随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动的 国际 化、信息化和无纸化，已成为全球商务发展的趋势。电子商务以英特网为基础，可以提供 跨 国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物)，还可以提供包括产品 寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。特别是信息 产品还可以直接在线递送，从而大大降低了交易费用。成本低、及时性和互通性好，以及在 拓展市场等方面的优势，使得电子商务受到全球的广泛关注。电子商务不仅提供了 进行商务活动的新方式，而且从更深的层面来看，由于通过它形成了与地域、空间无关的 一体化市场，因而正在改变着全球的经济环境。 但是，当今电子商务在全球贸易额中仍是极小的一部分。这是什么原因呢?也许人们会将这 一事 实归因于全球网络化水平较低，但这只是部分原因。从网络化水平相当高的美国来看，事实 上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。
   是什么因素阻碍了电子商务更广泛的普及呢?一个主要的障碍就是电子商务的安全问题。的确，由于英特网的全球性、开放性、无缝连通性、共享性、动 态性发展，使得任何人都可以自由地接入英特网，特别是“黑客”们可能会采用各种攻击手 段进行破坏等犯罪活动。此外，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面 的考验。另外，“黑客”的犯罪行为大都具有瞬时性、广域性、专业性、时空分离性等特点 。通常“黑客”很难留下犯罪证据，这大大刺激了“黑客”们以身试法。可见，以英特网为 基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。因此，我国在建立电 子商务应用系统时，必须将安全作为一个重要方面来加以考虑。
一、电子商务的安全需求
从安全和信任关系来看，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过 程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远 隔千山万水，由于英特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困 难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。
　 1．对销售者而言，他面临的安全威胁主要有：  （1）中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据(如商品送达地方)、解 除用户订单或生成虚假订单。（2）竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的 递送状况及货物和库存情况。（3）客户资料被竞争者获悉。（4）被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服 务器来假冒销售者。（5）消费者提交订单后不付款。（6）虚假订单。（7）获取他人的机密数据：比如，某人想要了解另一人在销售商处的信誉时，他以另一人的 名字向销售商订购昂贵的商品，然后观察销售商的行动。假如销售商认可该定单，则说明被 观察的信誉高，否则，则说明被观察者的信誉不高。
  2．对消费者而言，他面临的安全威胁主要有：（1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时 客户却被要求付款或返还商品。（2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将定单和钱转发给执 行部门，因而使客户不能收到商品。（3）机密性丧失：客户可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充 销售商的机构，这些信息也可能会在传递过程中被窃听。（4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使 合法用户不能得到正常的服务。
 由此可见，“黑客”们攻击电子商务系统的手段可以大致有以下几种：
一是中断(攻击系统的可用性)：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能 正常工作。
二是窃听(攻击系统的机密性)：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分 析，获取有用情报。
三是窜改(攻击系统的完整性)：窜改系统中数据内容，修正消息次序、时间(延时和重放)。
四是伪造(攻击系统的真实性)：将伪造的假消息注入系统、假冒合法人接入系统、重放截获 的合法消息实现非法目的，否认消接收和发送等。                                                                   二电子商务安全体系结构
　 由于英特网在物理上覆盖全球、在信息内容上无所不包、其用户群结构复杂，因此几乎不可 能 对其进行集中统一管理、控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、 保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁 等。面对如此严峻的现实，必须花大力气对安全问题进行认真研究，除了加强制度、法规等管 理措施外，还要强化信息系统的安全能力。
　当前的主流思路是从内联网出发来考虑以英特网为基础的电子商务安全问题。内联网将英特 网技术用于单位、部门和企业专用网，它在原有专用网的基础上增加了服务器和服务器软件 ，Web内容制作工具和浏览器，并与英特网联通。内联网为公司和单位信息的传播和利用提 供了极为便利的条件。内联网中存有大量的内部敏感信息，具有极高的商业、政治和军事价 值。内联网是一种半封闭的集中式可控网。既要保证内联网不被非法入侵和破坏，网中的敏 感信息不被非法窃取和窜改，同时还要保证网内用户和网外用户之间正常联通，并提供应有 的服务。要保证英特网基础上建立的电子商务安全性，最根本的是要发展各商家、各部门的 内联网并保证它们的安全性。
　由于电子商务系统把服务商、客户和银行三方通过英特网连接起来，并实现具体的业务操作 ，因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成，它们遵循相同的协议 ，协调工作，来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组 成。它与服务商或客户进行通信，实现对服务商或者客户的身份认证机制，认证客户和服务 商的身份及账号的合法性，保证业务的安全进行。
  服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系 统等几部分组成。在进行电子商务活动时，服务商的服务器与客户和银行进行双方通信。在客户方，电子商务的用户通过自己的计算机与英特网相连，在客户计算机中，除了WWW浏 览器软件外，还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责 对客户敏感信息(如交易信息等)进行加密、解密和数字签名，以密文的形式与服务商或银行 进行通信，并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机。CA认证系统是为用户签发证书的机构。CA服务器由5个部分组成：用户注册机构、证书管理 机构、存放有效证书和作废证书的数据库、密钥恢复中心及CA自身密钥和证书管理中心。                                                                                                                                                               三、电子商务安全还需要解决的问题
    安全电子商务在如下几个方面还没有满意的结果：
　  1．没有一种电子商务安全的完整解决方案和完整模型与体系结构。
　  2．尽管一些系统正逐渐成为标准，但仅有很少几个标准的API。从开放市场的角度来看，协 议间的通用API和网关是绝对需要的。
　  3．大多数电子商务系统都是封闭式的，即它们使用独有的技术，仅支持一些特定的协议和 机制。它们常常需要一个中央服务器来作为所有参与者的可信第三方。有时它们还要求使用 特定的服务器或浏览器。
　　4．尽管大多数方案都使用了公钥密码，但多方安全受到的关注远远不够。没有建立一种解 决争议的决策程序。
　  5．客户的匿名性和隐私尚未得到充分的考虑。
　  6．大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系，这种非对 称关系限制了在这些系统中执行复杂的协议，而且不允许用户间进行直接交易。
　　7．大多数系统都限制为两方，因此难于集成一个安全连接到第三方。
　  8．所有方案和产品都仅考虑了在线销售，但很少考虑多方交易问题(如拍卖)和公文交换问 题(如签合同，可证实电子邮件)。
　　 为了国家的安全，电子商务系统中所涉及到的一些关键技术特别是安全理论和技术只能依 靠开放，不能靠引进。由此可见，在我国研究电子商务中的安全性问题不仅具有特别重要的 理论价值和实用价值，而且具有重要的现实意义。