中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)05-11236-02
1 引言
随着计算机网络与通信技术的迅猛发展,电子商务作为一种新型的商务模式,在全球范围内正以惊人的速度向前发展。然而由于它是基于Internet开展的商务活动,大量重要的信息都需要在网上进行传递,尤其还涉及到资金的流动问题,必然要求传递信息的过程足够安全。因此如何保障交易过程和传递信息的安全性就成为影响电子商务发展的一个至关重要的问题。
2 电子商务安全的中心内容
电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外,还包含了电子商务中数据的安全隐患和交易的安全隐患。要克服这些安全隐患,就需要实现以下六个方面的安全性。
2.1 商务数据的机密性
商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性以防止被分析。
2.2 商务数据的完整性
商务数据的完整性或称正确性是保护数据不被伪授权者修改、建立、嵌入、删除、重复传送或由于其他的原因使原始数据被更改。在存储时,要防止非法篡改,防止网站上的信息被破坏。在传输过程中,如果接收方收到的信息与发送方的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。
2.3 商务对象的认证性
商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性。分辨参与者声称身份的真伪,防止伪装攻击。认证性用数字签名和身份认证技术实现。
2.4 商务服务的不可否认性
商务服务的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。这是一种法律有效性要求。交易一旦达成是不能被否认的。否则必然会损害一方的利益。信息的不可否认性主要用于保护通信用户对付来自其他合法用户的威胁。
2.5 商务服务的不可拒绝性
商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。可用性的不安全是指“延迟”的威胁或“拒绝服务”的威胁,这类威胁的结果是破坏计算机的正常的处理速度或完全拒绝处理。
2.6 访问的控制性
访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问:用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
3 电子商务安全解决方案
3.1 网络安全技术
网络安全是保证电子商务安全最基本的技术,通常采用的主要有防火墙技术、VPN技术、反病毒技术等。
3.1.1 防火墙技术
防火墙技术是一种安全访问控制技术,用来在不安全的公共网络环境下实现局部网络的安全性。它在内部网络和外部公共网络之间构造一个保护层,只有授权的合法用户才能通过防火墙对内部网络的资源进行访问,从而防止来自外部互联网的破坏。
3.1.2 VPN技术
VPN技术是利用不可靠的公共网络(通常是Internet)作为信息的传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能。它可以帮助远程用 户、公司分支机构、商业合作伙伴同公司之间建立可信的安全连接,保证数据的安全传输。
3.1.3 反病毒技术
由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术包括了预防病毒技术、检测病毒技术和消毒技术等。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术是通过对计算机病毒的特征来进行判断的技术。而消毒技术则是通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
3.2 数据加密技术
加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的机密。主要有对称加密技术和非对称加密技术两种。
3.2.1 对称加密技术
对称加密技术,即信息的发送方和接收方用一个密钥去加密和解密数据,也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前,商定一个密钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加、解密。只要通信需要保密,密钥就必须保密。它的最大优势是加、解密速度快,便于用硬件实现、适合于对大数据量进行加密等,但密钥管理困难。
3.2.2 非对称加密技术
非对称加密技术就是加密和解密所使用的不是同一个密钥,通常有两个密钥, 称为“公钥” 和“私钥”。“公钥” 和“私钥” 不能由一个推出另一个,但是“公钥”加密的信息只能由“私钥”解密,反之亦然。非对称密钥机制灵活,但加密和解密速度比对称密钥加密慢得多,所以它不适合于对文件进行加密,而只适用于对少量数据进行加密。
3.3 认证技术
目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字信封技术、数字时间戳技术和数字证书技术等。
3.3.1 数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样,在传输信息时将摘要加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件末被篡改,反之亦然。
3.3.2 数字签名
数字签名如同手写签名,在电子商务中有如下优点:(1)发送者事后不能否认自己发送的报文签名。(2)接受者能够核实发送者发送的报文签名。(3)接受者不能伪造发送者的报文签名。(4)接受者不能对发送者的报文进行篡改。(5)交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。
3.3.3 数字信封
数字信封的功能类似于普通信封。普通信封是在法律的约束下保证只有收信人才能阅读信的内容,而数字信封则采用密码技术保证只有规定的接收人才能阅读信的内容 数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息.再利用接收方的公钥加密对称密码.被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方若要解密信息,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。
3.3.4 数字时间戳
数字时间戳DTS,如同传统商务中的日期和时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS的数字签名。
3.3.5 数字证书
数字证书又称数字凭证,是由CA 发放的,利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、颁发数字证书的CA 、数字证书的序列号以及用户本人的数字签名。它是电子商务交易双方身份确定的惟一安全工具。因此,任何信用卡持有人只有申请到相应的数字证书,才能参加网上的电子商务交易。数字证书一般有4种类型:客户证书、商家证书、网关证书及CA 系统证书。
3.4 安全协议技术
除上面提到的各种安全控制技术之外,电子商务的运行需要一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。
3.4.1 SET协议
安全套接字层协议SSL是Netscape公司于1996年推出的安全协议。它位于运输层和应用层之间,由SSL记录协议和SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和HASH算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息.客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层进来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
3.4.2 SSL协议
SET协议是由VISA和Master Card两大信用卡组织制定的标准,SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系.给定交易信息传送流程标准。SET主要由三个文件组成.分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议位于应用层,可为电子商务提供以下功能:通过使用信息加密来保证机密性,实现付款数据私有化和订货信息与付款信息、传送的保密化。
3.5 电子商务安全体系
结合电子商务安全的六项具体内容及现有的电子商务安全技术,可以形成如下的电子商务安全体系结构,如图1所示。
图1 电子商务安全体系结构
上述安全体系结构中,网络安全层主要采用防火墙、VPN、反病毒技术来解决电子商务安全的不可拒绝性和访问控制性的问题;加密技术层主要采用对称加密技术和非对称加密技术解决机密性的问题;安全认证层采用数字摘要、数字签名、数字信封、数字时间戳和数字证书来解决完整性、认证性和不可否认性的问题;安全协议层采用SET和SSL协议。它们结合起来保证电子商务交易过程和数据的安全。
4 结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。目前虽然已出现了很多保护电子商务安全的控制技术,但尚未形成一个有效的、安全的、系统的电子商务安全体系。文章在介绍了现有的网络安全技术、数据加密技术、认证技术及安全协议的基础上,提出了一个合理的电子商务安全体系。不过,要从根本上解决电子商务的安全问题,还应从社会角度多方面多层次去构建电子商务的安全体系。
参考文献:
[1]张明光,魏琦.电子商务安全体系的探讨[M].计算机工程与设计,2006,26(2):394-396.
----2.日本的高效配送中心 ----物流过程是生产--流通--消费--还原(废物的再利用及生产资料的补足和再生产)。在日本,物流是非独立领域,由多种因素制约。物流(少库存多批发)与销售(多库存少批发)相互对立,必须利用统筹来获得整体成本最小的效果。物流的前提是企业的销售政策、商业管理、交易条件。销售订货时,交货条件、订货条件、库存量条件对物流的结果影响巨大。流通中的物流问题已转向研究供应、生产、销售中的物流问题方向。
----3.适应电子商务的全新物流模式--物流 ----物流(ThirdPartyLogistics,缩写为TPL,即第三方提供物流服务)的定义为:"物流渠道中的专业化物流中间人,以签订合同的方式,在一定期间内,为其他公司提供的所有或某些方面的物流业务服务。"
----从广义的角度以及物流运行的角度看,物流包括一切物流活动,以及发货人可以从专业物流商处得到的其他一些价值增值服务。提供这一服务是以发货人和物流商之间的正式合同为条件的。这一合同明确规定了服务费用、期限及相互责任等事项。
----狭义的物流专指本身没有固定资产但仍承接物流业务,借助外界力量,负责代替发货人完成整个物流过程的一种物流管理方式。
----物流公司承接了仓储、运输后,为减少费用的支出,同时又要使生产企业觉得有利可图,就必须在整体上尽可能地加以统筹规划,使物流合理化。
二、国外先进的电子商务 物流模式案例
----美国的物流配送业发展起步早,经验成熟,尤其是信息化管理程度高,对我国物流发展有很大的借鉴意义。 ----美国物流配送形式示意图(见下图):
----1.美国配送中心的类型 ----从本世纪60年代起,商品配送合理化在发达国家普遍得到重视。为了向流通领域要效益,美国企业采取了以下措施:一是将老式的仓库改为配送中心;二是引进电脑管理网络,对装卸、搬运、保管实行标准化操作,提高作业效率;三是连锁店共同组建配送中心,促进连锁店效益的增长。美国连锁店的配送中心有多种,主要有批发型、零售型和仓储型三种类型。
----(1)批发型 ----美国加州食品配送中心是全美第二大批发配送中心,建于1982年,建筑面积10万平方米,工作人员2000人左右,共有全封闭型温控运输车600多辆,1995年销售额答20亿美元。经营的商品均为食品,有43000多个品种,其中有98%的商品由该公司组织进货,另有2%的商品是该中心开发加工的商品,主要是牛奶、面包、冰激凌等新鲜食品。该中心实行会员制。各会员超市因店铺的规模大小不同、所需商品配送量的不同,而向中心交纳不同的会员费。会员店在日常交易中与其他店一样,不享受任何特殊的待遇,但可以参加配送中心的定期的利润处理。该配送中心本身不是盈利单位,可以不交营业税。所以,当配送中心获得利润时,采取分红的形式,将部分利润分给会员店。会员店分得红利的多少,将视在配送中心的送货量和交易额的多少而定,多者多分红。
----该配送中心主要靠计算机管理。业务部通过计算机获取会员店的订货信息,及时向生产厂家和储运部发出要货指示单;厂家和储运部再根据要货指示单的先后缓急安排配送的先后顺序,将分配好的货物放在待配送口等待发运。配送中心24小时运转,配送半径一般为50公里。
----该配送中心与制造商、超市协商制定商品的价格,主要依据是:(a)商品数量与质量;(b)付款时间,如在10天内付款可以享受2%的价格优惠;(c)配送中心对各大超市配送商品的加价率,根据商品的品种、档次不同以及进货量的多少而定,一般为2.9%~8.5%。
----(2)零售型 ----美国沃尔玛商品公司的配送中心是典型的零售型配送中心。该配送中心是沃尔玛公司独资建立的,专为本公司的连锁店按时提供商品,确保各店稳定经营。该中心的建筑面积为12万平方米,总投资7000万美元,有职工1200多人;配送设备包括200辆车头、400节车厢、13条配送传送带,配送场内设有170个接货口。中心24小时运转,每天为分布在纽约州、宾夕法尼亚州等6个州的沃尔玛公司的100家连锁店配送商品。
----该中心设在100家连锁店的中央位置,商圈为320公里,服务对象店的平均规模为1.2万平方米。中心经营商品达4万种,主要是食品和日用品,通常库存为4000万美元,旺季为7000万美元,年周转库存24次。在库存商品中,畅销商品和滞销商品各占50%,库存商品期限超过180天为滞销商品,各连锁店的库存量为销售量的10%左右。1995年,该中心的销售额为20亿美元。
----在沃尔玛各连锁店销售的商品,根据各地区收入和消费水平的不同,其价格也有所不同。总公司对价格差价规定了上下限,原则上不能高于所在地区同行业同类商品的价格。
----(3)仓储型 ----美国福来明公司的食品配送中心是典型的仓储式配送中心。它的主要任务是接受美国独立杂货商联盟加州总部的委托业务,为该联盟在该地区的350家加盟店负责商品配送。该配送中心建筑面积为7万平方米,其中有冷库、冷藏库4万平方米,杂货库3万平方米,经营8.9万个品种,其中有1200个品种是美国独立杂货商联盟开发的,必须集中配送。在服务对象店经营的商品中,有70%左右的商品由该中心集中配送,一般鲜活商品和怕碰撞的商品,如牛奶、面包、炸土豆片、瓶装饮料和啤酒等,从当地厂家直接进货到店,蔬菜等商品从当地的批发市场直接进货。
----2.美国配送中心的运作流程 ----美国配送中心的库内布局及管理井井有条,使繁忙的业务互不影响,其主要经验是:
----(1)库内货架间设有27条通道,19个进货口;
----(2)以托盘为主,4组集装箱为一货架;
----(3)商品的堆放分为储存的商品和配送的商品,一般根据商品的生产日期、进货日期和保质期,采取先进库的商品先出库的原则,在存货架的上层是后进的储存商品,在货架下层的储存商品是待出库的配送商品;
----(4)品种配货是数量多的整箱货,所以用叉车配货;店配货是细分货,小到几双一包的袜子,所以利用传送带配货;
----(5)轻量、体积大的商品(如卫生纸等),用叉车配货,重量大、体积小的商品用传送带配货
----(6)特殊商品存放区,如少量高价值的药品、滋补品等,为防止丢失,用铁丝网圈起,标明无关人员不得入内。 三、我国物流业发展现状 及物流解决方案
----我国现有的物流企业大致可以分为以下几类:
----1.中央直属的专业性物流企业,即专营生产资料的物资储运总公司和外运总公司。仓储主要针对系统内部,因此商流与物流分离,受行政控制。
----2.地方专业性物流企业,即地方商业系统的储运公司及粮食仓储系统,完全受当地行政领导。
----3.兼营性物流企业,即集物流与商流为一体的物流企业,比重大,且数量正在不断增多。
----长期以来,由于受计划经济的影响,我国物流社会化程度低,物流管理体制混乱,机构多元化,原物资部、原商业部、对外经贸部交通部以及中央各部(煤炭部、林业部等等)、城乡建设环境保护部均有各自的物流系统。这种分散的多元化物流格局,导致社会化大生产、专业化流通的集约化经营优势难以发挥,规模经营、规模效益难以实现,设施利用率低,布局不合理,重复建设,资金浪费严重。由于利益冲突及信息不通畅等原因,造成余缺物资不能及时调配,大量物资滞留在流通领域,造成资金沉淀,发生大量库存费用。另外,我国物流企业与物流组织的总体水平低,设备陈旧,损失率大、效率低,运输能力严重不足,形成了"瓶颈",制约了物流的发展。
----针对我国经济发展及物流业改革现状,借鉴发达国家走过的道路和经验,我国从1992年开始了物流配送中心的试点工作,原国内贸易部印发了《关于商品物流(配送)中心发展建设的意见》。《意见》提出:大中型储运企业要发挥设施和服务优势,改造、完善设施,增加服务项目,完善服务功能,向社会化的现代物流中心转变;小型储运企业和有一定储运设施规模的批发企业向配送中心转变。 ----近年来,随着连锁商业的发展,配送中心的建设受到重视,特别是连锁企业自建配送中心的积极性很高。据有关资料显示,目前全国有700多家连锁公司,较大型的连锁公司已在建设自己的配送中心,一些小型的连锁企业店铺数量少、规模不大,也在筹建配送中心,以期实现100%的商品由自己配送中心配送。而一个功能完善的社会化的配送中心的投资相当巨大,配送量过小,必然造成负债过多,回收期长,反过来又影响连锁企业的发展;同时,社会上又有相当数量的仓库设施在闲置,形成了投资上的重复、浪费。
----为了使物流配送中心的建设不走或少走弯路,引导配送中心发展建设,原国内贸易部于1996年发出了《关于加强商业物流配送中心发展建设工作的通知》,指出了发展建设物流配送中心的重要意义,提出发展建设的指导思想和原则等。同时,原国内贸易部还印发了《商业储运企业进一步深化改革与发展的意见》,提出了"转换机制,集约经营,完善功能,发展物流,增强实力"的改革与发展方针,确定以向现代化物流配送中心转变、建设社会化的物流配送中心、发展现代物流网络为主要发展方向。进入90年代以来,随着社会主义市场经济的确立,出现了物流配送。原商业部在1992年曾发文部署全国物流配送中心建设试点,标志着中国的物流配送中心建设正式起步。由于种种原因,力度不够,没有深入发展下去。这些固然与当时体制和认识有关,更重要的原因是当时市场经济正处于启动阶段,因而制约了物流配送的发展建设。
----近年来,随着市场经济的快速增长,特别是连锁商业的发展,各种形式的配送中心如雨后春笋般发展起来。据不完全统计,目前全国共有各种类型的物流配送中心1000多家。其中上海和广东数量最多,发展也最为成熟。此外,日本、美国、英国等国家在我国北京、上海、南京等地建有自己的物流配送中心。国外还有一些企业机构正在研讨中国的物流配送业,把今后几年内打入中国作为发展战略
----根据所掌握的资料,我们对目前国内外的各种物流配送中心的情况进行了分析,结论是:它们大都跨越了简单送货上门的阶段,基本上属于真正意义上的物流配送,但在层次上仍是传统意义上的物流配送,即处于物流配送初级阶段,尚不具备或基本不具备信息化、现代化、社会化的新型物流配送的特征,因此在经营中存在着传统物流配送无法克服的种种弊端和问题。
可喜的是,国家有关部门已认识到这些问题,正从宏观调空上努力引导我国物流配送业朝着信息化、现代化、社会化的新型物流配送方向发展,一些有识的政府官员、企业界、理论界人士也在共同进行着这方面的探讨,并已开始实践。
Commerce One开发的基于全球最大电子商务市场的完善的电子采购解决方案,已经成为全球电子商务发展的通用模式。Commerce One的电子采购系统包括BuySitet和MarketSite。
BuySite
目前版本为6.0的BuySite是当前市场上可以满足机构复杂的大型企业及相关组织全球化采购战略需要的解决方案。
BuySite采用了易于使用的图形化用户界面,通过与公司运营下的B to B交易市场全球贸易网站(the Global Trading Web)的连接,为企业提供了一种功能全面的集中式电子采购解决方案,以实现基于不同规模供应商的自动采购。该方案易于部署,并具备良好的伸缩性能,可以切合不同类型商务用户的需要。BuySite还提供了针对企业运作架构的镜像配置,无论多么复杂的采购流程,用户均可以按照实际业务实践完成相关的操作。另外,该解决方案还提供了多种语言和多国货币支持,并带有适应不同国家和地区的时间、数字及地址格式和不同税收政策支持选项,所有这一切均可在安装时一次选定完成。借助Commerce One的GlobalLink系统,BuySite解决方案还集成了业内最完整的供应商内容及采购模式服务。
MarketSite
Commerce One的MarketSite是主要针对在线B to B交易市场的解决方案。根据不同的用户及服务需求,该方案提供了3类不同的部署模式。
一是作为Commerce One运营的MarketSite全球贸易门户网站的一种服务加以提供。Commerce One MarketSite Global Trading Portal是产品及服务的交易门户,买卖双方通过访问Commerce One的全球贸易网站(marketsite.com/)的方式参与电子商务交易及相关的增值服务,从而达成简化交易流程、节省交易时间及削减交易开支的目的。
二是与MarketSite的商务门户一起作为一种技术解决方案提供。Commerce One的MarketSite门户解决方案(Commerce One MarketSite Portal Solution)允许在线交易市场的营建者创建一个可与Commerce One全球交易网站连接的开放性市场,该解决方案中包含了建立及部署开放性B to B交易门户架构必需的产品、组件及服务,为交易用户提供了具备完善内容及服务管理的集成解决方案。
三是直接作为在线市场整体解决方案加以部署,以满足期望构建自己的在线交易市场的商务用户的需要。Commerce One为网络市场营建者提供的门户解决方案(Commerce One MarketSite Portal Solution for Net Market Makers)是为行业领先厂商提供的能够快捷部署电子化市场的B to B解决方案。该解决方案不但可以最大限度地减少用户基础架构投资,而且能够有效利用Commerce One的交易平台服务,为网络市场营建者提供了一个在向客户及贸易伙伴提供新型服务的同时获取新的业务收入的机会。
Oracle: 供应链管理系统
在应用产品方面,Oracle提供包括客户关系管理系统(CRM)、企业资源规划管理系统(ERP)、供应链管理系统(SCM)、战略性企业管理系统(SEM)和Portal-To-Go在内的全面集成的电子商务解决方案。
效率的提高需要企业实现及时的沟通与流畅的运作方式。供应链管理系统(SCM)为整个企业提供一个统一的集成的环境,使企业能够准确掌握企业的需求、供货、存货及供应商的资源状况,通过基于网络的供应链简化供货进程,最大限度地降低采购成本。
Oracle的供应链管理模块包括集成的多种灵活的计划和流畅的供求管理能力。各销售渠道通过分销站发送的销售定单最终通过多种供给方案依次得到满足。系统还能通过完全的EDI事物处理支持进一步地使企业内部和外部供给功能自动化。
供应链计划 Oracle的SupplyChainPlan(供应链计划)利用分销清单和来源准则,同步地计划企业整个供给网络,而后自动地投入生产、提供补给和采购订单。
供给管理 额外的通信负担是大多数供给管理系统典型的缺点。OracleManufacturing在企业内部和外部都提供了流畅的操作手段。Oracle的采购管理使买主能够检索供货商目录,传送预测信息和采购订单,提前得到电子化的货运通知。供货商也可以查询预测信息、合同、发票和付款。
物料管理 供应链的可靠性依赖于操作上的灵活性和库存的准确性。OracleInventory(库存)让企业按自己的需要定义仓库结构而不必顾虑地域。企业可以灵活地按批次、系列号和版本号来控制物品。OracleInventory通过ABC分析和严格的周期性盘点,使库存保持准确无误。
销售定单管理 OracleOrderEntr使每个销售渠道都可以建立自己的服务策略,以便尽可能快地处理定单。在销售点,可以查看是否有存货,是否可以调拨或从其它地方获得发货承诺,为保障准确和及时的发货,OracleProductConfigratorTM(产品配置器)能够确保这些复杂的配置在订单确认之前就是可行的和正确的。
售后客户服务 OracleService为企业提供售后服务管理,可以管理安装服务合同、记录服务请求、接受退货及进行维修。
质量管理 OracleQuality可以跟踪和分析整个企业的产品质量,处理来自客户的反馈。
Ariba:B to B商务平台
在当前业务竞争进一步加剧的市场环境下,选择高效实用的电子商务解决方案对企业至关重要。Ariba的B to B商务平台(Ariba B to B Commerce Platform)为企业用户更好地进入在线B to B交易市场提供了一种无需面对复杂技术细节的选择。借助于针对不同需求的可定制解决方案,Ariba的B to B商务平台能够使企业准确迅速地把握各种商业机遇,为全球范围内的众多采购方、供应商、市场经营者及商务服务供应商提供了理想的解决方案。
Ariba的B to B商务解决方案包括Ariba Buyer、Ariba Marketplace、Ariba Dynamic Trade及Ariba Commerce Services Network等多种适应不同用户群体及满足不同市场需求的产品。
Ariba Buyer Ariba Buyer是面向全球化企业采购市场的解决方案。用户能够通过单一的Ariba Buyer平台实现产品与服务采购、运输和产品战略开销分析等。该系统以一种全新模式重新诠释了企业采购的概念,可以有效削减开支,消除低效环节,提高各交易流程的效率。
在电子商务的运作过程中涉及到企业或个人的消费者、网上的商业机构、CA认证中心、物流配送体系和银行。它们通过Internet网络连接在一起。
电子商务中的安全
Internet是一个开放的公网,基于Internet的电子商务给商家、企业和个人带来了新的机会,同时也给别有用心者留下了广阔的“施展”空间。在新型的交易环境下,安全是一切交易行为的基础,所谓安全,是指安全策略、安全标准、安全制度及安全流程的结合。
我们认为“安全=管理+技术”,安全是一整套体系,单点的安全防范技术都不能很好的解决问题。有效管理和采用完善的技术手段相结合组成了安全的体系,该体系安全程度的高低取决于体系中最薄弱的环节。我们常用的安全防范技术有防火墙技术、CA认证技术、数据加密技术和帐号口令技术。
1.防火墙技术
对于外部恶意攻击,针对“黑客”入侵,采用防火墙(Fire Wall)技术来防护。要使防火墙技术有效,所有接收和发送到Internet的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许被授权的通讯业务通过,并且防火墙本身也必须能够免渗透,即系统自身对入侵是免疫的。
(1)数据包过滤技术
路由器是网络内外通讯的必须端口,因此,我们连接时采用包过滤路由器。它是一个检查通过它的数据包的路由器,限定外部用户的数据包。其原理是监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。其实现方式是运用IP地址和端口号来进行限定处理。
(2)应用网关技术
建立在网络应用层上的协议过滤、转发功能,它特定的网关应用服务协议指定数据过滤逻辑,并可根据按应用服务协议指定数据过滤逻辑进行过滤的同时,对数据包分析的结果及采用的措施做登录和统计形成报告。
(3)服务技术
服务器是设置在Internet防火墙网关的专用应用级编码。这种服务器由网络管理员决定允许或拒绝某一特定的应用程序或特定功能。服务器像一个内部网络与外界之间的边界检查点。两边应用可以通过服务器相互通信,服务器检查并确认这一通信是否授权通过。
2.CA(Certificate Authority)认证技术
为了保证秘密的信息不能被人非法获得,同时保证信息传输过程不能被篡改,交易的不可否认性、身份识别、网站不受非法攻击,通常还要采用CA认证和信息加密技术。常用的包括SET协议和PKI认证体系。
(1)SET:安全电子交易(Secure Electronic Transaction)
SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
(2)PKI:公共密钥基础结构(Pubic Key Infrastructure)
PKI(Pubic Key Infrastructure)是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证:数据加密,数字签名、不可否认、身份鉴别、密钥管理以及交叉认证等。PKI可通过一个基于认证的框架处理所有的数据加密和数据签名工作。PKI必须具有认证机构(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成份。
(3)SSL:安全套接层(Secure Socket Layer)
SSL协议是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。SET协议比SSL协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。
三、电子商务业务模型及解决方案
1.商业机构对消费者的电子商务(B2C)
商业机构对消费者(Business-to-Customer)的电子商务,指的是企业与消费者之间进行的电子商务活动。这类电子商务主要是借助于国际互联网所开展的在线式销售活动。最近几年随着国际互联网络的发展,这类电子商务的发展异军突起。例如,在国际互联网上目前已出现许多大型超级市场,所出售的产品一应俱全,从食品、饮料到电脑、汽车等,几乎包括了所有的消费品。
开展商业机构对消费者的电子商务,障碍最少,应用潜力巨大。就目前发展看,这类电子商务仍将持续发展,是推动其他类型电子商务活动的主要动力之一。
商业机构对消费者(B2C)电子商务解决方案的基本组成部分为: (1)动态的HTML页面; (2)储存会员(客户)的信息,用其来进行会员认证及提供其他管理工具;
(3)实现“购物篮”功能; (4)服务器和管理的安全性; (5)客户信息安全管理; (6)管理和处理定单,应用商务规则来与客户完成交易; (7)进行其它产品和服务的宣传,并对该过程加以控制; (8)支持直销功能; (9)提供Cross-Selling销售和Up-Selling的机制和规则;
(10)方便储存数据(分类、定单、库存、日志等等)并且能够实现动态的访问;
(11)商品、交易以及商务系统的管理;
(12)价格促销的工具;
(13)分析流量和购买数据,获得商务智能和建立客户行为模型。
2.商业机构之间的电子商务(B2B)
商业机构对商业机构(Business-to-Business)的电子商务指的是企业与企业之间进行的电子商务活动。例如,工商企业利用计算机网络向它的供应商进行采购,或利用计算机网络进行付款等。这一类电子商务已经存在多年。特别是企业通过私营或增值计算机网络(Value-Added Network,VAN)采用EDI(电子数据交换)方式所进行的商务活动。
商业机构对商业机构的电子商务从未来的发展看仍将是电子商务的主流。商业机构之间的交易和商业机构之间的商业合作是商业活动的主要方面,企业目前面临的激烈竞争,也需要电子商务来改善竞争条件,建立竞争优势。企业在寻求自身发展的同时,不得不逐渐改善电子商务的运用环境。
供应链集成,也叫作价值链集成,利用了Internet的低成本来实现供应商,生产商和发行商之间的更紧密的结合。许多关于建立网站,处理定单和接入原系统的基本要求和操作都可以包括在直销和销售方案中,而在供应链方案中产生了一些新的要求,如确认过的登入,为关键用户生成用户类,根据用户协议采取定价和支付的形式。
商业机构之间的电子商务解决方案的核心平台非常相似于商业机构对消费者解决方案。在商业机构之间的电子商务解决方案中,商家在向商家销售,而不是向个人销售。
商业机构之间的电子商务解决方案的基本组成部分为:
(1)动态的HTML页面;
(2)储存一个会员(客户)的信息,用来进行会员认证以及提供管理工具;
(3)实现”购物篮”功能;
(4)服务器和管理的安全性;
(5)客户信息安全;
(6)管理和处理定单;
(7)进行其它产品和服务的宣传,并对该过程加以控制;
(8)支持直销功能;
(9)提供Cross-Selling销售和Up-Selling的机制和规则;
(10)方便储存数据(分类、定单、库存、日志等等)并且能够实现动态的访问;
(11)商品、交易以及商务系统的管理;
(12)价格促销的工具。
3.企业采购 商家希望利用Intranet和Internet的杠杆作用使现有的业务进行的更加有效。这种商业模型的核心就是商务解决方案,它使得购买低成本的大量商品的过程更加容易,并且保证了一项业务的维持,修复和操作(MRO)。
企业采购解决方案的基本组成部分
(1)企业采购解决方案设计成一个商业组织的成本结构,而供应链集成解决方案是在向着商品的直接贸易和生产方向努力;
(2)企业采购解决方案一般来说设计成一个基于Intranet的解决方案,而供应链集成解决方案可以包含基于Intranet的组件,但是大部分应用程序或者是基于Internet的或者是基于Extranet的;
(3)申请人能够在浏览器上被标准化;
(4)诸如象ActiveX控件和DHTML的技术能够被用来实现图形化和功能化的传输丰富的Web应用程序;
(5)集成采购到公司现有的安全和邮件的基本结构中,这样有助于消除额外的管理费用和加速Routing/Basic工作流;
(6)各种规模的公司无论大小和地点如何,都能交流购买定单信息,进行交易支付和传送产品;
(7)购买定单的输出形式可以多样化,这样参与的商家就可以选择一种与他们现有系统可以协同工作的共同形式;
(8)企业采购应用程序可以在一个站点内支持多个供货商;
(9)对企业的供货商的结构进行合理化,来获得更大的折扣率。
4.技术方案
根据用户的不同需要可以选择不同的主机平台和开发技术。
Co妹妹erce One开发的基于全世界最大电子商务市场的完美的电子采购解决方案,已经经成为全世界电子商务发展的通用模式。Co妹妹erce One的电子采购系统包含BuySitet以及MarketSite。
BuySite
目前版本为六.0的BuySite是当前市场上可以知足机构繁杂的大型企业及相干组织全世界化采购战略需要的解决方案。
BuySite采取了易于使用的图形化用户界面,通过与公司运营下的B to B交易市场全世界贸易网站(the Global Trading Web)的连接,为企业提供了1种功能全面的集中式电子采购解决方案,以实现基于不同范围供应商的自动采购。该方案易于部署,并具备优良的伸缩机能,可以切合不同类型商务用户的需要。BuySite还提供了针对于企业运作架构的镜像配置,不管多么繁杂的采购流程,用户都可以依照实际业务实践完成相干的操作。此外,该解决方案还提供了多种语言以及多国货泉支撑,并带有适应不同国家以及地区的时间、数字及地址格式以及不同税收政策支撑选项,所有这1切都可在安装时1次选定完成。借助Co妹妹erce One的GlobalLink系统,BuySite解决方案还集成为了业内最完全的供应商内容及采购模式服务。
MarketSite
Co妹妹erce One的MarketSite是主要针对于在线B to B交易市场的解决方案。依据不同的用户及服务需求,该方案提供了3类不同的部署模式。
1是作为Co妹妹erce One运营的MarketSite全世界贸易门户网站的1种服务加以提供。Co妹妹erce One MarketSite Global Trading Portal是产品及服务的交易门户,买卖双方通过走访Co妹妹erce One的全世界贸易网站(/)的方式介入电子商务交易及相干的增值服务,从而达成简化交易流程、节省交易时间及削减交易开支的目的。
2是与MarketSite的商务门户1起作为1种技术解决方案提供。Co妹妹erce One的MarketSite门户解决方案(Co妹妹erce One MarketSite Portal Solution)允许在线交易市场的营造者创立1个可与Co妹妹erce One全世界交易网站连接的开放性市场,该解决方案中包括了树立及部署开放性B to B交易门户架构必须的产品、组件及服务,为交易用户提供了具备完美内容及服务管理的集成解决方案。
3是直接作为在线市场总体解决方案加以部署,以知足指望构建自己的在线交易市场的商务用户的需要。Co妹妹erce One为网络市场营造者提供的门户解决方案(Co妹妹erce One MarketSite Portal Solution for Net Market Makers)是为行业领先厂商提供的能够快捷部署电子化市场的B to B解决方案。该解决方案不仅可以最大限度地减少用户基础架构投资,而且能够有效应用Co妹妹erce One的交易平台服务,为网络市场营造者提供了1个在向客户及贸易火伴提供新型服务的同时获取新的业务收入的机会。
Oracle: 供应链管理系统
在利用产品方面,Oracle提供包含客户瓜葛管理系统(CRM)、企业资源计划管理系统(ERP)、供应链管理系统(SCM)、战略性企业管理系统(SEM)以及Portal-To-Go在内的全面集成的电子商务解决方案。
效力的提高需要企业实现及时的沟通与流畅的运作方式。供应链管理系统(SCM)为整个企业提供1个统1的集成的环境,使企业能够准确掌握企业的需求、供货、存货及供应商的资源状态,通过基于网络的供应链简化供货过程,最大限度地降低采购本钱。
Oracle的供应链管理模块包含集成的多种灵便的规划以及流畅的供求管理能力。各销售渠道通过分销站发送的销售订单终究通过量种供给方案顺次患上到知足。系统还能通过完整的EDI事物处理支撑进1步地使企业内部以及外部供给功能自动化。
供应链规划 Oracle的SupplyChainPlan(供应链规划)应用分销清单以及来源准则,同步地规划企业整个供给网络,而后自动地投入出产、提供补给以及采购定单。
供给管理 额外的通讯负担是大多数供给管理系统典型的缺陷。OracleManufacturing在企业内部以及外部都提供了流畅的操作手腕。Oracle的采购管理使买主能够检索供货商目录,传送预测信息以及采购定单,提早患上到电子化的货运通知。供货商也能够查询预测信息、合同、发票以及付款。
物料管理 供应链的可靠性依赖于操作上的灵便性以及库存的准确性。OracleInventory(库存)让企业按自己的需要定义仓库结构而没必要顾虑地域。企业可以灵便地按批次、系列号以及版本号来节制物品。
OracleInventory通过ABC分析以及严格的周期性清点,使库存维持准确无误。
销售订单管理 OracleOrderEntr使每一个销售渠道均可以树立自己的服务策略,以便尽量快地处理订单。在销售点,可以查看是不是有存货,是不是可以挑唆或者从其它处所取得发货许诺,为保障准确以及及时的发货,OracleProductConfigratorTM(产品配置器)能够确保这些繁杂的配置在定单确认以前就是可行的以及正确的。
售后客户服务 OracleService为企业提供售后服务管理,可以管理安装服务合同、记录服务要求、接受退货及进行维修。
质量管理 OracleQuality可以跟踪以及分析整个企业的产品质量,处理来自客户的反馈。
Ariba:B to B商务平台
在当前业务竞争进1步加重的市场环境下,选择高效实用的电子商务解决方案对于企业相当首要。Ariba的B to B商务平台(Ariba B to B Co妹妹erce Platform)为企业用户更好地进入在线B to B交易市场提供了1种无需面对于繁杂技术细节的选择。借助于针对于不同需求的可定制解决方案,Ariba的B to B商务平台能够使企业准确迅速地掌控各种商业机遇,为全世界规模内的众多采购方、供应商、市场经营者及商务服务供应商提供了理想的解决方案。
Ariba的B to B商务解决方案包含Ariba Buyer、Ariba Marketplace、Ariba Dynamic Trade及Ariba Co妹妹erce Services Network等多种适应不同用户群体及知足不同市场需求的产品。
Ariba Buyer Ariba Buyer是面向全世界化企业采购市场的解决方案。用户能够通过单1的Ariba Buyer平台实现产品与服务采购、运输以及产品战略开消分析等。该系统以1种全新模式从新诠释了企业采购的概念,可以有效削减开支,解除低效环节,提高各交易流程的效力。
移动商务就是在交易活动中用手机、掌上电脑、笔记本电脑作为支付手段,通过短信、WAP、IVR等方式,使用移动话费或使用信用卡做为支付资金,完成购物、缴费、银行转账等商务活动。经过手机、网上购买游戏卡、移动梦网和手机支付水电费燃气费等商务活动,移动商务逐渐走进了普通百姓的生活。由于手机用户可以随时随地进行购物和支付,不再受时间和地域限制,被认为将成为今后消费方式的一大主流。
目前我国银行系统的发卡量累计已超过7.6亿,移动电话用户数量已接近4亿,而且大部分移动手机用户拥有一张或多张银行卡。根据CCNIC2006年调查报告,我国上网用户总数为1.23亿人,其中使用手机上网的网民大概有1500万。而且,中国网民70%集中在收入1500元以下、年龄30岁以下的人群中,而手机用户中基本包含了消费群体中高端用户,如早期使用一万多元大哥大的手机用户;另一个原因,无线网络覆盖面广,从城市到乡村,都可以使用手机。因此,不论用户数量还是用户资金实力,移动电子商务都远远高于传统电子商务。如此巨大的手机消费群体和银行卡持有者数量,对于移动商务来说无疑是一个巨大的“金矿”。
但是,在移动电子商务发展过程中,由于中国网络环境的特殊,移动电子商务除了存在传统电子商务未能解决的障碍,如支付、配送、费用高等问题外,安全性问题尤其显得突出,成为制约移动电子商务的瓶颈问题。
一、移动商务安全性支付问题
首先,手机加密能力低。由于手机的运算能力低内存小,加上带宽小容易掉失数据,所以无法运行太复杂加密算法,造成数据保密低,也无法传递大量数据。
其次,手机信息在空中极容易被被拦截。网上经常有人叫卖”监听王(GSM/CDMA多信道移动电话拦截系统)装置”,喧称:”监听地点没有限制,能在任何地点,包括车载移动手机空中拦截;监听数量多,可以同时监听20个手机号码;监听范围广,可以显示手机的短信息内容和来电号码;并且可以将监听到的信息录音并存于硬盘,以做证据之用。”这种宣传有水分,但明白不误地告诉我们,手机信息可被拦截;我们使用手机支付的信用卡数据同样也可被拦截。
再加上不法分子千方百计企图偷盗消费者的账号密码。例如冒充银行发诈骗短信。“您好!你的信用卡于×××商城刷卡消费2000元,此笔消费将从您账上扣除。如有疑问请拨3888×××银联联合管理局。”不法分子用此类短信告知用户无中生有的消费,要求用户确认。用户情急之中查询,结果把自己的账号密码泄露,造成信用卡里的钱被不法分子盗取。
因此,当移动商务流行时,不法分子极有可能使用移动电话拦截器,监听移动手机使用信用卡支付信息,想方设法加以破解。
二、移动电子商务安全支付方案
解决移动电子商务安全支付问题,我们可以采用国际上比较成熟的解决方案,如爱立信公司的移动电子商务解决方案(Mobile E-Pay)、HP为企业提供的全系开移动E-Services解决方案等;同时,我们更鼓励自主推出一些安全支付的解决方案。下面,提出一种以移动安全中心为核心的一套移动电子商务解决方案:
1.初始化
顾客、商家、移动支付中心分别到权威认证机构申请证书,生成数字证书和公钥私钥。
顾客在商家电子商务网站注册账号,并确定支付方式为手机话费,以及支付手机号;商家通过短信,确认手机主人身份。
顾客在移动支付中心以实名手机信息注册,并与移动支付中心交换证书和公钥。实名手机信息内容有:手机号码、姓名、身份证号码、固定电话号码、住址、邮政编码。其次,在银联系统进行手机与信用卡帐号绑定,一旦手机话费余额不足时,可快速充值。
商家也在移动支付中心注册账号,并与中心交换证书和公钥。
顾客和商家拿移动支付中心证书、移动支付中心拿顾客和商家的证书到权威注册机构验证,确保正确无误。
2.手机交易安全支付流程
(1)顾客使用手机浏览商务网站选择商品,将商品信息、用户编号、交货地址、使用移动话费支付方式等购买信息发给商家。商品信息包含内容:商品名称、规格、数量、价格、购买时间。
(2)商家收到购买信息后,产生订单合同,并同时产生惟一的交易合同号。然后商家将订单合同信息、交易合同号发给顾客,订单合同信息包含内容:商品名称、规格、数量、价格、运送方式(平邮或快邮)、总金额、交货地址。
(3)商家将订单合同信息、交易合同号、顾客手机号码,以及订货合同数字签名,使用DES对称加密形成请求支付信息,再把DES密码使用移动支付中心公钥加密,然后一起发送到移动支付中心。
(4)移动支付中心:
首先,使用私钥解出DES密码,使用DES解密算法解出订货合同。
其次,将订货合同、顾客现有话费(如果话费不足,加上提示),使用DES加密,再把DES密码使用顾客公钥加密,形成请求确认合同信息。把请求确认合同信息发到顾客手机上。
然后把交易合同写入移动支付中心的记录交易的网站中,以便顾客商家查询和检查交易进展。
如果没有收到顾客确认合同信息,则拒绝交易,购买过程到此终止。
(5)顾客首先对请求确认合同信息解密,确认订货合同无误。
如果顾客看到话费不够,顾客把银行信用卡号、密码、转账命令以及个人证书使用私钥签名,再用银行公钥加密,发送转账短信到银行。银行根据转账短信,把钱转到移动支付中心的顾客账号中。
其次,对合同进行确认。把确认合同信息以及订货合同号使用顾客私钥加密,通过手机发送到移动支付中心。
(6)移动支付中心使用顾客公钥解密确认合同信息,从顾客账号中预扣货款;使用移动支付中心私钥加密请求发货通知,并把发货通知发给商家。
(7)商家根据通知发货,使用短信通知顾客收货,同时把订单合同号,货已发等信息加密后发送到移动支付中心。
(8)顾客收到货后进行验收,验收通过,把订货合同号、交易成功短信使用顾客私钥加密,使用手机向移动支付中心发送交易成功短信。
如果验收不合格,将货寄回商家,同时向移动支付中心发送交易不成功短信,并同时向商家和移动支付中心阐明交易不成功理由。如果顾客在规定时间内没有向移动支付中心发出交易成功或交易不成功信息,则移动支付中心自动按交易成功处理。
(9)移动支付中心收到交易成功短信后,将货款汇到商家账户。
(10)商家被退货到手后,向移动支付中心发出同意退款短信。移动支付中心将预扣款退回顾客账户里。
(11)商家和顾客在交易完后均须在移动支付中心记录交易网站对对方作出评价,累积诚信积分。
移动支付中心根据顾客支付额度给予积分,从积分上给予顾客优惠话费,以降低交易成本。
至此完成交易过程。
三、移动电子商务安全支付方案可行性分析:
1.方案优点
(1)移动支付中心为纽带的安全性高。在整个支付过程中,移动支付中心的支付管理系统是一个核心纽带,它完成对顾客商家身份确认、监督商家发货、代扣顾客货款等业务。
当顾客发出确认合同和交易成功信息时,顾客的短信只传到移动支付中心,而不是商家系统。移动支付中心只能知道顾客账户的话费可用金额,用于判断顾客是否有足够的余额进行购买。
顾客的开户行账号详细信息只由金融机构进行管理。当移动话费不足时,顾客发送转账指令到银行。根据顾客指令,由银行进行银行账户转账、支付和清算。移动支付中心不能处理顾客的银行账户,商家更不可以进行顾客的银行账户处理。这样,避免了顾客信用卡账号被欺骗的可能性。同时,由于顾客的个人重要资料不是存放在商家系统中,也保护了顾客的隐私。
另外,交易过程中,移动支付中心首先暂替商家扣下货款,保障了商家的权益;所暂扣话费没有直接交给商家,而是等顾客验收完货物后,才转给商家,同样也保障了顾客权益。
(2)重要数据的机密性。为防止重要数据被非法用户所截获,使用了加密的手段实现保密,从而确保在传递过程中,只有顾客、商家、移动支付中心知道交易的内容。使用加密技术,手机在传送顾客证书,传送顾客的银行账号和口令,以及传送各种个人的机密敏感信息,不会被轻易破译或盗用。
(3)完整性。使用加密技术和以移动支付中心为纽带,可以防止其他方或非法入侵者对交易的内容进行修改,同时保障交易双方权益。
(4)身份可确认性。通过数字证书验证,确保交易双方身份认证,防止欺诈行为的产生。顾客的身份还可以通过手机卡号确认。手机卡可以做到惟一和专属又不受时空限制,除移动通信服务商之外的其他机构或个人无法复制有效的同号手机卡。退一步讲,即便同号手机卡被人复制,通过移动网络控制中心也是很容易被发现的。何况还有账号和密码的保护。因此,该方案是安全可靠的。
2.方案缺点
(1)步骤复杂。由于方案中采用商家发订单合同到移动支付中心,移动支付中心把订单合同再转发给顾客手机,然后经过顾客使用手机确认订单合同后,移动中心才能告诉商家:货款己扣。还需要双方对购物对方评价,这对想马上支付的交易来说:步骤多,过程复杂。
(2)传递数据比较多。本来手机速度慢带宽小,容易丢失数据,现在需要对传递指令和证书进行加密,并把它们传送到移动支付中心,对手机的处理能力是一个考验。
四、结论
引 言
电子商务逐渐成为21世纪经济生活的新领域,它可以大幅度地降低交易成本,增加贸易机会,简化贸易流程,改善物流系统,提高贸易效率,推动企业和国民经济结构的改革。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易过程中与传统交易方式一样地安全、可靠。从安全和信任的角度来看,传统交易方式的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,建立交易双方的安全和信任关系相当困难。如何解决电子商务中的信用及网络传输中的安全问题,如何判别网上交易对方的真实身份,如何固化并保存网上的交易内容并使之成为有效的法律证据,如何履行网络合同中最敏感的资金支付等一系列问题已构成了电子商务发展的障碍,建立完善的电子认证体系已成为电子商务发展的关键。
为解决Internet的信息安全,世界各国对其进行了多年的研究,初步形成了一套完整的解决方案,即目前被广泛采用的PKI(Public Key Infrastructure)技术,PKI技术采用证书管理公钥,通过第三方的可信任机构即认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息如名称、身份证号等捆绑在一起,在Internet网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息在网络上的安全传输。
完整的PKI应包括认证政策的制定、遵循的认证规则技术标准、运作制度的制定、所涉及的各方法律关系以及技术的实现。笔者就网络电子认证体系采用网络公证从法律制度与安全技术相结合的角度做了探索性研究,并尝试对网络公证以解决网络中的信用安全给出了一整套解决方案。
国内CA的现状
互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题,而信任是交易的基础。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,还必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
电子商务对网络安全的要求,不仅推动着Internet上交易秩序和交易环节,同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海CA中心成立以来,全国各地、各行业纷纷上马建成了几十家不同类型的CA认证机构。如果从CA中心建设的背景来分,国内的CA中心大致可以分为三类:行业建立的CA,如CFCA,CTCA等;政府授权建立的CA,如上海CA,北京CA等;商业性CA。不难看出,行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性CA离不开与银行、邮电等行业的合作。
国内CA存在的问题
在电子商务系统中,CA安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。在技术层面上,由于受到美国出口限制的影响,国内的CA认证技术完全靠自己研发,由于参与部门很多,导致了标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。在应用层面上,一些CA认证机构对证书的发放和审核不够严谨。目前国内相关的CA中心在颁发CA证书前虽然也竭力进行真实身份的审核,但由于进行相关审核的人员往往是CA中心自己的工作人员或其委托的其他人员,从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的CA中心本身往往也是交易或合同的一方,难免存在不公正性。为了抢占市场,在没有进行严格的身分确认和验证就随意发放证书,难以确保认证的权威性和公证性。在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
电子商务认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入WTO后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内CA认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,笔者认为网络公证方案是电子商务安全与信用的一个整体解决方案。
网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的CA安全认证体系。以PKI技术为核心的CA证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络CA电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的CA证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用CA证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的CA中心以及其他纯商业性的CA中心是不符合国际惯例的。
一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在CA证书的发放中,最关键的环节是RA(Registration Authority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的CA公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从CA公司那里获得个人CA证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得CA证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点具有很大的难度。因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到 CA证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请CA证书时,即可到所在地的公证机构进行离线的面对面审核,也即RA审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过RA审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证RA审核后所颁发的CA证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行RA审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与CA中心以及其他公司相配合,为其发放CA证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,CA在现阶段的应用已趋成熟,PKI公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
保存网络中的数据,使之成为有效的法律证据
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用CA证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,彻底解决了网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
一、引言
近年来,随着Internet的普及应用,电子商务得到很大的发展。电子商务的发展模式对企业服务提出了许多新要求,包括商品的质量保证、送货及时、商品选购舒适、退货方便等,其中,最为突出的问题就是商品选购。由于供应链和物流的发展,在电子商务的虚拟环境下,商家能够在网上提供的商品种类和数量非常多,但用户不可能通过一个小小的计算机屏幕很方便地发现自己感兴趣的商品,用户既不愿意花太多时间在漫无边际的网上寻找商品,也不可能像在物理环境下那样检查商品的质量。因此,个性化服务对电子商务企业提出了挑战,企业能否及时准确地提供个性化的商品信息给用户,能否给用户提供舒适的购物环境,把消费者从群演变到个人,是电子商务成败的关键。在国内,个性化已在电子商务领域初现端倪。很多企业已经十分注重通过个性化来提高电子商务的竞争力了。但我们应该清醒地看到,在我国,无论是理论研究还是企业应用,电子商务个性化服务还只是刚刚起步,真正的个性化服务与用户还相距较远。问题的关键是缺乏真正实现个性化服务的技术支撑。
Agent是综合人工智能和网络技术的一种新兴分布计算技术,因它的智能性、动态性和移动性等特性,将其应用于电子商务领域,为智能资源的发现、个性化服务提供技术支持,基于多Agent的电子商务研究是一门崭新的课题,是第三代电子商务研究的方向。
本文提出了一种基于多Agent的个性化电子商务解决方案,并介绍了实现的关键技术。
二、Agent技术及Multi-Agent系统
Agent是处在某个环境中的计算机系统,该系统有能力在这个环境中自主行动以实现其设计目标。如图1。
图1 环境中的Agent
Agent是一个具有全部或部分下列特征的软件实体,这些特征是:自主性、环境适应性、具有一定的知识(具有学习能力)、移动性、通讯与协作能力。
多Agent系统是由多个Agent组成的系统,它是为了解决单个Agent不能够解决的复杂问题,由多个Agent协调合作形成的问题求解网络。
将多Agent技术应用于电子商务系统中,具有以下明显的优点:
1.Agent的自主性和学习性使得电子商务系统可以在不受用户监控和指导下由系统的决策机制决定采取什么行动,并与用户并发工作,又可以学习记忆用户的兴趣爱好,建立用户兴趣模型来指导自己的决策,使之符合用户的个性化服务需求。
2.Agent可以从网络中某个结点移动到其他结点执行来完成一定的任务,移动Agent技术具有动态性和分布计算的特点,进一步扩展了Agent处理事物的功能,利用它使得定制服务和即时服务成为可能,而且提高了采集用户兴趣和搜索信息的效率。
3.Agent使电子商务系统能主动地分析和获取用户的个性信息并根据用户的兴趣模型了解用户的潜在需求,采取主动的行为,从而达到主动为用户服务的目的。
二、基于多Agent的个性化电子商务解决方案
1.基本框架。系统由一个典型的多层Web应用程序和一个运行在分布式环境中的Agent系统组成,如图2所示,前者包括一套网页和相关的数据库,后者有多个Agent组成。
图2 系统基本框架
(1)顾客Agent:每个顾客都对应着一个确定的顾客Agent,当顾客发出请求或任务时,顾客Agent就会对顾客的请求分析和判断,一方面进行自我学习,从而了解顾客的某些特征,分析顾客的兴趣和喜好,并把这些特征记录在用户信息库中;另一方面把活动的详细分析交给决策Agent,再由它决定如何将任务分配给MAS中的各商品推荐Agent。另外顾客Agent还将商品推荐Agent执行的结果记录在用户信息库中,以备下次请求时使用。顾客Agen隔一定时间后,自动检查用户信息库中用户请求频率较高的几种操作,并自动重新执行,以便及时向顾客反馈经常需要得到的新信息。
(2)顾客模型库:顾客模型库包括两方面的信息,一是顾客的基本信息,用户名、密码等,另外就是顾客的兴趣和爱好等信息,它是商品推荐策略的基础。
(3)顾客行为记录库:顾客行为记录库记录了顾客购买或经常浏览的商品的行为记录,它们是基于规则的推荐策略的依据。
(4)决策Agent:它掌握着所有商品推荐Agent的信息、特性和属性以及各自所能完成的任务。它接受顾客Agent的任务请求,并对模糊的信息再次进行分析,根据各个商品推荐Agent的自身特性和功能进行分配,使它们完成所分配的任务。
(5)商品推荐Agent:在本系统中,它由2个商品推荐Agent组成,Agent1是基于知识的推荐,主要是根据顾客的兴趣、爱好的推荐;Agent2是基于规则的推荐,主要是根据顾客浏览购买记录的推荐。推荐算法很多,可以根据所要处理的问题,增加或减少商品推荐Agent的数量。推荐算法的选择是个性化服务成功的关键。
整个系统实现的核心是Agent的通信、多Agent 系统与Web服务器的结合以及推荐算法的选择。在系统中各个Agent之间通过 FIPA—ACL语言通信以协调协作。为了实现Agent与Non-Agent部分通信,设计了一个特殊的Agent(即S_Agent)来管理一个服务器端口,S_Agent既可以从端口获得信息,也可以将信息通过端口传递出去。Web层是通过中间件(MASS_Bridge)实现与MASS的交互,即向MASS的服务器端口写入信息和从该端口得到信息,该中间件采用的是跨平台的JavaBeans组件。
2.JADE平台的Agent开发。Agent系统实现采用了JADE开发框架。JADE是融合P2P技术、Agent技术、中间件技术、JAVA技术等当前较为先进的多种技术的软件框架,现在已经被较多的厂商和应用软件系统所采用。
在JADE的系统类jade.core.Agent中定义了信息之间相互传递的行为类(Behaviour),还行为代表了一个Agent能够完成的任务。同时还定义了Agent之间的通信协议的格式和接口ACLMessage和MessageTemplate。
用JADE平台开发Agent就是设计一个jade.core.Agent类的过程,而Agent提供的每个功能/服务都是通过一个或多个行为实现的。
在JADE平台中,本地Agent通信与远程Agent之间的通信使用不同的消息机制,本地Agent之间通过事件通信,远程Agent之间可以通过IIOP和HTTP协议实现。本地之间通信时,只要在定义AID时,指定计算机名即可,与远程Agent通信时,还需要调用AID对象的addAddresses()方法加入指定的Agent平台所在的地址。
三、系统的运行过程
如图3所示,系统执行,首先启动Agent,系统有四个Agent,一旦启动,它们便作为独立的系统随时发送、接受信息,并作出相应的处理工作并不断与Agent世界内部以及外界之间进行通信。
图3 Agent启动界面
启动Web服务器后,顾客通过页面访问电子商务系统,顾客首先注册,注册信息将存于顾客模型库中,顾客登录系统后,顾客Agent根据顾客模型库/顾客行为记录库中顾客兴趣和爱好以及顾客浏览购买记录进行分析,将问题的分析结果和详细报告通过特殊S-Agent发送给决策Agent。决策Agent接收到之后,根据这份详细报告对问题进行分解,将子问题交给各商品推荐Agent,商品推荐Agent根据各自的推荐算法,找出合适的商品信息,并将信息送回决策Agent,决策Agent将收到的商品等信息反馈给顾客Agent。顾客Agent会将这些结果进行集中处理,删除一些多余信息,并根据顾客用户的喜好,以最友好页面的形式反馈给顾客。同时顾客Agent将完成顾客模型库和顾客记录库数据的更新,从而为下次顾客的请求作准备。至此,一次用户请求就完成了。
该多Agent电子商务系统的主要特点是:
1.根据不同顾客的模型库/行为记录库,推荐不同的商品信息,且呈现方式有所不同,从而实现个性化服务。
2.用户在没有请求时,隔一定时间, 多Agent系统自动执行,这样当商品数据库进行了更新,可以及时向顾客反馈新的信息。这也体现了Agent的自动化和达到“信息找人”的目标。
一、 物流及物流配送
物流是指物质实体从供应者向需求者的物理移动,它由一系列创造空间价值和时间价值的经济活动组成,包括运输、保管、配送、包装、流通加工及信息处理等多项活动的统一,是实现原材料市场到消费市场价值增值的重要环节。在企业运作中,物流被看成是企业与其供应商和客户相联系的能力。一个企业的物流是企业内部进行定位的核心能力。
物流配送是按用户的订货要求,在物流据点进行分货、配货工作,并将配好货物送交收货人的活动。它是流通加工、整理、拣选、分类、配货、配装、运送等一系列活动的集合,即在集货配货的基础上,按用户在种类、品种搭配、数量、时间等方面的要求所进行的送运,是“配”和“送”的有机结合形式[1]。物流配送是物流中一种特殊的、综合的活动形式,是商流、物流的紧密结合,包含了商流活动和物流活动。通过配送,实现物流活动的合理化以及资源的合理配置,从而降低物流成本,增加产品价值,提高企业的竞争力。
完成配送活动需要付出配送成本。对配送的管理就是在配送的目标即满足一定的顾客服务水平与配送成本之间寻求平衡:在一定的配送成本下尽量提高顾客服务水平,或在一定的顾客服务水平下使配送成本最小,一般包括混合策略、差异化策略、合并策略、延迟策略等策略。
二、电子商务的物流配送瓶颈
电子商务是通过因特网进行商务活动的新模式,它集信息流、商流、货币流、物流为一身,贯穿了整个的贸易交易过程,是网络经济和现代物流一体化的产物。其内涵可以表述如下:电子商务=网上信息传递+网上交易+网上结算+配送。由此可以看出,一个完整的商务活动,必须通过信息流、商流、货币流、物流四个流动过程有机构成。然而,电子商务作为一个高速发展的行业,存在许多瓶颈问题,其中不可回避的瓶颈之一是物流瓶颈,而其中最大的“瓶颈”又是支付系统和配送系统的落后。主要表现是:在网上实现商流活动之后,没有一个有效的社会物流配送系统对实物的转移提供低成本的、适时的、适量的转移服务;配送的成本过高、速度过慢等。因而,即使商流、信息流、货币流可以有效地通过互联网络来实现,在网上可以轻而易举完成商品所有权的转移,但是这毕竟是“虚拟”的经济过程。互联网为平台的网络经济可以改造和优化物流,但是不可能根本解决物流问题[2]。
网络经济、电子商务的迅猛发展势头,会加剧物流瓶颈问题。先进的电子商务和落后的物流形成了非常鲜明的对比。这问题,表面上看是物流服务问题,究其原因,是物流本身发展的滞后,是为物流服务运行的物流平台不能满足发展的要求。和电子商务的发展相比,即便是发达国家的物流,其发展速度也难以和电子商务的发展速度并驾齐驱。在我国,物流更是处于经济领域的落后部分。长期以来,由于受计划经济的影响,我国物流社会化程度低,物流管理体制混乱,机构多元化。另外,我国物流企业与物流组织的总体水平低,设备陈旧,损失率大、效率低,运输能力严重不足,形成了瓶颈制约物流的发展。
目前我国物流业发展的瓶颈主要表现有:对电子商务的认识仅局限于信息流、商流和货币流的电子化,忽视物流的电子化过程;物流基础设施不完善;物流管理技术落后;传统储运的体制和手段阻碍现代物流的发展;第三方物流服务发展滞后;适应电子商务发展的物流体系尚未建立。阻碍物流业发展的主要原因可以归纳为以下两点:一是物流一体化管理程度不高,与物流发展相关的制度和政策法规尚未完善,很多企业对物流重要性的认识不够,对物流的认识仍停留在传统的运输和存储等层面上;二是物流企业的物流基础设施落后,物流装备水平低,物流技术水平的落后,使物流体系不足以支撑电子商务的发展,从而更加剧了物流的瓶颈作用。
随着电子商务的进一步推广与应用,物流的重要性对电子商务活动的影响日益明显。在整个电子商务的交易过程中,物流实际上是以商流的后续者和服务者的姿态出现的。没有现代化的物流,商流活动都会退化为一纸空文。突破电子商务发展的物流瓶颈,必须在现代物流技术和物流信息系统的支持下,建立一个能快速、准确地获取销售反馈信息和配送货物跟踪信息的物流配送体系,才能不断满足消费者对商品的品质要求及服务内容不断的提高的需求,从而将商品快速而完整地送达客户手中。
三、解决方案
若想突破电子商务发展的物流瓶颈,当务之急是尽快建立社会化、产业化和现代化的高效合理的物流配送体系,如果不解决好物流及其配送中的瓶颈问题,那么电子商务的实施也等于是空中楼阁。笔者认为可以从以下几方面着手。
(一)优化物流企业业务流程
只有根据业务流程设计的企业系统,才能提高信息处理效率,更好地实现信息集成,更好地适应组织机构变化。尤为重要的是,面向业务流程的思想使人们有意识地审视现有业务流程的运作情况并发现其中的问题,通过取消一些不必要的活动并重新设计业务流程,在流程合理化和优化的基础上再设计开发相应的信息系统,从而充分挖掘信息系统的潜力,大大地提高了流程的营运效率。因此,在物流企业内部实施业务流程重组非常必要[3]。
(二)推行先进的物流管理技术和延伸服务
采用如运筹学中的管理技术、条形码技术和信息技术等,提高物流的效率和效益,降低物流成本。延伸服务向上可以延伸到市场调查与预测、采购及订单处理;向下可以延伸到配送、物流咨询,物流方案的选择与规划、库存控制决策建议、货款回收与结算、教育与培训、物流系统设计与规划方案的制作等[4]。
(三)建立基于web的物流配送信息管理系统
从事配送业务离不开“三流”,其中信息流更为重要。实际上,商流和物流都是在信息流的指令下运作的,畅通、准确、及时的信息从根本上保证了商流和物流的高质量与高效率。另外,在电子商务时代,物流信息化也是电子商务的必然要求[5]。因此,提高信息管理水平是我国物流业再造的一个重要环节和切入点。
企业电子商务的崛起,btob、btoc的发展,分销渠道的进一步整合,供应链管理的出现,使得物流配送越来越成为众多商家关注的焦点。电子商务下的物流配送,应该是信息化、现代化、社会化的物流配送。这就要求物流配送企业能够向客户提供全面的配送解决方案。而一个完整的物流配送体系除了具备现代化、自动化的硬体设备及电脑资源外,更应该具有结合两者的物流信息管理系统来满足消费者对商品的品质要求及配送的效率。另外,在电子商务支持下的交易活动不受时空的限制,客户在地理分布上可能是十分分散的,并且要求送货的地点也不集中。
在这样竞争动态的环境中,物流效率直接依赖和受限于物流的网络结构。应该在动态优化网络设计的基础上,实现下述两点,一是物流与配送网点的网络化。企业根据自身的营销范围和目标,建立全国范围的物流和配送网络,提高物流系统的服务质量和配送速度。二是物流配送系统的计算机通信网络,包括外部网和内部网,外部网(基于internet的电子商务网络平台)主要用于配送中心与上游供应商或制造商的联系,以及与下游顾客之间的联系;内部网(intranet)主要用于企业内部各部门间的信息传输。网络上点与点之间的物流配送活动保持系统性和一致性,使整个的配送网络具有最优的库存分布、最理想的库存水平、最快捷的市场反应、最迅速的输送手段等,从而体现在电子商务条件下物流支持的快速性及全方位性。用网络支撑、优化、改造、提升物流实体,提升物流服务的竞争能力。
根据电子商务的特点,在分析配送中心信息流的基础上设计了一种基于web的一般商业型企业物流配送信息管理系统。配送中心系统中主要活动为信息流及物流两部分,而信息流的层级分为上层是策略信息、中层是经营管理信息、下层是物流作业信息,在中层经营管理信息又分为进货、存货、销货等三项管理信息。下层物流作业管理分为入库管理,在库(库存)管理、出库管理。物流方面分为物流作业与物流设备系统;物流作业主要为进货、验收、入库、货架管理、拣货、流通加工、包装、分类、出货检查、装货、配送等作业流程,物流设备是则是对各作业设置适当的系统设备。系统的模块是根据作业内容的相关性及作业流程的关联性来划分。依据物流中心的各项作业,将该系统大架构划分为以下六个模块:销售出库管理子系统,采购入库管理子系统,库存管理子系统、财务处理子系统,物流配送绩效管理子系统、系统维护子系统,并提供对已制定的计划进货单、入库单进行查询、统计功能。
1.销售出库管理子系统:该系统接收客户的订单,完成订单处理;从仓库中将采购入库管理系统取得的货品经过分拣、包装、配送、运输送至客户手中并送库存管理子系统;然后将产品送出后将应收账款账单转入财务部门作相应处理;最后将各项内部资料提供给绩效管理子系统作为绩效考核的参考数据。
2.采购入库管理子系统:主要把从供应商订购的产品入库,根据入库产品内容做库存管理;针对客户需求的产品向供货厂商下采购订单;当订购的产品入库后作相应的付款处理,并将账单转入财务部门处理;同时将相应的资料提供给绩效管理子系统作为绩效考核的参考数据。
3.财务处理子系统:财务部门以采购部门所传来的产品入库单查核供应商所送来的应付账款,并据此资料付款与厂商;从销售部门取得出货单,并根据应收账款单并收取账款。财务处理子系统制作各种财务报表提供给绩效管理系统作参考。
4.物流配送绩效管理子系统:从其它三个子系统中获取相关的数据,同时根据外界环境的相关信息,拟定产品的订购计划、产品销售计划、配送效率分析、运输控制等决策信息,帮助企业优化配送流程,提高配送效率。
本系统的数据处理采用基于web的b/s结构,以增强系统对企业业务发展的适应性,并能够对客户的变化,做出快速的反映,而且系统的升级方便、透明。 基于web的物流配送信息管理系统可以提高物流企业的工作效率,降低系统运行成本和系统的维护成本,方便地实时采集与追踪物流信息,提高整个物流系统的管理和监控水平等,并且通过绩效管理系统做出新的战略决策,从而提高配送效率和仓库保管效率。
四、结束语
在电子商务环境下,供应商必须全面、准确、动态地掌握散布在全国各个中转仓库、经销商、零售商以及各种运输环节之中的产品流动状况,并以此制定生产和销售计划,及时调整市场策略。因此,电子商务的发展更加推动了现代物流业迅速兴起,而物流也可以对提高电子商务的效率与效益、协调电子商务的目标、扩大电子商务的市场范围、实现基于电子商务的供应链集成、集成电子商务中的商流、信息流与资金流等等起到推动作用,从而促使电子商务成为下个世纪最具竞争力的商务形式。
电子商务通过快捷、高效的信息处理手段可以比较容易地解决信息流、商流和货币流的问题,而将商品及时地配送到用户手中。但完成商品的空间转移(物流)才标志着电子商务过程的结束,因此物流配送系统的效率高低是电子商务成功与否的关键。
电子商务的迅速发展,对我国传统的物流运输企业提出了更高、更迫切的要求,从传统的运输仓储企业转型为现代物流企业正是势在必行。所以,在关注电子商务的同时,要以更大的精力建设基础物流平台系统和与电子商务配套的配送服务系统,逐渐改善我国的物流平台,建立现代化的物流产业。中国市场刚刚从卖方市场步入买方市场,通过学习和交流,我们可以跨越发达国家物流发展初级阶段,利用我国信息技术和网络技术几乎与世界同步的优势,借鉴国外物流发展的先进技术,进入物流的快速发展轨道。
参考文献:
[1] 王之泰.新编现代物流学[m].北京:首都经济贸易大学出版社,2005.
[2] 翁菊梅.当前中国连锁零售企业的电子商务与物流模式的选择[j].无锡商业职业技术学院学报,2003,9(3):26-28.
关键词:电子商务;安全问题;解决方案
随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正在改变着人们生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式的综合革新。对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率,许多网站都提供有“商城”,供网民在网上进行购物,可以说,互联网是电子商务的最佳载体,由于其具有充分开放性、防护不足的特点,使电子商务的安全问题日益严重,建立一套能充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们对网络的顾虑,放心参与电子商务活动,否则,电子商务的发展将失去其支撑点。
一、电子商务安全构成及要求
互联网上进行电子商务的活动过程:用户通过浏览器发出信息,该消息经过Internet到达Web服务器,再由Web服务器调用CGI等相应程序访问数据库,返回用户请求的消息给Web服务器,最后通过Internet传给用户。在这整个过程中我们可以看到,要实现电子商务的安全,应建立相应的商务活动的信息安全保护措施。
1. 电子商务系统安全构成
(1)系统实体安全。是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施过程,由环境安全、设备安全、媒体安全三部分组成。
(2)系统运行安全。保障系统功能的安全实现,提供一套安全措施保护信息处理过程的安全,由风险分析、审计跟踪、备份和恢复、应急四个部分组成。
(3)系统信息安全。防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制,由操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密、鉴别七个部分组成。
2. 电子商务系统安全需求
针对电子商务的安全问题的构成,只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性,才能满足电子商务安全的需求。
(1)保密性。以保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。
(2)完整性。防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。
(3)认证性。确保交易信息的真实性和交易双方身份的合法性。
(4)可控性。指保证系统、数据和服务能由合法人员访问。
(5)不可否认性。有效防止通信或交易双方对已进行的业务的否认。
二、电子商务存在的安全技术问题及其产生的原因
在电子商务运作过程中,将面临各种各样的安全问题,分析电子商务的安全问题,就要依据实际考察结果,确定各种可能出现的安全问题,分析其原因和不同程度的危害性,找出电子商务中潜在的安全隐患和安全漏洞,从而有效地运用相关的电子商务安全的技术来加以控制和管理。
1. 电子商务的安全问题
典型的电子商务安全问题包括:安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。
(1)安全漏洞。在近几年来,计算机系统的安全漏洞越来越多。安全漏洞的大量存在,使得目前电子商务的安全形势趋于严峻。例如Windows惊现高危漏洞,新图片病毒能攻击所有用户,该漏洞可能发生在所有的Windows操作系统上,如IE浏览器、Office软件等,在用户浏览特定的JPG格式图片时,会导致缓冲区溢出,进而执行病毒攻击代码,包括格式化硬盘、删除文件等。
(2)病毒感染。我国的计算机病毒感染主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制,由于其传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪,这对依赖于网络的电子商务是一个严重的威胁。
(3)黑客攻击。主要表现在网页篡改和僵尸网络两方面。僵尸网络也称Bitnet,Bot是robot的简写,通常是指可以自动地执行定义的功能,可以被预定义的命令控制,具有一定人工智能的程序,它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、p2p软件等途径进入用户主机,一旦用户主机被植入Bot,就主动和互联网上的一台或多台控制节点取得联系,进而自动接收黑客通过这些控制点发送的控制命令,这些受害主机和控制服务器就组成了BotNet。
(4)网络仿冒。在国际上通称为Phishing,在我国也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行账户和口令等,甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。
2. 触发电子商务安全问题的原因
从上面的安全问题中我们可以看出,它不是个别的现象,只要有网络的存在,安全问题就不容忽视,它不仅影响了网络的正常运转,还会造成许多直接或间接的经济损失。为了尽可能避免安全损失,首先要了解造成这些问题的症结所在。概括起来有两个方面:先天原因和后天原因。
(1)先天原因。电子商务的实现依赖于网络,没有网络的存在,电子商务无从谈起。但是电子商务却是继网络之后才出现的,是网络发展过程中的产物,所以网络的建立仅考虑了信息的传输这个问题,并没有顾及电子商务安全,这样它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足,黑客们就可以利用公共的网络环境传播各种病毒等。
(2)后天原因。它又可以细分为管理、人和技术三方面。现代化的企业信息建设强调七分管理三分技术,在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理,由于拒绝服务攻击在目前还没有十分有效的技术解决方案,所以特别强调安全管理的重要性,但实际上却没有几家网站事先做好了管理。其次,由于目前还缺乏对网络犯罪有效的反击和跟踪手段,黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站,触发安全问题来研究新的安全防范措施。很多已经开发出来的软件会存在这样或那样的漏洞,这就给了攻击者可乘之机,通过这些软件漏洞,黑客可以编写代码传播病毒等。同时,软件开发人员为了方便,通常也会在软件里留下“后门”,这也是导致安全问题的一个原因。
三、电子商务安全技术解决方案
针对前面分析的触及电子商务安全问题的后天原因,可采取一定的电子商务的安全防治措施。这些措施包括技术措施和管理措施。
1. 技术措施
(1)信息加密技术。信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路――链路加密、节点加密、端――端加密、ATM网络加密和卫星通信加密五种方式。应根据信息系统安全策略来制定保密策略,选择合理、合适的加密方式。另外,随着电子商务的进一步发展,非密码技术如信息隐藏、生物特征、量子密码技术得到了快速发展。
(2)数字签名技术。数字签名技术是为了防止他人对传输的文件进行破坏以及如何确定发信人的身份。在电子商务安全技术中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。目前的数字签名是建立在公共密钥体制基础上,RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都是基于这两种算法。RSA是可逆的公开密钥加密系统,其数字签名过程中运用了消息的验证模式。而EIGamal是一种非确定性的双钥体制,它对同一消息,由于随机参数选择的不同而有不同的签名。
(3)TCP/IP服务。TCP/IP协议即传输控制/网际协议,以它为基础组建的Internet是目前国际上规模最大的计算机网络,是保证数据完整传输的两个基本的重要协议。以这些协议为基础,TCP/IP提供了一系列标准的服务,包括电子邮件、文件转输、Usenet新闻组、远程终端访问、万维网访问、域名查询等。
(4)防火墙的构造选择。是隔离本地网络与外界网络之间的一道或一组执行策略的防御系统,它作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时,必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓补结构以及维护和管理方案。另外,在选择防火墙的使用时,要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。
2. 管理措施
安全管理措施通常是以制度的形式出现的,即用条文对各项安全要求作出规定。这些制度包括人员管理制度,保密制度,跟踪、审计、稽核制度,系统维护制度,数据备份(容灾)制度,病毒防范制度和应急措施等。
(1)人员管理制度。人是电子商务活动中的主要参与者,对于像网络管理员这样的人员,需要具备相当的职业道德。必须经过严格选拔,认真落实工作责任,并彻底贯彻电子商务安全运作基本原则。
(2)保密制度。从事电子商务工作的企业,内部会涉及很多保密信息,如客户隐私、公司财务状况、密钥等,而每类信息又有不同的安全级别,哪些是可以让客户随意访问的,哪些是公司普通员工可以访问的,哪些又是高级员工才能访问的,这些都应该通过保密制度明确下来。
(3)跟踪、审计、稽核制度。以系统自动生成日志文件的形式来记录系统运行的全过程。审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性、堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤措施。
(4)系统维护制度。包括硬件和软件的日常管理与维护。对于通信线路,一般分为内部线路和租用线路两种,对于内部线路,我们采用结构化布线,而对于租用电信部门的通信线路,企业应记录通信线路的连通情况,一旦故障发生,及时与电信部门联系,以便迅速恢复通信。对于网络设备的维护,我们一般采取在网络设备上安装相应的网管软件,通过这些软件实现自动管理和维护。对于操作系统,通过定期清理日志文件和临时文件、定期整理文件系统、检测服务器上的活动状态和用户注册数、处理运行中的死机情况等来进行维护。而对于应用软件的管理和维护工作,主要是进行版本更新控制。
(5)数据备份(容灾)制度。按照其容灾能力的高低可分为多个层次:从最简单的仅在本地进行磁带备份,到将备份的磁带存储在异地,再建立应用系统实时切换的异地备份系统,恢复时间也可以从几天级到小时级到分钟级、秒级或0数据丢失等。企业应根据自身情况,对不同安全级别的数据制定不同的数据容灾制度。
(6)病毒防范制度。病毒对网络交易的顺利进行和交易数据的妥善保存造成了极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的骚扰。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。
(7)应急措施。在计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行。在启动电子商务业务之初,就必须制订交易安全计划和应急方案,以防万一。
电子商务作为一种全新的业务和服务方式,在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本的同时,也把人们引进了安全陷阱。因此,在保证电子商务的正常运作的同时,必须高度重视电子商务活动的安全问题及相应的防治措施和技术。电子商务的安全问题不仅关系到个人的安全还涉及到国家的经济安全、经济秩序稳定问题,而且安全问题也是电子商务成功与否的关键所在。
目前,基于Internet的电子商务还刚刚开始,许多方面都不够完善,并且我国和发达国家之间的差距依然很大,这就要求我们要密切关注电子商务发展的动态,积极研究电子商务中存在的技术问题,把握住这一良好的发展时机。
参考文献:
[1]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
