电子商务毕业论文范文四份
时间:2023-03-16 02:08:02 | 来源:电子商务
时间:2023-03-16 02:08:02 来源:电子商务
电子商务毕业论文范文1(重点论文网编辑)
内 容 摘 要
在如今电子商务逐渐形成的买方市场中,以市场为导向、以需求为中心的电子商务模式将成为发展趋势,这要求电子商务企业更注意对市场的反应及对产品、客户的管理,而针对电子商务的特点及对企业的影响制定相应的对策是保证电子商务顺利实施的关键。基于此,本文以A电子公司为例对电子商务问题进行具体的案例探讨。
关键词:电子商务;经营模式;A公司
目 录
引言 1
一、案例正文 1
(一)A公司简介 1
(二)A公司电子商务发展中面临的问题 1
二、案例分析 3
(一)管理模式对策 3
(二)系统管理策略 4
(三)人员管理对策 5
(四)信息系统集成对策 5
(五)电子营销策略 6
(六)网络安全对策 7
结语 7
参考文献 8
引言
我国的电子商务始于1997年,在经历了10多年的信息化建设之后,中国电子商务进入了稳定的发展时期,如今随着新经济时代的高速发展和电子商务环境的改善,已经有越来越多的企业进入到电子商务领域。近年来企业日益重视电子商务对业务经营及管理的影响,电子商务的实施对策也成为了社会热点。在电子商务发展初期,企业片面地认为电子商务即是信息化、网络化建设,但随着电子商务发展的深入,企业界认识到电子商务并不等同于简单的营销网络化,电子商务这种新兴的商务模式并不等同于传统的商务模式,其对企业经营管理的各个方面都有较大的影响。本文以A电子公司为例,对电子商务在企业的具体运用问题进行研究。
一、案例正文
(一)A公司简介
A公司成立于2003年,是一家专业从事计算机应用软件,网络通讯产品开发、应用、销售以及专业提供网站建设等一系列电信增值业务的高科技公司,隶属于XX有限公司,先后与中国电信、华硕、技嘉科技、微星、软铸国际股份有限公司等结成战略联盟伙伴。A公司主要经营的产品有网络交换机、路由器等通信设备。除了专业销售网络通讯产品设备外,公司还提供各行业专业需求的IT和内部通讯解决方案等各项服务。
(二)A公司电子商务发展中面临的问题
1、传统经营模式无法更好的以客户为中心
A公司作为一家生产网络通讯产品为主的企业,面临着极大的竞争和困难。行业内竞争激烈,成本战、价格战、技术战使得许多企业不堪重负,激烈的竞争使得消费者的选择范围极大,功能相似的替代品为企业的产品带来了难以估计的潜在竞争力量。在如此激烈的竞争环境下,竞争对手们纷纷开展电子商务,以拓宽市场面,节省交易成本,而这又间接导致了电子商务领域的竞争,于是以客户为中心,市场为向导的经营思想成为了电子商务市场的潮流主导。而要实现以客户为中心,必然需要加强对客户资源的管理,加快对市场变化的反应速度,增强对市场信息的搜集和分析能力,以保持竞争力。这就要求企业必须整合内外部的信息资源,建立高速有效的集成信息系统,以满足企业经营管理的需要。公司的电子商务策略核心部分是客户管理和信息集成,对于企业的经营目标来说,客户管理和服务是重中之重,因此,实施电子商务必须要明确其本质。一切商务活动的本质是服务,服务一般以无形的方式,在客户与职员、有形产品或服务系统之间发生,可以解决客户问题、满足客户需要的一种或一系列服务。对企业来说致力于使客户满意并继续购买公司产品或服务的一系列活动统称为客户服务。客户服务是展示企业文化和企业形象的最直接通道,是企业文化的重要组成部分。顾客满意对企业至关重要。良好的产品或者服务,最大限度地使顾客满意,成为企业在激烈竞争中独占市场、赢得优势、取得胜利的法宝。只有让顾客满意,他们才可能持续购买,成为忠诚顾客,企业才能永远生存。所以,顾客满意是企业战胜竞争对手的最好手段,是企业取得长期成功的必要条件。经济的全球化使得企业之间的界限越来越模糊。现代企业所面临的市场竞争无论在广度还是深度上都在进一步扩大,竞争者已不仅仅包括行业内部已有的或潜在的竞争对手。在利益机制驱动下,许多提供替代产品或服务的竞争者、供应商和客户也加入了竞争者的链条中来。竞争的观念逐渐由以利润为导向发展到以客户为导向、保持持续竞争力为导向。
传统经营模式是以产品为竞争基础。企业关系更多的是企业内部运作效率和产品质量的提高,以此提高企业的竞争力。随着全球经济一体化和竞争的加剧,产品同质化的趋势越来越明显,产品的价格和质量的差别不再是企业活力的主要手段。企业认识到满足客户的个性化需求的重要性,甚至能超越客户的需要和期望。以客户为中心、倾听客户呼声和需求、对不断变化的客户期望迅速做出反应的能力成为企业成功的关键。因此,企业的生产运作开始转到完全围绕以“客户”为中心进行,从而满足客户的个性化需求。
以客户服务为中心就是以市场为导向,以满足客户需求为中心,以经济和社会效益最大化为目标,通过提供高价值的服务使客户满意和愉悦,从而求得企业长期可持续性发展。以客户服务为中心强调的是不断满足客户的需求,更注重无形产品即服务和质量,企业的核心业务流程在于服务环节,企业获利能力主要来自于高品质的服务所带来的附加值。现代顾客需要的是个性化的服务,网络为顾客提供了全天候、即时、互动等全新概念的工具:这些性质迎合了现代顾客个性化的需求特征,所以,越来越多的公司将网络顾客服务整合到公司的经营计划之中,而以客户为中心的电子商务经营模式又决定了企业的一切:经营模式、营销模式、竞争策略。企业必须对自身的经营模式进行调整,对业务流程进行重组,并且对信息系统的数据整合提出了新的要求。
2、电子商务对公司业务流程重组的挑战
业务流程重组概念的是哈默等人对影响当今企业发展的“3C”要素——顾客(Customer)、竞争(Competition)和变化(Change)作了深入分析后提出的。他们认为,“3C”已成为影响企业生存和发展的三股重要力量,要适应这种趋势,实施业务流程重组是根本的出路。近年来电子商务的发展,“3C”要素对企业发展的影响越来越显著,实施业务流程重组也就越来越必要了。
1)顾客(Customer)
随着市场供求关系的变化,顾客的选择权和决定权越来越大,而且,客户需求的个性化和多样化的要求也在不断提高,真正成了主宰市场变化的主导力量。电子商务的发展将使顾客的地位变得更加重要,因为网络使顾客的选择突破了时空的限制,全球化市场浓缩在眼前的计算机屏幕;传统的费时费力的购买决策也变得十分简单,顾客只要动动鼠标即可作出决定;顾客的忠诚度也变得不堪一击,因为顾客选择不同的商家只需要切换一下屏幕而已。A公司目前的最大问题就是顾客的忠诚度不高,顾客的投诉仅处理77.27%,顾客对公司的产品和服务均不满意,严重的妨碍了企业的形象建立和品牌战略实施。
2)竞争(Competition)
全球经济一体化的发展使得国际、国内市场的界限变得越来越模糊,国际竞争国内化、国内市场国际化将成为企业生存环境变化的一个新的特征。它突破了地域的限制,竞争的范围骤然扩大;竞争的形式变得越来越多样化,因为传统的以降价作为主要手段的竞争方式已显得越来越难以奏效,代之而起的将是时间(Time)、质量(Quality)、成本(Cost)和服务(Service)等共同组成的新的竞争要素组合。A公司一旦实施电子商务,面临的将不仅仅是重庆地区的同行业竞争,更需要面对西门子、IBM等大企业的竞争,电子商务在带来广阔的市场环境同时也带来了更激烈的竞争。
3)变化(Change)
在经济全球化、信息网络化的今天,“变化”已成为这个时代的重要特征。“Change is Changing”充分说明了当今世界“惟一不变的准则是一切都在变”的道理。网络技术的发展加快了这种变化的速度,市场环境的变化、客户需求的变化、竞争者的变化、科学技术的变化等等都是每时每刻发生着,而且,每一细小的变化都可迅速扩散至世界每一个角落。“变化”的时代要求企业成为“变化的企业”,视“变化”为机遇,视“变化”为动力,视“变化”为企业生命力的源泉。市场与技术能力的不断变化要求A公司在实施电子商务后要能跟上行业的变化,在新技术的创新和客户需求发现等方面需要提高企业自身能力,以避免被行业的变化淘汰。
3、信息化基础实施不能满足电子商务需求
虽然A公司目前实施了部门信息化系统,但是整体来看还无法完全满足电子商务的需要,面对电子商务的大数据量处理要求及信息共享等特点,需要对企业的软硬件进行升级,其升级费用会相应增加企业成本。
4、网络支付安全认证体现还不完善
我国金融现代化水平与发达国家有较大差距,各种电子支付系统还在发展完善过程之中,电子结算方式在个人消费领域还不普遍,有待推广和改进。据不完全统计,目前在我国居民当中流通的各种形式的信用卡和借记卡大约有1亿多张,人均0.1张,与发达国家有几十倍的差距,各个商业银行的银行卡不能互通互联,也影响信用卡的普及和直接网上支付。目前电子商务的支付环节,用的是土洋结合的办法,信用卡、借记卡、储蓄卡、邮局汇款和货到付现等多种支付方式混合使用。网上安全认证体系不统一且易受黑客攻击。如果不能实现在线支付、快速配送和安全认证,电子商务不仅不能降低成本,反而会增加交易成本,体现不了“无须远行,无须久等”的优势。另外,我国有关电子商务的法律法规尚是空白,也影响电子商务的推广。可以说,发展电子商务,网络金融是核心,法律规范是基础。
5、配送体系不完善
电子商务的交易达成之后,如何快捷、准确、安全地将货物交付到消费者手中,是业界人士和消费者关切的问题。目前在配送方面,很多是邮局递送,速度慢,费用高,也不安全。
二、案例分析
通过上文对A公司电子商务问题的分析,以下针对性的提出相应的策略。
(一)管理模式对策
电子商务使企业管理过程中各组织之间的信息交流更加方便,现代信息技术和企业内部网络的使用使得横向信息交流和越级信息交流成为可能,借助于企业内部网,业务人员可以快速便捷地进行沟通,企业的最高领导可以随时直接了解下情,基层管理人员可以直接与最高领导对话;借助于计算机的监督,管理者的控制范围不断扩大,控制程度下降,管理者可以管理更多的下属,中间管理人员的地位不断下降,使得企业的管理逐渐扁平化。对此,A公司提出以下对策:
1)建立企业内部新的管理流程,借助IT技术实现办公自动化,减少文件、信息流通环节,以提高企业办公效率。
2)运用信息技术对管理信息系统进行监控,为相应的管理人员授权,规范企业内部信息交流、管理范围和行为规范。
3)制定新的管理规章制度,以适应电子商务环境下的扁平化管理模式需求。
4)以信息为中心进行科学的管理,利用信息技术完成经营数据收集,开发业务信息资源、整理、分析、消化、创造以及沟通、传播、分配信息等工作,为企业的经营管理提供决策支持,增强企业经营效率,使企业能真正的通过对业务的分析做出正确的决策,强化电子商务应用的信息集成优势,提升企业的经营效率。
(二)系统管理策略
电子商务系统主要通过管理员和技术支持人员进行维护和管理,由于电子商务的特性,需要为不同地区、不同客户提供24小时的服务,因此网站的维护和管理十分重要,如何保证电子商务网站为客户提供稳定高效的服务取决于企业对电子商务的管理。从管理员的角度来看,其流程主要为:管理员登录后台;发布公告、添加产品;查看、管理预定信息;退出管理平台。
图1管理员流程
管理员流程主要是针对电子商务网站的访问及客户信息、产品信息的展示等环节设置的,管理员通过身份验证,对产品、订单、用户信息、网站等进行维护和管理。
(三)人员管理对策
为适应电子商务管理模式扁平化的变化,A公司将减少业务处理的中间环节,对各管理人员配置相应的访问权限和管理范围,对业务人员进行培训,使其能有效的运用电子商务系统。信息技术人员需要进行新系统的技术培训,公司决定请系统开发商派遣技术人员进行为期3个月的系统实施和维护培训。减少事务型人员,削减中间管理人员和管理步骤,使公司的人员配置能使用电子商务的需求。
(四)信息系统集成对策
从以上的分析可以看出,信息系统的集成对于电子商务来说是极其重要的,电子商务的很多应用都是建立在完善的信息系统的基础上的,尤其是各系统之间的信息共享,更是需要企业认真的解决,以此来适应变化快速的市场信息,使企业能在市场上占到优势地位。在A公司内部现有实施的信息系统中,SAP的实施为企业实现内部控制,对生产流程进行优化等带来了优势,CRM为销售与客户关系管理建立了标准。这几个系统却是相对独立的,这为企业的进一步发展带来弊端。公司若开展电子商务,将使产品拥有更广阔的市场空间,在市场规模不大的情况下,这种弊端还不明显,一旦企业规模扩大,就会大大降低工作效率。比如:销售人员在销售过程中发现客户需要某种型号的产品,于是通过CRM查询库存,发现产品存量不足,由于系统间没有信息共享机制,只能通过人工联系生产部门,要求生产部门进行生产。而生产部门在接到请求后,需要手动输入SAP系统才能完成生产准备。这个过程在业务量不大,生产任务轻松的时候还可以做到较迅速的市场反应,一旦企业规模扩大,业务繁忙,将会大大降低企业效率,为企业带来不可估量的影响。电子商务作为近年来的经济热点,其重要作用不必赘述。在现阶段,电子商务的竞争主要依赖于市场的竞争,买方市场的压力迫使未来的电子商务模式必将转变为以买方市场为导向,以需求为中心,以竞标为手段,依托互联网和快捷的物流布局,向全球化高速发展的方式。
这种发展趋势就要求企业必须将内部系统进行集成,减少信息沟通成本,做到快速反应市场,保证企业竞争优势。在这些内因和外因的作用下,A公司提出将客户关系管理(CRM)、企业资源管理(ERP)与电子商务进行集成。在提到整合的时候,大家往往都期望无缝的实时的联接,对于这一需求,也要根据企业的管理需要来确定,不一定是接得越多就越好。例如,潜在客户信息对于销售来说非常重要,需要集中管理,而且销售经理要查看业务员是否按照规定定期拜访了这些可能的客户,但是至少在成单之前,这都是纯属营销范围的业务,需要用CRM进行管理,对于生产计划、物流配送不构成影响,也就是说,ERP系统中只保存交易客户信息就是足够的了。从这样的例子中我们看到,ERP和CRM的整合应当从管理需求,从企业实践出发,并非接得越多就越好,而是要达到有用的信息有效的传递。
对于一些主流的传统CRM、ERP系统来说,它们本身就具备了开放式的平台,其接口完全可以成为灵活的,可配置的工具,可以通过实施来实现,并且可以针对每个企业的具体需求进行调配和测试。如Turbo CRM的接口标准公布以来,已经在几家客户的实施实践中具备了与国内主流ERP厂商实现整合的条件,并将继续扩展其开放式的接口平台,与业内厂商一起推动企业信息化建设不断发展。而对于一些非传统型的ERP、CRM厂商来说,则需要其他一些整合方法。通常采用的有提供中间件、数据同步复制、二次开发、统一标准和统一使用等。通过对这些方法的分析,最好的整合方法只有两种。一是CRM和ERP两个系统出自同一个软件厂商,两者已经高度集成了。二是提供标准的中间件,方便系统升级维护,保护企业的有效投资。
考虑到系统的可扩展性和开放性,A公司将实施中间件的集成方式,以适应公司内部不同品牌的系统,同时也为今后企业的系统扩展或者是业务扩展提供了基础,方便不同模式的系统之间的信息通信和交流。在确立了应用中间件集成方式之后,需要考虑的是采用什么信息技术去实现。根据电子商务对策的原则之一——先进性和可操作性,A公司选用Web service架构,通过J2EE平台运用JMS进行异步通信,该方案可以使公司在今后得以方便地增减系统,并且在相当长的时期内保持技术上的先进性。异步通信技术对系统的扩展和可操作性提供了保证。
(五)电子营销策略
传统的营销主要是通过广告和人员推销进行促销,企业通过铺天盖地的广告对消费者进行狂轰滥炸,把产品信息强制地“推”给消费者,不管消费者需不需要,更不管消费者的内心感受;推销人员也根本不考虑推销对象是否需要或愿意接受,利用推销技巧强行说服和感化消费者;在电子商务的今天,消费者拥有了更多的选择和自主权,不再是营销活动的被动接受者,二是主动参与者。这需要企业采用从消费者的体验和需求出发,采取“拉”的策略吸引消费者。为此,A公司采用以下营销策略:
1)展示产品的具体性能,列出具体的性能参数,为消费者提供使用产品后的反馈平台,在方便消费者互相交流的同时,建立产品的口碑;
2)设计合理的网络广告,采用横幅、水印、多媒体动画等方式的广告宣传企业和产品信息,尽量避免消费者反感的跳出式、移动、按钮等方式的广告;
3)设计合理的调查问卷,定期或不定期对企业用户进行邮件等方式的营销调查,收集企业产品在客户中的口碑,发现产品及产品配套服务的不足之处,同时也可以采用在线问卷的方式对浏览客户进行营销调查;
4)有效的利用网络营销价格上的优势,实施有针对性的价格策略。比如采用顾客对价格不够敏感且在同类产品中具有价格竞争优势的产品进行低价、折扣价格以招揽“人气”,抢占市场等;
5)与新闻媒体建立良好的关系,与新闻媒介、商业网络社区、公共论坛等进行合作,扩大企业和产品的宣传面;
6)产品的页面上附有订单信息,包括产品价格、库存、已订货量等信息,顾客可以全面地对产品信息进行全面、综合的分析,再决定是否下订单,方便了客户的选择,从而赢得目标客户的信赖;告知顾客准确的收货时间,给顾客充分的自由选择权;对库存进行监督,保证库存量维持在能够满足即时需要的水平上;对顾客的订单实施跟踪,避免由于订单丢失或者被营销人员忽略造成的延误顾客的收货时间等;
(六)网络安全对策
1)购置硬件防火墙,设置多层式系统防火墙;在内部网与外部网之间设置防火墙,实现内外网的隔离与访问控制;安装网管软件,对网络设备、硬件的日常维护提供支持;
2)对管理员、用户进行严格的身份认证;控制不同用户的访问权限,包括对信息资源的读、写、执行等;
3)对关键的业务数据、财务数据等进行网络传输加密;
4)对业务数据、财务数据定期进行备份,主要采用磁盘镜像技术和数据库回复技术;
5)在管理机制上对电子商务系统安全提供保证:
a.严格网络管理人员的选拔,选拔责任心强、讲原则、守纪律、了解市场的网络人员到关键岗位上;
b.落实工作责任制,要求网络人员严格遵守企业的网络营销安全制度,对违反网络交易安全规定的行为坚决打击;
c.将信息按重要程度划分为三级:绝密级,包括公司的经营状况报告、订/出货价格、公司的发展规划等,此密级只限于公司高层人员掌握;机密级,包括公司日常管理情况、会议通知等,此密级只限于中层以上的人员使用;秘密级,包括公司简介、新产品介绍、订货方式等,此密级仅供消费者浏览,设立保护程序。
d.建立网络交易系统日志机制,用于记录系统运行的全过程。其内容包括此操作日期、操作方式、登录次数、运行时间、交易内容等,以方便管理人员对系统的运行监督、维护分析、故障恢复,对防止案件的发生或在发生案件侦破提供监督数据。
结语
电子商务经过10多年的发展进入了新的发展阶段,新的商务环境引发了企业经营模式的深刻变革,激烈的竞争使得客户日益成为了电子商务企业获得利润和竞争优势的重要资源,企业对市场的快速反应和对客户关系的管理是现代电子商务企业的竞争力体现。在电子商务的实际应用中,电子商务对企业在管理模式、业务流程、营销对策、信息系统等方面有很大的影响。本论文通过分析A公司的电子商务实践,期望能给其它企业提供一些有益的借鉴。
参考文献
[1]黄爱玲,中金升,胡卉.基于电子商务的企业管理模式的探讨.华东经济管理[J].2002,2.
[2]王欣.企业建立与电子商务整合系统的必要性.管理信息系统[J].2000,4.
[3]刘军等编著.电子商务系统的规划与设计[M].人民邮电出版社.2001,4.
[4]杨路明,巫宁等编著.客户关系管理理论语实务[M].电子工业出版社.2004,3.
[5]刘承水等.客户关系管理与电子商务.华北电力大学学报[N].2002,2.
[6]李健,张琴.电子商务与ERP整合.煤炭经济研究[J].2007,(8).
[7]王智.发展我国中小企业电子商务刍议.现代商业[J].2007,(21).
电子商务毕业论文范文2
内 容 摘 要
现在Internet上随处可见网上商城、网上书店等电子商务网站,让消费者足不出户就可购买到想到的商品,不仅方便了消费者,也让拥有电子商务网站的企业能及时向广大客户推销产品、构建企业形象、赢得利润。电子商务系统与传统的面对面的营销方式相比,具有不可比拟的优势,如销售成本与物流大大降低、信息传输及时等。
为适应电子商务发展的要求,建设一个网上书店系统,实现在网上销售书籍不仅体现书籍销售的多样化方式,而且能满足大量网络客户的需求。
网上书店以书籍目录及客户订单为基础。客户从Internet上使用IE浏览器登录,注册浏览查询并提交订单,网站按订单要求从后台反馈书籍订单的状态呈现给客户,客户根据订单状态获得订单的状态,客户也可通过留言等方式对书籍进行评价或质疑。
网上书店系统基于.net Framework实现,后台数据库使用SQL Server。
关键词:.net ,SQL Server 2000 ,书籍,客户,订单
目 录
一、 概述 1
(一) 网上书店系统概述 1
(二) 网上书店系统的目的和意义 1
二、 需求分析 2
(一) 系统用户 2
(二) 系统的功能需求 2
1. 网上书店前台 2
2. 网上书店后台 2
(三) 网络书店的基本流程 3
(四) 网上书店的基本架构 4
1. 表现层 4
2. 业务层 5
3. 数据层 5
三、 系统设计 5
(一) 数据库设计 5
1. 用户信息表 5
2. 用户订单表 6
3. 书籍信息表 6
4. 书籍分类表 6
(二) 用户功能模块 6
1. 网站欢迎界面 6
2. 用户个人信息管理 6
3. 用户购物车管理 7
(三) 网站管理功能模块 7
1. 管理员登录 7
2. 用户资料管理 7
3. 书籍类别管理 7
4. 书籍信息管理 7
5. 订单处理 8
四、 系统实现 8
(一) 数据库结构 8
1. 客户基本信息表 8
2. 书籍基本信息表 9
3. 书籍分类信息表 9
4. 订单信息表 9
5. 订单条目详细信息表 10
(二) 用户界面 10
1. 用户登录界面: 10
2. 书籍信息: 12
3. 订单管理界面: 14
(三) 系统实现技术平台 16
1.
http://ASP.NET技术 16
2. C#语言 16
3. WEB 控件设计技术 16
4. 用户自定义控件设计技术 17
5. WEB配置技术 18
五、 总结 19
六、 参考文献 19
网上书站的设计与实现
一、概述
(一)网上书店系统概述
随着信息技术的快速发展,现代社会都是利用快速高效率的Internet来传播大量信息资源。人们通过IE浏览信息已经成为必不可少的获取信息的重要手段,同时随着销售模式多元化、客户需求多样化都必然促进了电子商务这一网络营销事务的发展。所谓电子商务就是指利用简单、快捷、低成本的电子通讯方式,买卖双方不出面也可以进行各种商贸活动,电子商务的发展最重要的途径就是建立在Internet技术上,利用多媒体技术和网络通信技术,在网络环境下开展的商务活动。电子商务有着传统销售模式所无可比拟的优点,它创造了一种全新的销售模式,打破了传统销售模式在时间、空间上的限制,采用了先进的销售手段和销售方法,大大提高了经济效率和资源利用率,使商务活动上了一个新台阶。
电子商务作为新的销售模式,其手段也在日渐规范、完善和科技化,针对电子商务的这种特点,提出建立网上书店这一构想正是适应市场发展需求的集中体现,网上书店以客户在线实时查询并提交购书订单的方式达到购书的目的事实已经证明是可行的。基于Internet的网络书店作为出版社一种全新的销售手段,越来越受到人们的关注。因此许多出版社也正是通过IE浏览或其它方式在网络进行书籍的宣传、销售。
随着信息以N次方的速度不断的增长,网上书店也变的极其重要。目前,在中国,网络营销已成为社会生活中重要的一部分,各种网上书店种类繁多,譬如当当网、卓越网等规模大,人数多,影响广,宠大的网络消费群体正在孕育一个巨大而有潜力的市场。
(二)网上书店系统的目的和意义
终上所述,开发一套实用的网上书店系统确实是很有必要的事情。
网上书店系统的目的是为了满足消费者只要通过互联网就可以足不出户的购买自己喜欢的书籍,改变传统商业交易,在互联网上进行交易,实现网上购买书籍。为了实现上述目的,我对网上书店系统有了深一步的了解,从而满足客户的要求,让他们可以随时找到自己想要购买的书籍。
本论文讨论了基于.NET的网络书店系统的设计思想及其实现方法。出版社使用该系统可以进行网上发布书目、销售书本、调查读者需求等;客户使用该系统在浏览器中观看出版社发布的书目、在网上订购书籍、查询书目、阅读信息、交流评价等。
二、需求分析
(一)系统用户
使用网上书店系统的用户主要有三种:一是客户,可以浏览网上书店中的书籍信息、进行网上购书;二是网站的管理者,可以对网上书店中的书籍信息进行管理、处理客户的订单。三是出版社,主要对书籍进行配送。
系统要求用户提供帐号/密码,通过验证后才能进入系统主页,以此追踪用户身份。
系统管理员可以管理客户资料,而客户则不能访问管理员模块所提供的功能(发布书目、查看客户订单等)。
(二)系统的功能需求
1. 网上书店前台
(1)网站首页。
首页是客户打开网站的第一个页面,一般在这个页面中呈现的信息量最大,且需充分展现网站的亮点,以吸引客户、留住客户。首页中要展现的信息有:最近新书、特价书籍、 新注册用户、登录界面、各种书籍分类、广告条等
(2)最近新书。
按录入网上书店系统的时间排序显示,优先显示新录入的书籍信息。
(3)特价书籍。
显示网上书店中5折及5折以下的特价书籍信息。
(4)新注册用户。
提供客户网上自助注册功能,填写注册表单并提交后,就能成为网上书店的用户,注册成功并登录后就可以进行网上购书了。
(5)用户登录。
为已注册的用户提供登录界面,登录后才能在网上购书。
(6)网上订购。
已登录的用户可以将需要购买的书籍放入购物车,可将已放入购物车中的书籍生成一张订单并作确认。
2. 网上书店后台
(1)书籍分类管理。
供网站管理员对网上书店中的书籍进行管理,可增加、修改、删除书籍的分类信息。
(2)书籍信息管理。
供网站管理员增加、修改、删除网上书店中书籍的基本资料信息,主要是文本信息。
(3)上传书籍图片。
供网站管理员为已录入的书籍上传书籍封面图片到数据库中。
(4)订单管理。
供网站管理员管理客户提交的订单,客户“已确认”的订单可修改状态为“正在配货”,“正在配货”的订单可修改状态为“缺货”或“已发货”。
综上综述,系统功能结构图如下:
(三)网络书店的基本流程
流程图如下:
(四)网上书店的基本架构
网上书店系统是采用采用三层体系结构将应用程序划分为三个逻辑层面,分别是表现层、业务层、数据层。
1. 表现层
表现层主要是用于展现信息。
是用户与应用程序进行交互的端点。WIN32或者基于浏览器的图形用户界面(GUI)应用构成。在该层用户可以查看、输入和处理数据。从用户的角度来看,用户服务层就是整个应用。在3-层或著N-层体系结构中,用户服务层只能够执行与用户接口相关的任务,例如简单的数据格式化和验证,并依赖商务服务层来执行事务处理,应用服务规则以及检索数据。在本系统中,用户服务层由ASP.NET Web Form 构成,它可以让消费用户游览和搜索书籍,向他们的购物增加书籍,并且下订单及一些网络“冲浪”功能,例BBS、Email等。
2. 业务层
业务层主要是将业务功能封装类,并与和表现层及数据层关联。
也称为中间层或者应用服务层,它负责封闭事务处理、商务规则、数据访问及其他的核心应用逻辑。商务服务层可以有效的作为前台用户服务层和后台数据服务和数据存储之间的桥梁。在网络书店系统中,商务服务层将由在Windows组件服务(COM+)中执行的事务处理和非事务处理.NET服务组件构成。商务服务层也会包含提供商务处理的ASP.NET Web Service,例如下订单等,这些Web Service可以被商务客户和贸易伙伴操作的远程应用使用。
3. 数据层
数据层包括数据操作和数据逻辑层,主要功能是将数据操作封装到类,一般通过数据封装类来操作数据,系统采用SQL Server数据库系统支撑,用SQL Server 2000数据库中设计出数据库表,用于存放数据。
数据服务(数据访问)层,该层负责检索和操作在一个或者多个数据存储中存储数据。通过将数据访问和操作分离到独立逻辑层中,就可以将商务服务层从附属存储的细节中抽象出去。数据服务层通常可以实现为编译组件或者存储过程,触发器和视图这样的特定于数据源的接口。在该网络书店系统中,数据服务层将实现为一组封装了SQL数据访问数据库中的数据。数据存储通常不会将其当作3层体系结构中的一部分,但是在系统的逻辑体系结构中还应该包含数据存储本身。它将会负责数据存储、检索、数据一致性以及事务处理的参与。
综上所述,系统体系图示意如下:
三、系统设计
(一)数据库设计
1. 用户信息表
字段:用户编号,密码,用户名,邮箱,性别,地址,邮编,电话,权限。
2. 用户订单表
字段:用户编号,订购日期,书籍编号,订购数量,总金额,送货方式,付款方式,订单状态。
3. 书籍信息表
字段:书籍编号,书籍类别,书籍名称,单价,出版社,摘要,库存数量。
4. 书籍分类表
字段:书籍编号,类别,父类别编号,备注
(二)用户功能模块
1. 网站欢迎界面
进入网站后,显示欢迎信息及各功能按钮。
2. 用户个人信息管理
(1) 新用户注册
实现网上书店客户信息的注册、及身份验证。由于目前网上商城普遍采用的方式为送货上门或者邮寄,因此需要收集与客户相关的联系方式、通信地址等信息
点击注册按钮进入用户注册界面,针对用户信息表操作,填写各字段内容,完成后按确认键,相应信息存入用户信息表。
(2) 用户登录
输入用户名和密码,点击确认键后,系统与用户信息表中的用户编号及密码进行核对。数据一致则通过验证,允许用户进入个人管理页面,否则提示错误信息,返回初始界面。
(3) 用户资料修改
用户登录后,点击用户资料修改按钮,进入个人信息修改界面,显示并编辑用户信息表各字段内容。完成后按确认键,相应信息存入用户信息表;随时按放弃键作废此次修改并返回初始界面。
(4) 用户历史交易查询
用户登录后,点击查询历史交易按钮,按用户编号查询用户已购买纪录。
3. 用户购物车管理
用于维护每一个进入网上书店的客户对应的购物车。即将客户所选购的书籍商品信息记录到对应的购物车中,以便于进行结账处理
点击购买按钮后,将测试请求发至后台,并显示订单表申请页面。输入书籍购买数量后系统自动检测书籍数量,如满足条件则提示用户填写邮购地址及邮购快递方式,填写完毕后提示用户进入费用支付界面,支付成功后,订单提交成功等待管理员审核并配送状态,等书籍配送结束发货成功后本次订单结束。
(三)网站管理功能模块
1. 管理员登录
输入管理员名称和密码,按确认键后与系统管理员表中的数据进行比较,数据一致则通过验证,管理员可进入网站各管理系统进行操作;数据不一致则提示错误信息,返回网站初始页面。
系统管理员表中的数据由后台直接编辑,不提供单独的修改界面。
2. 用户资料管理
针对用户信息表进行操作,浏览用户资料,管理员可统计注册用户数。
3. 书籍类别管理
该模块实现书籍书目信息的分类便于系统检索,进行分类查找。
4. 书籍信息管理
该模块实现书籍书目信息的分类显示也是提供书籍信息依据书名及作者信息快速搜索的功能。此外,在用户选择了对应书目信息后,还可以显示出有关该书籍的详细信息,以便于客户了解所购商品。针对书籍目录数据表进行增删改操作,具体包括以下操作:
(1) 浏览书籍
(2) 增加书籍
点击增加按钮,录入新书籍的主要内容等信息。
(3) 修改书籍
点击修改按钮,对当前书籍信息进行修改操作。
(4) 删除书籍
点击删除按钮,提示是否删除,如按确认键则删除当前书籍记录,如按放弃键则返回浏览界面。
5. 订单处理
根据客户购物车中的信息,以及客户所选择的送货方式和付款方式,连同客户对应的个人信息生成订单,以便于后续进行送货处理。
四、系统实现
因网站涉及方面较多,本文的系统实现部分以重点实现用户注册,书籍信息发布和订单过程为主。下面是系统关键部分的数据结构、界面及代码。
本系统基于微软的.net Framework来实现,后台数据库使用SQL Server 2000。
(一)数据库结构
1. 客户基本信息表
序号 字段名 类型 长度 小数位 允许空 主/外键 中文含义
1 UserId Int 4 N 主键 用户编号
2 UserName Varchar 60 Y 用户名
3 Password Varchar 60 Y 密码
4 RealName Varchar 60 Y 真名
5 Address Varchar 100 Y 地址
6 Postcode Varchar 20 Y 邮编
7 Phone Varchar 20 Y 电话
8 Mobilephone Varchar 20 Y 手机
9 Email Varchar 100 Y Email
10 RoleID Int 4 Y 用户权限
11 Remark Varchar 100 Y 备注
2. 书籍基本信息表
序号 字段名 类型 长度 小数位 允许空 主/外键 中文含义
1 BookID Int 4 N 主键 书籍编号
2 Name Int 4 Y 书籍名称
3 CategoryID Int 4 Y 书籍类别
4 Desn text 16 Y 详细说明
5 Author varchar 200 Y 作者
6 Publish varchar 200 Y 出版社
7 PublishDate datetime Y 出版日期
ISBN varchar 200 Y 书籍ISBN
8 Foreword text 16 Y 前言
9 List text 16 Y 目录
10 Price money 8 Y 单价
OutLine text 16 Y 摘要
11 TotalNum Int 4 Y 库存数量
12 Remark text 16 Y 备注
3. 书籍分类信息表
序号 字段名 类型 长度 小数位 允许空 主/外键 中文含义
1 CategoryID Int 4 N 主键 类别编号
2 Desn varchar 4 Y 类别名称
3 ParentID Int 4 Y 父类编号
4 OrderBy Int 1 Y 顺序号
5 Remark text 40 Y 备注
4. 订单信息表
序号 字段名 类型 长度 小数位 允许空 主/外键 中文含义
1 OrderFormID Int 4 N 主键 订单编号
2 UserID Int 4 Y 用户编号
3 TotalNumber varchar 60 Y 总数量
4 TotalMoney Varchar 100 Y 总金额
5 OrderDate Varchar 40 Y 订单日期
6 phonenumber Varchar 20 Y 电话
7 sendmothod Int 4 Y 送货方式
8 paymothod Int 4 Y 付款方式
9 orderdate varchar 40 Y 订单日期
10 orderstatus Int 4 Y 订单状态
11 orderfinishdate varchar 40 Y 完成日期
5. 订单条目详细信息表
序号 字段名 类型 长度 小数位 允许空 主/外键 中文含义
1 OrderItemID Int 4 N 记录号
2 BookID Int 4 Y 书籍编号
3 Number Int 4 Y 订购数量
4 OrderFormID Int 4 Y 订单编号
5 ItemDate datetime Y 记录日期
(二)用户界面
1. 用户登录界面:
主要功能实现代码:
protected void LoginBtn_Click(object sender,ImageClickEventArgs e)
{
if (UserName.Text == null || UserName.Text == "" || UserName.Text.Length <= 0)
{
ShowMessage("用户名称为空,请输入用户名称!");
return;
}
if (Password.Text == null || Password.Text == "" || Password.Text.Length <= 0)
{
ShowMessage("用户密码为空,请输入用户密码!");
return;
}
String userId = "";
String roleId = "";
///定义类并获取用户的登陆信息
BookShop.User user = new User();
SqlDataReader recu = user.GetUserLogin(UserName.Text.Trim(),
BookShop.User.Encrypt(Password.Text.Trim()));
///判断用户是否合法
if (recu.Read())
{
userId = recu["UserID"].ToString();
roleId = recu["RoleID"].ToString();
}
recu.Close();
///验证用户合法性,并跳转到系统平台
if ((userId != null) && (userId != ""))
{
Session["UserID"] = userId;
Session["UserName"] = UserName.Text;
if (roleId != "")
{
Session["RoleID"] = roleId;
}
//跳转到登录后的第一个页面
Response.Redirect("~/UserControls/UserLoginPage.aspx");
}
else
{
///显示错误信息
ShowMessage("你输入的用户名称/密码有误,请重新输入!");
}
}
2. 书籍信息:
主要功能实现代码:
public int AddBook(string sName,int nCategoryID,string sDesn,string sAuthor,
string sPublish,DateTime dPublishDate,string sISBN,string sForeword,string sList,
string sOutLine,DateTime dBuyInDate,decimal dPrice,int nTotalNum,
string sAttribute1,string sAttribute2,string sAttribute3,
string sAttribute4,string sAttribute5,string sRemark)
{
///定义类SQLHelper
SQLHelper.SQLHelper sqlHelper = new SQLHelper.SQLHelper();
///创建访问数据库的参数
SqlParameter[] paramList = {
sqlHelper.CreateInParam("@Name",SqlDbType.VarChar,200,sName),
sqlHelper.CreateInParam("@CategoryID",SqlDbType.Int,4,nCategoryID),
sqlHelper.CreateInParam("@Desn",SqlDbType.VarChar,200,sDesn),
sqlHelper.CreateInParam("@Author",SqlDbType.VarChar,200,sAuthor),
sqlHelper.CreateInParam("@Publish",SqlDbType.VarChar,200,sPublish),
sqlHelper.CreateInParam("@PublishDate",SqlDbType.DateTime,8,dPublishDate),
sqlHelper.CreateInParam("@ISBN",SqlDbType.VarChar,200,sISBN),
sqlHelper.CreateInParam("@Foreword",SqlDbType.VarChar,8000,sForeword),
sqlHelper.CreateInParam("@List",SqlDbType.VarChar,8000,sList),
sqlHelper.CreateInParam("@OutLine",SqlDbType.VarChar,8000,sOutLine),
sqlHelper.CreateInParam("@BuyInDate",SqlDbType.DateTime,8,dBuyInDate),
sqlHelper.CreateInParam("@Price",SqlDbType.Money,8,dPrice), sqlHelper.CreateInParam("@TotalNum",SqlDbType.Int,4,nTotalNum),
sqlHelper.CreateInParam("@Remark",SqlDbType.VarChar,8000,sRemark)
};
try
{
///执行存储过程
return (sqlHelper.RunProc("Pr_AddBook",paramList));
}
catch (Exception ex)
{
///抛出执行数据库异常
SystemError.CreateErrorLog(ex.Message);
throw new Exception(ex.Message,ex);
}
}
3. 订单管理界面:
主要功能实现代码:
private void ShowShoppingCartInfo()
{
///判定购物车中是否存在数据
if (Session[Session.SessionID + ASPNET2System.ShoppingCart] == null)
{
Message.Visible = true;
return;
}
///绑定购物车的数据,显示购物车信息
OrderFormInformation order = (OrderFormInformation)Session[Session.SessionID + ASPNET2System.ShoppingCart];
OrderFormList.DataSource = order.OrderItemList;
OrderFormList.DataBind();
///不显示提示信息
Message.Visible = false;
}
主要功能实现代码:
protected void CheckShopCart_Click(object sender, EventArgs e)
{
///保存订单信息到数据库中
if (Session[Session.SessionID + ASPNET2System.ShoppingCart] == null)
{
return;
}
///获取购物车的信息
OrderFormInformation order = (OrderFormInformation)Session[Session.SessionID + ASPNET2System.ShoppingCart];
OrderForm orderform = new OrderForm();
///添加订单信息到数据库中
int nOrderFormID = orderform.AddOrderForm(Int32.Parse(Session["UserID"].ToString()),
order.TotalNumber,
order.TotalMoney);
if (nOrderFormID > -1)
{
///添加订单中的每一个子项
OrderItem orderItem = new BookShop.OrderItem();
foreach (OrderItemInformation item in order.OrderItemList)
{
orderItem.AddOrderItem(item.BookID, item.Number,nOrderFormID);
}
}
///显示提示信息
Response.Write("<script>alert(/"结帐成功!!!/")</script>");
CheckOut.Text = "你这次购物总共" + order.TotalNumber.ToString() + "件,总消费金额为:" + order.TotalMoney.ToString() + "元。";
}
(三)系统实现技术平台
1.
http://ASP.NET技术
http://ASP.NET是一个已编译的,基于.NET的环境,它可以使用任何与NET框架兼容的语言来创建WEB应用程序。是一种优秀的电子商务开发程序语言,因为其编辑简便、功能全面的特点,被广泛应用于电子商务网站的编辑制作、企业管理系统的开发等项目中。尤其是在电子商务网站的建设中,
http://ASP.NET扮演着动态网页缔造者的重要角色。
2. C#语言
C#的核心是面向对象程序设计(OOP),所以它具备OOP的显著特点:封装(它绑定代码及其操作的数据,不受外界干涉与误用影响)、多态性(指一个接口,多个方法)和继承(一个对象获得另一个对象的属性的过程)。C#不仅是C语言的继承而且兼容了JAVA的优点。是一种优秀的面向对象的语言。特别是它与NET平台的紧急结合。对代码进行可管理,且垃圾回收处理。对程序的异常处理,也相当好。因此本系统采用C#进行系统设计是符合当前网络时代的语言潮流的。
3. WEB 控件设计技术
本系统设计与运行是在NET框架上的
http://VS.NET平台上的。它包含了HTML服务器控件,WEB服务器控件,验证控件,数据控件等。
在这个界面中,有下拉框(dropdownlist),文本框(textbox),按钮(button)与显示框(label).这些控件可以在
http://VS.NET平台中直接拉到界面,不单省时间,而且十分方便快捷。提高开发程序速度。
4. 用户自定义控件设计技术
由于在系统上很多网页都需要用到很多共同的内容,如网页的页头和滚动广告栏,页尾等,在
http://VS.NET上,用户可以很轻松、方便的创建自定义WEB控件,这样大大减少了代码的重复性。下面将举用户登录控件为例,如图所示。
该用户控件的页面设计的代码如下:
<%@ Control Language="C#" AutoEventWireup="true" CodeFile="UserLogin.ascx.cs" Inherits="UserLogin" %>
<div id="Login" style="margin:50px; width:400px;">
<table cellSpacing="0" class="GbText" cellPadding="0" width="100%" border="0" bgcolor="aliceblue">
<tr>
<td valign="top" style="width: 453px; height: 29px; text-align: center;">用户登录</td>
</tr>
<tr>
<td valign="top" style="width: 453px; height: 24px; text-align: center"> <font class="GbText">名称:</font><asp:textbox id="UserName" runat="server" cssclass="InputCss" width="135px"></asp:textbox></td>
</tr>
<tr>
<td valign="top" style="width: 453px; text-align: center"> <font class="GbText">密码:</font><asp:textbox id="Password" runat="server" cssclass="InputCss" width="135px" textmode="password"></asp:textbox></td>
</tr>
<tr>
<td valign="top" align="center" style="width: 453px"><br /><asp:imagebutton id="LoginBtn" runat="server" ImageUrl="~/images/Login.gif" OnClick="LoginBtn_Click"></asp:imagebutton>
<asp:imagebutton id="GuestLoginBtn" runat="server" ImageUrl="~/images/GuestLogin.gif" Enabled="False" OnClick="GuestLoginBtn_Click"></asp:imagebutton></td>
</tr>
</table>
</div>
现在这个用户定义的控件只需要.在所存放的页头上要加以下代码便可和其他WEB控件一样实用:
<%@ Resgister TagPrefix=”uc1” TagName=”search” Src=”search.ascx” %>
也可以在代码页的Page_Load事件中加入以下代码也可成功使用
(UserLoginPage.aspx.cs)LoginPanel.Controls.Add(Page.LoadControl("~/UserControls/UserLogin.ascx"));
5. WEB配置技术
在
http://ASP.NET平台,还提供可扩展的基础结构。这些配置结构为每一个惟一的URL资源设计一组配置设置,然后缓存结果配置设置,以提供以后应用程序对资源的请求使用。在这个系统中我们经常要使用数据库连接字符串,每次书写很不方便而且难维护,我把这个配置设在WEB.Config文件中,在程序中调用即可。本系统的数据库连接部分配置如下:
<appSettings>
<add key="SQLCONNECTIONSTRING" value="data source=(local);uid=sa;pwd=123456;database=BookShopDB">
</add>
</appSettings>
在代码页程序中只需以下代码即可引用连接数据库设置:
string con=ConfigurationSettings.AppSettings(“SQLCONNECTIONSTRING”);
五、总结
通过本次实践,基于.NET的网络书店系统即初步实现,证实网上书店建设的主体构思是可行的,技术实现也并不复杂,重点把握网站设计实现和后期维护运行的稳定。本文的主要目的,只是提出一个网络销售网站的设计思路,系统实现则基于主要功能做了一个易于实现的原型,真正实用化和商业化的网络上书店销售系统需要在调研、分析设计多次测试修改而实现,在算法和细节上还有许多工作要做。
六、参考文献
1. 《电子商务与网络经济》,第2版,史达,东北财经大学出版社,2006年2月。
2. 《C#高级编程》,第3版,Simon Robinson等,清华大学出版社,2005年6月
3. 《
http://ASP.NET实用案例教程》,石志国,清华大学山版社,2003年7月
4. Microsoft SQL Server 联机从书
电子商务毕业论文范文3
内 容 摘 要
随着信息技术在电力企业的应用和发展,信息与数据安全起着越来越重要的作用,如果没有信息与数据的安全,企业运营就会陷入停滞、中断或者是瘫痪状态。从这个角度说,信息和数据是企业的营运基础和保障,信息与数据安全关系到企业的办公、生产和经营能否正常开展。正因为如此,信息与数据的安全才日益引起管理者的高度重视。电力信息系统的数据安全管理是指为使其数据不被人为因素或系统故障所破坏和影响而实施的管理活动和措施。本文结合工作实际探讨供电公司信息系统的数据安全机制研究。
关键词:电力 数据 安全 机制 研究
目 录
一、电力信息系统数据安全需求分析 1
(一)完整性 1
(二)保密性 1
(三)可用性 1
二、保障数据库安全的各种技术手段 1
(一)用户标识与鉴别 2
(二)数据加密 2
(三)存取控制 2
(四)视图机制 3
(五)数据审计 3
(六)备份与恢复 3
三、保障数据库安全的管理制度手段 8
四、结束语 8
附 录 9
参考文献 10
网络数据库安全机制研究
——电力信息系统数据安全机制研究
随着IT技术的发展和电力企业机制改革的深化,电力信息化近几年发展迅速。越来越多的信息系统在电力企业应用,如生产MIS、营销MIS、办公自动化、电子档案管理、调度自动化、负控管理、企业资源计划管理等系统,这些系统覆盖到电力企业生产、经营、办公的各个方面,极大地提高了电网运营数字化和企业管理自动化水平。电力企业对各类信息系统的依赖程度越深,信息系统的数据安全问题就越重要。一旦信息系统数据丢失或遭到损坏,电力企业的日常工作都将无法正常进行。信息系统数据安全问题已受到电力企业管理者的高度重视。
一、电力信息系统数据安全需求分析
电力信息系统在其生存周期中处于不同的状态,即输入、传输、存储、处理和输出。信息在其生存周期中也存在着不同的状态,即生成、注入、分配、更换和销毁等特殊状态。不同的信息数据因其安全敏感度不同,对安全程度的需求也不同,而同一个信息系统在不同的生存状态中,对于安全程度的需求也不相同。尽管系统生存周期的数据安全需求不同,数据库系统的安全需求却都可以归纳为完整性、保密性和可用性三个方面。
(一)完整性
数据库系统的完整性主要包括物理完整性和逻辑完整性。物理完整性是指保证数据库的数据不受物理故障(如硬件故障或掉电等)的影响,并在遇到灾难性毁坏时重建和恢复数据库。逻辑完整性是指对数据库逻辑结构的保护,包括数据语义与操作完整性,前者主要指数据存取在逻辑上满足完整性约束,后者主要指在并发事务中保证数据的逻辑一致性。
(二)保密性
数据库的保密性是指不允许未经授权的用户存取数据。一般要求对用户的身份进行标识与鉴别,并采取相应的存取控制策略以保证用户仅能访问授权数据,同一组数据的不同用户可以被赋予不同的存取权限。同时,还应能够对用户的访问操作进行跟踪和审计。此外,还应该防止用户通过推理方式从经过授权的已知数据获取未经授权的数据,造成信息泄露。
(三)可用性
数据库的可用性是指不应拒绝授权用户对数据库的正常操作,同时保证系统的运行效率并提供用户友好的人机交互。
一般而言,数据库的保密性和可用性是一对矛盾,对这一矛盾的分析与解决构成了数据库系统安全的主要目标。
二、保障数据库安全的各种技术手段
原则上,凡是造成对数据库内存取数据的非授权的访问-读取,或非授权的写入(增加、删除、修改)等,都属于对数据库数据安全造成威胁或破坏。凡是正常业务需要访问数据库时,令授权用户不能正常得到数据库的数据服务时,也称之为对数据库的安全形成了威胁或破坏。
一个完整的信息安全系统至少应包括身份认证(标识和鉴别)、存取方向控制、审计等功能。
(一)用户标识与鉴别
由于数据库用户的安全等级是不同的,因此分配的权限也是不一样的,数据库系统必须建立严格的用户认证机制。身份的标识和鉴别是DBMS对访问者授权的前提,并且通过审计机制使DBMS保留追究用户行为责任的能力。功能完善的标识与鉴别机制也是访问控制机制有效实施的基础,特别是在一个开放的多用户系统的网络环境中,识别与鉴别用户是构筑DBMS安全防线的第一个重要环节。
近年来标识与鉴别技术发展迅速,一些实体认证的新技术在数据库系统集成中得到应用。目前,常用的方法有通行字认证、数字证书认证、智能卡认证和个人特征识别等。
(二)数据加密
数据加密作为一项基本技术是所有通信安全的基石,是保证信息机密性的重要方法,是数据安全技术的核心。数据加密过程由形形色色的加密算法来具体实施,他以很小的代价提供很大的安全保护,通过密码算法对数据进行加、解密变换,以实现信息的真实传递。目前,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
1、数据传输加密技术。目的是对传输中的数据流加密,常用的方法有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。
2、数据存储加密技术。目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
3、数据完整性鉴别技术。目的是对介入信息传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
4、密钥管理技术。为数据使用方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的存取介质有磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
(三)存取控制
近年来,基于角色(简称RBAC)的存取控制得到了广泛的关注,RBAC在主体和权限之间增加一个中间桥梁-角色。通过角色进行用户授权,大大简化了授权管理。具有强大的可操作性和管理性。
RBAC核心模型包含了五个基本的静态集合:用户集(users)、角色集(roles)、对象集(objects)、操作集(operators)、会话集(sessions)。用户集包含了数据库中可以操作的用户,是主动的实体;对象集是被动的实体;操作集是定义在对象上的一组操作;对象上的一组操作构成了一个特权;角色是RBAC模型的核心,通过用户分配(UA)和特权分配(PA)使用户和特权关联起来。
(四)视图机制
视图是关系数据库系统提供给用户以多种角度观察数据库中数据的重要手段。视图是从一个或几个基本表(或视图)中导出的表,它与基本表不同,是一个虚表。数据库中只存放视图的定义,而不存放视图对应的数据,这些数据依然存放在原来的基本表中。所以,基本表中的数据发生变化,从视图中查询出的数据也就随之改变了。从这个意义上讲,视图就象一个窗口,透过它可以看到数据库中自己感兴趣的数据及其变化。通过定义视图,可以使用户只看到指定表中的某些行和某些列,也可以将多个表中的列组合起来,使得这些列看起来就象一个简单的数据库表,另外也可以通过定义视图,只提供用户所需的数据,而不是所有的信息。
利用视图机制可以构造安全的模型。这样用户访问的就不是具体的表,数据库系统也不必要给具体的表授权,而只需要给某个用户授予访问某些视图的权限,从而起到保护数据库表的作用。授权和视图机制在某种程度上能给数据库应用系统提供一定的安全保障。
(五)数据审计
数据库审计是指监视和记录用户对数据库所施加的各种操作的机制。审计功能自动记录用户对数据库的所有操作,并且存入审计日志。事后可以利用这些信息重现导致数据库现有状况的一系列事件,提供分析攻击者线索的依据。
审计的策略库一般由两个方面因素构成,即数据库本身可选的审计规则和管理员设计的触发策略机制。这些审计规则或策略机制一旦被触发,则将引起相关的表操作。这些表可能是数据库自定义的,也可能是管理员另外定义的,最终这些审计的操作都将被记录在特定的表中以备查证。一般地,将审计跟踪和数据库日志记录结合起来,会达到更好的安全审计效果。
(六)备份与恢复
数据库系统总是避免不了故障的发生。安全的数据库系统必须能在系统发生故障后利用已有的数据备份,恢复数据库到原来的状态,并保持数据的完整性和一致性。数据库系统所采用的备份与恢复技术,对系统的安全性与可靠性起着重要作用,也对系统的运行效率有着重大影响。
1、数据库备份
常用的数据库备份的方法有如下三种:
(1)冷备份。冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份,又称为“脱机备份”。
(2)热备份。热备份是指当数据库正在运行时进行的备份,又称为“联机备份”。因为数据备份需要一段时间,而且备份大容量的数据库还需要较长的时间,那么在此期间发生的数据更新就有可能使备份的数据不能保持完整性,这个问题的解决依赖于数据库日志文件。在备份时,日志文件将需要进行数据更新的指令“堆起来”,并不进行真正的物理更新,因此数据库能被完整的备份。备份结束后,系统再按照被日志文件“堆起来”的指令对数据库进行真正的物理更新。可见,被备份的数据保持了备份开始时刻前的数据一致性状态。
(3)逻辑备份
2、数据库恢复
在系统发生故障后,把数据库恢复到原来的某种一致性状态的技术称为“恢复”,数据库恢复技术一般有三种策略,即基于备份的恢复、基于运行时日志的恢复和基于镜像数据库的恢复。
数据库的备份和恢复是一个完善的数据库系统必不可少的一部分,目前这种技术已经广泛应用于数据库产品中。据预测,以“数据”为核心的计算将逐渐取代以“应用”为核心的计算。在一些大型的分布式数据库应用中,多备份恢复和基于数据中心的异地容灾备份恢复等技术正得到越来越多的应用。
以下结合本人在供电公司工作实际,谈一下银电联网实时收费系统数据库安全的技术保障实现。
供电企业传统的收费模式在流通环节、工作实效上存在着很大的弊端。随着电力企业体制改革的不断深化及国家电网公司“一强三优” 战略目标的提出,供电企业迫切需要寻求一种新的收费服务模式,方便客户,提高服务质量。为实现上述目的,供电公司在现有电力营销管理信息系统的基础上组织开发了银电联网实时收费系统,充分利用银行网点多、分布广的优势,实现银行代收电费的电子化网络业务。该系统是将现代计算机技术、网络通信技术以及网络数据库技术有机结合起来,按照方便居民客户交费和有利于电费回收管理的原则,以先进成熟的计算机和通信技术为依托,以整体设计思想为支撑,完成供电公司和银行联网通道的建设,以及银电联网实时收费系统的研制开发,并落实安全措施,保障数据安全,实现客户电费信息的动态、实时、稳定交互,实现供电区域内所有用电客户能够方便、简单、快捷地在各大主要银行的任意一个储蓄网点缴纳或查询电费。
以欠费查询和前台缴费为例:
报头说明:
报文顺序 报文内容 报文长度 说明 备注
1 Socket标志 C(1) 0-银行请求
1-供电应答
2 报文长度 C(10) 银行发送内容中除去报头的长度
3 业务代码 C(2)
业务返回码、系统故障码定义表
返回代码 返回码含义 说明 备注
01 欠费查询
011 欠费查询――用户不存在 当银行此客户进行批量划拨时系统冻结该客户避免重复交易
012 欠费查询――高压用户
013 欠费查询――用户不欠费
014 欠费查询――当前用户被冻结
02 前台缴费
021 前台缴费――用户不存在 当发票年月为“000000”时表示预存业务。当客户有欠费时不允许预存。
022 前台缴费――高压用户
023 前台缴费――用户被冻结
024 前台缴费――金额不足
025 前台缴费――用户不欠费
026 前台缴费――用户有欠费无法预存
00 系统错误码
000 成功 所有交易成功都使用000作为成功码
001 通讯故障
002 后台数据库故障
003 无效数据包
004 系统故障
报文格式与协议
1、操作员身份验证
a) 接收到数据
报文顺序 报文内容 代码 字段长度 备注
1 登陆时间 Dlsj C(14)
2 操作员代码 Czydm C(6)
3 操作员密码 Czymm C(8)
b) 返回数据
报文顺序 报文内容 代码 字段长度 备注
1 返回码 Fhm C(3)
2 权限代码 Qxdm C(2) 循环
2、欠费查询
a)接收到银行数据
报文顺序 报文内容 代码 字段长度 备注
1 银行代码 Yhdm C(2) 网点号新增
2 网点号 Wdh C(20)
3 操作员代码 Czydm C(6)
4 发送时间 Fssj C(14)
5 客户号 Khh C(8)
b)返回银行数据
报文顺序 报文内容 代码 字段长度 备注
1 返回码 Fhm C(3) 营业区编号供银行分帐使用,电费年月中前6位为电费年月,后两位为随机抄表日
2 客户号 Khh C(8)
3 客户名 Khm C(40)
4 用电地址 Yddz C(60)
5 营业区编号 Yyqbh C(20)
6 用电余额 Ydye C(10)
7 总欠费金额 Zqfje C(10)
8 总欠费笔数 Zqfys C(3)
9 欠费年月 Qfny C(6) 绿色部分为循环体,有几个月的欠费就循环几次.
10 实际抄表日 Sjcbr C(2)
11 电费金额 Dfje C(10)
12 应缴金额 Yjje C(10)
13 滞纳金额 Znje C(10)
3、前台缴费
a)接收到银行数据
报文顺序 报文内容 代码 字段长度 备注
1 银行代码 Yhdm C(2) 电费年月为“000000”实际抄表日为”00”表示预存电费.有欠费不允许预存电费
2 网点号 Wdh C(20)
3 操作员代码 Czydm C(6)
4 发送时间 Fssj C(14)
5 客户号 Khh C(8)
6 交易金额 Jyje C(10)
7 流水号 lsh C(7)
8 电费年月 Ydsj C(6)
9 实际抄表日 Sjcbr C(2)
b)返回银行数据
报文顺序 报文内容 代码 字段长度 备注
1 返回码 Fhm C(3) 现在把缴费与打印分离,故只返回缴费是否成功.
相关联业务处理流程图
操作员身份验证
欠费查询-银行前台缴费-发票打印
三、保障数据库安全的管理制度手段
事实上,仅有技术上的安全措施是不够的。再完善的安全技术手段,如果缺少完备的管理制度,数据的安全性都将大打折扣。数据安全除了技术上的措施外,还应包括完善的安全管理制度。在实际工作中实行了这样一套行之有效的安全管理制度,其主要内容包括:
1、对中心机房的进入实行严格的登记制度;
2、密码管理制度,要求管理员定期更改管理密码;
3、数据库运行管理制度,要求系统管理员每日对系统相关的审计记录进行检查,以发现系统运行中的异常情况;
4、定期对系统进行升级和打补丁,以防止黑客利用系统安全漏洞对网络或服务器进行攻击;
5、定期下载病毒库并为每台客户机进行分发,以保持系统能够对最新的威胁做出及时响应;
6、对企业核心数据资产进行定期备份,要求对备份数据进行异地存放,以防止火灾、地震等造成不可挽回的损失。
通过制度与技术措施的有机结合,才能更好地保障企业信息系统的数据安全。
四、结束语
以上探讨了数据库安全的多种保障措施,应当指出,这些措施不是相互独立,而是彼此依赖并相互支持的。目前信息和数据的安全管理过程还存在很多问题,如信息系统在开发与建设中大多都由软件公司来完成,开发和维护脱节,部分企业管理者和使用人员安全管理意识不强、安全措施落实不力等。
先进的技术手段和管理措施最终都要由人来执行,因此,除了从技术和管理的层面加强信息数据安全管理外,还迫切需要强化数据安全意识和管理责任。不断提升人的安全意识、保密纪律和职业道德,才能将损失降低到最小,把数据安全工作做的更好。
附 录
在本文成文的过程中,感谢王征老师的悉心指导,由于本人的水平有限,本文的终稿一定还会有不足之处,恳请老师批评指正。通过本次论文写作,一方面使自己对网络数据库安全防范措施有了全面深入的了解,另一方面对本人今后的相关工作也起着积极的促进作用。
参考文献
1.蔡红柳、何新华,《信息安全技术及应用实验》,北京,科学出版社,2004。
2.程万军,《多级安全数据库管理系统设计与实现》,沈阳,东北大学,2003。
电子商务毕业论文范文4
内 容 摘 要
网络安全问题近年来得到了企业界的广泛关注,企业对自身信息资产的保护意识大为增强。但由于许多大型企业在信息系统建设之初没有系统考虑安全问题,使已形成的不安全的网络架构长期运转。
网络安全整体需求分析与设计是在大中企业网络安全建设的核心,而不是简单购买安全产品,填补所谓的“IT黑洞”。本文介绍了网络安全建设整体规划设计与实现,充分分析了大中型企业网络面临的风险和安全需求,并设计了安全建设整体规划方案。最终目标是形成网络信息安全体系框架,该框架围绕安全方针为核心,形成管理体系、技术体系、保障体系、运维体系。本文为企业集团提供了整体安全解决方案,解决了企业所面临的安全问题,满足了企业的安全需求,有效提高了企业的核心竞争力。
关键词:网络安全、防火墙、VPN、防毒墙
目 录
一、项目背景 1
(一)总体描述 1
(二)企业网络面临的风险 1
二、网络安全需求分析 4
(一)总体安全需求 4
(二)安全产品和技术需求 6
(三)安全服务和集成需求 8
三、网络安全设计体系 10
(一)信息安全体系框架 10
(二)方案建设原则 11
(三)安全体系设计 11
(三)安全实施策略 15
四、网络安全解决方案 16
(一)部署防火墙和VPN产品 16
(二)部署防病毒系统 17
(三)部署网络存储备份系统 18
五、网络安全部署实例 18
(一)防火墙部署实例 18
(二)防毒墙部署实例 20
六、结束语 38
七、参考文献 38
企业网络的安全问题分析与对策
——企业网络安全
建设整体规划方案
一、项目背景
(一)总体描述
网络安全问题近年来得到了企业界的广泛关注,企业对自身信息资产的保护意识大为增强。但由于许多大型企业在信息系统建设之初没有系统考虑安全问题,使已形成的不安全的网络架构长期运转。同时,大型企业网络环境复杂、节点众多、地理位置分散、应用复杂等特点的存在还导致了安全系统在分析、设计和实施上的困难。基于以上诸多原因,使企业网络安全建设,特别是大中型企业网络安全建设仍然成为目前网络安全行业实施的难点。本文介绍大中型企业的网络安全建设。
(二)企业网络面临的风险
1. 信息系统面临的安全威协
威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,主要有两个特点,一威胁总是针对具体的信息资产,比如企业信息网络中的机密及敏感信息、信息网络中的网络资源、信息网络中的关键应用等;二威胁总是在利用信息资产的弱点时,才会造成风险,针对企业信息网络,威胁可利用的弱点的各类缺陷;威胁从形式上划分为威胁来源和威胁手段,信息安全所面临的威胁来自很多方面,针对企业信息网络,其面临的安全威胁有非人为威胁和人为的威胁。
对于企业信息网络的主要威胁来源包括:
敌对国家:由政府主导,有很好的组织和充足的财力; 利用国外的服务引擎来收集来自被认为是敌对国的信息;
黑客:攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人,从而达到自己的特定目标,这些人员可能在系统外部,也可能在系统内部,其对网络的攻击带有很强的预谋性,往往对系统的正常运行造成很大的破坏,或者造成机密信息的外泄;
恐怖分子/计算机恐怖分子:使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙,这些组织或团体会采用收买内部员工的方式,利用社交工程渗透到企业信息网络,造成涉密信息外泄。
内部员工:内部员工包括一些怀有危害局域网络或系统想法的气愤、不满的员工,或者是一些技术爱好者,希望尝试一些技术,这些员工由于掌握了企业信息网络的一些资源,所以攻击成功的可能性很高,并且对系统的破坏也很可观。此外内部员工的误操作行为也会给企业信息网络造成威胁,误操作行为有可能导致信息网络的正常运行被中断,或者重要数据丢失,或者不慎将机密信息带出企业信息网络,造成泄密。
2.信息系统存的脆弱性。
(1)网络方面的
通过上面的分析可以明显地看到信息系统存在着几大安全隐患:
骨干网同互联网、银行等直接相连,会受到互联网等的很大影响。
企业信息系统的骨干网同互联网直接相连,网络暴露在互联网之下,任何扫描、攻击、入侵都会直接影响到企业信息系统的运行。
骨干网建立在中国电信的SDH网络上,信息安全上不可信任。
中国电信的SDH网络为企业信息系统建立了网络的基础设备,但是也要看到,中国电信通过SDH网络能够访问、控制、入侵企业信息系统,在信息安全上中国电信的SDH网络是不被信任的,骨干网必须大大加强防护。
拨号笔记本电脑拨入网络,形成不可控制的网络边界
(2)应用层方面的
在应用层中我们知道:
提供的访问接口为HTTP的方式,传输不安全。
系统仅通过用户名口令进行认证。
终端机用户无认证方式。
各人员的操作日志,缺乏分析方式。
数据库和WEB系统同机保存。
(3)管理方面的
企业信息系统在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规范、安全事件应急计划,管理制度不完善,安全管理和运行维护组织不健全,对规章、制度落实的检查不够等。
3. 安全风险风析。
我们将从骨干通讯链路、办公网、网上业务等,描述各自的安全风险如下:
(1)互联网服务的安全风险
互联网服务主要是公开信息发布。公开信息发布功能由WWW服务器提供。
未来的互联网服务会包括网上业务交易等内容,所以先在必须掌握它的风险,整个服务则必须建立起安全的网上交易控制机制,确保交易信息的秘密性、完整性和交易行为的不可否认性。具体包括:
由于错误地实现访问控制,使攻击者对网上系统的访问未能检测到,从而造成对信息完整性、保密性、或可用性的潜在危害。
互联网黑客伪造网站,欺骗用户;
互联网黑客对网上主页发布服务器的直接攻击;
攻击者通过执行命令、发送数据、或执行其他操作使系统资源对用户失效,资源可能是带宽、处理器时间、内部存储器、数据存储器等。
攻击者通过窃听通信线路获取用户数据。
攻击者为获得消息内容对加密数据使用密码分析。
当截获了有效用户的标识和鉴别数据后,未授权用户在将来使用这些鉴别数据,访问系统提供的功能。
授权用户、信息系统、攻击者下载和执行恶意代码,产生异常的进程,破坏系统资产的完整性、可用性、或保密性。
攻击者欺骗用户使用户与伪造的系统服务交互。
消息的接收者(或发送者)为避免对接收(或发送)的信息负责而否认接收(或发送)过数据。
合法用户滥用授权不正当地收集、修改或发送敏感的或对系统安全关键的数据。
关键系统组件失效导致系统关键功能失败。
(2)互联网访问的安全风险
由于互联网的完全开放性,往往使组织对互联网的访问遇到极大的安全风险,针对企业网络系统,对互联网访问的安全风险主要包括:
对主页服务器的拒绝服务攻击;
黑客渗透;
扫描攻击;
恶意代码攻击;
垃圾邮件攻击;
蠕虫病毒传播;
不健康信息的传播;
网络嗅探攻击。
二、网络安全需求分析
信息系统对安全的需求是任何一种单元安全技术都无法解决的。安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。
(一)总体安全需求
1. 物理层安全需求
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。 对于现代企业物理层的安全策略与解决方案主要考虑以下两个方面:
第一个方面,对主机房及重要信息存储来说:首先要保证重要地点的安全防范工作,如:非工莫入;出入记录;录像监控;门磁、窗磁、红外报警等。以上非工莫入、出入记录可以采用目前先进的IC卡技术、指纹技术、虹膜技术、面纹技术等来实现,可以做到实时记录,方便查询等优点。另外,在机房内外安装摄像机实时记录机房内外的各种情况,便于今后查询。门磁、窗磁、红外报警等作为安全技术防范的辅助手段加以使用,可以获得优异的效果,可以通过门窗、通道放置磁性、红外报警装置,当报警装置被触动后,激发摄像机定位,以便实时记录并触发警报;也可以当报警装置被触动后,激发摄像机定位,启动实时记录并触发警报。
第二个方面,对主机房及重要信息存储等重要部门来说:一旦电源发生故障,就会造成信息的丢失,正常工作无法进行,给不法分子造成可乘之机。
2. 网络层安全需求
网络层的安全需求是信息系统安全的基础安全设施之一,我们可以通过网络环境的分析、网络层风险评估和网络层策略确定网络层的安全需求。
网络层的安全是企业信息网安全的核心和灵魂,我们需要考虑以下的安全策略与解决方案。
(1)网络设备和服务器的身份认证:为了保证企业内部网络中重要的网络设备(路由、交换等)、服务器和其它设备的有序管理,我们可以采用基于第三方认证的集中式的身份认证。
(2)对内部网络不同的安全区域有不同的安全需求,做不同的安全访问控制措施(通过使用路由交换的ACL或者划分VLan做访问控制的地方尽量去使用原有网络安全设备去做访问控制,对于分支机构不同的安全区域主要是指应用服务核心层和网络接入层之间,要考虑使用防火墙的机制来完成访问控制)
(3)对所有的上网用户的上网行为进行审计,防止利用网络访问非授权网站。
(4)对于重要服务器,网络交换、路由设备的系统日志采取集中的基于行为的审计从根本上防止别人对重要的系统及设备进行攻击。
(5)建立网络安全主动防御机制,采用基于网络的入侵检测系统对企业重要网段和重要应用服务器的安全提供主动性的安全保证措施。
(6)采取脆弱性扫描软件和安全评估服务主动的发现企业信息网中存在的安全隐患,便于先于入侵者发现安全问题,解决安全问题。
3.系统层安全需求
系统层是应用建立的最后一道防线,故在系统层也应该建立良好的安全机制:
及时防御网络病毒和恶意代码的侵害
建立及时检测外部入侵和非法行为
建立及时的响应和报警机制。
利用安全扫描技术实现主机的弱点分析,同时还能实现对其他设备的弱点分析。
重点加强关键主机的防护和加固,全面提升操作系统的安全等级。
实现主动防御,防患于未然。
4.应用层安全需求
在企业网络应用系统中,财务服务器、业务服务器以及办公自动化服务器的传输可能面对如下安全问题。
数据传输的安全性
数据传输的安全性即是要保证在公网上传输的数据不被第三方窃取。
数据的完整性
对数据的完整性需求是指数据在传输过程中不被篡改。
身份验证
由于网上的通信双方互不见面,必须在相互通信时(交换敏感信息时)确认对方的真实身份。
不可抵赖性
在网上开展业务的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证发生纠纷时有所对证。
从信息安全的角度来看,解决信息安全的策略和技术主要有以下方面:
建立基于PKI的统一信任体系。为系统提供身份认证、数字签名。
基于PKI技术实现统一授权管理和统一密钥管理。
对各种用户进行的任何与安全相关的操作进行记录和追踪。
建立内部人员非法操作或发生安全事故后的追查和审计。
5. 管理层安全需求
机房人员管理制度、机房UPS管理制度、机房安全管理制度、网络管理及服务制度、网络管理及服务制度、网络保密管理制度、防病毒管理制度、信息资源管理制度、计算机设备维护管理制度、数据备份管理制度、应急响应预案制度、操作系统及数据库安全管理制度、审计规范制度、公司主页发布信息制度、上互联网规定制度、违法犯罪案件报案制度等制度。
建立对网络设备综合管理的系统
建立对安全系统进行管理的系统
实现对核心业务和服务进行全面管理和报警的安全运行中心
建立相应的紧急应急体系
(二)安全产品和技术需求
1. 主干网络安全需求
行数据通讯时,必须确保数据的秘密性和完整性,防止数据在传输通讯过程中被窃听和篡改,采用在IP层建立虚拟专用网机制来实现对通讯数据的加密。
在IP层建立数据的安全传输机制,确保数据在传输过程中的秘密性和完整性。
2. 服务器区安全需求
(1)业务应用的安全需求
业务应用数据的保密性,可通过网点应用和主机端应用的对称加密方法实现;
业务应用数据的完整性,对业务交易数据包中,增加包含交易信息的数字邮戳,在数字邮戳后附加数字邮戳的MD5校验;
应使用磁条卡或IC卡建立网点操作员的身份认证机制;
对业务的访问应该有较好的审计措施,能够实现对重要服务器访问过程的记录,在发现安全故障后能够及时报警并采取相应的安全措施。
(2)中间业务的安全需求
应建立中间业务网络的隔离机制,防止代理方机侵入内部计算机网络;
应建立交易双方的认证机制,采用数字签名保证交易的不可抵赖性和交易数据的完整性;
应建立安全审计机制,记录双方的交易过程与行为。
3. 办公区安全需求
(1)计算机病毒检测与防范安全
建立严密的防病毒系统,对所有代理服务器进行病毒监测,尤其要保护众多的邮件服务器;建立病毒监测系统,监控病毒的传播。
建立病毒特征码库,动态自动更新防病毒软件的病毒特征码。
(2)关键数据的保密安全
机密数据主要是指敏感经营数据和经济信息,出于办公自动化的需要,这些数据也被放到了企业内部网络上,尽管这些数据并不适合企业的网络管理员看到。如果这些数据不通过独立于操作系统以外的保护机制进行保护以外,这些数据的机密性将受到挑战。
(3)互联网安全访问需求
需要针对互联网进行边界隔离;
需要有抗黑客攻击的边界防护产品;
需要有防扫描的产品;
需要有防垃圾邮件的措施;
需要对终端上网行为进行监测和控制。
(4)终端访问行为审计的需求
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,为调查取证提供第一手的资料。
通常安全审计系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为,需要经过下列四个过程。
数据采集:网络安全审计系统需要采集必要的数据用于审计分析。
数据过滤/协议还原:根据预定义的设置,进行必要的数据过滤及缩略,从而提高检测、分析的效率。同时对数据进行协议还原,提取用户关心的内容数据。
数据存储:将内容数据按一定的策略进行本地或远程存储。
数据分析/审计/报警:根据定义的安全策略,进行审计/分析。一旦检测到违反安全策略的行为或者事件,进行报警。
4. 网上业务的交易安全
网上业务应具有安全审计功能,并妥善存储系统的关键软件(如网络操作系统、数据库管理系统、网络监控系统)的日志文件、审计记录。
信息应仅接受授权个体和进程的访问。
应确保通过网络传输信息的完整性。
应具备防止对交易行为否认的抗抵赖技术或措施。
网上业务应有完善的数据备份措施。
网上交易信息在互联网上传输时,必须采取相应的密码技术对其中的客户信息、交易指令及其他敏感信息进行可靠的加密处理。所采取的密码算法必须经过国家密码管理部门的认可。
网上业务应与和其他业务系统在技术上隔离,禁止通过网上业务系统直接访问任何内部业务系统。
网上业务必须能正确识别和鉴别网上客户的身份及其授权,禁止仿冒客户身份或工作人员身份。
网上业务系统应具备实时监控和防范非法访问的功能或设施。
网上业务系统应有完善的故障恢复手段。
应主动关注网上业务系统中运行的各操作系统补丁发布情况,并及时升级修补。
网上业务各相关安全组件应具备及时便捷的升级更新能力。
(三)安全服务和集成需求
1. 安全组织建设需求
需要建立全行信息安全管理组织架构,专门负责信息系统的安全管理和监督。
需要制订企业安全策略和安全管理制度
安全管理部门结合企业信息系统的实际情况,制订合理的安全策略,对信息资源进行安全分级,划分不同安全等级的安全域,进行不同等级的保护。
制订并执行各种安全制度和应急恢复方案,保证信息系统的安全运行。这些包括:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等。
2. 安全制度建设需求
安全工作,三分技术,七分管理,所以服务商在项目实施过程中,要协助企业建立完善一整套安全管理制度,这些制度包括但不限于:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等:
在制订这些制度时,要考虑到以下原则:
(1)要充分理解公安部、国家局等国家监控部门的信息安全的要求,参照国内外的相关规范标准,制订这些管理制度。
(2)要考虑到目前国内的管理水平,制订与目前阶段管理水平相适应的管理制度,以保证管理制度的可执行性。
(3)在技术方案部署的基础上,要充分利用技术手段,以保证管理制度的有效性与高效率。
3. 安全策略建设需求
信息安全策略是信息安全的根本,故本章专门描述信息安全策略的制定。
(1)整体安全策略的制定服务
根据领导、各级中层领导、应用使用者对信息安全工作的指导和建议:建立全面有效高效的安全体系和安全管理机制。
以总体安全策略为主,建立物理环境安全策略和网络环境安全策略,大大加强应用环境安全,在此基础上重点完成安全管理制度和组织架构,核心建立应用安全策略。
(2)网络环境安全策略的制定服务和集成
由于网络是信息化的中心,故网络环境安全策略必须加以实施。
(3)应用环境安全策略的制定服务和集成
对于应用环境来说,需要建立如下内容:
建立防病毒体系。
实现对终端的良好控制。
对现存的漏洞进行补救
(4)应用系统安全策略的制定服务和集成
应用系统安全来说,应该作如下策略,以便规划新应用的安全接入:
提供的更有效的传输,保障安全。
系统仅通过用户名口令进行认证。
提供终端机用户认证。
各人员的操作日志,进行综合分析。
加强数据库的防范。
建立以事件为中心的安全分析系统。
(5)组织架构策略的制定服务
机房人员管理制度、机房UPS管理制度、机房安全管理制度、网络管理及服务制度、网络管理及服务制度、网络保密管理制度、防病毒管理制度、信息资源管理制度、计算机设备维护管理制度、数据备份管理制度、应急响应预案制度、操作系统及数据库安全管理制度、审计规范制度、公司主页发布信息制度、上互联网规定制度、违法犯罪案件报案制度。
三、网络安全设计体系
(一)信息安全体系框架
信息安全体系是具体的,为了将具体的表达就抽象成如下安全体系框架:
图1 信息安全体系框架示意图
信息安全体系中,信息安全方针是整个信息安全体系的核心,该方针指导着信息安全体系的策略和方向。通过对信息安全方针的分解能够分化出技术策略、管理策略、运维策略和保障策略,这些策略形成策略体系。这些安全策略指导着对应体系的建设,技术体系、管理体系、运维体系和保障体系。而整个安全体系是要取决于整个信息安全的社会环境。
(二)方案建设原则
本方案的设计遵从以下原则:
整体均衡原则
要对信息系统进行全面均衡的保护,要提高整个信息系统的"安全最低点"的安全性能,保证各个层面防护的均衡。
安全目标与效率、投入之间的平衡原则
要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点,不能为了追求安全而牺牲效率,或投入过大。
标准化与一致性原则
在技术、设备选型方面必须遵循一系列的业界标准,充分考虑不同设备技术之间的兼容一致性。
产品异构性原则
在安全产品选型时,考虑不同厂商安全产品功能互补的特点,在进行多层防护时,将选用不同厂商的安全产品。
区域等级原则
要将信息系统按照合理的原则划分为不同安全等级,分区域分等级进行安全防护。
动态发展原则
安全防范体系的建设不是一个一劳永逸的工作,而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。
统筹规划分步实施原则
技术方案的部署不可能一步到位,所以要在一个全面规划的基础上,根据实际情况,在不影响正常生产的前提下,分步实施。
保护原有投资原则
设计技术方案时,要尽量利用企业现有的设备与软件,避免投资浪费,这些设备包括安全设备、网络设备等。
(三)安全体系设计
1. 企业安全体系的要素
企业信息网络的安全体系从横向看,主要包含安全组织、安全管理和安全技术三个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
其次,为了使网络安全体系更有针对性,在网络安全体系的构建中还必须考虑网络安全本身的特点:动态性、相对性和整体性。
动态性:网络安全的动态性指的是网络中存在的各种安全风险处于不断的变化之中,从内因看,网络本身就在变化和发展之中,网络中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看,各种软硬件系统的安全漏洞不断的被发现、各种网络攻击手段在不断在发展,这些都可能使得今天还处于相对安全状态的网络在明天就出现了新的安全风险。
相对性:网络安全的相对性指的是网络安全的目标实现总是相对的,由于成本以及实际业务需求的约束,任何的网络安全解决方案都不可能解决网络中所有的网络安全问题,百分之百安全的网络系统是不存在的,不管网络安全管理和安全技术实施有多么完善,网络安全问题总会在某个情况下发生。网络安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全体系中的重要环节。
整体性:网络安全的整体性指的是网络安全是一个整体的目标,正如木桶的装水容量取决于最短的木块一样,一个网络系统的安全水平也取决于防御最薄弱的环节。因此,均衡应该是网络安全体系的一个重要原则,这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡,以实现整体的网络安全目标。
2.安全体系的设计
根据企业安全体系设计要素的描述,参考企业信息网络安全体系需要考虑的各个要素,设计出企业信息网络安全体系如下图所示:
图2 企业网络安全保障体系架构
安全体系的深度防御战略模型将防御体系分为管理、技术和运维三个要素,网络安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系,明确技术实施和安全操作中相关人员的安全职责,从而达到对安全风险的及时发现和有效控制,提高安全问题发生时的反应速度和恢复能力,增强网络的整体安全保障能力。因此,网络安全管理体系首先要解决“人”的问题,建立完善的安全组织结构,其次是解决“人”和“技术”之间的关系,建立层次化的网络安全策略,包括纲领性策略、安全制度、安全指南和操作流程,最后是解决“人”与“操作”的问题,通过各种安全机制来提高网络的安全保障能力。
3.安全管理体系
从管理体系的层次来看,安全组织框架主要包括安全组织建设和人员安全建设。
(1)安全组织设计
安全领导小组:由企业领导组成,负责对企业网络安全体系建设进行统一的规划和设计,负责对企业选择的安全产品进行选型,对安全技术进行考证,在安全体系建设进行关键阶段与安全实施小组举行会议,检查项目的进展,并对项目中的一些关键问题和争议进行决策;
安全顾问组:由企业网络专家和厂家高级安全顾问组成,负责以下的工作:
主要从技术的角度领导整个服务现场实施的工作,负责与客户相关人员沟通协调
负责研究所需的网络安全解决方案
设计和实施安全服务的技术方法论
设计与开发项目技术解决方案
协助安全实施小组保证集成服务状态与品质保证
安全实施小组:由企业网络工程师、厂家项目工程师组成,负责企业网络安全的建设,同时将项目实施过程中的技术文挡进行归类,提供给安全系统运营小组作为参考依据;
安全运营小组:在企业网络安全项目建设完毕后,由安全实施小组的部分成员,加上售后服务工程师,组成安全运营小组,该小组负责维护总体网络安全系统,对系统运行期间出现的问题给予及时的响应和反馈,确保企业网络安全系统的长期稳定运行;
组织间的合作:按照企业网络安全集成项目的不同阶段,各个小组对自己负责的范围进行工作,并在项目实施的关键阶段,通过例会的方式进行信息的沟通。
(2)人员安全设计
一个有效的安全体系,首先考虑的因素是“人”,如何提高“人”的自身素养,提高“人”的安全意识,是企业安全系统的有力保障,安全体系建设我们将首先确定在企业网络的日常管理和运营维护中,具体的岗位分工、培训教育、安全考核三个部分进行考虑。
4. 安全运维体系
该体系主要包括安全规章制度、安全操作指南和设备操作流程等三个大的方面,具体内容如下:
(1)安全规章制度
强调各种管理制度,约束“人”的行为,明确哪些是允许的行为,哪些是应该注意的行为,哪些是严格禁止的行为,特别是使用涉及国家机密信息的工作人员,要提出严格的规章制度来进行约束,主要包括以下方面的内容
《企业电子化项目建设安全管理规范》
《企业网络设备安全管理指南》
《企业数据中心要害人员安全管理制度》
《企业主机操作系统安全配置指南》
《企业办公区域安全管理规定》
《企业信息资产管理办法》
《企业计算机应急计划指南》
《企业计算机安全规章制度管理办法》
《企业计算机安全工作管理办法》
《企业网络边界安全防护规范》
《企业病毒防治管理办法》
(2)安全操作指南
为实现企业最终的安全目标,发挥出安全设备的最大效果,在安全厂家的支持下,针对不同的安全产品,制定响应的技术操作指南,供企业安全管理人员进行参考,并处理一些紧急事件,主要包括以下方面的内容:
网络设备操作指南
应用系统操作指南
安全设备操作指南
安全管理平台运维指南
(3)设备操作流程
为约束网络管理员、系统管理员、安全管理员的行为标准,提出明确的技术要求和操作标准,主要包括以下方面的内容
网络设备操作流程
应用系统操作流程
安全设备操作流程
应急响应处理流程
5. 安全技术体系
企业信息网络网络安全建设应当依据对系统当前面临的主要威胁的深刻分析,实施有针对性的安全技术体系。安全技术体系的总体性要求如下:
综合性:依据对安全威胁的广泛识别,采用综合的解决方案,建立完整的防范体系;
纵深性:安全技术体系应具有纵深性,能够对信息系统提供多级保护;
统一性:安全技术体系应在单一管理环境下,集中化的管理所有IT系统;
集成性:安全管理工具应能够和其他管理工具有效集成;
开放性:安全管理工具应支持广泛的安全管理标准;
适应性:安全管理结构应适应组织和环境的变化;
合法性:安全管理产品应符合国家有关法律和规章要求;
安全结构:建立层次化的安全结构,支持基于角色/责任的安全模式。
(三)安全实施策略
基于企业网络安全建设原则,我们在系统建设的过程中,把握如下策略:
在产品选型时,需要厂家可以提供个性化的服务。
采用可提供本地化服务的厂家的产品。
采用可以提供分级、分布、集中管理控制并可进行互动的产品。
在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。如国内的安全等级标准、GB/T18336、GB17859、漏洞标准,安全标准以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。
产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
建立全行的安全运维管理中心,集中监控安全系统的运行情况,集中处理各种安全事件;统一制订安全系统升级策略,并及时对安全系统进行升级,以保证安全体系的防护能力;
建立层次化的管理体系和运维体系。
四、网络安全解决方案
(一)部署防火墙和VPN产品
网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。
通过在防火墙上设置安全策略增加对服务器的保护,必要时还可以启用防火墙的NAT功能隐藏内部网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙形成动态、自适应的安全防护平台。
1. 防火墙对服务器群的保护
由于各种应用服务器等公开服务器属于对外提供公开服务的主机系统,因此对这些公开服务器的保护也是十分必要的;利用防火墙系统的DMZ,将公开服务器连接在防火墙的DMZ区上。
图3 防火墙布署示意图
2. 防火墙对核心内部业务网的保护
对于内部核心业务网部分,在实施策略时,可以配置防火墙系统工作在透明模式下,并设置只允许核心内部网访问外界有限分配资源,而不允许外界网络访问核心内部网信息资源或只允许访问有限资源;也可以在防火墙上配置NAT策略,能够更好地隐藏内部网络地址结构等信息,从而更好地保护核心内部网的系统安全。
3. 防火墙中的VPN系统部署
大部分防火墙可以方便的扩展IPSEC VPN、各种VPN加速卡模块,能满足各种网络需求。在VPN方面:
支持基于标准IKE协商的VPN通信隧道
支持网关到网关,及远程移动用户到网关的VPN隧道
支持多种认证方式,如预共享密钥,数字证书等
支持SCM服务器集中管理
(二)部署防病毒系统
网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的企业级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。从结构组成上分为:网关级防病毒(部署在网络入口处,对病毒、蠕虫和垃圾邮件进行有效过滤);服务器防病毒(服务器作为网络的核心,为资源共享和信息交换提供了便利条件,但同时也给病毒的传播和扩散以可乘之机。所以应重点加强对服务器进行保护,安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力);桌面级防病毒(在客户端安装,将病毒在本地清除而不至于扩散到其他主机或服务器);病毒管理中心(实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等);这样,由单机防毒到网络防毒,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
图4 多级网络防病毒示意图
(三)部署网络存储备份系统
采用SAN构架部署存储备份系统;安装并通过专门的管理模块进行统一管理;采用磁盘阵列确保数据安全,对于重要数据备份到磁带机上做永久保留;为服务器上不同的服务安装相应的备份模块(SQL Server、Oracle、Domino);对于某些个人主机重要资料,通过安装单机模块,予以保护。
五、网络安全部署实例
(一)防火墙部署实例
防火墙部署,以东软NetEye FW为实例。
1. 工程
工程文件名:rsd1216new
(1)应用规则
(2)设备管理
(3)路由配置
(4)状态超时设置
2. 包过虑规则
规则文件名:rule20061103
3. 地址转换规则
规则文件名:T
4、本地访问控制规则
(二)防毒墙部署实例
防毒墙部署实例,我们能趋势OfficeScan 7.0为例:
1. Officescan7.0安装
(1)双击安装文件出现解压界面。
接下来进入安装向导。
(2)选择默认项:“在此计算机上安装/升级防毒网络服务器”
安装前会自动使用损害清除模块,清除病毒并修复注册表
(3)选发布WEB站点类型,提供IIS和Apache Web
一般选择IIS,2000 SERVER自带了IIS
(4)然后选择以IP地址还是以域名发布站点
这里应选择IP地址为标准,并使用默认IIS站点,启用SSL加密
这里作为提示信息。
选择 “是”
如若没有通过代理上网的话,可直接跳过 点“下一步”,针对企业的环境,这里选择直接下一步。
(5)这里是设置密码,根据具体情况,密码可以自己设定
上面是控制台管理密码,下面是客户机的退出与卸载密码。
下图中勾选第一项,即TMCM的代理程序
也可暂时不勾选,等装完后再单独安装代理程序
在安装TMCM 代理程序时,需要输入TMCM 的通讯密钥文件,密钥的下载地址:
http://137.12.8.214/setup/tmcm_key.dat 导入该密钥即可。
(6)输入相应授权号
建议勾选“安装企业客户机防火墙”
(7)根据具体情况,在这里端口号输入“22222” 即:客户端和服务端的通讯端口。注:如果是进行版更新升级时,一定要输入“前一个版本所使用的端口号”, 否则,客户端和服务端不能正常通讯。
勾选“启用间谍软件/灰件扫描/清除”
(8)接着安装过程开始拷贝文件了。
(9)安装完毕,开始菜单生成控制台地址。
2. Officescan7.0基本配置
在IE地址栏中输入:https://服务器IP/officescan 即可看到控制台界面。输入管理员密码后,登陆后可看到以下界面。
(1)首先,展开“客户机”节点。
对所有客户机做配置策略时,需要点中防毒墙网络版服务器,扫描选项中分别有手动扫描、实时扫描和预设扫描。可根据实际需要对其进行相应的配置。
①手动扫描:
②实时扫描:
注: 下图中请选择 “所有可扫描文件”
这里根据企业的客户机情况,实时扫描选项建议此配置。
在扫描处理措施中,可把“当检测到病毒时在客户机上显示一条警报消息”的复选框去掉,这样在客户机实时扫描时,特别是病毒多发期就不会反复的弹出警报消息,完全在后台处理,避免影响用户的正常使用。
在病毒处理措施中,建议在第一步无法清除的情况下,第二步就直接删除。(现在检测到的多为,整个文件都是病毒)
③预设扫描:
在预设扫描中,建议能启用该选项。通过统一的对全网进行扫描,可以有效地控制住病毒的延伸。
其次,在客户机权限/设置里,建议不给客户太多权限,以免误操作引起不必要损失。
注:上图中请选中 “从趋势科技更新服务器下载”。
(2)在验证连接选项中,需要把预设验证改为每小时一次,以确保网络管理员能及时的掌握客户机的在线情况。
(3)需要注意的是升级和部署,强烈建议把更新时间改为每小时一次
把部署时间改为每两小时从服务器向客户端部署一次,确保客户机因网络原因无法从服务器升级病毒码和策略的例外,实行双向更新。
3. OfficeScan 7.0 客户机安装
安装方式一:Web方式装
客户机通过IE浏览器https://< 防毒墙服务器的IP>/officescan 开启管理主控台,并移动鼠标光标在[安装OfficeScan 客户端]部分。点选页面中[单击此处],以启动OfficeScan 客户端安装程序。
安装方式二: 共享方式安装
客户机通过开始运行输入//防毒墙服务器的IP,打开防毒墙服务器共享文件,找到OfficeScan客户端安装程序ofcscan/AutoPcc.exe。双击安装程序,以启动OfficeScan 客户端安装程序。
六、结束语
大中型企业的由于种种原因在网络安全建设上存在一定的难度,实践表明,通过以上对网络进行系统地分析和规划,为企业集团提供了整体安全解决方案,解决了企业所面临的安全问题,满足了企业的安全需求,有效提高了企业的核心竞争力。
七、参考文献
1. 康弗瑞(Convery,S.)(美) 著,王迎春、谢琳、江魁 译,《网络安全体系结构》,人民邮电出版社。
2. 吴亚非、李新友、禄凯 主编 ,《信息安全风险评估》,清华大学出版社。
3. 思科网络技术学院 著,李涤非、欧岩亮、秦华 译,《思科网络技术学院教程网络安全基础》,人民邮电出版社。
4. 马宜兴 主编,《网络安全与病毒防范》(第三版),上海交通大学出版社。
更多免费原创电子商务毕业论文范文推荐:
在线咨询
