不同平台上浏览的速度和显示效果。 让部分顾客或者员工试用网站,提出反馈意见,根据需要
13、修改不合适的地方。这一过程可能要重复多次,直到满意为止。 正式推出网站。,电子商务网站的内容与功能设计,7.4,一个网站项目的确立是建立在各种各样的需求之上的。这种需求往往来自于客户的实际需求或者出于公司自身发展的需要,其中客户的实际需求占了绝大部分。网站需求分析阶段的工作,可以分成4个阶段:用户调查、市场调查、编制网站功能描述书和评审,如图7.1所示。,图7.1 网站需求分析的四阶段,用户调查,7.4.1,调查的主要内容如下:(1)网站当前以及日后可能出现的功能需求。 (2)客户对网站性能(如访问速度)的要求和可靠性的要求。 (3)确定网站维护的要求。 (4)网站的实际运行环境。 (5)网站
14、页面总体风格以及美工效果(必要的时候用户可以提供参考站点或者由公司向用户提供)。 (6)主页面和次级页面数量,是否需要多种语言版本等。 (7)内容管理及录入任务的分配。 (8)各种页面特殊效果及其数量(Javascript或者flash等)。 (9)项目完成时间及进度。 (10)明确项目完成后的维护责任。,市场调查,7.4.2,在市场调查活动中,主要对目标客户、竟争对手进行调查分析,然后确定网站的市场定位。1、目标客户的调查与分析2、竞争对手的调查与分析 分析竞争对手的主要内容如下: (1)确认网上的竞争对手。 (2)了解竞争对手的电子商务战略和所开展的主要网上业务。 (3)研究竞争对手两站的
15、设计构架与运行效果。3、市场定位分析(1) 竞争性分析。(2) 主要竟争对手网站内容结构与运行效果分析。(3) 新产品市场开拓分析。其目的是确认本企业未来的发展方向,从中探讨本企业网站,编制网站功能描述书,7.4.3,网站功能描述书的主要内容如下:1、概要情况本部分主要包括以下内容: (1)用户单位名称。 (2)用户单位联系人信息。 (3)用户单位联系方式。(4)网站名称。(5)网站域名。 (6)网站类型。如普及型、应用型、电子商务类、媒体信息服务、办公事务管理、商务管理、企业信息服务等类型。 (7)参与调查人员。 (8)调查开始终止的时间。,编制网站功能描述书,7.4.3,2 调查内容说明本
16、部分主要包括以下内容: (1)网站主要功能描述。根据网站类型及用户需求,确定网站的主要功能。 (2)网站用户界面描述。例如古典的,时尚的,卡通的等等。 (3)网站运行的软硬件环境。包括网络操作系统、Web服务器、数据库服务器等。 (4)网站的系统性能定义,包括性能(如访问速度)、可靠性、网站的出口带宽、网站的估计访问量等。 (5)网站系统的软件和硬件接口。主要指网站与企业内部或外部关联系统之何的接口。 (6)网站页面总体风格及美工效果(用户可以提供参考站点,或者由开发方提供)。包括整体风格要求、网页主色调(比如红色、黄色、蓝绿)等。,编制网站功能描述书,7.4.3,(7)主页面及次页面数量,包
17、括静态页面、动态页面、程序模块、是否需要多种语言版本等。 (8)各种页面特殊效果及其数量,包括动画、音频、视频等。 (9)管理及内容录入任务分配 (10)项目完成时间及进度(根据合同制定)。 (11)确定网站系统空间租赁要求,包括网站域名的申请/付费方式、网站系统空间租赁方式等。 (12)确定网站维护的要求,包括具体维护事项、明确项目完成后的维护资任及其要求等。 (13)网站当前或者日后可能出现的功能需求。 (14)客户需要的网站推广方式。3 调查资料汇编将在调查中收集到的原始资料整理规类,以方便在后期开发中的使用。这些资料主要包括图片、音频视频素材、资料样本和其他资料。,典型电子商务网站的功
18、能,7.4.4,1 宣传网站模式在规划该类网站时,功能定位比较简单,不提供什么服务,更没有开展网上交易;最多提供一个电子邮件链接,客户可以通过链接给企业电子邮箱发送邮件。这种网站投资少,建站快,但没有充分利用网络和网站的特点,营销功能有限。当然,企业建立了网站,相当于企业在互联网上有了一席之地以及与外界联系的窗口。如果再在网站上增加一些内容,例如,广告、友情链接等,也会大大增强网站的营销功能。采用宣传网站模式的企业往往采取向网络平台提供商租用网页空间或者虚拟主机的形式来运行自己的网站。,典型电子商务网站的功能,7.4.4,2 企业门户网站模式所谓企业门户网站的含义是,只要客户登录到这个网站,就
19、可以得到企业或商家提供的所有服务。 般而言,在规划该类网站时,需要包含以下功能:企业基本信息发布,企业动态与新闻,企业产品与服务,搜索与索引,电子邮件与客户反馈,用户访问统计,网站访问分析与统计,个性化服务,电子社区,相关链接等。3 内部管理网站模式 在规划本类网站时,主要应包括如下功能: (1)广告及商品管理。包括广告资源管理、计划与系统管理、可为公司市场、销售等经营部门提供及时的信息服务。 (2)客户管理。主要包括客户管理、商务代表管理、代理商(大客户)管理等功能,可及时为公司营销管理人员提供最新的客户信息及相关资料。 (3)营销管理。主要包括经营预算与结算管理,以及产品销售量、商务代表业
20、绩、客户采购量、销售金额等信息的统计与分类管理功能。 (4)网站管理。主要包括用户及权限设置、数据库维护、网页设置、标志与标题设置及网站各栏目内容编辑等功能。,典型电子商务网站的功能,7.4.4,4 . B to C 网站模式B to C 的电子零售系统是目前比较成熟的一种电子商务模式,也是服务于个体消费者的零售企业应用的最为广泛的一种电子商务模式。 一般而言,在规划该类网站时,需要包含以下功能: (1)用户管理需求。用户注册、注册用户信息管理。 (2)客户需求。 (3)销售商的需求。5. B to B 网站模式(1)B to B电子商务的基本形式。企业与企业之间的电子商务主要有2种形式,即传
21、统的EDI方式和电子交易市场方式。,典型电子商务网站的功能,7.4.4,B to B 电子商务中的供应链关系如图7.2所示。,图7.2 B to B 电子商务中的供应链关系,(2)B to B电子商务中的主要实体。 (3)B to B电子商务网站的功能定位。,典型电子商务网站的功能,7.4.4,(3)B to B电子商务网站的功能定位。 会员管理 产品目录管理 审批流程,主要包括注册审批和交易审批 订单管理 交易定价。其主要包括定价销售、协议价格及请求报价等 拍卖与投标采购,主要包括电子拍卖和电子采购等 网络支付6电子政务网站模式 电子政务网站需要包含以下功能 (1)政务公开 (2)网上办公,
22、网站定位,7.5.1,1定位网站主题和名称(1)网站的主题和名称 (2)题材和内容的选择。题材和内容的选择一般应遵循以下原则: 主题要小而精。 题材是自己擅长或喜爱的内容。 内容要新颖。 题材不要太滥,目标不要太高。“太滥”是指到处可见、人人都有的题材 (3)网站名称的选择。 名称要准确。 名称要易记。 名称要有特色。,网站定位,7.5.1,2定位网站CI形象CI(corporate identity)是指通过视觉来统一企业的形象。CI设计就是通过视觉语言的运用来树立形象、传播信息,达到让社会公众认识、了解、接受、认可的目的。 一个优秀的网站和实体公司一样,也需要整体的形象包装和设计。当网站主
23、题和名称确定下来之后,首先需要思考和定位的就是网站的CI形象,其主要内容有网站的标志、色彩、字体、标语等。 (1)网站标志(LOGO)。 功用性。识别性。显著性。 多样性。 艺术性。 准确性。 持久性。,网站定位,7.5.1,(2)网站的标准色彩。 (3)设计网站的标准字体。 (4)设计网站的宣传语。以上标志、色彩、字体、标语四个方面是一个网站树立CI形象的关键,确切地说是网站的表面文章。设计并完成这几步,你的网站将脱胎换骨,整体形象将会有一个很大的提高。,网站栏目的设计,7.5.2,栏目(1)一定要紧扣主题。 (2)设置一个最近更新或网站指南栏目。 (3)设定一个可以双向交流的栏目。 (4)
24、设一个下载或常见问题回答栏目。2 版块版块比栏目的概念要大一些,每个版块都有自己的栏目。例如,网易的站点分新闻、体育、财经、娱乐、教育等版块,每个版块下面都有自己的主栏目。一般的个人站点内容少,只设主栏目(主菜单)就够了,不需要设置版块。如果您觉得的确有必要设置版块的,应该注意: ( 1 )各版块要有相对独立性。 ( 2 )各版块要相互关联。 ( 3 )版块的内容要围绕站点主题。关于版块方面,主要是门户站点、大型企业等较大网站需要考虑的问题。,网站目录结构,7.5.3,1不要将所有文件都存放在根目录下一些网站设计人员为了方便,将所有文件都放在根目录下。这样做造成的不利影响在于: (1)文件管理
25、混乱(2)上传速度慢2按栏目内容建立子目录 3在每个主目录下都建立独立的Images目录 4目录的层次不要太深 5 目录的命名方法不要使用中文目录和中文文件名。,网站链接结构,7.5.4,网站的链接结构设计的目的是用最少的链接,使浏览最有效率。一般建立网站的链接结构有两种基本方式:(1)树状链接结构(2)层状链接结构,网站色彩设计,7.5.5,1网页内容 2网页标题 3导航菜单 4侧栏 5页脚 6网页色彩搭配的技巧 (1)暖色调 (2)冷色调 (3)对比色调,图片和文字设计,7.5.6,1图片现今Web上所展现的绝大多数图片和图像是GIF和JPEG、PNG和Flash文件格式。图像的内容应有一
26、定的实际作用,切忌虚饰浮夸,最佳的图像应集美观与信息内容于一身。图像是为页面的使用而服务的,一幅大而漂亮的图像,如果它妨碍了页面所要进行的工作,就将降低页面的整体质量。在这种情况下,使用小图像甚至不使用图像将是更好的选择。图像可以弥补文字的不足,但并不能够完全取代文字。很多用户把浏览软件设定为略去图像,以求节省时间,他们只看文字。因此,制作页面时,必须注意将图像所包含的重要信息或链接到其他页面的指示用文字重复表达一次。2网站字体下面是网页设计中有关字体的使用原则和技巧: 不要使用超过3种以上的字体。字体太多则显得杂乱,没有主题。 不要用太大或太小的文字。 避免过多使用不停闪烁的文字。,首页的设
27、计,7.5.7,设计一个主页,需要考虑的是:版面的布局、色彩的搭配、字体的设置、图形和动画、表格的嵌套、注重细节、考虑不同的浏览器和分辨率、设计广告条和位置等。主页设计是整个网站设计的难点和关键。1确定主页的功能模块主页的功能模块是指设计人员需要在主页上实现的主要内容和功能。 2设计主页的版面 3处理技术上的细节,开发环境选择,7.5.8,1操作系统的选择对Web服务器来说,选择操作系统很重要,它决定了可以运行的服务器软件,也决定了服务器的安全性和可靠程度,以及服务器的服务管理方式。 (1)Windows NTWindows NT(NT是New Technology两词第一个字母的缩写)是一个
28、网络操作系统。将个人计算机、打印机和一些其他设备通过网络通信设备互连成一个网络时,便可使用 Windows NT操作系统来为用户提供各种服务。 (2)Windows 2000 Windows 2000使用的是Windows NT 的内核,但它增加了许多原来Windows NT所没有的功能。例如,在即插即用方面,它支持USB设备,支持功率的调节和各种硬件编程接口等。在实用性、安全性、美观性和稳定性方面,都己大大超越了原来的Windows NT4.0。 (3)UNIX 操作系统UNIX是美国Bell实验室开发出来的强大的操作系统。自1970年第一版问世以来,以UNIX为基础,已发展出许多新的软件系
29、统。如微型计算机、大型计算机上的各种UNIX的变种,用于计算机网络及分布式计算机上的UNIX等。,开发环境选择,7.5.8,(4)Linux操作系统Linux操作系统的原创者是芬兰的Linus Benedict Torvalds,他遵从POSIX 标准开发出Linux操作系统的内核,并于1991年在芬兰的赫尔辛基技术大学的FTP服务器上发布。POSIX (portable operating system interface,可移植操作系统接口)是IEEE定义的一套标准,它具有与UNIX相似的可移植操作系统服务。因而Linux操作系统是UNIX体系中的一种,它与UNIX的兼容程度往往胜过不同版
30、本UNIX之间的兼容程度。 2数据库平台选择绝大部分电子商务网站都要用到数据库管理系统,因此数据库平台的选择至关重要。目前,在电子商务网站中用得最多的数据库管理系统是DB2、Oracle、Sybase、Informix和SQL server等。 3Web 服务器的确定在创建网站的过程中,选择哪种Web服务器软件是至关重要的策略性决定。目前应用服务器产品很多,但是流行的应用服务器主要包括Weblogic、Websphere、iPlanet、Apache和Microsoft IIS等。,开发环境选择,7.5.8,(1)ApacheApache可以说是世界上最流行的Web服务器软件之一,它可以运行在
31、包括Linux,Soloris,Windows NT/2000等多种操作系统平台之上。几乎所有的Linux发行版本都将安装Apache作为默认配置。Apache的主要特征是: 可以运行在所有计算机平台上,而且是免费的。 支持最新的HTTP1.1协议。 简单而强有力的基于文件的配置。 支持通用网关接口CGI。 支持HTTP认证。 集成Perl脚本编程语言。 集成的代理服务器。 具有可定制的服务器日志。 支持服务器端包含命令(551)、安全套接层(secure socket layer,SSL)协议、Fast CGI、Java Servlets等。 用户会话过程的跟踪能力。,开发环境选择,7.5.
32、8,(2)Microsoft IIS全称为Internet Information Server (Internet信息服务器),是微软公司为Windows 2000 Server设计的专业网络服务器软件,它和Windows 2000 Server一起捆绑销售。IIS加上Windows 2000 Server可以在配置较高的PC上搭建一个性能优良的Web服务器。它是当今使用最广泛的Web服务器之一。 4开发环境和工具的确定目前电子商务网站的开发主要分为静态页面开发和动态页面开发。静态页面开发主要用 HTML,开发工具有FrontPage和Dreamweaver等。动态页面开发技术主要有ASP、
33、ASP.net、JSP和PHP等,其中ASP的主要开发工具是Visual InterDev 6.0,ASP.net的主要开发工具是 Visual Studio .NET 2005等。,第8章 电子商务安全的设计,8.2 电子商务的安全的设计原则,8.1 电子商务安全概述,8.3 电子商务的安全的基本要求,8.4 信息系统安全模型,8.5 电子商务的安全策略,8.6 电子商务的安全管理,8.7 电子商务安全的防范技术,电子商务基础设施的安全,8.1.1,所谓电子商务基础设施的安全主要指保障电子商务系统的计算机设备、系统软件平台网络环境能够无故障运行、不受外部入侵和破坏。这个层次主要针对电子商务信
34、息基础设施,它与计算机、网络等系统环境的关系更为密切,与企业的商务活动的联系较少。基础设施安全主要包括如下内容: (1)计算机主机系统安全福提高计算机主机设备的无故障时间,保障主机能够 724 小时不宕机的正常运行。 (2)数据库及存储设备安全提高计算机系统数据库及数据存储的安全性能。 (3)操作系统安全通过建立用户授权访问机制、审计等措施,控制系统资源的访问权限,保障操作系统及其管理的资源能够得到保护。 (4)网络环境安全通过防止网络的非授权访问、减少网络故障等方式,提高网络系统地可靠性和可用性。,电子交易的安全,8.1.2,电子交易的安全则是指通过一系列的措施保证交易过程的真实可靠、完整、
35、不可否认和机密。它侧重于交易过程的安全。电子交易的安全是信息基础设施安全的延伸,它是在传统密码学、信息系统安全基础上,针对电子交易过程特有的要求,通过在网络、认证等方面增添相关的技术措施实现的。,电子商务的安全的设计原则,8.2,从工程技术角度出发,在设计电子商务系统时,至少应该遵守某些简单设计原则,以便设计出来的电子商务系统具有更强的抗风险能力,这些原则可以归结如下: (1)均衡性 (2)整体性 (3)一致性 (4)易操作性 (5)可扩展性 (6)可靠性 (7)层次性 (8)可评价性,电子商务的安全的基本要求,8.3,(1)有效性 (2)机密性 (3)完整性 (4)真实性和不可抵赖性的鉴别,
36、信息系统安全模型,8.4,信息系统安全模型是一个层次结构,如图8.1所示。,图8.1 信息系统层次安全模型,(1)第一层是法律制度与道德规范 (2)第二层是管理制度的建立与实施 (3)第三、四层是物理实体的安全与硬件系统保护 (4)第五至七层是网络、软件、信息安全,安全策略概述,8.5.1,安全策略是信息安全的核心,它为安全管理提供管理方向和支持手段。安全策略的主要内容包括:1、制定有效、全面的安全管理规范以减少电子商务服务中可能存在的安全威胁; 2、预防和避免可能的对计算机网络、计算机系统、数据库系统、应用系统和商务交易过程的攻击; 3、减少计算机网络、计算机系统、数据库系统、应用系统和商务
37、交易中可能存在的安全威胁; 4、加强计算机网络、计算机系统、数据库系统、应用系统和商务交易本身抗攻击和抗入侵的能力; 5、实时的监测; 6、实时的恢复; 7、减少可能的入侵影响。,识别企业信息资产,8.5.2,一般来说,企业信息资产包括:数据与文档、硬件、软件和人员等几个方面。硬件包括包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备,也包括主板、 CPU 、硬盘、显示器等散件设备;软件包括源代码、应用程序、工具、分析测试软件、操作系统等;数据包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等;人员包括用户、管理员、维护人员等;文档包括软件程序
38、、硬件设备、系统状态、本地管理过程的资料;消耗品包括纸张、软盘、磁带等。,辨识可能的风险,8.5.3,信息传输风险 其主要有以下几个方面: (1)冒名偷窥 (2)篡改数据 (3)信息丢失 (4)信息传递过程中的破坏 (5)虚假信息信用风险 (1)来自买方的信用风险。 (2)来自卖方的信用风险。 (3)买卖双方都存在抵赖的情况。管理风险 (1)交易流程管理风险(2)人员管理风险(3)交易技术管理风险法律风险,分析安全需求,8.5.4,电子商务的安全需求主要体现以下方面:1、界定内部网络边界的安全性,如果内部网与公用网络相连,特别是与 因特网 相连,则内部网的边界不安全,需要建立防火墙。 2、保证
39、网络内部的安全、不仅要保证系统的安全,更要保证数据的安全。 3、建立全网统一、有效的身份识别系统,实现用户的统一管理,并在此基础实行统一的授权管理,实现用户和资源之间的严格访问控制。 4、信息投入时需要保证数据完整性和保密性。 5、需要有较全面的审计、记录的机制,能对网络中发生的与安全有关的事件进行记录,以便事后处理。,制定安全策略,8.5.5,安全策略的制定包含很多方面,它包括物理安全策略、网络安全策略、数据安全策略、数据备份策略、病毒防护策略、系统安全策略、身份认证及授权策略、灾难恢复策略、事故处理策略、紧急响应策略、安全教育策略、口令管理策略、系统变更控制策略、商业伙伴策略、客户关系策略
40、、复查审计策略等方面的内容。,电子商务安全制度管理,8.6.1,1安全机构要实施安全计划,就需要一个组织机构来对安全进行管理,而且还需要一个安全管理员负责日常的安全事务。 2访问控制安全机构通常对访问控制,验证机制以及授权策略进行管理。访问控制决定哪些外部和内部人员可以合法地访问你的网络。 3验证机制验证机制包括使用数字签名、权威机构发放的证书以及公钥基础设施,现在电子签名已经拥有了与原始手写签名一样的法律地位。 4授权管理授权管理系统(authorization management system, AMS)规定了用户在何时何地可以访问Web网站的某个部分。它的基本功能是限制访问企业因特网基
41、础设施中的专用信息。 5安全审计制订电子商务安全计划的最后一步是执行安全审计。,电子商务安全法律,8.6.2,电子商务的安全相关法规一般涉及两个基本方面:1、电子商务交易首先是一种商品交易,其安全问题应当通过相关法律加以保护。要保证电子合同的法律效益,必须有签约双方的共同认可,其中任一方不能否认或修改合同,最终确保电子合同能得以执行。2、电子商务交易是通过计算机及网络实现的,其安全与否依赖于计算机及网络自身安全程度。,数据加密技术,8.7.1,数据加密技术就是对信息进行编码和解码的技术,数据编码过程就是把原来的可读信息(明文)译成不能直接读的代码形式(密文),数据解码过程就是把不能直接读的代码
42、形式(密文)译成原来可直接读的信息(明文)。因此,编码和解码过程互逆。它是实现数据保密性的重要措施之一,其目的是为了防止合法接收者之外的人获取信息系统的机密信息。基于密钥的算法通常分为对称加密算法和非对称加密算法。1、对称加密技术对称加密算法就是加密用的密钥和解密用的密钥是相等的。比如著名的恺撒密码,其加密原理就是所有的字母向后移动三位,那么3就是这个算法的密钥,向右循环移位就是加密的算法。那么解密的密钥也是3,解密算法就是向左循环移动3位。比较著名的对称加密算法就是DES,其分组长度位64位,实际的密钥长度为56位,还有8位的校验码。DES算法由于其密钥较短,随着计算机速度的不断提高,使其使
43、用穷举法进行破解成为可能。,数据加密技术,8.7.1,2、非对称加密技术1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。 与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用
44、的是两个不同的密钥,所以这种算法叫做非对称加密算法。,数据加密技术,8.7.1,2、非对称加密技术1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。 与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才
45、能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫做非对称加密算法。 比较典型的非对称加密算法是RSA算法,它的数学原理是大素数的分解,密钥是成对出现的,一个为公钥,一个是私钥。公钥是公开的,可以用私钥去解公钥加密过的信息,也可以用公钥去解私钥加密过的信息。牢固的RSA算法需要其密钥长度为1024位,加解密的速度比较慢是它的弱点。目前对称加密和非对称加密相关的加密算法总结起来的主要包括DES、Triple DES、 RCZ和RC4、IDEA、RSA、IDEA、Diffie一Hellman、DSA、SHA、SHA一1、MDS等。,身份鉴别技术,8.7.2,一般来说,用户身份认证可通过三种基本方式或其组合方式来实现: (1) 用户所知道的某个秘密信息,例如用户知道自己的口令。 (2) 用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须要有的智能卡。 (3) 用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描等等,这种认证方案一般造价较高,多半适用于保密程度很高的场合。1数字摘要技术 2数字签名技术 3数字时间戳技术 4数字证书和电子认证 5生物特征识别(BIOMETRICS)认证,