【电子商务师培训资料】电子商务系统管理

电子商务系统管理日常管理安全管理相关人力管理第一节商务网站的运行策略和规划本节主要介绍了网站运行策略、组织形式和管理方式，并对运行数据的分析处理方法进行了说明本节主要内容数据管理软件管理硬件管理组织管理信息管理一、商务网站运行的策略和规划ITSM管理硬件管理规划软件管理规划数据管理规划1、硬件和软件管理的主要内容网络设备业务计算机操作系统服务器软件业务系统软件（1）硬件管理规划硬件维护的两种类型：定期的设备保养性维护突发性的故障维修（2）软件管理规划操作系统维护和升级服务器软件管理Web服务器软件数据库服务器软件业务服务器软件网站业务软件维护纠错性维护适应性维护完善性维护预防性维护2、数据管理规划网站权限管理网站文件管理网站内容管理网站统计管理3、ITIL管理ITIL管理又称ITSM，是国际通行的对信息系统的管理标准，它为企业实施IT管理提供了一个标准框架。它主要包括以下内容：IT运营管理IT战术管理（1）IT运营管理突发事件管理问题管理变更管理配置管理应用发布管理（2）IT战术管理服务级别管理IT服务财务管理IT服务连续性管理能力管理可用性管理（3）ITSM整体实施框架和步骤识别和定义当前、现存的IT基础设施，业务流程和服务找出未来需要的IT技术和迫切需要提供的服务水平根据当前状态和未来期望状态，描绘出从当前的状态到未来需要实现状态的路径具体的决定路径上的每一步应该如何进行，具体该如何走4、内容管理和CMS软件内容管理是网站管理的核心部分，不同规模的网站有着不同的内容管理方法。当前大多数网站采用内容发布系统进行网站的管理CMS软件是针对大型网站的内容管理的要求专门设计的软件，适用于网页多、栏目多、访问量大的网站（1）CMS软件的功能网页内容、数据库内容抓取和自动复制功能所见即所得的网页编辑功能多人更新、协同工作及网页版本控制功能与其他系统如Office、OA、ERP、CRM等系统的集成功能按业务要求发布各种类型的网页功能网站内容审批功能站点部署和内容复制（2）选择CMS软件的原因网站的栏目不断增加，需要发布的信息量巨大。网站需要管理人员做大量的修改网站的访问量不断增加，原有服务器很难支撑大量动态的网页产生网站需要处理大量的第三方信息来源(3)CMS产品的种类商业化产品TurboCMS产品价格较为昂贵开源免费产品完全免费的开源CMS软件OpenCMS免费的产品在功能上往往略有欠缺二、商务网站运行管理制度制订和实施主要内容网站运行维护人员岗位划分网站运行管理制度的制定原则和内容网站维护制度的实施过程网站组织结构的特点1、岗位划分网站设备管理员操作系统管理员应用服务器软件管理员数据库管理员网页维护员网站安全管理员网站内容管理员网站数据分析员2、网站运行管理制度人员管理制度安全、保密制度日常维护制度数据处理和更新制度跟踪、审计、稽核制度应急制度3、网站管理团队建立由业务人员和技术人员共同构成4、网站管理制度的实施提交维护申请报告维护部门审批、修改维护申请报告维护管理员制订维护计划系统管理员执行维护计划维护工作验收维护记录的编写维护范围的限定5、商务网站的系统管理总则系统管理总则保障网站业务流程的正常运行，同时保证所有员工的应有利益，并对鼓励其主动性和创造性，强化员工和公司之间的沟通和联系，主要包括：维护原则网站的运行管理制度应同时维护企业和员工的基本利益警示原则为了能够保证网站的正常运行，避免在运行过程中出现问题，管理制度应具有预防作用，这就要求在管理制度的制定中要具有相应的禁止条例激励原则网站运行管理制度应能够激发员工的主人翁责任感，并且应对员工的创新进行奖励6、管理制度与企业文化企业文化企业文化的广义和狭义两种含义广义的企业文化是指企业所创造的具有自身特点的物质文化和精神文化狭义的企业文化是企业所形成的具有自身个性的经营宗旨、价值观建和道德行为准则的综合管理制度建立在假定人具有相同本质上基础上管理制度在执行中，主管人员应该承认个人的特殊性，才能发挥员工的潜在能力。7、企业组织结构管理层次和管理幅度主要掌握管理层次的划分标准和管理幅度的制定原则。职能机构设置掌握智能机构设置的原则，即使纵向管理单位和横向职能机构之间，形成分工协作、协调配合的关系。集权与分权目前的组织结构中，以董事会为最高权力机构的情况较为常见。8、网站的组织结构组织结构的特点网站主要以扁平化和网络化的组织结构为主主要组织形式直线式组织结构按职能部门进行划分适用于较小网站矩阵式组织结构按职能系列和项目系列构成矩阵式组织结构适用于较大的网站三、网站信息管理主要内容运行信息决策信息数据挖掘成本管理系统分析报告1、运行信息管理运行信息的分类业务性数据是指在企业业务进行过程中所产生的数据，一般由各个企业中的各职能部门进行处理决策性数据在业务性数据的基础上，产生的可以供管理者进行决策的数据业务信息向决策信息的转化战略目标分析报告、进度报告、决策文件、报表生成计划管理数据成本管理数据设计管理数据数据收集和集成合同管理数据项目管理数据设备管理数据进度控制决策管理费用控制决策管理实施控制决策管理预测决策管理销售管理系统进度管理系统交易管理系统财务管理系统OA系统其它系统2、数据挖掘技术数据挖掘是利用相关的数据分析工具及算法，分析企业在运行过程中产生的业务型数据，将这些数据转换为决策性数据的一种方法分类。（1）主要内容分类估值预测关联规则聚类描述和可视化（2）数据仓库建立数据仓库是进行数据挖掘的基础，数据仓库也是数据库的一种应用，主要特点包括：面向主题数据源多样化数据以时间为轴线进行组织，存入数据库之后不会发生修改或删除等操作（3）数据挖掘的步骤分析Web服务器日志和代理(Proxy)服务器端日志Web服务器日志和代理服务器日志中的内容awstats软件在日志分析中的用途分析客户登记信息数据预处理选择数据挖掘方法路径分析兴趣关联规则聚类分析3、成本管理成本管理概念管理者在满足客户需要的前提下，在控制成本与降低成本的过程中所采取的一切手段，目的是以最低的成本达到预先规定的运行目标成本管理的分类成本控制成本降低成本控制并不是员工人数和资本开销的限定，而是资源配置的优化和资本产出的高效管理不断微调内部流程，将有限的资源和有巨大产出的机会匹配，以求得最佳表现，是成本管理的关键4、系统运行分析报告的编写系统运行分析报告是对整个电子商务企业的管理运行制度进行总结和改进的基础，是管理层进行对业务进行改进的重要参考资料系统运行分析报告的组成人力资源成本分析设备管理成本分析销售业绩数据分析销售商品趋势分析管理制度改进分析第二节电子商务安全管理本节主要介绍安全级别的制定方法和系统安全分析相关内容，并介绍常见的系统漏洞和相关的安全解决方案；最后，介绍交易数据的加密、存储和传输。本节知识结构PKISSL入侵检测系统（IDS）各种系统安全漏洞的检测与防护网站的安全管理制度一、系统运行安全分析1、系统安全分析步骤获取安全信息利用软件工具检测漏洞。修补漏洞确定网站安全状况监控的主要目标利用防火墙和入侵检测工具防范网络攻击记录和检查监控结果的及时汇报网站安全状况监控结果2、操作系统漏洞及解决方案WindowsNT安全漏洞NT口令更容易受到黑客字典的攻击SMB(服务器消息块）漏洞注册表访问漏洞进程定期处理机制也有较大漏洞2、操作系统漏洞及解决方案WindowsNT安全漏洞解决方案严格控制共享，加上复杂的口令立即关掉“远程注册表造访”，锁定注册表安装防火墙，禁止相应的端口的访问权限利用代理（Proxy）来限制或者完全拒绝网络上基于SMB的连接严格设定域和工作组，用拓扑结构将各个域分开同时经常关注微软公司网站，一般对于新发现的系统漏洞及其解决方案都会在网站上及时公布，可以尽快下载相应的补丁包封堵漏洞。2、操作系统漏洞及解决方案UNIX安全漏洞及解决方案/etc/passwd文件及其备份文件opasswd或passwd.old易受攻击远程过程调用（RPC）漏洞用户目录下的.profile文件许可权有可能让黑客上传木马，加入后门直接以root身份（UNIX中的系统管理员帐号）登录后可能给整个系统带来不良后果，甚至导致系统崩溃Unix可执行文件的目录如/bin可由所有的用户进行读访问，这样用户就可以从可执行文件中得到其版本号2、操作系统漏洞及解决方案LINUX安全漏洞及解决方案缓冲区溢出类型的安全漏洞是最为常见的一种导致远程网络攻击的漏洞，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。解决方案：合理分区通过在相应的配置文件中加入适当的控制命令，使每次启动后自动运行，这样就阻止了系统响应任何从外部/内部来的ping请求，以及用户用Telnet远程登录到服务器时不要显示操作系统和版本信息（可以避免有针对性的漏洞攻击）等等3、系统软件的漏洞及解决方案Web服务器漏洞最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是Web服务器和应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的3、系统软件的漏洞及解决方案Web服务器漏洞MicrosoftIIS缓冲区溢出IIS服务器的拒绝服务漏洞IIS5.0在处理以“.ida”为扩展名的超长URL请求时漏洞默认情况下，注册表中“MaxClientRequestBuffer”键未被创建很容易地对IISserver实行DOS攻击，攻击结果将导致NT系统的CPU占用率达到100%Microsoft数据访问组件(MDAC)和远程数据服务(RDS)，攻击者可以建立非法的ODBC连接，并获得对Web服务器上的内部文件的访问权3、系统软件的漏洞及解决方案浏览器Netscape的漏洞Java虚拟机的实现存在安全漏洞，它允许一个远程用户读取使用netscape的用户可以访问的本地文件的内容，并且可以将这些文件在网上传给任意用户。如果启用java还可以在本地的系统中执行任意的代码3、系统软件的漏洞及解决方案BIND程序存在的问题利用nxt,qinv,in.named可直接得到root权限，入侵者抹掉系统记录，安装工具软件获得管理员级别的访问。他们然后编译安装IRC工具和网络扫描工具，用它们扫描更多的B类网络，找到其它的正在使用有漏洞版本的BIND的域名服务器。只需几分钟，他们就可以攻入成百上千个远程系统，取得更多的入侵成果。3、防火墙的漏洞及解决方案制定防火墙的安全策略时，微小的错误也可能会成为很大的漏洞。很多防火墙产品对配置人员的技术背景要求过高防火墙所提供的认证机制与方法多寡不一，有时选取的认证方式中口令设置不强也会带来隐患防火墙的工作目的主要是防范外部攻击，而对来自内部的问题很少顾及。实际上在系统资源损失中，更大部分的威胁来自系统内部4、网络协议的漏洞及解决方案许多协议在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的Telnet存在着许多漏洞，应尽量少开没用到的服务尽量不要在windows中安装NETBIOS协议不要安装点对点通道通讯协议。小心地配置TCP/IP协议。在TCP/IP的属性页中选择IP地址项目，然后选择高级。在弹出来的对话框中选择安全机制，这样可以禁止UDP，然后根据需要开启IP端口6和TCP端口805、网络编程漏洞及解决方案CGI程序导致入侵者可以从80端口进入服务器，进而获得对服务器的控制AllaireColdFusion附带的脚本的漏洞IE5.5/Outlookjava存在安全漏洞JSP暴露服务器端的JSP源代码ASP