【电子商务师培训资料】电子商务系统管理.ppt

电子商务系统管理,日常管理安全管理相关人力管理,第一节商务网站的运行策略和规划,本节主要介绍了网站运行策略、组织形式和管理方式，并对运行数据的分析处理方法进行了说明,本节主要内容,数据管理,软件管理,硬件管理,组织管理,信息管理,一、商务网站运行的策略和规划,ITSM管理,硬件管理规划,软件管理规划,数据管理规划,1、硬件和软件管理的主要内容,网络设备,业务计算机,操作系统,服务器软件,业务系统软件,（1）硬件管理规划,硬件维护的两种类型：定期的设备保养性维护突发性的故障维修,（2）软件管理规划,操作系统维护和升级服务器软件管理Web服务器软件数据库服务器软件业务服务器软件网站业务软件维护纠错性维护适应性维护完善性维护预防性维护,2、数据管理规划,网站权限管理网站文件管理网站内容管理网站统计管理,3、ITIL管理,ITIL管理又称ITSM，是国际通行的对信息系统的管理标准，它为企业实施IT管理提供了一个标准框架。它主要包括以下内容：IT运营管理IT战术管理,（1）IT运营管理,突发事件管理问题管理变更管理配置管理应用发布管理,（2）IT战术管理,服务级别管理IT服务财务管理IT服务连续性管理能力管理可用性管理,（3）ITSM整体实施框架和步骤,识别和定义当前、现存的IT基础设施，业务流程和服务找出未来需要的IT技术和迫切需要提供的服务水平根据当前状态和未来期望状态，描绘出从当前的状态到未来需要实现状态的路径具体的决定路径上的每一步应该如何进行，具体该如何走,4、内容管理和CMS软件,内容管理是网站管理的核心部分，不同规模的网站有着不同的内容管理方法。当前大多数网站采用内容发布系统进行网站的管理CMS软件是针对大型网站的内容管理的要求专门设计的软件，适用于网页多、栏目多、访问量大的网站,（1）CMS软件的功能,网页内容、数据库内容抓取和自动复制功能所见即所得的网页编辑功能多人更新、协同工作及网页版本控制功能与其他系统如Office、OA、ERP、CRM等系统的集成功能按业务要求发布各种类型的网页功能网站内容审批功能站点部署和内容复制,（2）选择CMS软件的原因,网站的栏目不断增加，需要发布的信息量巨大。网站需要管理人员做大量的修改网站的访问量不断增加，原有服务器很难支撑大量动态的网页产生网站需要处理大量的第三方信息来源,(3)CMS产品的种类,商业化产品TurboCMS产品价格较为昂贵开源免费产品完全免费的开源CMS软件OpenCMS免费的产品在功能上往往略有欠缺,二、商务网站运行管理制度制订和实施,主要内容,网站运行维护人员岗位划分网站运行管理制度的制定原则和内容网站维护制度的实施过程网站组织结构的特点,1、岗位划分,网站设备管理员操作系统管理员应用服务器软件管理员数据库管理员网页维护员网站安全管理员网站内容管理员网站数据分析员,2、网站运行管理制度,人员管理制度安全、保密制度日常维护制度数据处理和更新制度跟踪、审计、稽核制度应急制度,3、网站管理团队建立,由业务人员和技术人员共同构成,4、网站管理制度的实施,提交维护申请报告维护部门审批、修改维护申请报告维护管理员制订维护计划系统管理员执行维护计划维护工作验收维护记录的编写维护范围的限定,5、商务网站的系统管理总则,系统管理总则保障网站业务流程的正常运行，同时保证所有员工的应有利益，并对鼓励其主动性和创造性，强化员工和公司之间的沟通和联系，主要包括：维护原则网站的运行管理制度应同时维护企业和员工的基本利益警示原则为了能够保证网站的正常运行，避免在运行过程中出现问题，管理制度应具有预防作用，这就要求在管理制度的制定中要具有相应的禁止条例激励原则网站运行管理制度应能够激发员工的主人翁责任感，并且应对员工的创新进行奖励,6、管理制度与企业文化,企业文化企业文化的广义和狭义两种含义广义的企业文化是指企业所创造的具有自身特点的物质文化和精神文化狭义的企业文化是企业所形成的具有自身个性的经营宗旨、价值观建和道德行为准则的综合管理制度建立在假定人具有相同本质上基础上管理制度在执行中，主管人员应该承认个人的特殊性，才能发挥员工的潜在能力。,7、企业组织结构,管理层次和管理幅度主要掌握管理层次的划分标准和管理幅度的制定原则。职能机构设置掌握智能机构设置的原则，即使纵向管理单位和横向职能机构之间，形成分工协作、协调配合的关系。集权与分权目前的组织结构中，以董事会为最高权力机构的情况较为常见。,8、网站的组织结构,组织结构的特点网站主要以扁平化和网络化的组织结构为主主要组织形式直线式组织结构按职能部门进行划分适用于较小网站矩阵式组织结构按职能系列和项目系列构成矩阵式组织结构适用于较大的网站,三、网站信息管理,主要内容,运行信息,决策信息,数据挖掘,成本管理,系统分析报告,1、运行信息管理,运行信息的分类业务性数据是指在企业业务进行过程中所产生的数据，一般由各个企业中的各职能部门进行处理决策性数据在业务性数据的基础上，产生的可以供管理者进行决策的数据,业务信息向决策信息的转化,2、数据挖掘技术,数据挖掘是利用相关的数据分析工具及算法，分析企业在运行过程中产生的业务型数据，将这些数据转换为决策性数据的一种方法分类。,（1）主要内容,分类估值预测关联规则聚类描述和可视化,（2）数据仓库,建立数据仓库是进行数据挖掘的基础，数据仓库也是数据库的一种应用，主要特点包括：面向主题数据源多样化数据以时间为轴线进行组织，存入数据库之后不会发生修改或删除等操作,（3）数据挖掘的步骤,分析Web服务器日志和代理(Proxy)服务器端日志Web服务器日志和代理服务器日志中的内容awstats软件在日志分析中的用途分析客户登记信息数据预处理选择数据挖掘方法路径分析兴趣关联规则聚类分析,3、成本管理,成本管理概念管理者在满足客户需要的前提下，在控制成本与降低成本的过程中所采取的一切手段，目的是以最低的成本达到预先规定的运行目标成本管理的分类成本控制成本降低成本控制并不是员工人数和资本开销的限定，而是资源配置的优化和资本产出的高效管理不断微调内部流程，将有限的资源和有巨大产出的机会匹配，以求得最佳表现，是成本管理的关键,4、系统运行分析报告的编写,系统运行分析报告是对整个电子商务企业的管理运行制度进行总结和改进的基础，是管理层进行对业务进行改进的重要参考资料系统运行分析报告的组成人力资源成本分析设备管理成本分析销售业绩数据分析销售商品趋势分析管理制度改进分析,第二节电子商务安全管理,本节主要介绍安全级别的制定方法和系统安全分析相关内容，并介绍常见的系统漏洞和相关的安全解决方案；最后，介绍交易数据的加密、存储和传输。,本节知识结构,网站的安全管理制度,一、系统运行安全分析,1、系统安全分析步骤,获取安全信息利用软件工具检测漏洞。修补漏洞确定网站安全状况监控的主要目标利用防火墙和入侵检测工具防范网络攻击记录和检查监控结果的及时汇报网站安全状况监控结果,2、操作系统漏洞及解决方案,WindowsNT安全漏洞NT口令更容易受到黑客字典的攻击SMB(服务器消息块）漏洞注册表访问漏洞进程定期处理机制也有较大漏洞,2、操作系统漏洞及解决方案,WindowsNT安全漏洞解决方案严格控制共享，加上复杂的口令立即关掉“远程注册表造访”，锁定注册表安装防火墙，禁止相应的端口的访问权限利用代理（Proxy）来限制或者完全拒绝网络上基于SMB的连接严格设定域和工作组，用拓扑结构将各个域分开同时经常关注微软公司网站，一般对于新发现的系统漏洞及其解决方案都会在网站上及时公布，可以尽快下载相应的补丁包封堵漏洞。,2、操作系统漏洞及解决方案,UNIX安全漏洞及解决方案/etc/passwd文件及其备份文件opasswd或passwd.old易受攻击远程过程调用（RPC）漏洞用户目录下的.profile文件许可权有可能让黑客上传木马，加入后门直接以root身份（UNIX中的系统管理员帐号）登录后可能给整个系统带来不良后果，甚至导致系统崩溃Unix可执行文件的目录如/bin可由所有的用户进行读访问，这样用户就可以从可执行文件中得到其版本号,2、操作系统漏洞及解决方案,LINUX安全漏洞及解决方案缓冲区溢出类型的安全漏洞是最为常见的一种导致远程网络攻击的漏洞，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。解决方案：合理分区通过在相应的配置文件中加入适当的控制命令，使每次启动后自动运行，这样就阻止了系统响应任何从外部/内部来的ping请求，以及用户用Telnet远程登录到服务器时不要显示操作系统和版本信息（可以避免有针对性的漏洞攻击）等等,3、系统软件的漏洞及解决方案,Web服务器漏洞最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是Web服务器和应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的,3、系统软件的漏洞及解决方案,Web服务器漏洞MicrosoftIIS缓冲区溢出IIS服务器的拒绝服务漏洞IIS5.0在处理以“.ida”为扩展名的超长URL请求时漏洞默认情况下，注册表中“MaxClientRequestBuffer”键未被创建很容易地对IISserver实行DOS攻击，攻击结果将导致NT系统的CPU占用率达到100%Microsoft数据访问组件(MDAC)和远程数据服务(RDS)，攻击者可以建立非法的ODBC连接，并获得对Web服务器上的内部文件的访问权,3、系统软件的漏洞及解决方案,浏览器Netscape的漏洞Java虚拟机的实现存在安全漏洞，它允许一个远程用户读取使用netscape的用户可以访问的本地文件的内容，并且可以将这些文件在网上传给任意用户。如果启用java还可以在本地的系统中执行任意的代码,3、系统软件的漏洞及解决方案,BIND程序存在的问题利用nxt,qinv,d可直接得到root权限，入侵者抹掉系统记录，安装工具软件获得管理员级别的访问。他们然后编译安装IRC工具和网络扫描工具，用它们扫描更多的B类网络，找到其它的正在使用有漏洞版本的BIND的域名服务器。只需几分钟，他们就可以攻入成百上千个远程系统，取得更多的入侵成果。,3、防火墙的漏洞及解决方案,制定防火墙的安全策略时，微小的错误也可能会成为很大的漏洞。很多防火墙产品对配置人员的技术背景要求过高防火墙所提供的认证机制与方法多寡不一，有时选取的认证方式中口令设置不强也会带来隐患防火墙的工作目的主要是防范外部攻击，而对来自内部的问题很少顾及。实际上在系统资源损失中，更大部分的威胁来自系统内部,4、网络协议的漏洞及解决方案,许多协议在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的Telnet存在着许多漏洞，应尽量少开没用到的服务尽量不要在windows中安装NETBIOS协议不要安装点对点通道通讯协议。小心地配置TCP/IP协议。在TCP/IP的属性页中选择IP地址项目，然后选择高级。在弹出来的对话框中选择安全机制，这样可以禁止UDP，然后根据需要开启IP端口6和TCP端口80,5、网络编程漏洞及解决方案,CGI程序导致入侵者可以从80端口进入服务器，进而获得对服务器的控制AllaireColdFusion附带的脚本的漏洞IE5.5/Outlookjava存在安全漏洞JSP暴露服务器端的JSP源代码ASP从一开始就一直受到众多漏洞、后门的困扰,6、其他安全问题,保持口令安全的要点如下：不要将口令写下来或存于电脑文件中不要选取显而易见的信息作口令不要在不同系统上使用同一口令为防止眼明手快的人窃取口令，在输入口令时应确认无人在身边定期改变口令，至少6个月要改变一次,二、交易数据保密处理,1、IIS服务器证书的申请和配置,申请和配置服务器证书和配置SSL协议,2、数据库数据的保密处理,在OS层对数据库文件进行加密，对于大型数据库来说，目前还难以实现在DBMS内核层实现加密，需要DBMS开发商的支持。优点：加密功能强，并且加密功能几乎不会影响DBMS功能缺点：在服务器端进行加密运算，加重数据库服务器负载。将数据库加密系统做成DBMS的一个外层工具。加密运算可以在客户端进行优点：不会加重数据库服务器的负载并可实现网上传输加密，缺点是加密功能会受一些限制。,3、PKI,公钥基础设施PKI（PublicKeyInfrastructure），是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系区别于原有的单密钥加密技术，PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。,3、PKI,完整的PKI系统由五大系统构成：权威认证机构(CA)数字证书库密钥备份及恢复系统证书作废系统应用接口（API）,（1）CA机构,CA（CertificateAuthority）是PKI的核心组成部分，专门负责发放并管理数字证书。CA必须确保自己的一对密钥的高度的机密性,防止他方伪造证书CA的公钥在网上公开,整个网络系统必须保证完整性。,（2）数字证书,数字证书也叫电子证书（简称证书），又称X.509公钥证书，符合ITU-TX.509V3标准，应用PKI公开密钥基础架构技术建立起一套严密的身份认证系统，可保证：信息传输的保密性数据交换的完整性发送信息的不可否认性实体身份的确定性目前CA中心发放的数字证书依据对象的不同主要有个人证书、单位证书、服务器证书、代码签名证书等。,（3）电子签名,电子签名技术签名者用自己的密钥对文件进行加密，采用一定的数据交换协议来保证身份的可鉴别性、非否认性、和数据的完整性数字签名是和文件内容相关的，且数字签名无法被伪造，除非得到了签名者的密钥,电子签名法,电子签名法电子支付指引（第一号）个人客户：单笔金额不应超过1000元人民币；每日累计金额不应超过5000元人民币企业单笔金额不得超过5万元人民币，但银行与客户通过协议约定，能够事先提供有效付款依据的除外,PKI数字签名过程,数字签名在PKI中提供数据完整性保护和不可否认性服务的过程为：信息发送者使用Hash函数对信息生成信息摘要信息发送者使用自己的私钥加密信息摘要，得到文件的数字签名信息发送者把信息本身和已签名的信息摘要一起发送出去信息接收者通过使用与信息发送者使用的同一个Hash函数对接收的信息本身生成新的信息摘要，并使用信息发送者的公钥对收到的已签名摘要进行解密信息接收者将两个数据进行比较，如相同，则文件确实是该信息发送者的所发，并且信息没有被修改过。,PKI数字签名过程图示,4、SSL协议简介,SSL的作用：客户对服务器的身份确认服务器对客户的身份确认建立起服务器和客户之间安全的数据通道,会话密钥-由浏览器产生，用于加密传输的数据,加密会话密钥的服务器端公有密钥,4、SSL协议简介,SSL原理浏览器利用HTTP协议与Web服务器沟通。SSL采用了公开密钥和私人密钥两种加密体制对Web服务器和客户机（选项）的通信提供保密性、数据完整性和认证。在建立连接过程中采用公开密钥，在会话过程中采用私人密钥。为了支持客户机，每个客户机要拥有一对密钥，这要求在Internet上通过IE分配。,4、SSL协议简介,SSL原理（续）SSL协议主要包含握手协议（handshakeprotocol）和记录协议（recordprotocol）。协议包括两个层次：较低的SSL记录层协议位于传输协议TCP/IP之上。SSL记录协议用来对其上层的协议进行封装。握手协议就在这些被封装的上层协议之中，它允许客户端与服务端彼此认证对方；并且在应用协议发出或收到第一个数据之前协商加密算法和加密密钥，这样做的目的就是保证应用协议的独立性，使低级协议对高级协议是透明的。握手协议用于客户和服务器建立起安全连接之前交换一系列的安全信息，记录协议确定数据安全传输的模式。,5、入侵检测技术及系统,入侵检测（IntrusionDetection）通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。,（1）入侵检测系统的主要功能,监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动,（2）入侵检测系统的分类,主机型入侵检测系统以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统以网络上的数据包为数据源。往往将一台计算机的网卡设于混杂模式（promiscmode），监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。,（3）各种入侵检测系统的优缺点,网络型IDS优点主要是简便：一个网段上只需安装一个或几个这样的系统，便可以监测整个网段的情况。而且由于往往分出单独的计算机做这种应用，不会给运行关键业务的主机带来负载上的增加。由于现在网络的日趋复杂和高速网络的普及，这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。主机型IDS缺点：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等，优点：内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。,（4）入侵检测系统所用的技术,从时间上可分为实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。,（4）入侵检测系统所用的技术,从技术上分：基于标志（signature-based）首先要定义违背安全策略的事件的特征，检测主要判别这类特征是否在所收集到的数据中出现。基于异常的检测技术(anomaly-based)。先定义一组系统“正常”情况的数值，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大如果条件允许，两者结合的检测会达到更好的效果。,（5）常用的入侵检测技术及其选择,基于应用的监控技术基于主机的监控技术基于目标的监控技术基于网络的监控技术综合以上4种方法进行监控以上五种入侵检测技术中基于主机的入侵检测系统、基于网络的入侵检测系统最为常见。各种入侵检测手段都具有自己的优点和不足，可以互为补充,（5）常用的入侵检测技术及其选择,在使用入侵检测技术时，应该注意具有以下技术特点的应用要根据具体情况进行选择：信息收集分析时间可分为固定时间间隔和实时收集分析两种。采用的分析类型签名分析统计分析用来发现偏离正常模式的行为完整性分析主要关注文件和对象属性是否发生了变化，弥补了签名和统计分析的缺陷，但是这种分析的实时性很差侦测系统对攻击和误用的反应侦测系统的完整性,6、网站安全管理原则,多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。特别是以下各项活动：访问控制使用证件的发放与回收；信息处理系统使用的媒介的发放与回收处理保密信息硬件和软件的维护系统软件的设计、实现和修改重要程序和数据的删除和销毁。,6、网站安全管理原则,任期有限原则：一般而言，任何人最好不要长期担任与安全有关的职务工作人员应不定期的循环任职强制实行休假制度规定对工作人员进行轮流培训，以使任期有限制度切实可行。,6、网站安全管理原则,职责分离原则出于安全的考虑，下面每组内的两项信息处理工作应当分开：计算机操作与计算机编程机密资料的接收与传送安全管理和系统管理应用程序和系统程序的编制访问证件的管理和其他工作计算机操作与信息处理系统使用媒介的保管。,第三节培训与指导,本节主要介绍电子商务岗位培训的步骤和方法，同时介绍了电子商务员和助理电子商务师教案的编写,一、电子商务岗位培训,1、确定岗位培训内容,企业中的岗位培训一般包括以下内容：企业的主要任务企业的组织和职能介绍各部门的专业职能介绍岗位工作内容及流程介绍工作所需要的知识和技能介绍工作技巧介绍岗位职业规划介绍,2、制定岗位培训大纲,制定岗位培训大纲可以使岗位培训有一个统一的标准，以便对岗位培训的过程和结果进行监控。培训大纲一般由以下内容组成：培训的目的培训的适用范围培训所需的预备知识培训的主要内容培训的时间安排培训的材料的制作要求,3、制定培训时间进度表,培训时间进度表是指在培训过程完成的具体时间细化表。它类似于项目管理中的进度表，是考察培训结果和约束培训过程的主要时间尺度。培训的时间进度的制定需要根据企业自身的培训实践时间来具体确定，恰当的培训时间可以促进培训质量，所以企业应在培训时依据员工对培训效果的反馈在每次进行培训后加以改进。,4、控制协调培训过程,在培训监督和控制部门保障培训的顺利进行。其主要职责包括：考察培训负责人是否按即定的时间完成培训内容抽查培训负责人具体的培训内容并对其培训质量进行打分调查接受培训的员工对培训内容的接收程度,5、评估培训结果,培训效果的评估分成两部分：对接受培训的员工进行考核主要由培训负责人进行，可以采用多种形式。比较常用的是对接受培训的员工进行考核，考核的形式可以采用如下几种方式：笔试实践测试给定最终考核成绩时，一般应对这两项成绩进行加权平均对培训负责人进行考核培训控制协调人或小组对培训负责人的考核二是接受培训的员工对其培训负责人进行的评价最终的评价结果由这两方面加权平均而定,6、电子商务岗位培训的特点,B2C电子商务网站的岗位设定B2C商务模式最为关注如何扩大客户订单的数量，影响客户网站交易数量的因素有两个：技术因素管理因素B2C网站往往具有以下这些特色核心岗位：网站技术岗网站编辑岗网络营销岗网络客服岗数据分析岗,6、电子商务岗位培训的特点,B2B电子商务网站的岗位设定B2B网站的特点对网站的技术要求高保证在本平台上参与交易的各方企业的交易利益提供一个基于现代企业电子交易标准、安全、稳定可靠的交易平台B2B网站具有类似B2C的岗位需求，同时还具有如下的岗位设定：交易安全管理员岗合作伙伴管理岗,6、电子商务岗位培训的特点,C2C电子商务网站的岗位设定C2C网站具有类似B2B网站的特点，但其面向的受众主要是进行电子商务活动的个人或团体，其主要形式为提供一个商业拍卖的网络空间C2C网站的岗位综合了B2C和B2B两者的需求，同时具有如下岗位设定：网站内容审核岗注册会员审核岗网络交易监控岗,7、电子商务岗