EDI在大中型企业应用过程的系统分析(一)

 一、选题目的和意义
 选题的目的：随着中国加入世界贸易组织，全球贸易额的增长率明显高于世界经济增长率，全球贸易额的上升带来了各种贸易与单证、纸面文件的激增。人工处理单证、纸面文件劳动强度大、效率低、出错率高、速度慢、费用大、纸面文件成了阻碍贸易发展的一个突出因素。为了解决这一制约经济发展的瓶颈问题，EDI（电子数据交换）应运而生。EDI具有高速精确，广域巨量的系统优势，EDI的广泛使用正在引领一场全新的商业经营模式的革命。为了不排斥在世界市场之外，我国大中型企业必须实施EDI工程。
 选题的意义：当前我国的经济增长迅速，经济环境良好，国内企业对外经济贸易活动规模迅速扩大，企业与国内外商业数据的交换量急剧扩大，在潜在的可持续发展上对EDI系统有着巨大的需求。中国在加入世界贸易组织后，企业必须面对国内国际两个市场，面对入世后的各种机遇和挑战，企业要想在竞争激烈的国际贸易市场中拥有一席之地，全面推广并采用EDI技术已经成为我国企业一项重要的技术政策。EDI的广泛应用对于促进我国消除国际贸易中的通信技术壁垒，推进产品和企业快速稳步进入全新的国际市场，无疑具有十分深远的影响。
 
二、本选题在国内外的研究现状和发展趋势
   
 据IDC（International Data Corporation）统计，基于美国的EDI服务提供商，在全球的EDI用户由1997年的20万户增加到2004年的66.5万户，EDI的网络服务由1997年的8.22亿美元增加到2004年的85亿美元，而互联网上进行的电子商务交易更是至少以千亿美元计算。
    EDI和Internet的结合，使得EDI焕发了第二青春，将大大增加EDI用户数量，越来越多的用户将使用Internet EDI 以适应未来电子商务的需要。利用开放易用的Internet,抓好EDI这一关键环节，可以减少大量重复性建设，大大有利于我国企业电子商务的发展，必将为我国市场经济的发展作出重要的贡献。
三、课题设计方案  [主要说明：研究（设计）的基本内容、观点及拟采取的研究途径。]
 
 研究的主要内容：EDI的含义
 企业实施EDI的系统构建环境
 企业计划部署并实现EDI的实施过程
 企业实现EDI的应用效益分析企业推广应用EDI应用中的主要问题企业普及推广EDI技术的对策分析
 观点：在推广EDI技术的过程中，中央和地方政府应不断改进并完善统一的政策实施环境：既需要政府部门的充足资金来源和必要的行政权力，还需要整个社会构建一个强有力的法制环境，以确保EDI正常运行。作为企业自身应重点提高EDI运营效率并把握当今的市场机遇。
 研究途径：理论研究与查找资料相结合,把对这个问题的看法以及应该注意的问题进行有效的阐述和分析,得出有效可行的结果,参考国内外现状取得研究成果。
四、计划进度安排  [主要说明：起止时间及分阶段的进度要求。]
起止时间：2006年1月10日——2006年5月20日
第一阶段：2006年1月中旬——2006年2月下旬（搜集资料、熟悉相关内容，完成文档设计开题报告）第二阶段：2006年3月上旬——2006年3月下旬（对该题目进行综合全面的分析，形成自己的观点和想法，达到对该题目的全面了解和掌握）第三阶段：2006年4月上旬——2006年4月下旬（整理资料，撰写范文）第四阶段：2006年5月上旬——2006年5月中旬（整合、提交，准备答辩）
五、主要参考文献
 
[1] 于建华,司林胜.我国EDI应用现状、问题及对策分析. 厦门:厦门电子商务中心,2004.
[2] 李金林.国际贸易实务.北京:北京大学出版社,2005.
[3] 美国商务部经济与统计行政事务部政策发展办公室 . 数字经济：美国商务部2000年电子商务报告. 北京:中国人民大学出版社,2001.
[4] 吕延华,徐华飞. 中国电子商务发展研究报告. 北京:北京邮电大学出版社,2003.
[5] 希德.拉曼,马赫胥. 电子商务的机遇与挑战. 北京:华夏出版社,2001.
[6] 德博拉.L,贝尔斯 .电子商务物流与实施. 北京:机械工业出版社,2002.
[7] VanHoose D. 电子商务经济学. 北京:机械工业出版社,2003.
摘要：EDI是指按照协议，对具有一定结构性的标准经济信息，经过电子数据通讯网络，在商业贸易伙伴的电子计算机系统之间进行交换和自动处理。EDI系统由通信模块、格式转换模式、联系模块、消息生成和处理模块等4个基本功能模块组成。在企业应用EDI的过程中，计算机应用技术是必要条件；数据通信网络是技术基础；数据信息标准化是核心要求。企业计划部署并实现EDI系统的正常运行，通常要经历实施前期的调研阶段研究部署和并发阶段试用和全面应用阶段。
关键词: EDI，电子报文，电子商务
引言
 EDI是Electronic Data Interchange的缩写，即电子数据交换，它是一种利用计算机进行商务处理的新方法。通俗地讲，EDI是指按照协议，对具有一定结构性的标准经济信息，经过电子数据通讯网络，在商业贸易伙伴的电子计算机系统之间进行交换和自动处理。EDI是将贸易、运输、保险、银行和海关等行业的信息，用一种国际公认的标准格式，通过计算机通信网络，使各有关部门、公司与企业之间进行数据交换与处理，并完成以贸易为中心的全部业务过程。中国及世界各国的公司、企业正面对一个全球化的市场。须快速、有效地和全世界范围内的客户、制造商、分销商、供应商分享对于他们至关重要的信息，信息是财富，效率是生命。一个新的商业时代—电子商务正展现在我们面前。EDI是电子商务的一种，是商家到商家(B to B)的电子商务方式和技术。对于我国企业应加快EDI的应用，为中国经济的腾飞贡献力量。2  EDI产生背景   20世纪60年代——70年代初，世界范围爆发石油危机，西欧北美工业发达国家结束了使用廉价石油发展工业的阶段，开始从工业社会向信息化社会过渡。以微电子技术、通信技术、计算机技术为核心的高新技术迅速发展，信息技术逐渐在各个领域普及应用。70年代中期,微处理机微型机的出现和发展推动着计算机向社会各部门的推广应用，通信网络的发展，国际数据传输网及增值网的出现，为EDI的产生与发展奠定了技术基础。
 工业、交通与通信的发展、生产社会化促进了经济全球化、产业结构调整，资本的大量转移,跨国公司的涌现，推动了国际贸易的发展。全球贸易额的增长率明显高于世界经济增长率，全球贸易额的上升带来了各种贸易与单证、纸面文件的激增。人工处理单证、纸面文件劳动强度大、效率低、出错率高、速度慢、费用大、纸面文件成了阻碍贸易发展的一个突出因素。市场竞争的激烈化使生产和经济活动的组织发生重大变化，生产由大规模批量生产向柔性生产转变，要求小批量多品种，缩短产品上市时间以适应瞬息万变的市场行情。组织形态由大型纵向集中式向横向分散式、网络化发展，制造商、供应商、用户之间、跨国公司与各分公司之间要求提高商业文件传递和处理速度、空间跨度和正确度，追求商业贸易的“无纸化”成为所有贸易伙伴的共同需求。正是这种背景下，以计算机网络通讯和数据标准化为基础的EDI应运而生。EDI起源于计算机技术的电子数据处理(EDP)，这是从科学计算向界面化文字处理和事务处理的转变。电子数据交换就是一个汇集和传送电子信息的标准，它产生于20世纪60年代，美国和欧洲几乎同时提出了EDI的概念。早期的模型只是点对点的传输模型，是在两个商业贸易对象之间完成信息通信的。20世纪70年代，随着数字通信技术的深远发展，EDI技术也趋之成熟，并且逐步向跨区域、跨行业的复杂巨系统不短拓展。    1990年联合国推出UN/EDIFACT(United Nations Rules For Electronic Data Interchange for Administrations, Commerce and Transport)标准，国际标准化组织ISO将其定为国际标准ISO9735，从此国际贸易有了一套完整的统一的电子通讯标准。该标准的语法规则：UN/EDI FACT语法规则于1987年８月制定完成，并于当年９月被ISO接受为国际标准，标准代码为ISO09735。[4]UN/EDI FACT是规范EDI信息传输格式的统一准则，通过此准则，才使得采用EDI方式传输的数据不受地域、语言环境、应用领域的限制。为此，该规则是所有EDI FACT标准中最为重要的一项基础标准。UN/EDI FACT应用级语法规则主要包括两方面的内容：语法结构和语法规则。语法结构定义了UN/EDI FACT语法成分(如交换、字段等)的逻辑结构，语法规则定义了使用这些语法成分生成EDI报文的方法。
 据统计数字表明，1992年底全球已有53个国家和地区，开发应用了EDI系统，其用户约有13万，业务市场价值近20亿美元；1995年超过50万，并且以每年至少50%的速度激增；在20世纪末，全球EDI市场已经扩大为最初的8倍。中国自1990年开始，将EDI列入“八五”过科技攻关项目，通过阶段性的项目研发，在诸如国家外贸许可，对外贸易运输和化工进出口等方面建立了EDI系统。1991年9月，国家成立了“中国促进EDI应用协调小组”。同年10月成立“中国EDIFACT委员会”并参加亚洲EDIFACT理事会。目前，EDI已在国内贸易、海关、银行、交通等部门得到了普遍的应用。[1]    在全球广泛应用EDI技术的20多年来，电子数据交换在各个领域的应用中不断得到发展和完善，在当前的电子商务(Electronic Commerce)中占据着举足轻重的地位。目前各国还致力于开发适用于政府、司法、教育和保险等行业领域的EDI系统。
EDI的发展过程
 3.1 国外EDI的发展过程
 20世纪60年代末，美国在航运业首先使用EDI。1968年美国运输业许多公司联合成立了一个运输业数据协调委员会(TDCC)，研究开发电子通信标准的可行性。早期EDI是点对点，靠计算机与计算机直接通信完成的。自70年代开始,随着世界政治格局的变化,经济格局呈现出区域化和多样化的特征。许多国家为了保证本国的商业利益和在国际上的经济地位,都把EDI作为具有战略意义的工具予以重视和推广应用。EDI在欧美、大洋洲和亚洲太平洋地区的新加坡、日本、韩国、香港和台湾等地的发展都比较快。EDI所涉及行业比较广泛,主要包括:汽车业、化学工业、运输业和商业等。人们普遍认为,欧洲统一市场的形成,EDI显示出了具大的作用,它已成为加强各成员国之间经济、贸易和金融联系的具有战略意义的工具未来的EDI不仅限于供销订货,而且会渗透到企业界的经营管理中,如信息获取、信息查询、市场研究与研究、客户服务等。应用EDI能带来显著的经济利益,这一点是毋庸质疑的，但是实际上EDI的应用仍存在一些问题。最基本的问题是应用成本太高,中小企业几乎没有应用能力,如网络的建立、管理和使用费用、计算机设备费用、专用计算机软件费用等等……此外,EDI管理大多是由大企业或政府主导,应用范围也仅限于企业与企业之间(即B-B模式)。所有这些问题的存在使EDI的发展受到了一定制约,阻碍了它的进一步发展。[2]20世纪70年代，随着数字通信网的出现加快了EDI技术的成熟和应用范围的扩大，出现了一些行业性数据传输标准并建立行业性EDI，例如，银行业发展的电子资金汇兑系统(SWIFT)；美国运输业数据协调委员会(TDCC)发展了一整套有关数据元目录、语法规则和报文格式，这就是ANSLX.12的前身；英国简化贸易程序委员会(SIMPRO)出版了第一部用于国际贸易的数据元目录(UN／TDED)和应用语法规则(UN／EDIFACT)，即EDIFACT标准体系。[9]
 20世纪70年代EDI应用集中在银行业、运输业和零售业。20世纪80年代EDI应用迅速发展,美国ANSlX.12委员会与欧洲一些国家联合研究国际标准。1986年欧洲和北美20 多个国家代表开发了用于行政管理、商业及运输业的EDI国际标准(EDIFACT)。随着增值网的出现和行业性标准逐步发展成通用标准，加快了EDI的应用和跨行业EDI的发展。目前，EDIFACT标准是全球EDI使用者所遵循的唯一EDI单证国际标准。美国以前所使用的ANSI X.12标准已于1997年和EDIFACT标准合二为一。总之，使用EDI是交易双方企业之间的文件传递；交易双方传递的文件具有特定格式，采用的报文标准是联合国发布的UN/EDIFACT；双方各有自己的计算机系统(或计算机管理信息系统)；双方的计算机系统能发送、接受并处理符合约定标准的交易。
 20世纪90年代出现Internet EDI，使EDI从专用网扩大到因特网，降低了成本，满足了中小企业对EDI的需求。20世纪90年代初，全球已有2.5万家大型企业采用EDI，美国100家最大企业中有97家采用EDI。20世纪90年代中期，美国有3万多家公司采用EDI，西欧有4万家EDI企业用户，包括化工、电子、汽车、零售业和银行。
 3.2 我国EDI的发展
 我国自1990年开始，国家计委、科委将EDI列入“八五”国家科技攻关项目。例如,外经贸部国家外贸许可证EDI 系统，中国对外贸易运输总公司、中国外运海运/空运管理EDI系统,中国化工进出口公司“中化财务、石油、橡胶贸易EDI系统”以及山东省抽纱进出口公司“EDI在出口贸易中的应用”等。1991年9月由国务院电子信息系统推广应用办公室牵头会同国家计委、科委、外经贸部、国内贸易部、交通部、邮电部、电子部、国家技术监督局、商检局、外汇管理局、海关总署、中国银行、人民银行、中国人民保险公司、税务局、贸促会等16个部委、局(行、公司)发起成立“中国促进EDI应用协调小组”。同年10月成立“中国EDIFACT委员会”并参加亚洲EDIFACT理事会,目前已有18个国家部门成员和10个地方委员会。EDI已在国内外贸易、交通、银行等部门广泛应用。
 l993年起实施“金关工程”，即对外贸易信息系统工程，它是EDI技术在外贸领域的应用的试点,网络和服务中心建设，已取得重要成果。“九五”期间，海关、交通、商检及商业的EDI应用项目已被列为国家重点项目。EDI技术现今还在不断发展和完善中，不过EDI的推广应用的的确确大幅度提高了商贸和相关行业(如报关、商检、税务、运输等)的运作效率。九十年代以来,美、日、西欧、澳大利亚及新加坡等许多国家已陆续宣布：对不采用EDI进行交易的商户，不与或者推迟其贸易文件的处理。这就给非EDI商户造成巨大压力，甚至会给其造成巨大的贸易损失。由此可见，在未来的世界经贸格局中，不使用EDI者，只能受制与人，甚至可能被排斥在世界市场之外。4  EDI的组成与工作原理
 4.1 EDI的组成
 EDI系统由通信模块、格式转换模式、联系模块、消息生成和处理模块等4个基本功能模块组成。EDI标准是整个EDI最关键的部分，由于EDI是以事先商定的报文格式形式进行数据传输和信息交换。因此，制定统一的EDI标准至关重要。EDI标准主要分为以下几个方面：(1)基础标准。(2)代码标准。(3)报文标准。(4)单证标准。(5)管理标准。(6)应用标准。(7)通信标准。(8)安全保密标准。    EDI系统的功能模块由报文生成和处理模块、格式转换模块、通信模块和联系模块组成。
 (1)报文生成和处理模块。其作用有两个方面：第一是接受来自用户联系借口和其他信息系统或数据库内部联系借口模块的命令和信息，按照EDI标准生成订单、发票、合同以及其他各种报文和单证，经过格式模块处理之后，提交给通信模块，经过EDI通信网转发给其他EDI系统的用户。第二个作用是经通信模块将接受到来自其他EDI系统的EDI报文进行自动处理。按照不同的EDI报文类型、不同的应用过程进行处理。在处理过程中要与本部门信息系统或数据库相联系，获取必要信息给发方EDI系统以响应，并将有关信息送给本部门的信息系统和数据库。在报文处理过程中有可能产生一些意外情况，这时应把这类事件提交给用户联系接口作为紧急例外而由人工干预。
 (2)格式转换模块。其作用是将各种EDI报文,按照EDI结构化的要求,作结构化的处理,按照EDI语法规则进行压缩、复制、嵌套和代码转换，并加上相应的语法控制字符后，提交给通信模块再发送给其他EDI系统的用户；或者将其他EDI系统经通信模块所接受的结构化的EDI报文，作非结构化的处理，以使信息系统或数据库进一步处理。对在格式转换过程中语法出错的EDI报文，应拒收并通知重发。由于EDI要在不同国家和地区及不同行业内使用。不同行业内的EDI，其标准也有所不同，格式转换模式必须能适应和识别不同的EDI标准，并能将一种标准的EDI报文转换到另一种标准格式，使其具有相容性。
 4.2 EDI的通讯基础　　　　
 用户的数据通过EDI格式标准化之后，产生了EDI报文，EDI报文的传送则需要现代的通信技术，目前MHS(Message Handle System消息处理系统)被认为是支撑EDI传输的理想环境。从MHS观点来看，EDI是MHS的一个重要应用领域；从EDI的观点来看，MHS是EDI理想的通信网络系统。
 CCITT规定了EDI消息处理系统 (X.435)和EDI消息处理业务 ，把EDI作为OSI应用层的正式业务。EDI消息处理系统是利用MHS通信支撑环境来实现的，它具有下列特点:在OSI体系结构基础上，提供EDI所需业务；提供不同的 EDI通信间协议的互通，在 EDI服务提供者之间，提供完备的EDI互通服务，避免EDI孤岛的出现；具有良好的扩展性，便于协调与其他应用业务的互通，并考虑 EDI应用的几个主要标准(如EDIFACT，ANSI X.12)在通信中的兼容；支持传输文本、语音和图象多媒体信息的服务能力；提供EDI增强型的安全功能；支持X.500系列号码簿的名分析和分发表功能。 　　　　
 4.3 EDI的通信分类
 从通信过程上看，EDI可以分成直接通信和经由EDI中心通信两种方式：一是直接通信方式的EDI应用，这种方式下，EDI一方用户的计算机在一定的条件下直接从用户的应用系统获取数据并传送到另一方的用户应用系统。这种方案适用于成对的贸易伙伴之间，十分方便，因此也是许多行业开始发展EDI所采用的模式。二是经由EDI中心通信方式。随着贸易的增加，一个商业组织要与多个贸易伙伴发生联系，情况变得日益复杂，这时上面直接通信方式的EDI应用就不再合适了。于是产生了经由EDI中心交换的EDI模式。EDI中心的任务相当于管理员或电子邮箱。发送者的数据经过变换和翻译，成为EDI报文，发往 EDI中心；EDI中心的计算机接收下该报文，按照电文中收件人地址进行分类，分别放入相应地址的邮箱中；收件人可以在方便的时候检索收取他的报文。这种方式克服了管理和检索等一系列问题。此外，EDI中心还可以进行统计工作，为每个用户统计活动频率、记帐和制备帐单等。
 4.4 EDI和E-mail的区别
 电子邮件(E-mail)是最常见形式的电子通信，有时被认为是与EDI相似的。然而，尽管这种通信方法也是以电子方式传送数据的，其传输过程也与EDI类似，但E-mail与EDI有着很大的不同。E-mail是通过计算机在人与人之间进行通信，通常用来代替电话呼叫或传送信件。E-mail传送的数据是非结构化的或者说是自由格式的，不加解释或重新键入，计算机是不能处理的。EDI则主要是计算机与计算机之间的通信，传输的内容是严格格式化过的、不附加人工解释或重新键入，计算机就可以处理的数据。此外，EDI安全性要求也比E-mail要高得多。    4.5 使用EDI的主要优点
降低了纸张文件的消费；减少了许多重复劳动，提高了工作效率；使得贸易双方能够以更迅速、有效的方式进行贸易，大大简化了订货过程或存货过程，使双方能及时地充分利用各自的人力和物力资源；可以改善贸易双方的关系，厂商可以准确地估计日后商品的需求量，货运代理商可以简化大量的出口文书工作，商业用户可以提高存货的效率，提高他们的竞争能力。
 4.6 EDI处理过程
 EDI单证的处理过程可以这么理解: 你的商务应用系统产生一个文件，例如发票，然后通过映像程序把用户格式的数据变为一种标准的中间文件。这个中间文件叫平面文件，其作用在于生成EDI电子单证，以及用于计算机系统内部的交换和处理等。再由翻译器自动将平面文件翻译成交易双方同意的EDI标准格式，并将之包裹在含有贸易伙伴EDI ID(识别号码)的电子信封里。通信软件将标准格式的EDI报文经EDI增值网发送，网络进行一系列的合法性和数据完整性检查，并根据电子信封里的ID将之放在相应的邮箱里。你的贸易伙伴上网取出邮箱里的信件，EDI映像及翻译器打开信封并将信封里的数据从标准格式转换为内部应用系统可读的格式，可支付的账务系统根据电子发票生成一张支票。基于增值网的EDI已有多年的运行经验，EDI VAN服务安全可靠，贸易伙伴管理交易与确认仲裁技术成熟，在国际贸易、报关、交通运输、政府招标、公用事业中有广泛的应用。由于EDI的使用可以完全代替传统的纸张文件的交换，因此，有人称它为“无纸贸易”或“电子贸易”。
 EDI的应用过程：首先，企业内部的信息系统产生一份文件，EDI 翻译器按照标准与规定，自动将文件翻译为 EDI 格式；然后将文件封装在电子信封中，并加上接收企业的识别代码及其它传输所需信息，通过增值网络将 EDI 文件输出，增值网络能够读取和输出文件电子信封上的信息，进而将文件传递到报文管理中心(EDI中心)接收企业的信箱中。 当接收企业连结上网络后就能从 EDI 中心收取信箱中接收的 EDI 文件；此时接收企业的 EDI 翻译器会打开信封，将 EDI 格式的报文转换成平面文件，由接收企业内部的计算机系统负责处理。比较 EDI 和其它通过互联网传输的电子数据交换技术，EDI 最大优势在于具有国际通用的标准，文件处理流程自动化和计算机化，能够与企业内部的计算机系统实现紧密衔接；此外，由于使用专用的增值网络，数据传输的安全性得到较好的保证。对企业来讲，由于数据处理的自动化，数据不需要重复输入，能够大量减少交易流程中人为的错误或疏忽。　   下面来看一看EDI是如何进行工作的，现举一EDI购买流程对EDI的工作进行说明。如图1所示，首先需求部门将需求电子信息发送给采购部门，选择好供应商后，采购部通过EDI网络将订单信息发送到供应商的订单系统，同时也会将价格信息发送给财务部门，到货信息确认后采购部也会将信息发送给收货部门以安排收货。供应商的销售订单系统收到订单后会将相关信息发送给生产制造系统以安排生产，同时也会将信息发送给财务部门。当产品生产完毕后，生产部门将产品交给运输部门并通知财务部门。运输部门给财务部发送信息表明商品已经开始准备运输。财务部通过EDI系统给买方发送发票信息，买方收到发票信息后会转发给财务部和收货部门。当商品到货后，收获部门会根据计算机上的发票信息进行验货入库，并且会通知财务部门货物已经收到。当买方的财务部对所有信息进行验证后，会给银行发送信息，货款自动扣除，卖方收到货款。[6]（见图1）
 
图1 EDI信息流
5  EDI安全
 5.1 EDI的安全问题
 电子数据交换技术的兴起，无疑对加强竞争能力有着巨大的作用，但也可能产生安全上的问题。EDI涉及大量的经济机密信息，比如许可证管理的国家宏观调控信息，交易谈判中交换的意向信息、合同、电子资金传送等等，必须加密。一个没有安全保证的EDT系统是不能实际使用的。当前，如何确保数据交换的准确、安全和可靠，已成为EDT系统，特别是开放式EDI系统的关键问题。欧洲的TEDIS计划将安全保密列为四大重点之一，美国成立了专门的机构研究EDT的安全，ISO也将EDT安全纳入研究日程，CCITT则提出了X. 435建议，主张用X.400 MHS己有的安全机制来支持EDT的安全，因为MHS已有了较完整的标准和产品，并在1988年的版本中详析规定了MHS的安全服务和安全元素。[5]
 一般信息技术的安全性包括三个方面:
 (1)保密性(confidentiality)指信息或数据经过某些变换之后成为一段表面上看不出含义的符号。只有那些经过授权的用户才能够通过反变换之后得到相应的信息，而未经授权的用户最多只能得到一堆表面上杂乱无章的数据。
 (2)完整性(integrity)将信息或数据加上特定的信息块，它是前面数据或信息的函数，系统可以用这个信息块检验数据信息的完整性。只有那些经过授权的用户才能对数据或信息进行增删改。未经授权的用户对数据或信息所进行的增删改都会被立即发现，并使系统自动采取保护措施。
 (3)可用性(availability)安全系统能够对用户授权以提供某些服务，即经授权用户能够得到系统资源和享受系统提供的服务，防止非法对系统资源或系统服务的访问和利用。除了上述一般的安全要求外，对一个实际的EDT应用系统，结合具体的系统环境还可能有更进一步的安全性要求。
 5.2 EDI的安全分析
 　5.2.1 EDI所面临的主要威胁
 CCITT X.435建议定义了开放性EDI系统及其概念模型。1984 MHS X.435建议标识了它所受的主要潜在威胁有以下几种：　
冒充
 这是 EDI常见的一种破坏方式。例如，一个非授权的EDI-MTS用户伪装成合法EDI-MTS用户，对EDI-MTS进行非法的访问或做出有害于合法EDI-MTS用户的行为非授权 EDI-MTS用户通过冒充以合法接收者的身份发出接收信息的响应；冒充者将到MTS的信息说成是另一个用户发出的等等。
篡改数据
 EDI环境中的篡改数据，除了篡改信息的标签、内容、属性、接收者和发送者、路由信息外，还包括在递交不可抵赖之后对源点本地存储的电文内容做篡改，以及在投递不可抵赖之后对接收端存储的电文做出篡改。(不可抵赖 ：消息发送之后，发送方随后应该不能否认它。)    (3)偷看、窃取数据
 EDI系统的用户及外来者未经授权偷他人的电文内容以获得商业秘密，损害他人的经济利益。
(4)报文丢失
 EDI系统中电文丢失主要有三种情况，一是因为UAMS或MTA的错误而丢失电文；二是因安全保密措施不当而丢失电文；三是在不同的责任区域之间传递时丢失电文。
 (5)抵赖或否认
 EDI要处理大量的合同、契约、定单等商业数据，在起草、递交、投递等各个环节都可能发生抵赖或否认，尤其在 MHS环境中，采用自动转发、重新定向等服务方式时，危险性就更大。
   　(6)拒绝服务
  在EDI系统中，局部系统的事务及通信各部分的不一致所引起的事故 (如提出超出MTA交换能力的服务要求)会使系统中断，从而拒绝服务。局部系统出于自我保护目的而故意中断通信更会导致拒绝服务，这种拒绝服务是EDI环境中最可能出现、危害性极大的威胁之一。    (7)消息丢失
  消息丢失在EDI-MS环境中被认为是很严重的。包括灾难性的EDI-UA，EDI-MS或MT故障和单个消息的丢失。    5.3 EDI系统的安全策略
 针对EDI应用面临的威胁，EDI系统的安全策略是：他人无法冒充合法用户利用网络及其资源；他人不能非法窃取或偷看电文的内容；他人无法审改、替换或扰乱数据；与电文交换有关的各种活动及其发生时间均有精确、完整的记录与审计；确保电文在交换过程中不会丢失。    5.4 X.435 新增的安全服务
 CCITT在X.435建议草案中针对EDI应用的具体需求，又新增了以下９种安全服务：接收证明或不可抵赖、检索证明或不可抵赖、传递证明或不可抵赖、内容证明或不可抵赖、安全MS审计跟踪、安全MT审计跟踪、MS记录档案、MD记录档案、MTA管理和路由信息的安全。[7]    5.5 X.509 的验证框架
 X.400的安全性以号码簿标准 X.509建议中定义的验证框架为基础。X.509定义非对称加密机制，用于对等的验证，并支持数字签名。1988标准保留了对称加密模式在MHS中的可能进一步应用，供进一步研究。X.509验证框架规定了三种基本的安全服务，可供所有的应用层OSI简单验证、强验证和数字签名。简单验证与强验证允许通信双方可靠的检查彼此的标识。数字签名提供点对点的数据完整性，方式是使报文接收者可以可靠的检查报文内容是否被改动，或是否在传输期间受到干扰。    5.5.1简单验证
 简单验证是当前标准定义的最小安全验证形式。然而，在安全性不是主要关心对象的环境下，这基本上足够了。X.509定义了三种选择支持简单验证：
 选择1：包括明文传送用户名和口令字。这是很弱的安全性形式，但尽管如此，它可以为风险很低的环境提供最小级别的安全性。选择1的工作情况是，用户Ａ将他的名字和口令以明码发送给用户Ｂ。用户Ｂ查询号码簿，进行检验，看他从用户Ａ处收到的口令是否与号码簿中的一项相匹配；如果比较成功，号码簿便向用户Ｂ证实了Ａ的凭证的合法性。进而，用户Ｂ向Ａ通报操作成功。如果比较失败，则用户Ｂ向Ａ发出失败指示。
 选择2：包括传输安全令牌，包含用户名、口令、随机数和时戳。在选择２中，用户Ａ和Ｂ之间的交换以及号码簿都很类似于选择１中的。然而，由于采用了单向散列函数 (用户Ａ和Ｂ必须享有同样的散列函数)，交换的信息受到了更好的保护。在这种情况下，用户Ａ生成一个叫做保护１的令牌，它是将单向散列函数 (标号ｆｌ)施用于下述信息得出来的：Ａ的名字、口令、随机数以及时戳。保护１的定义如下：
 Protected１＝f1［Name 　Password，r1，t1］　
然后，Protected１可被用来建立叫做Authenticator的验证令牌，它的定义如下：
 Authenticator1＝［Protected１，　Name，t1，　r1］
用户Ａ向Ｂ发送Authenticator1，Ｂ用其中包含的信息重建 Protected１：用户Ｂ查询号码簿，获得用户Ａ的口令字：对口令字，连同从用户Ａ接收到的用户名、ｒｌ和ｔ１的值进行散列。如果结果与Protected1匹配，则验证成功的完成，用户Ｂ通知用户Ａ，成功了：否则验证失败。
 选择３：类似于上述选择２。只是安全性令牌进一步受到第二个散列函数(标号ｆ２)的保护，选择３可用下述函数表示：
 ｆ２［ｆｌ(Name，Password，ｒ，ｔ)］
 在选择３，事件顺序与选择２十分相似，只是多了一道程序：用ｆ２函数进一步对Protected1进行散列，以便产生Protected２及Authenticator２。使用第二个散列函数似乎有些多余，但它增加了保护作用，因为两个实体需要具有类似的散列函数，而不是一个，才能进行通信。它们的定义如下：
  　　Protected２＝ｆ２［ｔ２，ｒ２，Protectedｌ］
  　　Authenticator２＝［ｔｌ，ｔ２，ｒ１，ｒ２，Protected２，Name］
 在这种方案下用户Ａ向用户Ｂ发送Authenticator２，Ｂ在本地用从号码簿中读到的信息以及从令牌中接收的信息重构它的值。6  企业实施EDI的系统构建环境
 6.1实施EDI的基本条件和部署环境
 企业计划部署并实施EDI的全部功能，需要具备以下三个方面的必要条件和实现环境：
 6.1.1计算机技术应用是EDI实现的必要条件
 从计算机系统工程的角度看，一个对象的计算机系统可以分为两个部分：与EDI密切相关的各个功能子系统，诸如通信接口模块等子系统；EDP，即位于企业内部的计算机信息处理系统。
 EDI是通过多种计算机技术并行实现的复杂巨系统，它绝不仅仅是单纯地通过计算机网络传送标准数据文件，还要求对接受和发送的数据文件进行自动识别和对应处理。因此，EDI的系统用户必须具有完善的计算机处理系统。
 6.1.2数据通信网络是EDI实现的技术基础
 EDI为了传输数据文件，必须具有一个广域高效的、高安全的数据通信网络作为其技术实现的网络环境。EDI传输的是具有通用标准格式的商业或行政数据文件，它要求数据通信网络在具有一般的数据传输和信息交换功能之外，还必须具有校验、确认、数据锁定和电子签名等一系列高级安全保密功能。
 EDI的开发应用是通过计算机通信网予以实现的。EDI的通信环境(EDIME)是由EDI通信系统(EDIMS)和多个EDI用户(EDIMG EDI 消息处理)共同构成。它主要有以下三种模式。
 (1)直接连接模式。早期的EDI通信一般都采用此方式，但随着商业贸易领域的拓展，当拥有许多贸易对象的时候，就表现出如响应时间长，数据文件重复发送等弊端。点对点模式是同步的，不适合跨国、跨领域之间的多方应用。近期，这种通信模式逐步地采用远程非集中化控制的对等结构，利用开放型网络，将数据转换成EDI报文，实现国际间、行业间的EDI平台对接。(如图2所示)
  图2 直线连接的EDI
 (2)增值网(VAN)模式。就是租用通信部门的线路，在租用线上附加一些设备、提供一些附加的、用户所需的业务，当实现增值业务时，第三方网络通常被称为增值网络(Value Added Network——VAN)。在EDI系统中，第三方网络除了提供电子邮箱业务外，还可以为EDI客户实现其他附加的增值业务，主要有：翻译业务(第三方网络可以接收用户公司专有格式的数据，并把该信息翻译成EDI标准格式。不用改变任何的用户内部软件，用户便能发送EDI报文。书面变换业务(基于在某组织的大部分事务都己经实现电子传输之后，但仍有一些贸易伙伴不能接收电子电文的这种情况，某些增值网在将电子电文发送给贸易伙伴之前，还能把它们变换成书面文件，使得可以不能接收电子通信的贸易伙伴也能进行电子通信加密与鉴定业务和安装与培训业务。)
 增值网模式是增值数据业务公司，基于现有的计算机与通信网络设备，完成EDI所要求的各种服务功能。相对于点对点模式而言，增值网模式拥有许多优点，但以为各个增值网的EDI服务功能不完全相同，增值网系统并不能完全互通，且该系统是在OSI参考系统中的3个底层实现，使的EDI的进程应用和处理效率相对较低，在一定程度上限制了EDI的广域应用。
 
 图3增值网连接的EDI
 经由增值网络实现的EDI系统主要有以下业务: 电子邮件。EDI的每个用户，均可将电子电文送人自己的电子邮箱中，增值网会将邮件分别送到接受者的邮箱中。每个用户可在任何时候检查自己邮箱中的电子电文。不同文件标准的转换。EDI VAN可以提供不同标准的文件的转换业务，使用户能与分布很广且使用不同标准的通信对象交换资料。提供多种通信协议。能与其他EDI系统互连。系统安全服务。包括对用户身份和密码的验证、对贸易伙伴关系的检查、对EDI单证重复性的检查、对EDI报文的检查、对数据完整性的检查、对整个单证收发过程进行审计

首页 上一页 1 2 下一页 尾页 1/2/2