软件电子商务质量风险论文

【摘要】软件是电子商务应用的基础。企业要规划电子商务发展战略，制订电子商务应用与开发计划，首先要进行可行性分析，成本估算是可行性分析阶段的重要任务。随着电子商务应用领域和规模的日益增大，软件开发成本估算的重要性日益突出。本文介绍了当前电子商务应用领域的主要结构，以及基于此结构的软件测试技术。下面是小编精心推荐的《软件电子商务质量风险论文 (精选3篇)》，希望对大家有所帮助。

软件电子商务质量风险论文 篇1：

政府如何规制软件电子商务质量风险

`[摘 要] 首先简述电子商务中软件质量风险的生成机制，然后研究政府应采取何种规制措施降低交易者信息不对称和交易契约控制力不对称引起的质量风险，并提出具体的对策。

[关键词] 软件;质量风险;政府;规制

电子商务扩大了软件的交易形态和交易范围，使软件交易比物质产品便捷和多样化，同时，由于交易流动性增强，交易中的不确定因素也在增加。由于软件是典型的后验产品，使其在电子商务中出现了不同于传统物质产品交易的质量风险，需要政府进行规制。

一、软件电子商务质量风险的生成

软件是后验产品，消费者只有使用它以后才知道它的真实质量，这形成软件交易中严重的事前信息不对称，如果没有良好的信息传递机制，软件市场容易因逆向选择而形成“柠檬”市场。电子商务使软件交易中的信息不对称程度进一步加剧。在软件传统的商务渠道中，供应厂商的品牌、包装、广告及赔偿承诺等，都向消费者传递着软件质量的信息，厂商营销中投入巨额成本及其与销售代理商的合作，都显示着厂商的“实力”与其产品的“层次”。而在Internet上，大大小小的厂商甚至个人都可以花很小的力气(成本)向你推销软件，你的网页上时不时会“飞”来某个软件广告，这些软件的质量信息几乎没有经过“过滤”，参与软件电子商务交易的消费者在搜寻信息成本几乎下降到零的同时，却带来了挑选成本的激剧增加。消费担心的还有，这些“厂商”今天在网上设立软件商店，明天它会不会还存在?更严重的是，这些软件提供者中，还时有发布电脑病毒的“骇客”浑水摸鱼混杂其中，使挑选软件增加了很大的风险成本。所以，如果没有政府进入规制，软件电子商务质量风险将成为Akerlof(1970)所提的典型的“劣质产品市场”，甚至连市场也无法形成。

二、软件电子商务质量风险规制

软件电子商务交易中的质量风险可由市场的内在机制在一定程度上解决，政府的规制作用是使这种风险降到最低，以使软件电子商务交易市场扩大和更有效率。软件电子商务中的质量风险主要由软件交易中严重的质量信息不对称性、网上交易的低约束性和违约惩罚成本的高昂性引起。为此，政府对软件电子商务交易必须针对性地采取相应的规制措施，消除交易双方在交易中的契约力不平衡，创造公平、透明的交易条件。从交易契约理论出发，政府可采取的规制措施包括事前的准入注册，事中的认证评级、信息服务、监控维护和事后的追究惩罚等。

1.准入规制

政府对软件电子商务交易中的供方实行注册登记等准入规制可增加交易的约束性和减少信息的不对称性。软件电子商务交易由于供方在每一个端口均可供货，并且供方可以“跑了和尚又跑了庙”，这给买方带来了交易上的风险，包括产品质量和服务质量上的风险。当买方意识到卖方可能实行一次性交易时，就会担心卖方的道德风险而选择“信用认定”，即在交易前多方搜寻对方的信用信息，或是干脆选择不交易，这增加了交易成本和缩减了市场，加上软件的信息不对称，软件电子商务交易市场将大幅缩水。在没有政府规制的“自由市场”情况下，软件电子商务市场交易的供方将集中在少数“品牌”公司，因为只有这些投入大量的沉没成本去建立起市场信誉的公司才值得买方信赖，也只有这些大公司的雄厚实力才使用户有“庙”可找。所以，软件电子商务市场在没有政府时虽然是个人人均可进入交易，没有限制的“公平”市场，但实际上是个只有大的软件公司才能生存，产生“公平”性失效的市场。由此，政府需要进行准入规制。

政府应该采取怎样的准入规制措施?现代规制理论表明，过严的政府规制将使政府政策替代市场机制，从而导致政府失灵;有效率的政府规制必须是政府的规制措施弥补市场机制的不足，起到扶持和维护市场的作用。简言之，就是政府应永远是裁判员，而不应是运动员，即使是政府的微观规制也只能是“跑着的裁判员”。对每个市场失效，市场本身均有一定的自我修复的内在机制(“免疫力”)，软件电子商务市场也如此。例如网上信用认证服务就具有这方面的功能，实际上，VeriSign等网上认证服务公司在国外已经起步发展。因而，政府对软件厂商进入电子商务的规制应该是核准注册制度，而不是审批制度。同时，为适应软件电子商务交易特点，政府需要为用户提供厂商注册信息查询服务，并制订与网络交易相符合的防止软件电子商务交易中价格欺诈或质量欺诈等违法交易行为的法律法规。除此之外，政府所能做的还有对网上软件交易认证服务公司给予税收优惠，以满足软件电子商务中日益增加的产品信息和信用信息需求。

2.交易运行规制

在初步确定对方可交易后，软件电子商务交易中的质量风险来自买卖双方之间存在的严重信息不对称，这容易导致软件电子商务市场萎缩或转变成“劣质产品市场”。为克服因质量信息不足产生的逆向选择，在没有政府介入的情况下，产品高质量的厂商将采取信誉培育、高质高价和通过市场中介传递质量信息等措施传递甄别信号，从而减轻市场的失灵。但甄别信息传递过程需要高昂的信息传递费用(对厂商)和鉴别费用(对消费者)，交易成本过高会影响市场的交易效率和交易范围，为此需要政府进入软件电子商务市场，提供部分质量公共信息和限制虚假信息的发布，以减少厂商与消费者之间的信息传递和鉴别成本。这里的问题是，政府应如何提供减轻买卖双方信息不对称的服务?

在传统物品质量信息不对称规制上，政府只要采取广告、质量标准等常规的规制措施就可以达到质量价格的均衡从而避免信息不对称下的价格欺诈。而对软件电子商务交易而言，信息不对称程度和传递、鉴别信息的费用显著地高于传统的物质产品，因而要求政府提供更多的规制服务，包括：第一，提供质量信息在线服务。信息具有天然公共品的属性，由政府提供软件质量的相关信息，不仅可显著减少甄别信息的传递费用，而且能减少质量信息的鉴别费用。当然，政府所发布的信息只能限于一些公共、实用而现实的信息，如软件电子商务市场的政策信息、软件真假鉴别的实用技术和鉴别机构、软件质量技术监督部门对市场的监督报告等。这些信息，应以数据库的形式提供在线查询服务。第二，认证和评级。认证评级是政府降低用户鉴别软件质量信息成本的有效规制措施，也是提升高质量软件的信誉度，降低其信誉投资成本的良好措施。限于公共职能和信息不对称，政府认证规制在操作上应以提供准入性和达标性的认证为服务内容，而把其他的认证工作交由市场认证服务公司;评级服务方面，政府可从市场销售额、市场占有率、专利申请数、服务质量、投诉率等方面公布企业“排行榜”，以让消费者对软件企业有个基本的判断。第三，信息监控。鉴于信息不对称中大量信息租金和由此带来的道德风险的存在，政府需要监控企业传递信息的真实性，其中主要是软件厂商在互联网上发布的各类广告和信息是否虚假或是否具有误导性，以及所采取的预防和治理措施。

3.惩罚规制

在软件电子商务交易中，单纯依靠消费者搜集和鉴别信息去减少卖方在质量上的败德行为是很费成本的事情，政府进入规制能有效减少这种成本的支付，从而增加卖方的约束性和减少交易中质量的不确定性。在电子商务中，由于交易存在着部分“虚拟”成分，使法律的执行成本很高，这个特点由于软件交易“边界模糊”的特性而在软件电子商务交易中表现得更为突出。政府在惩罚规制上有两种惩处方法可选择，一是实施高频率的检查规制;二是加大惩罚力度从而相对减少查惩费用。由于网上交易约束性低，查处不容易和法律惩罚成本高，信誉低的公司比信誉高的公司更有积极性选择质量欺诈行为，因而，从维护市场与降低社会成本角度出发，政府需要选择从严惩处的办法。

简短的结论：软件电子商务交易中的质量风险需要政府提供更多的网上在线服务，这种服务应限于公共服务领域而不是替代市场“免疫”机制的作用。此外，为增加交易双方的约束力，减少质量欺诈行为，政府应实行在线的监控惩处机制和加大违规者的惩罚力度。

主要参考文献

[1] C.夏皮罗，H瓦里安.信息规则[M].北京：中国人民大学出版社,

2000.

[2] 张昕竹.网络产业·规制与竞争理论[M].北京：社会文献科学出版

社,2000.

[3] G·J·施蒂格勒.产业组织与政府管制[M].上海：上海三联书店、上

海人民出版社，1998.

作者：王万山

软件电子商务质量风险论文 篇2：

浅谈电子商务软件测试的方法与研究

【摘要】软件是电子商务应用的基础。企业要规划电子商务发展战略，制订电子商务应用与开发计划，首先要进行可行性分析，成本估算是可行性分析阶段的重要任务。随着电子商务应用领域和规模的日益增大，软件开发成本估算的重要性日益突出。本文介绍了当前电子商务应用领域的主要结构，以及基于此结构的软件测试技术。基于易用性评测的理论基础，依据电子商务软件易用性评测指标体系，提出了电子商务软件易用性的评测方法和评测过程。

【关键词】电子商务;软件;测试

随着信息技术的日新月异，人类已经步入以互联网为基础的信息时代，互联网的飞速发展不仅方便了人们的通信和交流，同时带来了商业和经济模式的变革。基于互联网开展的电子商务己逐渐成为人们进行商务活动的新模式，电子商务的发展前景十分广阔。与此相对应，电子商务系统软件开发项目也迅速增加。但是，由于电子商务在国内还处于发展的初级阶段，缺乏有效的风险管理而导致电子商务软件项目进度、费用和质量等方面的问题大量存在同时因为开发周期短、涉及范围广、需求和市场变更频繁等特点，使得项目涉及的风险数量众多，各种风险之间的内在关系错综复杂。因此，电子商务应用系统的测试也变得十分重要，它对软件测试提出了新的挑战，要求采用新的测试方法去展开软件测试工作。这种对应用系统的测试不但能检查是否满足设计的要求，还需要能测试系统每个层面是否正常，确保系统的整体性能、安全性和可用性满足需要。

1.我国电子商务的发展状况

一方面，我国计算机拥有量、互联网用户、网站数近年来飞速增长。到2008年底我国互联网用户总数达到2亿，居世界第一位。与2007年同期相比增长了19. 4%，其中宽带上网人数为9000万，接近网民总数的一半。他们中的一部分已是电子商务的消费者，而更多的则是这个快速发展市场的潜在消费者。另一方面，电子商务交易额快速增长。2005年中国电子商务交易额达到7400亿，2006年大约10000亿。仅北京2006年的电子商务交易额就达到1271亿元。不过调查显示，中国中小企业电子商务比例仍然较低，只有3%的企业真正实现了电子商务。所以随着更多中小企业从事电子商务，电子商务还会得到更加快速的发展。

2.电子商务特点及软件功能

2.1电子商务特点

|电子商务特点包括：①普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地;②方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商务活动，如通过网络银行能够全天候地存取资金账户、查询信息等，同时使得企业对客户的服务质量可以大大提高;③整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，不仅能提高人力和物力的利用，也可以提高系统运行的严密性;④安全性。在电子商务中，安全性是一个至关重要的核心问题，要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等，这与传统的商务活动有着很大的不同;⑤协调性。商务活动本身是一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调，在电子商务环境中，更要求银行、配送中心、通讯部门、技术服务等多个部门的通力协作，往往电子商务的全过程是一气呵成的。

2.2软件功能

电子商务通过Internet可提供在网上交易和管理的全过程服务，软件具有功能主要包括：①广告宣传。通过Web服务器和网络主页等在Internet上宣传企业形象和发播各种商品信息，客户用网络浏览器可以迅速找到所需的商品信息;②咨询洽谈。借助非实时的电子邮件、新闻组和实时的讨论组来了解市场和商品信息、洽谈交易事务，还可用白板会议、公告板BBS来交流即时的信息;③网上订购。网上订购系统在商品介绍页面上提供订购提示信息和订购交互表格，当客户填完订购单后，系统回复确认信息单，表示订购信息已收悉;④网上支付。客户和商家之间可采用信用卡、电子钱包、电子支票和电子现金等多种电子支付方式进行网上支付;⑤电子账户。网上支付由银行、信用卡公司及保险公司等金融单位提供电子账户，管理网上金融服务，客户的信用卡号或银行账号是电子账户的标志;电子商务的上述功能，为网上交易提供了一个良好的交易服务和进行管理的环境，使电子商务的交易过程得以顺利和安全地完成，并可以使电子商务获得更广泛的应用。

3.评测过程

3.1评测类型

对电子商务易用性质量的衡量，它侧重于提供同类产品之间可比的易用性质量数据，是黑箱方式的定量测试。

3.2评测相关人员

可以由几方面的易用性专业人员共同完成。软件开发方可进行评测，为下一次开发提供历史数据或者向采购方提供报告;采购方也可以通过评测的方式来验证某个测试报告;还可由独立的第三方易用性专业机构进行评测。报告主要供三类人员使用：

(1)软件供应方的技术人员可以根据评测结果为下一版本的设计提供参考意见。

(2)采购方的管理和决策人员，他们根据评测结果做出产品采购决定。

(3)易用性专业人员，他们对评测的技术价值和产品的易用性质量进行评价，或者重复进行评测以验证报告结果。

本次评测是由第三方测试机构进行评测的，报告目前是作为相关领域的易用性评测的研究之用，在条件成熟之后会考虑向其他几方面的人员开放。

3.3评测计划

评测尽可能地接近实际的用户、任务和环境，事先进行了使用环境分析，并据此制定了详细的评测计划，详细地说明了电子商务的特征描述、环境、过程和指标体系。

3.4评测环境

产品的易用性不仅取决于产品本身，还受使用环境的影响。使用环境包括以下几方面：

(1)用户特征。它包括知识背景、技能、经验、学历、年龄、体力等，有时还可按经验、职务或能力来分组。

(2)使用产品的目标。产品的主要用途以及工作时间长短、强度等。

(3)社会物理环境。例如计算环境、温湿度环境、法律环境、社会文化习惯环境等。

(4)在详细分析使用环境的基础上，设计出评测环境并在评测计划中明确定义，并使

3.5评测过程与数据收集

在评测开始前向测试对象介绍产品及测试内容和目的，然后让测试对象熟悉测试环境。在测试过程中，为使测试环境符合使用环境，除了用户在正常使用环境中所能得到的帮助外，不向他们提供任何额外帮助，同时使测试对象尽可能地放松。

在正式开始测试时，要向测试对象介绍测试任务和完成时间。在测试过程中，记录人员针对任务完成情况和用户满意度，观察并记录各项测试数据，记录测试对象遇到的具体问题。在测试结束时，征询测试对象对产品的其他意见和建议。

3.6数据的分析和解释

对测试数据进行计算整理和分析，得出综合评价。

4.結束语

在未来电子商务领域，Web软件的测试是一项重要而富有挑战性的工作。基于Web的系统测试与传统的软件测试不同，它不但需要检查和验证是否按照设计的要求运行，而且还要测试系统在不同用户的浏览器的显示是否合适。因此，我们必须为测试复杂的基于Web的系统不断研究新的方法，满足软件开发人员的需要。■

【参考文献】

[1]邵兵家电子商务[M].北京：高等教育再版社，2002.

[2]王峰,译.Glenford J Myers.软件测试的艺术[M] .北京：机械工业出版社，2006.

[3]林锐,等.Web软件用户界面设计指南[M].北京：电子工业出版社，2005.

作者：吴泽亮

软件电子商务质量风险论文 篇3：

电子商务系统的风险及防范

[摘要] 电子商务系统的风险除了网络和交易两方面外，还来自物理环境、系统硬件、系统软件、电子商务软件、外来侵入、内部管理等方面。其风险的防范也应通过技术和管理两个层面来进行。本文将对其进行分析，并从技术和管理两个层面提出防范的办法。

[关键词] 电子商务系统 风险 防范

关于电子商务系统的风险与防范问题，已经有了很多话题，但绝大多数是从网络和交易两方面，且总是从技术角度进行讨论，然而，电子商务产生风险的原因是多方面的，不仅仅只有网络和交易两方面，其防范也不仅只是技术手段，下面就此展开讨论。

一、物理环境的风险及防范

电子商务系统的物理环境风险是指系统的外部环境所造成的风险，包括意外事故和自然灾害两方面：

意外事故如设备被盗，突然的断电、温度、湿度、电磁场的变化等、操作人员因玩笑、打闹的误动作而导致的设备损毁的风险;自然灾害如水灾、火灾、地震等不可抗拒力造成的风险。

物理环境所造成的风险对电子商务系统而言轻则直接造成业务交易的中断，给企业带来不可估量的损失，重则给电子商务系统带来毁灭性的打击。

对意外事故产生的风险应是可避免的，如安装机房环境的报警系统、采用自动切换的备份电源，以避免外界突然断电造成的交易中断，使用空调保证机房的温度和湿度，对机房进行电磁屏蔽，从制度上规范系统操作人员的行为，坚决制止其在操作空间的玩笑和打闹行为。

对自然灾害造成的风险虽无法避免，但利用远程(异地)备份数据和恢复机制，则可将损失降至最低。因此，为抵御电子商务系统的灭顶之灾，投入一些成本，建立远程(异地)备份数据和恢复机制，则是非常必要的。

二、系统硬件的风险及防范

系统硬件处于电子商务系统的底层，其风险主要来自构成系统设备存在的安全缺陷和硬件的质量。一般质量问题容易引起人们的重视，质量不好的设备谁也不会买，但硬件自身存在的安全缺陷往往容易被忽视，这类风险的隐蔽较大，但产生的风险却是最大的。上世纪末，我国就曾对某型号的CPU因存在安全隐患，而不得进入政府办公系统，做出过明确的规定。然而人们在购买系统硬件设备时，往往会花很多精力做诸如经济、技术上的论证，反复地考虑设备的性能价格比，却较少甚至不做有关安全论证。根本意识不到系统硬件缺陷带来的风险，这是很不可取的。

到目前为止，对我们而言，系统硬件最大的缺陷是其制造的核心技术，众所周知，构成我国信息基础设施的网络、硬件等产品几乎都是建立在以美国为首的少数几个发达国家的核心信息技术之上。由此而产生的风险是不言而喻的。

系统硬件风险的防范应从宏观和微观两方面进行:在宏观上，国家组织力量在关键的硬件制造技术上攻关，利用好国内外两个资源，需要以我为主，以创新的思想，超越固有的约束，研制具有中国特色的关键芯片，从根本上杜绝系统硬件产生的风险;在微观上，要建立系统硬件的风险意识，尽管到目前为止，系统硬件的安全不尽人意，但至少要知道风险的存在，同时应该清楚系统中哪些是存在风险的关键设备，一旦风险产生，应有规避风险的措施和办法，如监控系统的出入口上的数据流量，一旦出现数据流量异常，即刻切断系统的出入口或关闭设备，这总是做得到的。

三、系统软件的风险及防范

系统软件主要是指计算机操作系统软件和数据库管理系统软件，其风险主要来自这两个软件的安全漏洞。

操作系统软件处于硬件和上层应用的中间环节，可以提供对网络系统、数据库、应用软件、用户的认证管理等，提供全方位的保护。没有操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全性。由于操作系统是唯一紧靠硬件的基本软件，其安全职能是其他软件安全职能的根基, 缺乏这个安全的根基，构筑在其上的应用系统以及安全系统，如PKI、加密解密技术的安全性是得不到根本保障，因此，操作系统也与系统硬件一样是电子商务系统的安全基础之一。

数据库作为信息的聚集体，是电子商务系统的核心部件，从中可以寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息，风险防范至关重要。

由于数据库的安全在很大程度上依赖于数据库管理系统，而数据库管理系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用操作系统工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户是难以察觉的。

长期以来，我们在构建电子商务系统时，尽管在规划阶段也会考虑安全问题，但基本上不考虑操作系统和数据库管理系统的安全，对其只进行性能上的选择，这使得电子商务的信息安全体系在基础上就先天不足，请注意，我国广泛应用的主流操作系统和数据库管理系统都是从国外引进直接使用的产品。这些系统安全性是很差的。众所周知Windows中存在着的漏洞和陷门，就不断引起世界性的“冲击波”和“震荡波”，存在极大风险。

对系统软件产生的风险，可从以下方面进行防范：

第一仍需国家组织力量攻关，从操作系统的内核编程技术入手，以密码技术为核心，构建具有中国特色的，拥有完全自主知识产权的安全操作系统，从操作系统的根本上解决安全问题。

第二在安全操作系统的研制尚未完成时，可对现有的操作系统进行安全加固，只要在它的外部加入一些加固模块，就能够起到很好的安全防范作用，例如采用设计安全隔离层?——中间件的方式，增强其安全性，基于应用对象，实施安全封装、主动服务。

第三对数据库文件进行加密处理，是数据风险防范的有效方法，可以从操作系统层面、数据库管理系统内核层面和数据库管理系统外层这三个层面分别对数据库的数据加密，这使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。

四、电子商务软件的风险与防范

电子商务软件的风险来自系统自身程序的缺陷。这种缺陷主要来自两方面：一是在设计程序的时候，考虑的都是程序的功能和性能，基本没有考虑安全问题;二是不影响程序功能和性能的编程错误，这种错误有以下几种形式：程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件，特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制(最少许可)，程序员认为这个缺省的许可是正确的。

这些错误被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。由于设计时就没考虑这些风险，程序测试就自然无此项目，而访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行為，才能发现这些问题的错误。

电子商务系统软件风险的防范，应在电子商务系统规划阶段就予以充分考虑，对软件如何防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制的措施、过程、运行的风险管理、审计跟踪、备份与恢复、应急等方面都应有具体的措施和内容。只有这样，才能产生相关的程序测试用例，以验证程序的安全性。

由于大多数软件测试假定用户将以某种“随机”或“有用”的方式工作，检查程序在“一般”情况下或者在某些最大值下如何工作。与此相反，安全性缺陷通常只出现在使用极其古怪的值的情况时，传统的测试完全不会检查这样的值。因此，进行安全测试时，必须突破传统测试的框架，尽可能的找出足够多的安全测试数据，进行测试，以保电子商务软件自身的安全。

五、外来入侵的风险及防范

外来入侵是指计算机遭到攻击，主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏。

黑客在本文是指未经许可，闯入他人计算机系统进行破坏的人，黑客们的攻击行动是无时无刻不在进行的，这些人利用电子商务系统和管理上的一些漏洞，进入计算机系统后，破坏或篡改重要数据，盗取机密与资源，控制他人的机器，清除记录，设置后门，给ERP系统带来灾难性的后果。

计算机病毒是人为编写的一组程序，可以攻击电子商务系统的数据区、文件和内存，可以攻击计算机的磁盘、COMS，扰乱屏幕显示，干扰计算机键盘和打印机的正常工作，以致使计算机的硬件失灵，软件瘫痪，数据破坏，系统崩溃，造成无法挽回的损失。

值得高度关注的是：随着各种应用工具在计算机网络上的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。而计算机病毒问世十几年来，各种新型病毒及其变种迅速增加，并利用计算机网络这一通道迅速传播;这就使防范外来入侵的难度大大增加。但是，既然是外来入侵，就必须要有外来的通道，这个通道就是开放的计算机网络，在此设防，抵御外来入侵事半功倍。目前常用的技术有：

1.防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线，其主要作用是监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成一道防护屏障，拦截来自外部的非法访问并阻止内部信息的外泄，但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出，但无法动态识别或自适应地调整规则，因而其智能化程度很有限。防火墙技术主要有三种：数据包过滤器(packet filter)、代理(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。

2.入侵检测。入侵检测(IDS—Instrusion Detection System)是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年，Derothy Denning首次提出了一种检测入侵的思想，经过不断发展和完善，作为监控和识别攻击的标准解决方案，IDS系统已经成为安全防御系统的重要组成部分。入侵检测采用的分析技术可分为三大类：签名、统计和数据完整性分析法。

3.使用防病毒软件构造全网统一的防病毒体系。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒，包括宏病毒;支持对Internet/ Intranet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项，如对染毒文件进行实时杀毒，移出，重新命名等;支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子 邮件等)等。

需提请注意的是：在购置实现以上安全技术的产品时，一定要检验其合法性，必须是经过国家有关管理部门的认可或认证的安全产品;同时要掌握产品的正确使用方法;还要有一套严格的管理制度，规范对安全产品的操作。這三点如不能同时做到，轻则使这些产品起不到应有的作用，重则会使电子商务系统无法正常运行，而给企业带来损失。

六、内部管理的风险及防范

内部管理的风险主要表现为：一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，错误地进入数据库、删除数据等等;对于已经离职的员工，没有及时地改变系统地口令并删除他们的记录，使他们无法再进入系统;当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对系统的可控性与可审查性。

缺乏约束机制，责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等是引起电子商务系统安全风险的根源。这就要求必须从管理上健全相应的规章制度来规范和约束员工的行为;根据工作的重要程度，确定该系统的安全等级;根据确定的安全等级，确定安全管理的范围;制订相应的机房出入管理制度对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。对人员进行识别、登记管理。制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围;制订完备的系统维护制度，对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录;制订应急措施，要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小;建立人员雇用和解聘制度，对工作调动和离职人员要及时调整响应的授权;对系统的访问活动进行多层次的记录，及时发现非法入侵行为。

七、结语

以上从六个层面讨论了电子商务系统存在的风险及防范的办法，需要强调的是，每个层面都只是风险防范其中的一个环节，还需要各个环节的配合，才能达到电子商务系统安全的最佳状态。更重要的是，在我们的头脑中，要“预装”好风险防范的意识，只有这样，才能有严格的规章制度，使各种安全技术和产品得到有效的应用，保证电子商务系统的安全。

参考文献:

[1]程中东:广域环境下的企业信息系统安全管理分析[J].网络安全技术与应用，2007.4

[2]宋红吴建军岳俊梅:计算机安全技术[M].北京：中国铁道出版社，2003.2

[3]苟阿先:电子商务安全环境探析[J].商场现代化,2006年12月,(下旬刊)总第489期

[4]肖质红:电子商务的安全问题和系统建设[J].集团经济研究,2006年9,下旬刊(总第207期)

作者：胡衍庆