电子商务需求分析

1.2 项目风险 、

1.3 电子商务项目风险原因分析 1.4 电子商务项目风险管理 2. 团队的组建

3 个人用户终端采取的安全措施 4. 系统功能需求 5. 安全性需求

引言：

摘 要：

1. 随着电子的快速发展，技术的普及 ，计算机的发展和使用，电子商务成了我们生活中不可缺少的一部分了

2. 21 世纪是信息经济时代，电子商务所蕴涵的商机已为人所重视，电子商务改变了人们的生活方式和

工作方式，给企业带来的一场商业革命，电子商务在证券等行业已经有了成功的案例 21.1 编写目的

为了是电子商务网站和软件项目的正常进行，使的项目能够顺口

的完成。电子商务需求是企业为适应生产经营环境的变化，改善或发展业务而产生的开展电子商务的而需要，并有满足这种需要所需的资源。

产生的原因：

企业为了自身的发展的需求产生了需求； 电子商务领域本身处于发展时期会创造需求； 社会的发展，经济和经营环境的变化； 为什么进行电子商务分析：

不同的企业对电子商务的需求存在巨大差异； 同一企业再不同的发展阶段对电子商务的需求也不同； 对招标项目，陈海健上要准确地了解需求才能规划好的项目；

1.2项目风险

电子商务风险可以被定义为: 电子商务实施过程中发生的机密数据

丢失的可能性, 或者在物理上、运行机制上以及资金财务上受到损害的

可能性。电子商务项目中出现的风险主要包括产品项目规模风险、商业

影响风险、网上支付风险、技术风险、管理风险以及信息传送风险等。虽

然多为一般项目所固有, 但其无论在表现形式、强烈程度或影响范围

上都

与传统项目中的风险有所不同。 1.3电子商务项目风险原因分析

造成电子商务项目风险的原因有很多, 既有主观的原因, 也有客观的

原因。总结如下:

( 1 )风险意识淡薄, 商业环境的不完善。特别是传统行业实施电子 商务项目时, 企业的领导和员工在风险意识上尤为缺乏。商业环境包括

文化环境、科技环境、法律环境等, 相关立法滞后、国家和地区之间的管辖

权问题, 都会给电子商务项目带来一定的风险。

( 2)技术因素。项目开发人员由于缺乏经验、计划不周等原因使交 易系统在某些功能上有所缺失, 如有效的身份认证、信息的机密性保护和 完整性约束。

( 3 )网络犯罪。这可能来自企业内部, 也可能来自企业外部。内部 人员熟悉业务流程, 往往给企业造成的危害更大。企业外部的黑客也越

来越多, 有的是为了展示自己的才能, 也有的是非法的经济目的。 1.4、电子商务项目风险管理

在充分了解电子商务的风险之后, 接下来做的事就是要对这些风险

进行管理和控制, 也就是建立电子商务风险管理机制。 1. 电子商务项目风险管理的过程

电子商务项目风险管理的流程包括风险管理规划、风险因素识别、风 险分析、风险跟踪、制订风险应对计划和风险应对控制。 ( 1 )风险管理规划

电子商务项目风险管理是一个复杂漫长的过程, 所以在项目启动的 时候, 项目经理需要做出一个周密、详细的计划, 主要包括定义项目组及

成员风险管理的行动方案及方式, 选择适合的风险管理方法, 确定风险判

断的依据等, 它的结果将是整个项目风险管理的战略性的和寿命期的指 导性纲领。 ( 2 )风险因素识别

风险识别的方法有多种, 比如: 头脑风暴法, 财务报表法, 德尔菲技

术, 综合法等等, 但笔者认为电子商务项目受到内部因素的制约和外部环

境的影响, 其中, 电子商务项目的内部环境包括人、管理、技术三个因素,

外部环境包括四个方面: 商业环境、法律环境、技术环境和自然环境。在

风险识别时, 项目组可根据上面的内外环境及时检测、识别电子商务项目

的运行过程中存在的各类风险, 并结合企业自身的特点, 为下一步风险管

理提供参考的依据。 ( 3 )风险分析和风险跟踪

风险分析就是把项目中的各项风险因素进行系统的分析, 确定项目 风险的整体化水平和风险等级等, 也为风险应对措施的制订和实施提供

重要的依据。风险分析可以分为定量、定性、定量与定性相结合三类, 其

中定性分析被大多研究者所选用。 2团队组建

1.策划： 50%。项目策划要对整个项目的结果负责，因此必须明确的需求分析，有清晰的目标，有合理的盈利模式，有可衡量结果的标准，有足够的资源整合能力，有有效的实施计划。负责对项目整体的方向性的把控，并且有能力调动相关的人员进行执行和配合，是项目成功的核心。如果这个地方出了致命问题，那么整个项目的风险值就是100%。

2.技术： 20%。因为电子商务项目都涉及技术开发，因此往往最终呈现的结果，受到严峻考验，不是技术开发本身的问

题，而是对技术结果的控制，取决于对业务的把控，而非技术开发本身。因此这里需要一个做“产品设计”的人参与，将策划部门的“业务需求”转化成，技术部门能看得懂的“技术需求”。如果是成型的，有参考值的项目，技术开发的风险比较小。但是如果业务模式是新的，又未经市场验证，那么其风险值就非常非常高。

3.推广： 20%。主要职责就是落实，将方案就节奏的实施出来，要和策划保持最良好的沟通，随时调整战略战术，确保项目按照预定的计划一一实现。再简单的一个推广活动，也需要一个非常有经验的团队去执行，尤其是对细节质量的把控，和对突发时间的一个应变。

4.编辑： 3%。目前很多网站的编辑都非常专业，一个好的编辑，好的版主能为网站代理不少有黏性的用户。

5.客服： 3%。客服主要负责解答、记录、登记、反馈收集等工作，如果标准、规范和流程都制定好了，并培训完成，一般都不会有太大的纰漏出现。

6.设计：3%。如果视觉传播到位的话，能节省很多推广的费用，起到事倍功半的作用。

7.其他：1%。这里指公司其他部门或者合作伙伴。项目的成功是靠各个方面的共同协作，是互相借势的过程，但是外在的资源再强，如果自身有问题，那么长远看来也很难生存下去。

网站运营总监 [标红的为职位，标黄的为做网站及维护必须人员]

职位概述：电子商务运营、网站推广、产品功能开发、改进用户体验、活动主题网站的策划网站产品流程管理(采购、定价、入库、上架、出售、售后)、客服部管理

直属上司：总经理或董事长

网站策划

岗位职责：

1、负责公司B2C电子商务网站建设的策划工作，对公司网站的功能和需求进行分析、栏目规划等，主要负责公司网站页面的整体美工创意、设计和页面的实现；负责公司旗下网站产品UI/UE设计，包括网站用户体验分析，推敲用户界面规划；

2、负责要求的网站美术设计，包括网站页面设计、方案设计，需求设计等；

3、负责业务相关的市场宣传素材设计，包括广告素材、EDM设计等，少量Flash广告制作

4、使用DIV+CSS结构实现商业网站界面设计 （色彩，对比，按钮等等）

网站技术

职位概述：网站技术开发、改善功能和产品、活动主题网站的实现

岗位职责：

1.与运营总监共同完成网站改版工作，尤其是完成技术部分的修改和新功能开发。

2.分配具体工作给下属，合理均衡每人工作量，并能针对每人不同特点进行分配。

3.建立部门内部组织清晰结构，小组组长间的工作互助等，协调组员间工作。

4.服从领导指挥，及时与上下级沟通。

5.承担起产品经理的职责，提出更多的网站功能、用户体验的改进意见。

直属上司：网站运营总监

网站推广

职位概述：网站推广的相关工作、数据管理及分析、活动主题网站的策划

岗位职责：

1.负责整个网站推广的具体执行工作，并对本小组工作成绩负责。

2.自己完成部分工作的同时，制定相关执行计划，合理分配

具体工作给相关下属组员。

3.负责新来下属的部分培训工作，并在新下属工作初期给予一定辅助及培养。

4.对网站流量及广告投放等进行及时跟踪，发现问题能及时汇报并给出建议。

5.每周制定流量统计报表，并提出数据分析总结报告，以及整个计划推进情况陈述。

直属上司：网站运营总监

SEO技术岗位人员

职位描述：

1.负责专题广告的优化，按阶段汇报优化监控结果和研究结果，并跟踪新产品的推广；

2.能监控网站关键字，监控和研究竞争对手及其他网站相关做法，并制定相关策略和方案持续调优；

3.和第三方网站进行流量、数据、反向链接或服务的交换，或战略合作联盟，增加网站的流量和知名度；

4.制定并组织实施公司网站及网络产品的SEO优化方案，负责优化网页结构，保证网站SEO技术水平、网站PR值、alexa排名保持行业的领先地位。

采购经理

岗位职责：

负责产品的规划，合作关系的建立及产品线上线下销售渠道的建立；

调查、分析和评估市场以确定客户的需要和采购时机；

负责制定职责范围内开发产品的产品目录及负责本类别产品的询价工作；

负责与合作企业签署代售合同；

在公司允许的范围内，组织并开发新商品，并能达到公司要求，完成工作量；

负责制订自己签订产品的市场营销策略及负责自己开发产品在网上的推广营销；

发展、选择和处理当地供应商关系，如价格谈判、采购环境、产品质量、供应链、数据库等；

根据产品的价格、促销、产品分类和质量，有效地管理特定货品的计划和分配。

网站策划编辑

岗位职责：

1. 负责制作网站专题与活动策划，负责网站上线产品策划、宣传策划及制定相关频道的网络营销策略；

2. 负责网站用户需求分析，负责网站前后台功能模块、频道栏目的分析、策划和执行；

3. 负责网站相关栏目/频道的信息搜集、编辑、审校等工作，完成信息内容的策划和日常更新与维护；

4. 编写网站宣传资料及相关产品资料；

5. 根据主编提供的方向及对网站文字及图片内容进行收集、整理；

6. 协助完成网站管理与专题的规划，促进网站知名度的提高。

网页设计

职位概述：网站内相关设计、改善界面及交互环境、活动主题网站的设计

岗位职责：

1.准时完成上级提交的网页设计工作，并能保证良好的设计质量。

2.将网站设计的工作合理分配给下属，并监督、控制好下属

工作时间、质量。

3.协同下属美工共同完成网站广告、促销、活动页面和banner的设计。

4.针对现有网页的整个购物流程提出合理化建议，优化用户体验。

直属上司：技术经理

网页高级设计师

岗位职责：

1、负责公司网页的用户界面及交互设计；

2、根据产品市场需求与技术配合，高质量完成公司产品的设计；

3、优化结合用户体验及完善设计流程；

网页制作

岗位职责：

1、通过(X)HTML/CSS/JavaScript等前端技术将设计实现成web页面；

2、与后台开发工程师一起完成Ajax项目；

3、为产品提供一流的页面,良好的跨平台兼容性和优秀的性能。 客服

职位概述：网站线上客服系统、电话客户售前售后服务、上门客服服务、库存产品管理汇报

岗位职责：

1.网上客服系统及电话、上门客户的售后售前服务。

2.负责制定系统培训方案，对新来客服进行系统培训，并初期给予一定帮助。

3.协助用户完成整个商品购买过程，并跟踪售后情况调查，及时反馈商品改进建议。

4.及时掌握库存量，保证拥有合理储备产品量，并物流运送的管理和监督。

5.制定当月进销存量简报（非财务式报表）

3 个人用户终端采取的安全措施

在电子商务中,客户终端一直以来都是安全的薄弱环节。从统计的数据来看,大约有85%的电子商务安全事件都是由于终端用户的安全问题引起的,针对用户终端的不安全性，使用如下措施来加强安全性:

(1)使用SSL(安全套接层)解决WEB终端的安全套接：使用户通过WEB的数据是经过加密的,如MD5用于防止篡改或伪造报文,MD5结合DES或RSA确保信息的完整性(即真伪)等。

(2)软件键盘措施:用户使用鼠标点击软件键盘对应的按键,屏蔽了一些记录用户敲击真实键盘信息的软件。

(3)验证码措施:由系统自动生成随机伪序列,每一次的验证码不相同,可以防止重放攻击。

(4)确认体制:需要用户进行确认,这种确认可以是不同于网络的安全通道。

4 电子商务的系统功能需求 1）B2C电子零售系统的基本功能 2）B2B电子商务系统的基本功能 3）企业信息门户的基本功能 4）物流配送系统的功能 5电子商务安全需求

电子商务面临的威胁的出现导致了对电子商务安全的需求，也是真正实现一个安全电子商务系统所要求做到的各个方面，主要包括机密性、完整性、认证性和不可抵赖性。

1. 机密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的（尤其Internet 是更为开放的网络），维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。

2. 完整性。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。

3. 认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体进行身份性确认成了电子商务中得很重要的一环。对人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时，鉴别服务将提供一种方法来验证其声明的正确性，一般都通过证书机构CA和证书来实现。

4. 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的\"白纸黑字\"。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。

5. 有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性

则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、 企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

电子商务安全中的主要技术

电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为网络安全技术和密码技术两大类，其中密码技术可分为加密、数字签名和认证技术等。

1. 网络安全技术

网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较，如操作系统安全、防火墙技术、虚拟专用网VPN技术和各种反黑客技术和漏洞检测技术等。其中最重要的就是防火墙技术。

防火墙是建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。

目前国内使用的需到防火墙产品都是国外一些大厂商提供的，国内在防火墙技术方面的研究和产品开发方面相对比较簿弱，起步也晚。由于国外对加密技术的限制和保护，国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此即使国外优秀的防火墙产品也不能完全在国内市场上使用，同时由于政治、军事、经济上的原因，我国也应研制开发并采用自己的防火墙系统和数据加密软件，以满足用户和市场的巨大需要，也对我国的信息安全基础设施建设有巨大的作用。

VPN也使一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以互相之间安全传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

2. 加密技术

加密技术是保证电子商务安全的重要手段，许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密秘密钥（secret keys）来对敏感信息进行加密，然后把加密好的数据和密钥（要通过安全方式）发送给接收者，接收者可利用同样的算法和传递来的密钥对数据进行解密，从而获取敏感信息并保证了网络数据的机密性。利用另外一种称为数字签名（digital signature）的密码技术可同时保证网络数据的完整性和真实性。利用密码技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性等。

密码技术虽然在第二次世界大战期间才开始流行，在当前才广泛应用于网络安全和电子商务安

全之中，但其起源可追溯到几千年前，其思想目前还在使用，只是在处理过程中增加了数学上的复杂性。

加密技术包括私钥加密和公钥加密。私钥加密，又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。对称加密技术要求通信双方事先交换密钥，当系统用户多时，例如，在网上购物的环境中，商户需要与成千上万的购物者进行交易，若采用简单的对陈密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，除了存储开销以外，密钥管理是一个几乎不可能解决的问题；另外，双方如何交换密钥？通过传统手段？通过因特网？无论何者都会遇到密钥传送的安全性问题。另外，环境中，密钥通常会经常更换，更为极端的是，每次传送都使用不同的密钥，对称技术的密钥管理和发布都是远远无法满足使用要求的。

公钥密钥加密，又称不对称密钥加密系统，它需要使用一对密钥来分别完整家密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者人用公开密钥去加密，而信息接收者则用私有密钥去解密。通过数学的手段保证加密过程是一个不可逆过程，即用公钥加密的信息只能是用与该公钥配对的私有密钥才能解密。常用的算法是RSA、ElGamal等。公钥机制灵活，但加密和解密速度却比对称密钥加密慢的多

为了充分利用公钥密码和对称密码算法的优点，克服其缺点，解决每次传送更换密钥的问题，提出混合密码系统，即所谓的电子信封（envelope）技术。发送者自动生成对称密钥，用对称密钥加密钥发送的信息，将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥，并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行，更好的保证了数据通信的安全性。

使用混合密码系统可同时提供机密性保障和存取控制。利用对称加密算法加密大量输入数据可提供机密性保障，然后利用公钥加密对称密钥。如果想使多个接收者都能使用该信息，可以对每一个接收者利用其公钥加密一份对称密钥即可，从而提供存取控制功能。

3. 数字签名

数字签名中很常用的就是散列（HASH）函数，也称消息摘要(Message Digest)、哈希函数或杂凑函数等，其输入为一可变长输入，返回一固定长度串，该串被称为输入的散列值(消息摘要)

日常生活中，通常通过对某一文档进行签名来保证文档的真实有效性，可以对签字方进行约束，防止其抵赖行为，并把文档与签名同时发送以作为日后查证的依据。在网络环境中，可以用电子数字签名作为模拟，从而为电子商务提供不可否认服务。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。

将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要（Mes-sage Digest）值。在

数学上保证：只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。这样就保证了报文的不可更改。然后把该报文的摘要值用发送者的私人密钥加密，然后将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

接收方收到数字签名后，用同样的HASH算法对报文计算摘要值，然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自发送者，因为只有用发送者的签名私钥加密的信息才能用发送者的公钥解开，从而保证了数据的真实性。

数字签名相对于手写签名在安全性方面具有如下好处：数字签名不仅与签名者的私有密钥有关，而且与报文的内容有关，因此不能将签名者对一份报文的签名复制到另一份报文上，同时也能防止篡改报文的内容。

4. 认证机构和数字证书