软考电子商务笔记（二）概论，信息安全7. 电子商务概论 1、电子商务概念 3、四流及四流关系:商流是动机和目的，资金流是

7. 电子商务概论

1、电子商务概念

1、电子商务的概念:电子商务通常是指在网络环境下，买卖双方不需见面，实现网上交易、在线支付以及相关综合服务的一切活动，是完全创新的或者在一定程度上协同了传统商务流程的一种以信息化手段应用为典型特征的商业运营模式。互联网技术+商务活动=电子商务

3、四流及四流关系:商流是动机和目的，资金流是条件，信息流是手段，物流是终结和归宿。

2、EDI

1、基本概念:EDI即电子数据交换，是企业和企业之间，通过电子方式，按照标准格式，从应用系统到应用系统的商业单证的传输，是一种利用计算机进行商务处理的方法。
(Electronic Data Interchange,电子数据交换)描述为:“将商业或行政事务处理国际标准化组织将EDI按照一个公认的标准，形成结构化的事务处理或信息数据结构，从计算机到计算机的数据传输”。

EDI的标准包括EDI网络通信标准、EDI处理标准、 EDI联系标准和EDI语义语法标准等。

EDI网络通信标准是要解决EDI通信网络应该建立在何种通信网络协议之上，以保证各类EDI9用户系统的互联。
EDI处理标准是要研究不同地域、不同行业的各种EDI报文共有的“公共元素报文”的处理标准。它与数据库、管理信息系统(如MPRII)等接口有关。
EDI联系标准解决EDI用户所属的其他信息管理系统或数据库与EDI系统之间的接口
EDI语义语法标准(又称EDI报文标准)是要解决各种报文类型格式、数据元编码、字符集和语法规则以及报表生成应用程序设计语言等。这里的EDI语义语法标准又是EDI技术的核心。

EDI的工作流程

发送方计算机应用系统生成原始用户数据，发送报文的数据影射与翻译。
第一步影射程序将用户格式的原始数据报文展开为平面文件，以便使翻译程序能够识别。
第二步，翻译程序将平面文件翻译为标准的EDI格式文件。平面文件是用户格式文件和EDI标准格式文件之间的中间接口文件。

4. EDI的组成部分 EDI系统的软件组成包括以下几个部分:

用户接口模块:业务管理人员可用此模块进行输入、查询、统计、中断、打印等，及时地了解市场变化调整策略。
内部接口模块:这是EDI系统和本单位内部其他信息及数据库的接口。
报文生成及处理模块:该模块有两个功能，
- 其一是接受来自用户接口模块和内部接口模块的命令和信息按照EDI标准生成订单、发票等各种EDI报文和单证，经格式转换模块处理之后，由通信块经EDI网络发给其他EDI用户:
- 其二是自动处理由其他EDI系统发来的报文转。
格式转换模块:所有的EDI单证都必须转换成标准的交换格式，转换过程包括语法上的压缩、嵌套、代格:码的替换以及必要的EDI语法控制字符，在格式转换过程中要进行语法检查，对于语法出错的EDI报文应拍收并通知对方重发。
通信模块:该模块是EDI系统与EDI通信网络的接口。

3、电子商务模式

1、电子商务的分类

企业内部网络:企业拥有的采用与互联网相同的TCP/IP协议的局域网，可将局域网接入，形成一个企业内部的虚拟网络，
企业外部网络:它是在企业已有的互联网商务基础上扩展而成的，完全采用互联网技术。企业借助Extranet商务与上下游协作厂家建立更加紧密的伙伴关系。

3、盈利模式

(1)会员费。企业向平台缴纳会员费，目前会员费已成为我国B2B网站最主要的收入来源
(2)广告费。网络广告是门户网站的主要盈利来源，同时也是B2B电子商务网站的主要收入来源。这一领域的典型代表有TOXUE外贸网、阿里巴巴、ECW 等。
(3)竞价排名。企业为了促进产品的销售，都希望在B2B网站的信息搜索中将自己的排名靠前，而网站在确保信息准确的基础上，根据会员交费的不同对排名顺序做相应调整。
(4)增值服务。B2B网站通常除了为企业提供贸易供求信息以外还有一些如企业认证、独立域名、提供行业数据分析报告、搜索引擎优化等增值服务。
(5)线下服务。其主要包括展会、期刊、研讨会等。
(6)商务合作。它包括广告联盟、行业协会合作、传统媒体的合作等。
(7)按询盘付费。它区别于传统的会员包年付费模式，按询盘付费模式是指从事国际贸易的企业按照海外推广带来的实际效果，也就是海外买家实际的有效询盘来付费。
- 其中询盘是否有效，主动权在消费者手中，由消费者自行判断，来决定是否消费。
- “按询盘付费”有四大特点:零首付、零风险;主动权、消费权;免费推、针对广;及时付、便利大。广大企业不用冒着“投入几万元、十几万元，一年都收不回成本”的风险，零投入就可享受免费全球推广，成功获得有效询盘后，辨认询盘的真实性和有效性后，只需在线支付单条询盘价格，就可以获得与海外买家直接谈判成单的机会，主动权完全掌握在供应商手里。

(二)B2C模式

B2C即Business To Consumer (商家对个人)，就是电子商务按参与对象分类中的一种，即表示企业对消费者的电子商务，这种形式的电子商务一般以网络零售业为主，主要借助于Internet开展在线活动，是企业通过互联网为消费者提供的一个新型的购物环境--网上商店。消费者通过网络进行全部的贸易活动。
B2C模式的分类

(1)综合型B2C:如卓越亚马逊，可在现有品牌信用的基础上，借助母公司亚马逊国际化的背景，探索国际品牌代购业务或者采购国际品牌产品进行销售等新业务。
(2) 垂直型B2C:核心领域内继续挖掘新亮点。积极与知名品牌生产商沟通与合作，化解与线下渠道商的利益冲突，扩大产品线与产品系列，完善售前、售后服务，提供多样化的支付手段.
(3) 传统生产企业网络直销型B2C:如网上销售所有产品系列，而传统渠道销售的产品则体现地区特色;实行差异化的价格;线上产品也可通过线下渠道完善售后服务。
(4)第三方交易平台型B2C4
(5)传统零售商网络销售型B2C:通过业务外包解决经营电子商务网站所需的技术问题，典型代表就是国美

4、电子商务发展的基本原理与规律

一.双边市场

双边(更一般地说是多边)市场是一个或几个允许最终用户交易的平台，通过适当从各方收取费用使双边(或多边)保留在平台上，两组参与者需要通过中间层或平台进行交易，而且一组参与者加入平台的收益取决于加入该平台另一组参与者的数量。
双边市场具有鲜明的特点:

① 存在两组参与者之间的网络外部性，即市场间的网络外部性;
②采用多产品定价方式。中间层或平台必须为它提供的两种产品或服务同时进行定价。 3、双边市场在现实世界中的存较为广泛。
(1)从市场功能来分类。目录服务，如分类目录、黄页等:配对市场如就业站点、婚姻中介等;支付安排，如借记卡和信用卡等;搜索引擎，如Google、Yaho0、百度等;交易地点，如拍卖、B2B市场、汽车展览和跳蚤市场等。
(2)从市场的复杂程度来分类。简单双边市场，如报纸、无线电视、广播等，往往只由三类参与者组成,复杂双边市场，如信用卡系统、电信、Internet等，由更多的参与者组成。
(3)从平台的竞争情况来分类。垄断者平台，市场上只有一个平台可供选择;竞争性平台，有多个平台可供选择，但每一参与者只能选择其中一个平台。
(4)从平台的功能来分类。
- 第一类由中介市场组成，其中平台起到两边之间匹配者的作用。这类包括约会服务、不动产代理商、因特网B2B、拍卖行和股票交易系统。
- 第二类是听众制造市场，其中平台发挥市场制造者的作用，即把成组的购买者与成组的销售商匹配起来。这一类市场有黄页目录、电视、报纸和因特网门户网站。
- 第三类是共享的投入市场。最具代表性的例子是计算机软件、服务器和视频游戏。
- 第四类是基于交易的市场。这一类与前面三类的区别是，这里平台能够测量市场两边的所有交易。因此他们面临个两阶段问题:在第一阶段他们需要把两边拉到一起;在第二阶段他们需要鼓励两边交互作用，即产生尽可能多的交易。

四、电子商务发展的规律

摩尔定律

“摩尔定律”是关于网络最早也是被人们最广泛认知的一个定律。1965年，戈登·摩尔(GordonMoore)在名为Electronics的杂志上发表论文《让集成电路填满更多的组件》，预言当价格不变时，计算机半导体芯片上集成的晶体管数量和电阻数量将会每12个月增长一倍，性能也会提升一倍。
案例小米，先将性能最好的一面展示给用户，但交货期到半年后才正常供应。

反摩尔定律

2006年，前Google的CEO埃里克·施密特在一次采访中提出:你反过来看摩尔定律，一个IT公司如果今天和18个月前卖掉同样多的产品，它的营业额就要降一半。IT 界把它称为反摩尔定律。
反摩尔定律对于所有的IT公司来讲，都是非常可怕的，因为一个IT公司花了同样的劳动，却只得到以前一半的收入。反摩尔定律逼着所有的硬件设备公司必须赶上摩尔定律所规定的更新速度，而所有的硬件和设备生产厂活得都是非常辛苦的。
曾经引领风骚的太阳公司就是受反摩尔定律影响的著名例子，其由于无法跟上整个行业的速度，被 IT生态链上游的软件公司甲骨文并购了。AMD要不是因为政府对英特尔反垄断的限制，恐怕也已经不存在了。

吉尔德定律

“吉尔德定律”，是由被誉为数字时代三大思想家之一的乔治·吉尔德(George Gilder)提出。
1996年，吉尔德预言未来25年的时间里。互联网主干网的带宽的增长速度将会达到每六个月增长一倍，远大于摩尔定律预测的芯片上半导体的增长速度。

梅特卡夫定律

网络价值以网络节点数平方的速度增长，当网民人数出现增长时，网络资源并不会由于人数的增加，而使得每人得到的网络资源减少，相反网络的价值会出现爆炸式的增长，而使得每个人都可以得到更多的资源。
网络价值可用公式表示为K*N的2次方，其中N为节点数，K为网络价值系数。

沃维多定律

1992年，达维多(Davidow)认为，任何企业在本产业中都必须不断更新地自己的产品。

锁定效应

锁定效应是指经济行为主体从一个系统转换到另一个系统时，将发生转移成本，当转移成本过高时，经济行为体将会被局限在原来的系统之中。
其本质是你将来的选择受到现在类似选择的约束。锁定现象可以发生在用户身上，也可以发生在企业身上。

安迪-比尔定律(Andy and Bi's Law)

安迪-比尔定律是对IT产业中软件和硬件升级换代关系的一个概括。上世纪90年代从一个计算机会议中流传出一句名言:Andy gives,Bill takes away.(安迪提供什么，比尔拿走什么)。
硬件提高的性能，很快被软件消耗掉了。

5、电子商务产业政策与发展机遇

1.互联网+行动计划

中国在推动信息化、电子商务创新发展方面已经出台和正在制定一系列的政策。李克强总理在2015年两会的政府工作报告中提出要制定:“互联网+行动计划”的要求，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业豆联网和互联网金融健康发展，引导互联网企业拓展国际市场。

一带一路

互联网的普及加速了电子商务的发展进程，我国电子商务的发展规模和速度均为世界第一，对国内经济影响重大首先，电子商务成为经济增长点，较之实体经济，电子商务的增长速度持续处于高位，对遭受金融危机冲击的国内经济起到了拉动作用。新常态下，我国宏观经济转入按规律以适宜方式演进的结构性减速轨道，一带一路作为传承和创新古丝绸之路的战略，对干缩小亚太经济圈至欧洲经济圈广大区域内的发展差距意义重大，为我国提供了巨大的机遇。

智能制造

《中国制造2025M智能制造发展规划(2016,2019)》《国家智能制造标准体系建设指南(2018年版)》等系列产业政策的密集出台为中国智能制造行业的快速发展提供支持与保障。

人工智能行动计划

《新一代人工智能发展规划》是为抢抓人工智能发展的重大战略机遇，构筑我国人工智能发展的先发优势，加快建设创新型国家和世界科技强国，按照党中央、国务院部署要求制定。由国务院于2017年7月8日印发并实施。

5、跨境电子商务

定义:指分属不同关境的交易主体，通过电子商务平台达成交易、进行支付结算，并通过跨境物流送达商品完成交易的一种国际商业活动。特点:
(1)全球性。
(2)无形性。网络的发展使数字化产品和服务的传输盛行。而数字化传输是通过不同类型的媒介，例如数据声音和图像在全球化网络环境中集中而进行的，这些媒介在网络中是以计算机数据代码的形式出现的，因而是无形的。
(3)匿名性。由于跨境电子商务的非中心化和全球性的特性，因此很难识别电子商务用户的身份和其所处的地理位置。
(4)即时性。对于网络而言，传输的速度和地理距离无关
5)无纸化。电子商务主要采取无纸化操作的方式，这是以电子商务形式进行交易的主要特征
(6)快速演进。

8 .电子商务信息安全

1、信息安全特性与安全体系

信息安全的基本要素有:机密性、完整性、认证性、不可抵赖性、可控性、可审查性、实效性

机密性:确保信息不暴露给未授权的实体或进程。
完整性:只有得到允许才能修改数据，并且能够判别出数据是否已被篡改
认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体进行身份性确认成了电子商务中很重要的一环。对人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。
不可抵赖性:信息抵赖涉及多个方面，如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者发了订货信息却不承认;销售者卖出商品却因价格差而不承认原有交易等。
可控性:可以控制授权范围内的信息流向及行为方式。如监控系统
可审查性:对出现的网络安全问题提供调查的依据和手段。如日志
信息的时效性:信息的时效性是指信息的新旧程度、行情最新动态和进展。

二、电子商务安全体系(必须掌握)

2、计算机病毒

三、常见病毒类型

3、防火墙与入侵检测技术

二、入侵检测技术

入侵检测是一种主动保护计算机免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全能力(包括安全审计、监视、攻击识别和响应)，提高了系统安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测。

入侵检测的组成:

(1)事件产生器:负责原始数据的采集部分，它对数据流、日志文件等进行追踪，然后将搜索到的原始数据转换为事件并向系统的其它部分提供此事件。
(2)事件分析器:接收事件，然后对它们进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为警告信息。
(3)事件数据库:是存放各种中间和最终数据的地方。从事件产生器或事件分析器接收数据，一般将数据进行较长时间的保存。它可以是简单的文本文件，
(4)响应单元:根据警告信息作出反应。

入侵检测系统(Intrusion-detection system,IDS)一般有两种分类方法，一种是基于数据源的分类，另一种是基于检测方法的分类。

(1)基于数据源的分类。IDS首先需要解决的问题是数据源，或者说是审计事件发生器。
(2)IDS根据其检测数据来源可分为两类，分别是基于主机的IDS和基于网络的IDS。
- ① 基于主机的IDS必须具备一定的审计功能，并记录相应的安全性日志;
- ② 基于网络的IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内和对外的数据包

三. 网络安全威胁

电子商务系统所面临的安全威胁主要包括:

① 身份窃取:指用户的身份在通信时被他人非法截取。
非授权访问:指对网络设备及信息资源进行非正常使用或越权使用。
冒充合法用户:指利用各种假冒或欺骗手段非法获取合法用户资源的使用权限，以达到占用合法用户资源的目的。
数据窃取:指非法用户截取通信网络中的某些重要信息，
破坏网络的完整性:指使用非法手段，更改某些重要信息，以干扰用户正常使用。
拒绝服务:指通信被中止或实时操作被延迟。电子邮件炸弹使用户在短时间内收到大量的无用邮件，从而影响正常业务。这种攻击方式属于拒绝服务。
DDOS(Distributed Denialof Service,即 "分布式拒绝服务”)的主要目的是阻止合法用户对正常网络资源的访问。
- DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，
- 分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”
常见的DDOS攻击手段有 SYN Flood、 ACK Flood等
其他
- 木马:木马(Trojan),也称木马病毒，是指通过特定的程序木马程序来控制另一台计算机。木马通常有两个可执行程序，一个是控制端，另一个是被控制端
- IP欺骗:IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网，而借用另外一台机器的IP地址，从而冒充另外一台机器与服务器打交道。
- 暴力攻击:是指攻击者提供系统的组合所有可能性，尝试所有可能去破解用户账号，密码等私密信息，通常会用自动化的脚本组合正确的用户名和密码。
- 缓存溢出攻击:是指在存在缓存溢出安全漏洞的计算机中，攻击者可以用超出常规长度的字符数来填满个域，通常是内存区地址。
- 钓鱼网站是指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

4、对称加密和非对称加密

5、数据备份

备份的状态分为物理备份和逻辑备份。

物理备份:是将实际物理数据库文件从一处复制到另一处所进行的备份。物理备份又分为冷备份和热备份。

冷备份:关闭数据流并对数据库内的文件进行备份，是一种脱机备份。也被称为离线(脱机)备份是指在关闭数据库并且数据库不能更新的状况下进行的数据库完整备份。并可对数据进行指定恢复。
热备份:在数据库打开和用户对数据库进行操作的状态下进行的备份，是一种联机备份和实时备份。

按备份数据量，可以分为完全备份、增量备份、差分备份:按需备份。

完全备份:对整个服务器系统进行备份。花费的时间最长、成本也比较高
增量备份:每次备份的数据是相对上一次备份后增加和修改的数据。
差分备份:是相对上一次完全备份之后增加和修改的数据。
按需备份:根据需要有选择地进行数据备份.

6、电子信封、数字摘要、数字签名

数字信封是实现信息完整性验证的技术，通常通过使用接收方的公钥对对称密钥来进行加密，以保证对称密钥的安全性。

数字摘要

三、数字签名

数字签名是一种类似写在纸上的普通物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。

数字签名是将对称密钥通过非对称加密的结果分发对称密钥的方法。
数字签名是用来表明数据发送方身份，签名后就可以知道数据是由谁发出的。谁发送，用谁的私钥进行签名。
数字签名技术有效解决了电子商务交易活动中信息的完整性和不可抵赖性问题。
数字签名技术可以用于用户身份或信息的真实性进行验证，通过数字摘要算法保证数据传输的不可抵赖性、真实性和完整性。即解决了抵赖、伪造和篡改。
数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要，然后用Hash函数对收到的原文产生一个摘要，与解密的摘要对比，如果相同则说明收到的信息是完整的，在传输过程中没有被修改，否则，就是被修改过，不是原信息。同时也证明发送者发送了信息，防止了发送者的抵赖。实现数字签名的主要技术是非对称密钥加密技术。但是，数字签名并不能保证信息在传输过程中不被截获。

三、数字签名