第五章 物流配送基础知识 第一节 物流基本原理与概念 第四单元 电子商务与物流 1. 物流是电子商务的重要组成部分 随着Internet在全世界的飞速发展,电子商务(Electronic Commerce)作为在Internet网上最大的应用领域,已经广泛地引起了世界各国政府的重视和支持,引起了企业界和民众的注意并得到了快速的发展。 在电子商务发展的初期,对电子商务内涵的认识还不深入,人们十分强调电子商务中信息流和资金流的网络化和电子化,并不重视物流的电子化过程。认为对于大多数在网上销售的商品和服务来说,物流的过程仍然可以经由传统的经销渠道来完成,从而可以不必对其做更多的研究。但随着电子商务的进一步推广与应用,在电子商务活动中物流的重要性和所产生的影响就日益变得明显。电子商务的任何一笔网上交易,都必须涉及到信息流、商流、资金流和物流等这几种基本的”流”,而物流作为整个交易的最后一个过程,其执行结果的好坏将对电子交易 的成败起着十分重要的作用。例如,在1999年9月,有关媒体为了测试一下当时国内网上购物的环境,组织了一次”72小时的网上生存试验”,但试验的结果并不理想,出现了不少的问题,而物流配送是最大的问题之一。有些参试者在试验期间的网上订货在过后的2个月甚至半年后才接到。在此后进行的一次市场调查证实,人们最关注的热点问题恰恰是网上交易的送货时间与安全,这再次使人们认识到物流在电子商务活动中的重要地位,认识到现代化的物流过程是电子商务活动不可缺少的部分。 在许多关于电子商务的定义中,对电子交易过程中信息流和资金流的电子化有较多的描述,大多没有提到物流的概念。这是因为电子商务的概念首先由美国提出,而美国的物流管理技术经过80多年的发展已经相当完善,故在对电子商务进行定义时对电子商务过程中物流的电子化就相应比较简单。而在我国物流业的起步较晚,物流现代化的水平也很低,所以在发展电子商务时,必须要注意配备现代化的物流管理模式,否则电子商务就难以开展。因此,我国的专家在对电子商务的定义中包括了物流电子化的过程,认为物流电子化是电子商务的基本组成部分,缺少了现代化的物流过程,电子商务的过程就不完整。 2. 电子商务概念模型中物流的地位 可以将实际运作中的电子商务活动过程抽象描述成电子商务的概念模型,如图1-5-3所示,电子商务的概念模型由电子商务实体、电子市场、交易事务和信息流、商流、资金流和物流等基本要素构成。 [img=344*2611]http://www.echere.com/jiaocai/1/ciyemian5/di4/img/new_pa5-3.JPG[/img] 图1-5-3 电子商务的概念摸型 在电子商务的概念模型中,企业、银行、商店、政府机构和个人等能够从事电子商务的客观对象被称为是电子商务实体。电子市场是电子商务实体在网上从事商品和服务交换的场所,在电子市场中,各种商务活动的参与者利用各种通信装置,通过网络联接成一个统一的整体。交易事务是指电子商务实体之间所从事的例如询价、报价、转账支付、广告宣传、商品运输等具体的商务活动内容。电子商务的任何一笔交易都由信息流、商流、资金流、物流等四个基本部分组成: ● 信息流:指商品信息的提供、促销行销、技术支持、售后服务等内容,也包括诸如询价单、报价单、付款通知单、转账通知单等商业贸易单证以及交易方的支付能力和支付信誉。 ● 商流:指商品在购、销之间进行的交易和商品所有权转移的运动过程,具体是指商品交易的一系列活动。 ● 资金流:主要是指交易的资金转移过程,包括付款、转账等。 ● 物流:是指交易的商品或服务等物质实体的流动过程,具体包括商品的运输、储存、配送、装卸、保管、物流信息管理等各种活动。在电子商务中,交易的无形商品如各种电子出版物、信息咨询服务以及有价信息软件等可以直接通过网络传输的方式进行配送;而对于大多数有形的商品和服务来说,物流仍然要由物理的方式进行传输。电子商务环境下的物流,通过机械化和自动化工具的应用和准确、及时的物流信息对物流过程的监控,将使物流的速度加快、准确率提高,能有效地减少库存,缩短生产周期。 在电子商务的概念模型中,强调信息流、商流、资金流和物流的整合,而信息流作为连接的纽带贯穿于电子商务交易的整个过程中,在起着串联和监控的作用。 3. 电子商务的流程体现了物流的重要性 不论是哪一种模式的电子商务交易的流程都可以归纳为如下6个步骤: ① 在网上寻找产品或服务的信息,发现需要的信息。 ② 对找到的各种信息进行各方面的比较。 ③ 交易双方就交易的商品价格、交货方式和时间等进行洽谈。 ④ 买方下定单、付款并得到卖方的确认信息。 ⑤ 买卖双方完成商品的发货、仓储、运输、加工、配送、收货等活动。 ⑥ 卖方对客户的售后服务和技术支持。 在上述步骤中,”商品的发货、仓储、运输、加工、配送、收货”实际上是电子商务中物流的过程,这一过程在整个流程中是实现电子商务的重要环节和基本保证。物流在电子商务流程中的重要性可以进一步阐述如下: (1)物流是生产过程的保障 无论是传统的贸易环境还是在电子商务的环境下,生产都是商品流通的开始,而商品生产的顺利进行需要各类物流活动支持,整个生产过程实际上就是一系列的物流活动: ● 供应物流从生产全过程的原材料采购开始,将生产所需的材料采购到位,保证生产的进行。 ● 生产物流涉及的原材料、半成品的物流贯穿于生产的各工艺流程之间,以实现生产的流动性。 ● 回收物流进行对生产过程中的部分余料和可重复利用的物资进行回收。 ● 废弃物物流对完成对生产过程中废弃物的处理。 在商品生产的过程中,现代化的物流活动可以降低生产成本、优化库存结构、减少资金占压和缩短生产周期,最终保障了生产的高效进行。相反,如果没有现代物流的支持,商品的生产将难以顺利进行,电子商务交易模式将会先天不足,优势不复存在。 (2)商流的结果由物流完成 商流活动的最终结果是将商品所有权由供方转移到需方,但是实际上在交易合同签定后,商品实体并没有立即移动。在传统交易环境下,商流的结果必须由相应的物流活动来执行完成,也就是卖方按买方的需求将商品实体以适当的方式和途径转移。而在电子商务的环境下,网络消费者虽然通过上网订购完成了商品所有权的交割过程,但必须通过物流的过程将商品和服务真正转移到消费者手中,电子商务的交易活动才告以终结。因此,物流在电子商务交易的商流中起到了后续者和服务者的作用,没有现代化物流,电子商务的商流活动将是一纸空文。 综上所述,电子商务作为网络时代的一种全新的交易模式,相对于传统交易方式是一场革命。但是,电子商务必须有现代化的物流技术的支持,才能体现出其所具有的无可比拟的先进性和优越性,在最大程度上使交易双方得到便利,获得效益。因此,只有大力发展作为电子商务重要组成部分的现代化物流,电子商务才能得到更好的发展。 4. 电子商务环境下物流业的发展趋势 相对于传统商务,在电子商务环境下,电子商务企业的营销模式和网络消费者购物方式的转变,将使网上交易的物流配送成为一项极为重要的服务性业务,从而将使物流行业得到极大的发展。物流行业提供商品的运输配送、仓储保管、分装包装、流通加工等物流机能服务,其涉及的企业包括仓储、运输、装卸搬运、配送企业、流通加工业等。而电子商务环境下的物流企业追求的目标和发展的趋势是信息化、全球化、多功能化和一流的服务水平。 (1)物流的信息化 在电子商务时代,要提供最佳的物流服务,物流系统必须要有良好的信息处理和信息传输系统。计算机的普遍应用提供了更多的需求和库存信息,提高了信息管理的水平。电子数据交换技术与国际互联网的应用,使物流效率的提高更多地依赖于信息化管理技术,物流的信息化使对商品流动的管理更加方便、准确和迅速,从而保证了商品与生产要素在全球范围内以空前的速度流动。物流的信息化包括商品代码和数据库的建立、运输网络合理化、销售网络系统化和物流中心管理电子化等。 在物流的信息化比较先进的美国,商品进出口的报关公司与码头、机场、海关信息联网,当货从世界某地起运,客户便可以从该公司获得到达的口岸的准确位置和时间,使收货人与各仓储、运输公司等做好准备,可以使商品在几乎不停留的情况下,快速流动直达目的地。 可以说,现代化的信息管理是现代化物流的基础和保证。 (2)物流的全球化趋势 电子商务的发展加速了全球经济一体化的过程,其结果将使物流企业向跨国经营和全球化方向发展。全球经济一体化使企业面临着许多新问题,要求物流企业和生产企业更紧密地联系在一起,形成社会大分工。对于生产企业,要求集中精力制造产品、降低成本、创造价值;而对于物流企业则要求花费大量时间和精力更好地从事物流服务,客户对物流企业的需求比原来更高了。例如,在物流配送中心,要对进口的商品代理报关业务、暂时储存、搬运和配送,进行必要的流通加工等,完成从商品进口到送交消费者手中的一条龙服务。 (3)物流业的多功能化发展 在电子商务的环境下,物流向集约化阶段发展,这是一体化配送中心(integration)的概念。其要求物流业不仅仅是提供仓储和运输服务,还必须进行配货、配送和各种提高附加值的流通加工服务项目,或者按客户的特别需要提供其他的特殊服务。 电子商务使流通业经营理念得到了全面的更新,现代流通业从以往商品经由制造、批发、仓储、零售等环节,最终到消费者手中的多层次复杂途径,简化为从制造商经配送中心送到各零售点。从而使未来的产业分工更加精细,产销分工日趋专业化,大大提高了社会的整体生产力和经济效益,也使流通业成为整个国民经济活动的重要组成部分。 (4)物流企业的服务目标 在电子商务环境下,物流企业是介于买卖双方之间的第三方,以服务作为第一宗旨。客户对于物流企业所提供的服务要求是多方面的,因此,如何更好地满足客户不断提出的服务需求并服务好,始终是物流企业管理的中心课题。例如物流配送中心,开始时可能提供的只是区域性的物流服务,以后应客户的要求发展到提供长距离服务,再后来可提供越来越多的服务项目,包括到客户企业”驻点”,直接为客户发货;有些生产企业把所有物流工作全部委托给配送中心,使配送中心的工作已延伸到生产企业的内部。最终,物流企业所提供的优质和系统的服务使之与客户企业结成了双赢的战略伙伴关系:一方面,由于物流企业的服务使客户企业的产品迅速进入市场,提高了竞争力;另一方面,物流企业本身也有了稳定的资源和效益。 对物流企业而言,不断提高对客户的服务质量和服务水平是它们的追求的目标,这也正是物流企业提高和获得经济效益的基础。
第五章 物流配送基础知识 第二节 生产企业物流 第一单元 生产企业物流的内容 1. 采购物流 将为生产所需而从供应商处采购的原材料、零部件从供应商处运回厂内;采购物流还包括从销售点回收或采购产品包装用的容器以及可以重复使用的材料的回收物流。 2. 厂内物流 将所采购的原材料和零部件等放入仓库并加以妥善保管,在生产需要时及时出库送到生产现场;将工厂生产的商品运到物流中心、厂内或其他工厂的仓库入库;物流中心和工厂的仓库对商品进行必要的运输包装和流通加工等。 3.销售物流 将生产的商品从工厂、物流中心或外单位的仓库送到批发商、零售商或消费者的手中的运输或配送,包括将生产的商品送到外单位仓库的运输和配送。 4. 退货物流 对已采购但验收不合格的原材料和零部件的退货,以及已售出的商品的退货有关的运输、验收和保管的物流活动。 5. 废弃物与回收物流 工厂在生产过程中有关的废弃包装容器和材料、生产过程中产生的其他废弃物的运输、验收、保管和出库,以及企业对在生产过程中排放的无用物包括有害物质进行运输、装卸、处理等物流活动。
第五章 物流配送基础知识 第二节 生产企业物流 第二单元 生产企业物流活动分析 生产企业的物流活动包括了从原材料采购到产品销售等各个物流过程,其中,生产物流是主要的过程。而在各个不同的物流活动过程中,其要点也是不同的,具体分析如下: 1、企业采购物流 采购物流位于生产企业生产活动的开始,但是其作用的好坏将影响到整个生产活动的结果。采购物流要保证本企业生产的连续性和正常的节奏,对生产所需要的原材料、零部件、燃料、辅助材料等进行组织和供应。采购物流活动对企业生产的正常、高效的运行有着重大作用,其目标不仅仅是保证企业生产的原材料供应,而且还必须考虑以最低的成本和最少的消耗,以及最大的供应保证性来组织企业的供应物流活动。企业采购物流所研究的主要问题包括企业生产的供应网络、供应方式和零库存(Just in time)问题等。企业竞争的关键在于如何最大限度地降低企业供应物流过程的成本,可以认为这是企业物流的最大难点,因此,企业采购物流十分重要。 2. 企业内部物流 企业内部物流或者称为企业生产物流是企业生产活动的中心环节,是贯穿在企业的整个生产过程中的物流活动,实际上是生产过程的一部分。企业生产物流的过程是从原料、零部件、燃料及其他辅助材料从企业的仓库或企业的”门口”开始,被认为是进入到生产线的开始端,然后经过一个个的生产加工环节,并且本身被加工,同时产生一些废料、余料,直到生产加工的终结,到达产成品仓库,才算完成了企业生产物流的全过程。企业生产物流将企业生产的全过程作为一个整体加以研究,在很大程度上降低了生产过程中物流活动与实际加工所占用的时间比,从而可以大大缩短企业产品的生产周期,提高了生产效率。 3. 企业销售物流 销售物流是企业为了保证本企业的经营效益所进行的销售活动,即将企业所生产的产品所有权转给用户的物流活动。在市场经济中,市场已经是一个完全的买方市场,因此,企业销售物流活动十分强调以完善的服务来千方百计地满足买方的需求,以最终实现销售成功的目的。在这种情况下,销售活动往往是以将产品送达用户并经过售后服务才算终止。因此,企业销售物流的活动所涉及的空间范围很大,这也是销售物流的难度之所在。企业销售物流的特点是通过产品的包装、送货、配送等一系列物流活动来实现销售,因此,企业销售物流所研究的问题包括产品的送货方式、包装形式、运输的最佳路线等问题,同时还要注意并采取少批量、多批次、定时、定量进行配送等特殊的物流方式达到目的。由此可见,企业销售物流的研究领域是很宽的。 4. 企业退货物流 企业在采购以后的入库验货不合格向供应商退货,或者企业生产的商品在销售后因为各种原因而被退货是不可避免的。企业的退货物流活动开展的好坏,一方面将直接影响企业的经济利益,另一方面,将影响企业在自己的客户群中的信任度。 5. 企业废弃物与回收物流 在一个企业中,产品的生产加工过程所产生的余料和废料是不可避免的,如果对上述回收物品的处理不当,往往会影响企业的整个生产环境,例如要占用企业很大的场地和空间,造成浪费和不便;更严重的甚至会造成企业产品的质量问题,影响产品的销售。另外,许多生产企业在进行商品生产的过程中会产生各种无用甚至有害的物质,对这些物质处置的妥当与否将直接影响企业的正常生产,甚至会影响企业的生存和社会的环境。因此,妥当处置企业废弃物物流对企业来讲也是至关重要的。
第五章 物流配送基础知识 第三节 商业企业物流 第一单元 商业企业物流的内容 商业企业的物流活动具体地包括商品采购物流、企业内部物流、销售物流和商品退货物流,商业企业物流的结构如图1-5-5所示。 [img=545*2255]http://www.echere.com/jiaocai/1/ciyemian5/di7/img/new_pa5-5.JPG[/img] 图1-5-5 商业企业物流 1. 商业企业采购物流 采购物流将本企业所经营的商品以及销售商品所需的其他物品从生产厂家或其他商品据点运回公司,其中商业企业采购的商品有时由商品的生产厂商或配送中心负责运输。当商品运到时,企业的有关人员需要对所采购的商品进行验收,合格的商品入库,不合格的则需要组织退货。 2. 商业企业内部物流 商业企业的内部物流包括商品出库运输到本店的销售现场上柜或各分店及连锁店进行销售,以及从本店向其他商业企业的调拨运输。另外,企业的内部物流还包括对库存的商品进行合理的保管,以及对采购来的商品进行必要的拆包、分档和再包装等加工。 3. 商业企业的销售物流 商业企业的销售物流活动包括通过零售、批发以及配送将商品发送到消费者或购货单位手中。 4. 商业企业的退货物流 商业企业的退货物流包括在采购的商品进货验收时发现的商品不合格、以及在商品销售后客户发现所购商品的质量问题所发生的退货,退货的商品由商业企业暂存并运到生产厂家或其他的进货点。
第五章 物流配送基础知识 第三节 商业企业物流 第二单元 商业企业物流活动分析 商业企业在商品经营中的物流活动包括商品的进、销、调、存、退各个不同的阶段,其物流活动的重点和目的也各不相同,具体分析如下: 1. 商品采购物流 商业企业主要完成的是将商品从生产者到消费者之间的流通,商业企业在此过程中获取利润和效益。对于商业企业来讲,所销售商品的进货与销售之间的差价形成了企业经营的基本利润,因此,尽可能降低商品采购进货的成本及其相关的费用就会给企业带来更高的利润。另外,做好商品采购物流可以保证商店正常销售的商品供应不至脱销,又能够使企业的商品库存有一个尽可能低的安全库存量,从而减少企业的库存资金,增加流动资金,使企业能够获得更大的经济效益。 2. 企业内部物流商业企业的内部物流的主要作用是保证商品的正常销售。包括将商品及时送到销售现场,保证商品的持续上柜以避免脱销并造成不良影响;加强对库存商品的合理保管,以降低或避免因管理不善而造成因商品的损坏、变质而引起的损失。因此,做好企业内部物流可以大大降低企业经营的费用,对企业是十分重要的。 3. 企业销售物流 商业企业的重点是进行商品的销售,企业通过零售、批发等各种销售方式完成商品的出售,并以销售物流活动将客户购买的商品送到客户的手中。销售物流使商品的交易活动得以完成,并通过良好的销售活动维系企业与客户的关系,做好为客户的售后服务。因此,销售物流对于商业企业的重要性是不言而喻的。 4. 退货物流 商业企业的商品采购活动在进货验收时,不可避免地会发生所采购的商品在品种、数量等方面与要求不符,以及质量方面的不合格等情况;另外,商店的商品在售出以后,也经常会发生客户因商品的质量等问题而退货。企业的退货物流完成的则是向商品的采购据点的退货。做好退货物流,一方面,可以减少企业的采购成本;另一方面,可以提高企业的服务信誉,这对企业也是相当重要的。
第六章 电子商务安全基础知识 第一节 计算机与网络安全 第一单元 计算机安全 1.计算机安全面临的严峻形势 从1946年世界第一台计算机诞生以来,计算机已经有了50多年的历程。计算机的应用,特别是计算机网络的应用,呈现出前所未有的社会化趋势。在计算机推动社会发展前进的同时,也面临着形形色色的威胁和攻击。计算机安全问题越来越受到各级领导、专家、技术开发和应用人员的重视。 2.计算机安全问题主要涉及的领域 计算机安全在工作上涉及的领域和它在技术上涉及的领域是不同的。传统认为,在工作上它所涉及的领域可分为三类: (1)党政机关计算机信息系统的安全问题 党政机关的计算机信息系统关系到我国的政治稳定和国计民生,是我国最重要的计算机系统,它的安全问题是最首要的问题,也是公安部最为关心的问题。 (2)国家经济领域内计算机信息系统的安全问题 经济领域内的计算机信息系统对国家的经济命脉起着决定作用,也是影响国家经济持续稳定发展的重要因素。 (3)国防和军队计算机信息系统的安全问题 国防和军队的计算机信息系统是维护国家独立和主权完整的重要保障。 在计算机安全方面,军队与公安部都有相似的机构来负责,同时又有密切的合作。 3. 计算机安全控制的技术手段 从技术上讲,计算机安全问题可以分为三种类型: ● 实体的安全性:实体安全包括环境安全、设备安全和媒体安全,它用来保证硬件和软件本身的安全。 ● 运行环境的安全性:运行安全包括风险分析、审计跟踪、备份与恢复和应急,它用来保证计算机能在良好的环境里持续工作。 ● 信息的安全性:信息安全包括操作系统安全、数据库安全、网络安全、防病毒、访问控制、加密、认证,它用来保障信息不会被非法阅读、修改和泄露。采用先进可靠的安全技术,可以减少计算机信息系统的脆弱性。安全技术是计算机信息系统安全的基础,必须大力发展。 (1)实体安全技术 实体安全技术包括以下内容: ● 电源防护技术:采用良好的屏蔽及避雷措施防止雷电和工业射电干扰;采用稳压电源防止电压波动;采用不间断电源UPS防止突然断电引起设备损坏和数据丢失等损失。 ● 防盗技术:安装报警器、各种监视系统及安全门锁等。 ● 环境保护:按计算机房安全要求采取防火、防水、防尘、防震、防静电等技术措施。 ● 电磁兼容性:采取电磁屏蔽及良好接地等手段,使系统中的设备既不因外界和其他设备的电磁干扰而影响其正常工作,也不因自身的电磁辐射影响周围其他设备的正常工作。 (2)存取控制 存取控制是对用户的身份进行识别和鉴别,对用户利用资源的权限和范围进行核查,是数据保护的前沿屏障,它可以分为身份认证、存取权限控制、数据库保护等几个层次: ● 身份认证:身份认证的目的是确定系统和网络的访问者是否是合法用户。主要采用密码、代表用户身份的物品(如磁卡、IC卡等)或反映用户生理特征的标识(如指纹、手掌图案、语音、视网膜扫描等)鉴别访问者的身份。 ● 存取权限控制:存取权限控制的目的是防止合法用户越权访问系统和网络资源。因此,系统要确定用户对哪些资源(比如CPU、内存、I/O设备程序、文件等)享有使用权以及可进行何种类型的访问操作(比如读、写、运行等)。为此,系统要赋予用户不同的权限,比如普通用户或有特殊授权的计算机终端或工作站用户、超级用户、系统管理员等,用户的权限等级是在注册时赋予的。 ● 数据库存取控制:对数据库信息按存取属性划分的授权分:允许或禁止运行,允许或禁止阅读、检索,允许或禁止写入,允许或禁止修改,允许或禁止清除等。 (3)病毒防治技术 为了避免计算机病毒的感染和传播,应从预防和清除两个方面着手。 首先,应当树立预防为主的思想。要充分利用操作系统中的安全功能和安全机制,加强存取控制,防止非法用户进入。同时,要加强对目前广泛应用的因特网的管理,防止病毒通过网络传播。为防止病毒侵入对信息的破坏,应当经常进行自行检测,并能养成定期替文件做备份的良好习惯。 选用先进可靠的防杀网络病毒的软件。性能良好的防病毒软件应当能够追随病毒的最新发展不断升级,能够同时防杀单机病毒和网络病毒,能够识别病毒的种类和性质,并能够判断病毒的位置。 为保证计算机不受病毒的侵害,应拒绝购买或使用盗版软件和盗版光盘。从最近病毒发生的情况看,盗版软件和盗版光盘是最容易携带病毒的。此外,在使用外来磁盘和从因特网上下载文件之前,也必须进行病毒检查,防止病毒进入自己的计算机信息系统。 (4)防火墙技术 防火墙(Firewall)是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合,使互联网(Internet)与内部网(Intranet)之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成。 防火墙方法有助于提高计算机主系统总体的安全性,因而可使联网用户获得许多好处。防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经过选择的协议通过防火墙,因此,子网网络环境可经受较少的外部攻击。 防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防止非法访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访问。其他的访问政策也都可以通过防火墙程序的设计加以执行。 对一个机构来说,防火墙实际上可能并不昂贵,因为所有的或大多数经过修改的软件和附加的安全性软件都放在防火墙系统上,而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防火墙上,而不是放在每个需要从Internet 访问的系统上。 保密对某些网点是非常重要的,因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用防火墙后,某些网点希望封锁某些服务,如Finger和域名服务。Finger显示有关用户的信息,如最后注册时间、邮件有没有被访问等等。但是,Finger也可能把有关用户的信息泄露给攻击者,所以,防火墙系统不可缺少。 如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报,则还可以提供防火墙和网络是否受到试探或攻击的细节,并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要,还因为它可作为网络需求研究和风险分析的依据。 (5)数据加密 数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。当需要时,可使用密钥将密文数据还原成明文数据,称为解密。这样就可以实现数据的保密性。数据加密被公认为是保护数据传输安全惟一实用的方法和保护存储数据安全的有效方法,它是数据保护在技术上的最后防线。 以数据加密和用户确认为基础的开放型安全保障是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流,只有指定的用户和网络设备才能解译加密数据,从根本上解决网络安全的两大主要需求,即网络服务的可用性和信息的完整性。这类技术在数据传输过程中对所经过的网络路径的安全程度没有要求,不受其影响,从而真正实现网络通信过程中的端到端的安全保障。同时,这类技术一般不需要特殊的网络拓扑结构的支持,实施代价较小,主要体现在软件开发和系统运行维护等方面。可见,数据加密技术是一种普遍适用的、对网络服务影响较少的、并可望成为解决网络安全问题的最终方案。由于大部分数据加密算法源于美国,并且受到美国出口管制法的限制,因而暂时无法在Internet这样的国际网络中大规模使用,但预计几年后这类技术可能成为保障网络安全的主要方式。 (6)其他 除此之外,还有一些其他的安全技术措施。如容错技术,它是为避免由于硬件故障或用户失误等原因而酿成系统故障的一种预防措施。容错就是寻找最常见的故障点,并通过冗余度来加强它们。又如审计跟踪技术,它自动记录系统资源被访问和使用的情况,以备必要时追查和分析。 4. 计算机安全控制制度 计算机安全通常表现在两方面:一个是对计算机系统的安全保护,另一个是对计算机犯罪的防范打击。对计算机系统的安全保护又包括对计算机系统中薄弱环节的检查,即对现有计算机系统和设计中的计算机系统应有的安全检查和安全审查,找出其薄弱环节和安全隐患,对安全隐患及时加以补救,增加计算机系统的安全保护能力。 1994年2月18日,我国颁布了《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》),这是我国的第一个计算机安全法规,是我国计算机安全工作的总体纲领。它标志着我国的计算机信息系统安全治理走上了规范化、法制化的轨道。《条例》不仅明确提出?quot;计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。”而且具体提出了计算机信息系统安全保护的8项具体制度,使我国计算机信息系统安全保护更加规范化、具体化。 (1)计算机信息系统安全等级保护制度 《条例》第9条指出:”计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。” 将计算机信息系统的安全划分为不同的等级,目的在于对计算机信息系统进行”恰如其分”的保护。所谓恰如其分,就是指对计算机信息系统的安全保护,在人力、物力和财力等方面,按其安全等级的实际需要和必要,进行确定针对性的适当投入。 计算机信息系统的安全保护措施,必将随其安全等级的不同而有明显的差别。可以认为,没有规范的安全等级的划分,就难以实施恰当有效的计算机信息系统安全保护。 (2)计算机机房安全管理制度 计算机机房是安装计算机信息系统主体的关键场所,尤其在供电、信息的干扰和泄露等方面,是计算机信息系统安全保护工作的重点之一。 对计算机机房的技术条件及设计、施工和验收,我国制定了一系列的标准,对计算机机房的场地及环境条件也提出完整的安全要求。《条例》第10条明确规定:”计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全。” 在该款条例中,不仅对计算机机房的所在单位提出了要求,对其相邻单位的施工也规定其必须遵守的行为规范,也就是负有不得危害相邻单位计算机信息系统安全的责任和义务。这类施工单位应当主动接受主管计算机信息系统安全的公安机关和城建、规划部门的指导和协调,在维护计算机信息系统安全的大前提下,齐心协力,出谋划策,做好计算机信息系统的安全保护工作。 (3)计算机信息系统国际联网备案制度 《条例》第11条规定:”进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。” 计算机信息系统国际联网备案制度是保障联网单位信息系统安全的首要措施,是保障跨越国境数据流安全的强有力的手段。目前,许多发展中国家和发达国家对跨越国境数据流都有相应的规定。 计算机信息系统国际联网备案,仅是一种手段,而不是目的。1997年12月16日以公安部33号令发布的、经国务院批准的《计算机信息系统网络国际联网安全管理办法》明确规定:”公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。”公安机关依此做好国际联网的安全保护管理工作。 (4)计算机信息媒体进出境申报制度 《条例》第12条规定:”运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。”这是坚持改革开放,保护我国政治、经济秘密的一项有力措施,是行使国家主权的一个重要方面。 作为重要信息载体的计算机信息媒体的使用已经越来越普遍,记录的信息容量也越来越大,一张极普通的3英寸1.44MB的软盘,可以轻而易举地记录下500万汉字,并且携带方便。向海关如实申报进出境的计算机信息媒体,是维护我国信息安全的基础性工作,计算机信息媒体进出境单位、海关和公安机关计算机管理监察部门应当共同负起安全管理的责任。 (5)计算机信息系统使用单位安全负责制度 《条例》第13条规定:”计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。” 计算机信息系统各不相同,使用的安全技术、安全管理手段也是千差万别。将计算机信息系统安全的责任放到各单位、各部门,有利于各个使用单位按照《条例》规定,高度重视计算机信息系统的安全保护工作,认真落实计算机信息系统的安全责任制,自觉做好计算机安全保护工作。 公安机关计算机管理监察部门,应检查、指导各使用单位搞好计算机安全保护工作。 (6)计算机案件强行报告制度 《条例》第14条规定:”对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。” 查处危害计算机信息系统安全的违法犯罪,是各地公安机关的职责。计算机案件24小时强行报告制度,是迅速及时地侦察计算机犯罪案件的重要保障。 计算机案件强行报告制度是吸取了国外的经验教训而制定的。根据国外几十年对付计算机犯罪的经验,计算机犯罪与传统的盗窃、抢劫等相比,犯罪行为有更大的隐蔽性、不易觉察、不易侦察,只有迅速报案才能有利于保护现场,查找线索。只有报告每一起案件,才有利于归纳分析每一时期的计算机犯罪的特点,从而有针对性地采取预先防范和及时打击的措施。 计算机信息系统的应用十分广泛,所发生的计算机安全事件更是多种多样。有的使用单位认为只有计算机案件才需要报告,这样就错误地垄断了计算机案件的判断权,是非常错误的。因此,一旦发现问题,一定要先报告,至于是否为计算机案件,应如何处理,就由国家政法部门做出判断。 (7)计算机病毒及其有害数据的专管制度 《条例》第15条规定:”对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。” 计算机病毒和危害社会公共安全的其他有害数据要由公安部归口管理。这是由于计算机病毒所破坏的是计算机信息系统健康的”肌体”,有害数据则是含有攻击人民民主专政、社会主义制度、攻击党和国家领导人、破坏民族团结等危害国家安全内容的信息,含有宣传封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安的内容;或者是危害计算机信息系统运行和功能发挥以及应用软件、数据的完整性、可用性和保密性,以及用于违法活动的包括计算机病毒在内的计算机程序。所以,只有建立一个强有力的专管制度,由国家专政机关负责实施,才能确保计算机信息系统的安全。 (8)计算机信息系统安全专用产品销售许可证制度 《条例》第16条规定:”国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。” 计算机信息系统安全专用产品是用来保护计算机信息系统安全的专用的硬件和软件产品,如网络防火墙、防病毒软件等。计算机信息系统安全专用产品的技术性、时效性非常强,且关系到整个计算机信息系统的可靠性问题。因此实行许可证销售,有利于加强安全专用产品的管理,确保这些专用产品本身具有可信、可靠的安全功能;有利于保护国家的主权和安全;有利于保证整个信息社会的正常运转。 5. 用于防范计算机犯罪的法律手段 我国的新《刑法》确定了计算机犯罪的五种主要形式: ①违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统; ②对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行; ③对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作; ④故意制作、传播计算机病毒等破坏性程序,影响计算机系统的正常运行; ⑤利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯罪行为等。 新《刑法》有关计算机犯罪的规定,是惩处计算机犯罪最有力的武器和最基本的依据: ● 根据《刑法》第285条的规定,犯非法侵入计算机信息系统罪的,处三年以下有期徒刑或者拘役。 ● 根据《刑法》第286条第1款的规定,犯破坏计算机信息系统功能罪的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 ● 根据《刑法》第286条第2款的规定,犯破坏计算机信息系统数据、应用程序罪的,依照第286条第1款的规定处罚,即处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 ● 根据《刑法》第286条第3款的规定,犯制作、传播计算机破坏性程序罪的,依照第286条第1款的规定处罚,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
第六章 电子商务安全基础知识 第一节 计算机与网络安全 第二单元 网络安全知识 1. 因特网安全面临的严峻形势 20世纪90年代以来,计算机进入到网络应用阶段,呈现出前所未有的社会化趋势。在因特网有力地推动社会发展前进的同时,其也面临着越来越严重的威胁和攻击。因此网络安全问题越来越受到各级领导、专家、技术开发和应用人员的重视。 今天,我们已经实实在在地感觉到网络安全问题的严重性。1999年4月19日至21日,由于温保成、王飞等人非法在因特网电子公告牌上张贴帖子、散布谣言,导致了郑州交通银行的挤兑事件。1999年4月26日,我国遭受CIH病毒的大规模侵袭,据有关部门估计,遭到破坏的计算机达到25万台。1998年10月27日,”中国人权研究会”的网页遭到黑客袭击,同时被袭击的还有”中国西藏”网页,这两个网站的网页都被严重篡改,具有明显的政治目的。从网络犯罪的情况看,最近几年也一直呈现出递增趋势,而且,还有大量尚未被发现和发现了而未报告的网络案件。这一点和国外情况非常类似,都具有高黑数特点。 1999 年4月,美国著名的英特尔(Intel)公司推出功能强大的奔腾Ⅲ处理器。这种计算机处理器设置了序列号功能,按照英特尔公司的解释,这种功能通过对每台使用P-Ⅲ处理器的计算机进行标识,从而帮助提高系统的安全性、易管理性和信息的可管理性以及改善在授权、访问、跟踪方面的功能,使企业更好地掌握资源情况。然而,当奔腾Ⅲ处理器真正进入中国市场后,人们发现,每一台使用奔腾Ⅲ处理器的计算机,只要进入因特网,英特尔公司就可以利用序列号功能迅速识别该机所处的位置和用户身份,从而使任何一台使用奔腾Ⅲ处理器的计算机无秘密可言,造成极大的安全隐患。为此,信息产业部主管司局的领导分别紧急召集了国内相关的PC生产厂商、部分部委信息中心的负责同志开会,听取各方面的意见,研讨相应的对策。 信息产业部主管业务司局的领导指出:“作为行业主管部门,我们觉得国家的利益高于一切,我们首先得对国家各级政府部门信息系统的安全负责任,必须高度重视各类电子信息产品(硬件、软件)和系统本身的安全问题。我们做了认真的调查,了解了奔腾Ⅲ芯片、Windows98及有关服务器等不同公司的产品存在的安全隐患,以及媒体和美国用户对P-Ⅲ序列号这件事的态度,包括美国政府目前尚未批量采用奔腾Ⅲ的情况。我们的意见是:要求国内PC生产厂家要关闭P-Ⅲ序列号功能;在华销售的同类产品必须经过检测;安装了奔腾Ⅲ处理器的PC机政府部门不得直接连入互联网。各级政府机关,包括关键部门和行业,如电信、银行、财税、军事和其他要害部门,购买装有奔腾Ⅲ处理器的计算机时,必须把序列号关闭。即使关闭了序列号,也只能单机或内部联网使用,决不允许把政府机关的OA网直接用来上互联网。 ” 2. 网络安全主要涉及的领域 随着计算机技术的飞速发展和网络技术的广泛普及,互联网安全问题成为最为热门的安全问题,任何国家都对互联网上的安全性给予了极大的重视。我国同其他国家一样,也规定了专门的管理部门,并投入相当的人力来研究互联网的安全问题。网络安全在工作上涉及的领域和在技术上涉及的领域是不同的。一般认为大致可以分为3个领域: (1)社会经济领域 在社会经济领域中,主要是党政机关的网络安全问题,它关系到我国的政治稳定和国计民生。国家经济领域内的网络安全问题,它对国家经济持续稳定发展起着决定作用。国防和军队网络安全问题,关系到国家安全和主权完整。 (2)技术领域 在技术领域中,网络安全包括实体安全,用来保证硬件和软件本身的安全;运行安全,用来保证计算机能在良好的环境里持续工作;信息安全,用来保障信息不会被非法阅读、修改和泄露。 (3)电子商务领域 21世纪,网络上的电子商务应用将渗透到我国经济生活的各个方面,电子商务交易安全将直接影响到整个国民经济的正常运行,影响到亿万买卖双方的切身利益。所以有效保护银行、企业和个人的各种权益,防止不良行为和恶意侵袭,已经成为计算机网络安全保护的一个新的重点。 3. 防火墙简介 防火墙是用来对两个或多个网络之间的互相访问实行强制性管理的安全系统,通过屏蔽未授权的网络访问等手段把内部网络隔离为可信任网络,同时也可以用来把内部可信任网络对外部网络或其他非可信任网的访问限制在规定范围之内。防火墙的安全性能是根据系统安全的要求而设置的,因系统的安全级别不同而有所不同。 从总体上看,防火墙应具有以下五大基本功能: ① 过滤进出网络的数据包; ② 管理进出网络的访问行为; ③ 封堵某些禁止的访问行为; ④ 记录通过防火墙的信息内容和活动; ⑤ 对网络攻击进行检测和告警。
第六章 电子商务安全基础知识 第二节 电子商务安全管理制度 第一单元 网络安全的法律保障 1.利用新《刑法》打击网络犯罪 我国目前还没有关于网络安全的专门立法,但1997年10月1日施行的新《刑法》已经增加了计算机犯罪的新内容,并将计算机犯罪分为两大类五种类型。一类是直接以计算机信息系统为犯罪对象的犯罪,包括非法侵入计算机信息系统罪,破坏计算机信息系统功能罪,破坏计算机信息系统数据、应用程序罪,制作、传播计算机破坏程序罪。另一类是以计算机为犯罪工具实施其他犯罪,如利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密、经济情报或商业秘密等。在我国有关计算机法律、法规尚不完善的情况下,把计算机犯罪列入《刑法》无疑是我国立法观念的历史性突破,表明超前立法的观念渐趋主流。这对于我国计算机大规模的推广应用,对于保护计算机生产者和使用者的合法权益,对于计算机系统和计算机网络的安全运作都具有极为重要的作用。这些规定,对于网络犯罪同样适用。 利用网络犯罪,已经成为刑事犯罪的一种新形式。加大对网络犯罪的打击力度,是保证我国社会稳定、经济持续发展的一项重要任务。随着各个单位和部门对网络依赖程度的增强,网络犯罪也急剧增加,只有增加警力,提高网络警察的技术素质和装备水平,加速网络犯罪的侦破,依法从快从重的打击网络犯罪,才能在网络这一虚拟社会中营造一个稳定、安全的运行环境。 2.不断完善地方性网络安全管理行政法规 由于计算机网络发展速度极快,而全国性的网络安全法律的出台常常滞后,这就需要相应的地方性行政法规出台,以弥补全国性法律的时滞。河南省公安厅近两年先后出台了相应的管理文件,郑州市公安局也出台了加强网络安全管理的具体规定。这些法规文件不仅为加强计算机安全控制提供了方向性指导,而且提供了具体操作措施。各级政府和公安部门应当继续重视这一工作,不断随计算机技术的改进而修正已经颁布的条款,以适应计算机及其网络应用发展的需要。 3.加大法制宣传力度,提高全民族的网络安全意识 计算机网络已经在全社会普及,网络安全也日益关系到每一个人的切身利益。当自己的计算机被病毒侵害,被黑客入侵,而造成数据丢失、硬盘烧毁时,人们都会感到极度的痛苦和愤怒。如果发生在电子商务活动中,还会造成直接的经济损失。对于一个单位、一个国家来说,网络系统出现问题,破坏的影响面会更大,损失会更严重。所以,我们必须从战略高度认识这一问题,在各个应用领域、教育层次开展网络安全教育,普及网络安全知识,宣传网络安全法律法规,使人们的安全意识跟上计算机网络飞速发展的步伐。