電子商務平臺系統(tǒng)技術(shù)方案

1、1 / 53 電子商務平臺系統(tǒng) 技 術(shù) 建 議 書 xxxxxxxxxx科技有限公司 2012-12-03 目 錄 第一章、項目需求分析和電子交易運營模式建議 . 3 1.1電子交易全面解決方案 . 4 1.2電子交易系統(tǒng)總體業(yè)務流程 . 6 1.3掛牌交易子系統(tǒng) . 9 1.4團購交易子系統(tǒng) . 9 1.5競價交易總體子系統(tǒng) . 10 1.6專場和商鋪交易子系統(tǒng) . 11 1.7財務管理子系統(tǒng) . 12 2 / 53 1.7.1多途徑支付功能 . 13 1.7.2實現(xiàn)跨區(qū)跨行支付 . 14 1.7.3方便會員提現(xiàn) . 14 1.8風險控制子系統(tǒng) . 14 1.9交易平臺接口說明 . 15 1

2、.9.1數(shù)據(jù)轉(zhuǎn)換 . 15 1.9.2交易系統(tǒng)與銀行支付網(wǎng)關(guān)的接口 . 17 1.9.3交易系統(tǒng)與短信系統(tǒng)接口 . 19 1.9.4 交易系統(tǒng)與ERP管理系統(tǒng)接口 . 19 1.9.5交易系統(tǒng)與倉儲配送系統(tǒng)接口 . 20 1.10系統(tǒng)界面說明 . 21 第二章、電子交易系統(tǒng)技術(shù)架構(gòu)(略) . 23 2.1技術(shù)方案整體性 . 23 第三章、電子交易系統(tǒng)安全標準和特點 . 24 3.1電子交易系統(tǒng)的安全需求 . 24 3.2技術(shù)安全 . 25 3.2.1.安全交易標準 . 25 3.2.2數(shù)字時間 . 26 3.2.3數(shù)字憑證 . 27 3.2.4身份認證 . 28 3.2.5 CA認證方案 .

3、29 第四章、規(guī)范高效的本地化項目實施和培訓 . 31 4.1 項目進度計劃 . 31 4.2項目成功保障 . 32 4.2.1先進的技術(shù) . 32 4.2.2項目管理原則 . 35 4.2.3培訓任務和目標 . 38 第五章、售后服務方案 . 43 5.1 維護服務內(nèi)容 . 43 5.1.1 項目進行中的承諾 . 43 5.1.2 維護承諾 . 43 5.2 項目驗收完成后技術(shù)支持計劃 . 45 5.2.1 定期的交易中心內(nèi)部交流 . 45 5.2.2 定期的合作雙方交流 . 45 5.2.3 長期的同行業(yè)交流 . 45 5.3 后繼服務體系 . 46 5.3.1 精良優(yōu)質(zhì)的產(chǎn)品 . 46

4、5.3.2 系統(tǒng)維護 . 46 第六章、軟件系統(tǒng)實施服務報價和主要硬件推薦 . 48 6.1 網(wǎng)絡和硬件配置 . 48 6.2 數(shù)據(jù)服務器選型 . 49 6.3 防火墻選型 . 50 6.4 寬帶通訊選型 . 51 6.5 數(shù)據(jù)同步策略和備份機制 . 51 第七章 交易系統(tǒng)和輔助系統(tǒng)報價 . 53 3 / 53 第一章、項目需求分析和電子交易運營模式建議 近年來隨著農(nóng)業(yè)產(chǎn)業(yè)化的發(fā)展，優(yōu)質(zhì)農(nóng)產(chǎn)品需要尋求更廣闊的市場。傳統(tǒng)的農(nóng)產(chǎn)品銷售方式難以在消費者心中建立起安全信譽，也難以確保生態(tài)農(nóng)業(yè)基地生產(chǎn)的優(yōu)質(zhì)農(nóng)產(chǎn)品的價值，很多特色農(nóng)產(chǎn)品局限在產(chǎn)地，無法進入大市場、大流通，致使生產(chǎn)與銷售脫節(jié)，消費引導生產(chǎn)的

5、功能不能實現(xiàn)，農(nóng)業(yè)結(jié)構(gòu)調(diào)整、農(nóng)民增收困難重重。 基于此現(xiàn)狀，及時搭建農(nóng)產(chǎn)品電子商務交易平臺，不僅引領(lǐng)了我國傳統(tǒng)農(nóng)業(yè)向“信息化”、“標準化”、“品牌化”的現(xiàn)代農(nóng)業(yè)轉(zhuǎn)變，并且還將促進特色農(nóng)產(chǎn)品走向“高端”發(fā)展路線。 平臺特點： 1、平臺實現(xiàn)統(tǒng)一為客戶提供信息、質(zhì)檢、交易、結(jié)算、運輸?shù)热屉娮由虅辗眨?2、支持網(wǎng)上掛牌、網(wǎng)上洽談、競價等交易模式，涵蓋交易系統(tǒng)、交收系統(tǒng)、倉儲物流系統(tǒng)和物資銀行系統(tǒng)等； 3、融合物流配送服務、物流交易服務、信息服務、融資擔保類金融服務等于一體。平臺系統(tǒng)將實現(xiàn)基礎(chǔ)業(yè)務、運營業(yè)務、平臺管理和運營支持等四個層面的業(yè)務功能； 4、實現(xiàn)各層級會員管理、供應商商品發(fā)布、承銷商在線

6、下單交易、訂單結(jié)算、交易管理、擔保授信等全程電子商務管理。為了支持平臺業(yè)務向農(nóng)產(chǎn)品產(chǎn)業(yè)鏈兩端延伸，滿足開展訂單農(nóng)業(yè)、跨國電子交易及跨國貿(mào)易融資等業(yè)務的發(fā)展需求，平臺支持多種交易管理流程共存，支持標準及可靈活拓展商品，具備交易規(guī)則靈活性、結(jié)算多樣性4 / 53 及管理復雜性的特點。 5、在配送和銷售過程中，通過制定和實施符合現(xiàn)代物流要求的技術(shù)標準，對農(nóng)產(chǎn)品在流通過程中的包裝、搬運、庫存等質(zhì)量進行控制。形成“從田頭到餐桌”的完整產(chǎn)業(yè)鏈，由市場有效需求帶動農(nóng)業(yè)產(chǎn)業(yè)化，提高農(nóng)業(yè)生產(chǎn)區(qū)域化、專業(yè)化、規(guī)?；?6、將遠程視頻監(jiān)控技術(shù)集成到農(nóng)產(chǎn)品質(zhì)量安全追溯體系的建設中,能夠?qū)?shù)據(jù)采集過程進行有效監(jiān)督,保

7、證追溯數(shù)據(jù)的準確性和真實性,提高追溯系統(tǒng)的信息質(zhì)量。 7、共性技術(shù)的整合 1) 交易系統(tǒng)涉及到的身份識別技術(shù)如CA認證技術(shù)或服務器身份識別軟證書技術(shù)的整合； 2) 交易合同的提貨單加密技術(shù)、配送委托單的加密技術(shù)； 3) 支持B2B銀行支付網(wǎng)關(guān)接口、B2C銀行支付網(wǎng)關(guān)接口、“快錢”和“支付寶C2C接口； 4) 倉儲管理中物資的無線PDA電腦終端和條碼技術(shù)應用，會大大提高倉儲管理水平，提高物資識別率，提高配送效率。 8、采用技術(shù)路線建議 1) 交易系統(tǒng)技術(shù)架構(gòu)采用Java和JBOSS中間件技術(shù)路線，項目運營前期為降低硬件投入，采用微機服務器和應用系統(tǒng)負載均衡技術(shù)，等到電子交易在線會員和交易并發(fā)突破

8、一定程度，系統(tǒng)可以順利低成本而且快速升級到小型機平臺；這是Java技術(shù)路線的優(yōu)勢，微軟的.Net技術(shù)路線無法實現(xiàn)向小型機快速升級的目標； 2) 數(shù)據(jù)庫可采用Sybase/Oracle/MS-sql，建議采用Oracle； 3) 服務器系統(tǒng)平臺可以任選UNIX或LINUX。 1.1電子交易全面解決方案 本方案中我們將通過電子交易主系統(tǒng)框架和前后臺以及支付系5 / 53 統(tǒng)的功能描述、輔助系統(tǒng)如貿(mào)易企業(yè)ERP管理系統(tǒng)、倉儲管理系統(tǒng)、質(zhì)押融資管理、運輸配送系統(tǒng)、統(tǒng)計查詢分析系統(tǒng)（BI）、CRM管理系統(tǒng)等，給出電子交易全面解決方案，供某集團交易中心參考，具體實施方案要進一步探討后才能決定，下述 是電子

9、交易系統(tǒng)框架和功能的簡要介紹： 1、電子交易系統(tǒng)模塊框架 6 / 53 1.2電子交易系統(tǒng)總體業(yè)務流程 電子交易系統(tǒng)業(yè)務流程 7 / 53 交易后臺管理功能圖 掛牌交易功能圖 8 / 53 竟價交易功能圖 資金管理功能圖 9 / 53 1.3掛牌交易子系統(tǒng) 根據(jù)資源屬性不同，掛牌交易分監(jiān)管資源掛牌交易和非監(jiān)管資源掛牌交易兩種，其流程的差異在于貨物交收過程中略有不同，下面就根據(jù)兩種流程做介紹。交易品種以機電產(chǎn)品為主。 1.4團購交易子系統(tǒng) 團購、代理采購在掛牌交易中要實現(xiàn)貨權(quán)與掛牌權(quán)結(jié)合與分立，團購、代理采購涉及平臺融資服務的貨權(quán)屬于出資方，掛牌權(quán)屬于團購成員。在掛牌交易的團購資源在團購成員內(nèi)實

10、現(xiàn)按團購比例分配，掛牌權(quán)屬于分配后的各個團購成員。團購、代理采購不涉及平臺融資服務的貨權(quán)、掛牌權(quán)屬于分配后的各個團購成員。 10 / 53 1.5競價交易總體子系統(tǒng) 競價交易是會員活躍度比較高的一種現(xiàn)貨交易模式，對于廢次品、處理的價格發(fā)現(xiàn)功能特別具有優(yōu)勢，價交易包括向下競價與向上競價兩種形式,下面就結(jié)合競價交易流程介紹競價交易的模式： 11 / 53 1.6專場和商鋪交易子系統(tǒng) 專場交易一方面可分為品種和地區(qū)專場，如熱軋卷板掛牌專場或廢次材競價專場；另一方面可以擴充到網(wǎng)上企業(yè)商鋪，每個商鋪可以設置自己的二級企業(yè)門戶和陳列物資現(xiàn)貨資源，進行網(wǎng)上品牌宣傳和網(wǎng)上銷售，下面就商鋪模式展開流程敘述。 1

11、2 / 53 1.7財務管理子系統(tǒng) 交易中心為每位注冊會員均會開始一個二級賬戶，二級賬戶中分為可用資金、鎖定資金和賬戶余額，他們的關(guān)系是：可用資金+鎖定資金=賬戶余額，在任何狀態(tài)下，這個等式恒久成立。 二級賬戶體系中，還包括了銀行賬戶管理的功能，使交易中心總賬戶余額與交易中心在銀行的總余額相同，他們的關(guān)系是：交易中心在各個開戶行的總資金結(jié)余=交易系統(tǒng)中各個銀行的資金結(jié)余總額=會員二級賬戶的資金結(jié)余總額，在任何狀態(tài)下，這個等式恒久成立。 13 / 53 二級資金賬戶體系功能圖 財務系統(tǒng)包括憑證錄入、檢查、審核，市場與銀行對帳，對歷史財務數(shù)據(jù)的查詢，各類賬目的統(tǒng)計分析查詢，憑證和賬簿打印等主要財務

12、功能。系統(tǒng)還可以對基礎(chǔ)數(shù)據(jù)進行維護管理，如科目維護，操作員權(quán)限維護等。平臺提供了安全支付工具“交易支付寶”，用于網(wǎng)上交易會員企業(yè)間支付結(jié)算，它具有如下三大特點： 1.7.1多途徑支付功能 “交易支付寶”作為支付職能，承擔交易的一方支付貨款給另一方的中介服務，買賣雙方都可以在“交易支付寶”中開立帳戶，買方可以通過“交易支付寶”帳戶把貨款支付到賣方“交易支付寶”帳戶；買方也可以直接利用交易平臺的B2B網(wǎng)銀把貨款支付到賣方“交易支付寶”帳戶14 / 53 1.7.2實現(xiàn)跨區(qū)跨行支付 “交易支付寶”可以對跨區(qū)域交易和結(jié)算提供支付服務，類似于銀行的通存通兌功能，同時提供不同銀行的支付接口，實現(xiàn)買家資金從

13、一個銀行轉(zhuǎn)到賣家的另一個銀行帳戶。 1.7.3方便會員提現(xiàn) 會員希望從“交易支付寶”帳戶中提取資金，只要向交易中心提交出金申請，經(jīng)過交易中心審核，就可以通過網(wǎng)銀把資金劃轉(zhuǎn)到會員的銀行結(jié)算帳戶。 多達15家銀行的支付接口管理 目前“交易支付寶”與15家銀行或第三方支付平臺做好接口，每家銀行的接口方式包含B2B、B2C和信用寶等三種方式 1.8風險控制子系統(tǒng) 1.物資掛牌銷售時，對掛牌物資要支付一定的保證金，以確保掛牌物資的 真實有效，避免掛空情況出現(xiàn)； 2.對于會員要求從二級帳戶提取資金時，有提取審批流程，從提取申請，到提取批準，交易中心要對此進行審核。如果帳戶金額很充15 / 53 足，但可用

14、資金不足，仍無法提款。針對交易過程所產(chǎn)生的鎖定資金是不可動用的，被交易平臺鎖定； 3.履約擔保金：按照規(guī)定，對需要履約擔保金的交易每一筆收取成交金額的一定比例的資金作為擔保金。擔保金可以根據(jù)情況進行調(diào)整、提醒報警功能； 4.資金控制：實時控制交易商的資金，對于擔保金、結(jié)算資金不足的交易商將不允許繼續(xù)交易； 5.整個交易對于資金的控制有嚴格的限制，貫穿于整個交易過程； 6.對交易合同產(chǎn)生的提貨單進行驗證，提單驗證可以通過遠程防偽提單認證系統(tǒng)或提貨單進行校驗碼驗證兩種解決方案，保證交易合同順利交收，從而控制貨物的時時狀態(tài)。 1.9交易平臺接口說明 1.9.1數(shù)據(jù)轉(zhuǎn)換 數(shù)據(jù)轉(zhuǎn)換系統(tǒng)是物流信息平臺系統(tǒng)

15、的一個組成部分，主要功能是實現(xiàn)平臺與各個異構(gòu)系統(tǒng)之間、平臺內(nèi)部各功能模塊之間所必須的協(xié)議轉(zhuǎn)換與數(shù)據(jù)交換。從而保證平臺各項設計功能的實現(xiàn)。數(shù)據(jù)轉(zhuǎn)換系統(tǒng)主要包括如下功能： 1、異構(gòu)數(shù)據(jù)轉(zhuǎn)換 平臺與需要聯(lián)網(wǎng)的其它異構(gòu)系統(tǒng)，通過平臺接口系統(tǒng)實現(xiàn)網(wǎng)絡互聯(lián)后，要將異構(gòu)平臺上上送來的信息，轉(zhuǎn)換成平臺可以識別的格式，然后才能完成后續(xù)的處理。相反方向的傳輸同樣需要進行協(xié)議轉(zhuǎn)換。該轉(zhuǎn)換將在業(yè)主提供異構(gòu)數(shù)據(jù)格式的基礎(chǔ)上開發(fā)。 2、同構(gòu)數(shù)據(jù)轉(zhuǎn)換 平臺與同構(gòu)平臺之間，平臺的不同功能模塊之間，由于工作方式16 / 53 與對象的不同，也常常需要進行數(shù)據(jù)交換與數(shù)據(jù)格式轉(zhuǎn)換。系統(tǒng)通過數(shù)據(jù)規(guī)范化定義，支持各類不同格式和系統(tǒng)之間

16、數(shù)據(jù)的轉(zhuǎn)換與傳輸，實現(xiàn)各常見數(shù)據(jù)庫、Web數(shù)據(jù)、文本、圖像等多種格式之間的自定義相互轉(zhuǎn)換。該轉(zhuǎn)換將在業(yè)主提供相應數(shù)據(jù)格式的基礎(chǔ)上開發(fā)。 3、數(shù)據(jù)轉(zhuǎn)換管理 為管理和監(jiān)控數(shù)據(jù)轉(zhuǎn)換的結(jié)果提供圖形化界面。 17 / 53 1.9.2交易系統(tǒng)與銀行支付網(wǎng)關(guān)的接口 電子商務運作模型和業(yè)務流程中四個環(huán)節(jié)：信息流、資金流、物流、商流是促進電子商務發(fā)展的關(guān)鍵。作為中間環(huán)節(jié)的資金流，是電子商務流程中交易雙方最為關(guān)心的關(guān)鍵環(huán)節(jié)。根據(jù)交易平臺有關(guān)要求，要求實現(xiàn)在線支付和資金實時監(jiān)管，與第三銀行進行接口互聯(lián)。 需求說明： 1) 用戶需要通過銀行B2B接口在線充值或者貨款支付時，首先，交易系統(tǒng)需要 2) 按照銀行指定的格

17、式填寫數(shù)據(jù)（各家銀行的接口不相同） 18 / 53 3) 數(shù)據(jù)填寫完畢后，并經(jīng)證書CA簽名后，由用戶通過瀏覽器將數(shù)據(jù)提交到銀 4) 行的系統(tǒng)中 5) 銀行收到數(shù)據(jù)后，首先對收到的數(shù)據(jù)進行CA驗簽，以確定數(shù)據(jù)是否是指定商戶發(fā)出 6) 銀行數(shù)據(jù)校驗通過后，銀行網(wǎng)銀會要求用戶出事證書（通常是USBKey的CA 7) 證書，由銀行頒發(fā)給用戶），用戶通過證書進入網(wǎng)銀后，需要對數(shù)據(jù)進行錄入、審核操作（不同的操作員完成） 8) 當支付記錄審核完成后，款項就進入交易中心在該銀行開始的結(jié)算賬戶中，此時，銀行會通過服務器反饋消息給交易系統(tǒng)，通知交易系統(tǒng)，相關(guān)的款項已經(jīng)到賬。 9) 交易系統(tǒng)收到銀行反饋的通知后，會

18、使用銀行事先提供的證書公鑰，對數(shù)據(jù)進行驗簽，若驗簽通過，則表示數(shù)據(jù)是銀行發(fā)的，然后再校驗支付是否成功，若成功，則開始做入金操作。 10) 可以多家銀行進行接口，支持各類銀行賬號（卡）。 11) 支付安全可靠，與第三方CA集成，數(shù)據(jù)傳輸加密，采用多種方式保障支付安全可信。 12) 對于電子合同管理，實行網(wǎng)上電子簽章。 19 / 53 1.9.3交易系統(tǒng)與短信系統(tǒng)接口 需求說明： 1) 要使用短信接口，必須與相關(guān)的短信供應商簽訂相關(guān)協(xié)議，并確定短信接口 2) 當交易環(huán)節(jié)需要發(fā)送短信提示用戶時，交易服務器會調(diào)用短信服務器的短信發(fā)送服務，向用戶發(fā)送短信。 3) 當短信接口服務器收到短信發(fā)送要求后，他會

19、把數(shù)據(jù)拋向短信供應商指定的短信接口服務上，實際發(fā)生到用戶手機上的工作，則由短信供應商及移動、聯(lián)通等短信運營商的接口完成。 1.9.4 交易系統(tǒng)與ERP管理系統(tǒng)接口 1) 電子商務和ERP系統(tǒng)一體化無縫接口 (1) ERP現(xiàn)貨可供資源數(shù)據(jù)直接掛牌到交易系統(tǒng) (2) 交易系統(tǒng)產(chǎn)生的合同提單收付款單實時下載到ERP中 20 / 53 (3) 基礎(chǔ)數(shù)據(jù)一致性 2) 電子商務和ERP系統(tǒng)都可獨立運行,兩套系統(tǒng)數(shù)據(jù)物理隔離，保證兩套系統(tǒng)數(shù)據(jù)完整性 3) 在提供與貨物加工代理機構(gòu)業(yè)務系統(tǒng)開發(fā)接口的基礎(chǔ)上電子商務、物流系統(tǒng)應交易商的要求，可在指定倉庫內(nèi)對不同細類的原材料、商品貨物進行調(diào)配，以及在指定倉庫內(nèi)對指

20、定貨物進行加工，代理貨物加工的結(jié)果進行電子化管理，并可以提供接口對貨物加工的過程進行電子化管理。 1.9.5交易系統(tǒng)與倉儲配送系統(tǒng)接口 交易系統(tǒng)要求為協(xié)議倉儲管理系統(tǒng)提供接口，提供相應的數(shù)據(jù)引入與數(shù)據(jù)采集機制，為交易平臺提供更大的管理支持。 (1)倉儲系統(tǒng)中的監(jiān)管理倉庫信息和交易系統(tǒng)相比對 ?電子商務和倉儲系統(tǒng)監(jiān)管倉庫對接 (1)倉儲系統(tǒng)中的監(jiān)管理倉庫信息和交易系統(tǒng)相比對 21 / 53 (2)交易系統(tǒng)中針對監(jiān)管交易出入庫信息下發(fā)到倉儲系統(tǒng) (3)基礎(chǔ)數(shù)據(jù)一致性 ?電子商務和倉儲系統(tǒng)協(xié)議倉庫對接。 1.10系統(tǒng)界面說明 系統(tǒng)用戶界面的設計方面應基于標準窗口系統(tǒng)，具有統(tǒng)一界面風格。具備完善的功能

21、和友好的圖形界面，能使用戶集中精力于業(yè)務本身，并能對每一個操作的反應做出預測。界面還應靈活地安排各種對話方式，充分滿足用戶的各種選擇。要合理、高效利用屏幕，從可讀性的角度合理安排屏幕上的多個窗口及信息負載。 輸入界面是用戶輸入指令、傳遞信息的界面。除上述設計外，界面設計一致性，用固定格式構(gòu)造菜單選項、命令輸入、數(shù)據(jù)顯示等，減少操作中必須記憶的信息量，提供必要的上下文幫助，盡量減少用戶的輸入動作，允許用戶定制輸入，為輸入動作提供實時幫助機制等。對重要交易操作需要提供明確的信息提示和確認過程。 輸出界面允許大多數(shù)操作的方便退出和恢復，只顯示與當前上下文有關(guān)的信息，信息負載量應該適中，使用一致的界面

22、風格，如顏色；保持顯示內(nèi)容的上下相關(guān)性，提供有意義的出錯信息；合理利用屏幕的可用空間，避免凌亂的窗口堆砌，保持信息顯示與數(shù)據(jù)輸入的一致性，具備自動數(shù)據(jù)校驗和檢查功能（組合檢查、范圍檢查、完整性檢查）。 軟件基本功能設計應滿足交易商及操作權(quán)限管理，信息檢索查詢，現(xiàn)貨交易，資金及實貨賬戶管理，數(shù)據(jù)統(tǒng)計與技術(shù)分析，數(shù)據(jù)存儲和備份，綜合信息輸出打印等的充分需求。 22 / 53 （1）交易員界面是專供會員通過Internet網(wǎng)進行交易活動的服務系統(tǒng)。全中文界面，多窗口顯示，采用菜單將各種交易活動（掛牌、撤牌）及查詢功能完整地組織在一起。所有的內(nèi)部處理（包括委托指令買賣對盤）和交易結(jié)果及行情數(shù)值均在交易

23、主機中，而交易員界面只提供訪問交易主機的手段。 （2）交易員必須通過他的用戶工作站向交易系統(tǒng)登錄。功能權(quán)限和在用戶工作站上顯示的市場行情，取決于此時通過此臺用戶工作站登錄的交易員用戶標識。 （3）交易員界面為交易員完成以下四大類基本功能： a) 交易功能：包括輸入掛牌指令、撤牌指令、交易恰談能及輸入、撤消、執(zhí)行預備指令。 b) 交易查詢：可以查詢成交結(jié)果，未成交情況，買賣數(shù)量，訂貨情況及當日成交數(shù)量。 c) 結(jié)算報表查詢和提取 d) 其它功能：包括更改口令，查詢交易商信息，查詢商品信息等。 e) 資金管理 23 / 53 第二章、電子交易系統(tǒng)技術(shù)架構(gòu)(略) 2.1技術(shù)方案整體性 24 / 53

24、 第三章、電子交易系統(tǒng)安全標準和特點 3.1電子交易系統(tǒng)的安全需求 1對賣方業(yè)務員而言，安全威脅主要有： 1) 中央系統(tǒng)安全性被破壞：入侵者假冒成合法用戶來改變用戶數(shù)據(jù)(如商品送達地方)、解除用戶訂單或生成虛假訂單。 2) 競爭者檢索商品遞送狀況：惡意競爭者以他人的名義來訂購商品，從而了解有關(guān)商品的遞送狀況及貨物和庫存情況。 3) 客戶資料被競爭者獲悉。 4) 被他人假冒而損害公司的信譽：不誠實的人建立與銷售者服務器名字相同的另一個WWW服務器來假冒銷售者。 5) 消費者提交訂單后不付款。 6) 虛假訂單。 7) 獲取他人的機密數(shù)據(jù)：比如，某人想要了解另一人在銷售商處的信譽時，他以另一人的名字

25、向銷售商訂購昂貴的商品，然后觀察銷售商的行動。假如銷售商認可該定單，則說明被觀察的信譽高，否則，則說明被觀察者的信譽不高。 2對買方業(yè)務員，安全威脅主要有： 1) 虛假訂單：一個假冒者可能會以客戶的名字來訂購商品，而且有可能收到商品，而此時客戶卻被要求付款或返還商品。 2) 付款后不能收到商品：在要求客戶付款后，銷售商中的內(nèi)部人員不將定單和錢轉(zhuǎn)發(fā)給執(zhí)行部門，因而使客戶不能收到商品。 3) 機密性喪失：客戶可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù)(如PIN、口令等)發(fā)送給冒充銷售商的機構(gòu)，這些信息也可能會在傳遞過程中被竊聽。 25 / 53 4) 拒絕服務：攻擊者可能向銷售商的服務器發(fā)送大量的虛假定

26、單來窮竭它的資源，從而使合法用戶不能得到正常的服務。 3.對于銀行有可能出現(xiàn)融資的質(zhì)押物清單被惡意修改，導致質(zhì)押物監(jiān)管失效。 4.對于交易中心，可能出現(xiàn)交易會員的二級資金帳戶的資金余額和出入金以及交易明細被惡意修改。 5.對于監(jiān)管交易的協(xié)議倉儲，可能出現(xiàn)資源的貨權(quán)和提貨憑證被惡意修改，提貨明細紊亂。 6以上等等都會對交易中心的日常運行和會員合法權(quán)益造成損害，甚至還會造成交易中心主機系統(tǒng)當機等惡性事件，給交易中心造成不可估量的損失。 3.2技術(shù)安全 技術(shù)安全管理包括身份認證、授權(quán)、審計、加密和數(shù)字簽名等服務以及網(wǎng)絡環(huán)境的安全管理。 3.2.1.安全交易標準 (1)安全超文本傳輸協(xié)議（S-HTTP

27、）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩浴?(2)安全套接層協(xié)議（SSL協(xié)議：SecureSocketLayer)是由網(wǎng)景（Netscape）公司推出的一種安全通信協(xié)議，是對計算機之間整個會話進行加密的協(xié)議，提供了加密、認證服務和報文完整性。它能夠?qū)π庞每ê蛡€人信息提供較強的保護。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，用以完成需要的安全交易操作。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。 26 / 53 ?認證用戶和服務器,使得它們能夠確信數(shù)據(jù)將被發(fā)送到確的客戶機和服務器上； ?加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)； ?維護數(shù)據(jù)的

28、完整性,確保數(shù)據(jù)在傳輸過程中不被改變。 3.2.2數(shù)字時間 交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。 在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(DTS：digitaltime-stampservice)就能提供電子文件發(fā)表時間的安全保護。 數(shù)字時間戳服務（DTS）是網(wǎng)上安全服務項目，由專門的機構(gòu)提供。時間戳（time-stamp）是一個經(jīng)加密后形成的憑證文檔，它包括三個部分： 1）需加時間戳的文件的摘要(digest)， 2）DTS收到文件的日期和時間， 3）DTS的數(shù)字簽名。

29、時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。由Bellcore創(chuàng)造的DTS采用如下的過程：加密時將摘要信息歸并到二叉樹的數(shù)據(jù)結(jié)構(gòu)；再將二叉樹的根值發(fā)表在報紙上，這樣更有27 / 53 效地為文件發(fā)表時間提供了佐證。 3.2.3數(shù)字憑證 數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問的權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來進行交易操作，那么雙方都可不必為對方身份的真?zhèn)螕摹?shù)字憑證可用于電子郵件、電子商

30、務、群件、電子基金轉(zhuǎn)移等各種用途。 數(shù)字憑證的內(nèi)部格式是由CCITTX.509國際標準所規(guī)定的，它包含了以下幾點： (1)憑證擁有者的姓(2)憑證擁有者的公共密(3)公共密鑰的有效(4)頒發(fā)數(shù)字憑證的單位， (5)數(shù)字憑證的序列號（Serialnumber(6)頒發(fā)數(shù)字憑證單位的數(shù)字簽名。 數(shù)字憑證有兩種類型： (1)個人憑證(PersonalDigitalID)：它僅僅為某一個用戶提供憑證，以幫助其個人在網(wǎng)上進行安全交易操作。個人身份的數(shù)字憑證通常是安裝在客戶端的瀏覽器內(nèi)的。并通過安全的電子郵件（S/MIME）來進行交易操作。 (2)企業(yè)（服務器）憑證（ServerID）：它通常為網(wǎng)上的某個

31、Web服務器提供憑證，擁有Web服務器的企業(yè)就可以用具有憑證的萬維網(wǎng)站點(WebSite)來進行安全電子交易。有憑證的Web服務器會自動地將其與客戶端Web瀏覽器通信的信息加密。 28 / 53 3.2.4身份認證 身份認證體系是平臺安全保障體系中的重要一環(huán)。它通過對用戶的鑒別，確定了用戶訪問網(wǎng)絡資源和信息資源的訪問控制級別與訪問控制方式。 傳統(tǒng)的身份認證多采用靜態(tài)的用戶名/口令身份認證機制，客戶端發(fā)起認證請求，由服務器端進行認證并響應認證結(jié)果。用戶名/口令這種身份認證機制的優(yōu)點是使用簡單方便，但是由于沒有全面的安全性方面的考慮，所以這種機制存在諸多的安全隱患。 絕大多數(shù)的用戶名/口令認證機制

32、在身份認證協(xié)議中交換的認證消息為明文方式，未進行數(shù)據(jù)加密算法或者散列算法的處理，這樣導致的直接結(jié)果是用戶名和口令這些敏感數(shù)據(jù)容易被截獲和泄露。 一些身份認證系統(tǒng)已經(jīng)對這種安全性弱點做出了改進，它們在交換的認證消息中，使用用戶名/口令的散列運算結(jié)果來代替原來的用戶名/口令明文，由于散列算法的單向性特點，攻擊者即使截獲了口令的散列運算結(jié)果，也無法從中恢復出口令的明文內(nèi)容，從而在一定程度上保護了口令的安全性。 即使對口令進行散列處理，也無法避免一種被稱為“重播攻擊”的惡意攻擊方式。重播攻擊是指攻擊者并不試圖從截獲的數(shù)據(jù)中恢復出有價值的信息，而是直接將截獲的數(shù)據(jù)重發(fā)，以達到非法的目的。例如，由于口令是

33、靜態(tài)的，除非用戶修改口令，不然口令是維持不變的，這樣進行散列運算處理后得到的結(jié)果也是不變的，攻擊者截獲了用戶名和口令的散列結(jié)果后，直接使用這些數(shù)據(jù)發(fā)起身份認證請求，認證服務器通常會認為這是一個合法的認證請求，并且由于用戶名和29 / 53 口令的散列結(jié)果都是合法的，攻擊者就能成功地通過身份認證，從而非法地獲得系統(tǒng)的訪問權(quán)限。針對靜態(tài)口令存在的各種安全漏洞，我們?yōu)槠脚_設計了動態(tài)口令解決方案，依據(jù)動態(tài)口令機制實現(xiàn)動態(tài)身份認證系統(tǒng)，徹底解決了網(wǎng)絡環(huán)境中的用戶身份認證問題。 3.2.5 CA認證方案 除了上節(jié)中推薦的動態(tài)密碼身份鑒定方案以外，本方案中還使用了PKI/PMI的安全體系，通過PKI架構(gòu)提供

34、全網(wǎng)統(tǒng)一的信任服務體系，提供用戶身份認證功能。 利用PKI技術(shù)，系統(tǒng)通過對客戶端與服務器進行雙重身份認證，確保系統(tǒng)的登錄者是合法用戶、用戶所登錄的系統(tǒng)是合法系統(tǒng)。 （網(wǎng)站安全認證結(jié)構(gòu)圖） 上圖中通過利用CA認證系統(tǒng)，實現(xiàn)了以下功能： a) 通過為Portal的WEB服務器配置服務器證書，為網(wǎng)站提供安全、可靠的身份驗證，用戶通過驗證網(wǎng)站的服務器證書來判斷網(wǎng)站的真實性； b) 通過配置服務器證書將在客戶端和服務器之間建立SSL安全通道，確?？蛻舳撕头掌髦g數(shù)據(jù)傳輸?shù)陌踩?c) 通過服務器啟用雙向驗證的連接，要求客戶端提供用戶證書，來判斷用戶的真實身份。 30 / 53 d) 在案件處理或公文流

35、轉(zhuǎn)過程中，通過使用數(shù)字簽名，保證信息傳輸?shù)臋C密性、完整性和抗抵賴性。 31 / 53 第四章、規(guī)范高效的本地化項目實施和培訓 我公司承諾成立專門項目組，負責系統(tǒng)開發(fā)、實施和培訓。 實施模式采用項目經(jīng)理負責制，由專業(yè)的技術(shù)實施顧問團隊組成，并要求客戶方成立相應項目團隊，共同組成項目實施組，以保證項目順利進行。同時幫助企業(yè)培養(yǎng)內(nèi)部咨詢、技術(shù)維護隊伍、以實現(xiàn)管理的持續(xù)改進。項目管理模式依托ISO9001：2000和CMMIML3項目管理規(guī)范，嚴格項目實施過程和控制管理。 實施過程分為：管理咨詢、需求規(guī)劃、系統(tǒng)設計、系統(tǒng)編制、系統(tǒng)部署、系統(tǒng)切換、運營跟蹤、持續(xù)支持等八個階段。實施過程控制包括項目實施計

36、劃控制、進度跟蹤、溝通機制、需求變更控制機制和項目實施檔案管理，保證項目實施質(zhì)量和風險控制。 4.1 項目進度計劃 工作日歷日 工作內(nèi)容 項目組工作 客戶項目組工作 交易系統(tǒng)系統(tǒng)需求調(diào)研 成熟演典型案例分總結(jié)業(yè)務模式和流程 提出系統(tǒng)要求和業(yè)務模式 需求報告和確認 整理報告，提供需求報告 確認業(yè)務需求 系統(tǒng)分析 系統(tǒng)分析和設計成員，提供系統(tǒng)分析 確認系統(tǒng)分析報 告，準備銀行、CA 等外系統(tǒng)接口工作 的聯(lián)系工作 系統(tǒng)編碼和測開發(fā)組軟件開發(fā)； 進行服務器和網(wǎng)絡 32 / 53銀行C系統(tǒng)接口開和調(diào)硬件環(huán)境建設工系統(tǒng)驗開發(fā)組提供軟件系統(tǒng)和統(tǒng)測試報并安裝測版軟件系統(tǒng)；對系統(tǒng)驗成事進行系統(tǒng)整體培訓及時修改系

37、統(tǒng)錯誤和系功驗證軟件功能和軟件系統(tǒng)質(zhì)量發(fā)現(xiàn)問題及時向項目組報告達及時糾錯的目系統(tǒng)正式部安裝正式軟件系檢查軟件和網(wǎng)指導進行系統(tǒng)數(shù)據(jù)設置系統(tǒng)初始數(shù)據(jù)設置權(quán)限分系統(tǒng)培對系統(tǒng)驗證成員進行進步系統(tǒng)功能整體培訓；供系統(tǒng)操作手冊和系統(tǒng)常維護手冊進一步學習系統(tǒng)操作和系統(tǒng)護技提供持續(xù)護工向用戶提供系統(tǒng)紹、推廣和模擬系統(tǒng)保駕護保證系統(tǒng)維積累模擬運行經(jīng)驗準備大規(guī)推廣工 注：本公司本項目構(gòu)成人員合理安排時間，保證在項目承諾日歷日內(nèi)完成項目。 4.2項目成功保障 4.2.1先進的技術(shù) 跨平臺、多數(shù)據(jù)庫支持、后臺數(shù)據(jù)庫支持Oracle、Sybase、SQLServer等各類大型數(shù)據(jù)庫。采用J2EE體系結(jié)構(gòu)，支持C/S模式

38、和B/S三層結(jié)構(gòu)。采用類庫、中間件組件、插件技術(shù)，增加了程序的可重用、穩(wěn)定性和可擴展性。充分利用數(shù)據(jù)庫分布式計算技術(shù)，大大提33 / 53 高了系統(tǒng)運行效率。采用適用于網(wǎng)絡技術(shù)的編程語言（XML），是供需鏈管理系統(tǒng)得以與電子商務的無縫集成。 34 / 53 全面的解決方案 在金屬貿(mào)易、塑料、緊固件等電子交易、倉儲、加工、運輸及生產(chǎn)資料制造行業(yè)深入研究，總結(jié)優(yōu)秀的經(jīng)營和管理特色，探索行業(yè)市場發(fā)展趨勢和將來格局預測，幫助企業(yè)規(guī)避風險，洞悉商業(yè)先機，如今在生產(chǎn)資料金屬行業(yè)整個產(chǎn)業(yè)鏈的信息化當中都有了極其成熟的生產(chǎn)資料板塊十大產(chǎn)品系列，實現(xiàn)了較為全面的信息化解決方案： 1)、現(xiàn)貨電子交易

39、管理系2)、生產(chǎn)資料物流企業(yè)ERP管理系3)、生產(chǎn)資料倉儲企業(yè)管理系4)、運輸配送企業(yè)管理系5)、生產(chǎn)資料制造企業(yè)管理系6)、CRM客戶關(guān)7)、BI商務智能決策系統(tǒng)。 豐富的實施經(jīng)驗 擁有交易市場、生產(chǎn)資料現(xiàn)貨電子交易、進出口、代理、分銷、倉儲、配送等行業(yè)主要企業(yè)用戶，由此積累了豐富的實施經(jīng)驗。 強大的研發(fā)隊伍 企業(yè)重視人才的引進、培養(yǎng)，公司擁有一支以博士、碩士為骨干的高素質(zhì)專業(yè)人才隊伍，公司研發(fā)力量雄厚。 35 / 53 開放的協(xié)同系統(tǒng) 同Microsoft、SAP等國際軟件供應商一直保持良好的合作關(guān)系，是Microsoft公司在中國的生產(chǎn)資料物流行

40、業(yè)戰(zhàn)略合作伙伴；產(chǎn)品擁有同倉庫數(shù)碼掃描器、地磅電子稱等系統(tǒng)的EDI接口，并不斷地保持系統(tǒng)協(xié)同升級；產(chǎn)品擁有同中國生產(chǎn)資料業(yè)界的著名網(wǎng)站的無縫銜接程序，并不斷地保持系統(tǒng)協(xié)同升級；擁有眾多生產(chǎn)資料行業(yè)客戶，客戶之間構(gòu)筑了強大的生產(chǎn)資料物流商務協(xié)同平臺，我們不斷余此深入工作，給客戶提供更多更新的協(xié)同運營思路和手段。 4.2.2項目管理原則 一套健全有效的組織和領(lǐng)導機構(gòu)是貫徹項目意圖和順利進行工程實施的重要條件和保證。在項目組織機構(gòu)中，需要明確項目組成人員、每一個成員的職責，以及各相關(guān)機構(gòu)之間的接口關(guān)系，保證在項目實施過程中，人在其位、各施其責，確保項目有序地執(zhí)行。 36 / 53 建立工作環(huán)境及制度 ?工作環(huán)境 ?項目組在客戶現(xiàn)場工作的?項目組在客戶現(xiàn)場生活的?工作制度 ?項目組在客戶現(xiàn)場工作的?項目組在客戶現(xiàn)場生活的?受控文件 ?項目組工作、生活環(huán)境及制度（*） 人員組織結(jié)構(gòu)及配備計劃 ?明確雙方參與人負責人/聯(lián)?建立合理的項目組織 ?項目領(lǐng)導?項目實施?項目應用?明確各成員的職責 ?明確各成員的職責和工作?確定項目?確定報告?受控文件 37 / 53 角色和職責 1、項目督導主要職責： ?審核項