1 前言随着因特网的发展，电子商务已成为目前最时髦、最具吸引力的事物。

同时，由于电子商务具有传统商务不具备的优势，如高效、便携、低成本等，电子商务被越来越多的企业利用，电子商务也因此成为促进国家经济发展的一种重要力量。

但在电子商务的发展过程中，逐渐暴露出很多问题，这些问题已成为制约电子商务发展的重要因素，其中信息安全问题是众多问题中最重要、最核心的问题。

为了促进电子商务更好的发展，更好的为国民经济的发展服务，解决电子商务中的信息安全问题便成了关键性的问题。

2 电子商务的概念及特点20世纪90年代以来，随着Internet的迅速发展，其踪迹已经遍布企业、科研机构、商场、学校乃至家庭的每个角落。

这说明电子商务作为一种新型的交易方式，为企业、消费者和政府建立了一种网络经济环境，人们不再受地域的限制，能够以快捷的方式完成繁杂的商务活动，以规范的工作流程提高人、财、物的利用率。

2.1 电子商务的概念电子商务至今仍没有一个很清晰的概念。

各国政府、学者、企业人士都根据自己所处的地位和对电子商务的参与程度，给出了许多表述不同的定义。

参考以往的国内的一些学士和专家的观点，将电子商务的定义归纳为广义的电子商务和狭义的电子商务。

广义的电子商务（Electronic Business,EB）是指交易当事人或参与人利用计算机技术和网络技术等现代信息技术进行的各类商务活动，包括货物贸易、服务贸易和知识产权贸易。

也可以理解为利用各种信息技术对整个商务活动实现电子化[1]。

狭义的电子商务定义仅仅将通过Internet进行的商务活动归属于电子商务。

主要是指利用网络与计算机进行钱和物的交易[2]。

2.2 电子商务的特点电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合，企业将重要的信息以全球信息网、企业内部网（Internet）或外联网（Ex-tranet）直接与分布各地的客户、员工、经销商及供应商连接，创造更具竞争力的经营优势[3]。

与传统的商务活动相比，电子商务具有以下特点：（1）交易网络化交易过程均通过计算机互联网络完成，整个交易完全虚拟化。

整个交易都在网络这个虚拟的环境中进行。

（2）交易成本低电子商务实行“无纸贸易”，可减少90%的文件处理费用。

使用国际互联网进行信息传递的成本相对于信件、电话、传真的成本低很多，同时缩短时间及减少重复的数据录入也降低了信息成本。

（3）交易覆盖面广因特网几乎遍及全球的各个角落，电子商务可以使企业能够更加经济地经营地理上极为分散的狭小的目标市场。

（4）交易效率高电子商务基于网络技术，克服了传统贸易方式费用高、易出错、处理速度慢等缺点，极大地缩短了交易时间，使整个交易非常快捷与方便。

（5）交易功能全面电子商务可以全面支持不同类型的用户实现不同层次的商务目标，如发布电子商情、在线洽谈、建立虚拟商场或网上银行等。

（6）交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。

通畅、快捷的信息传输可以保证各种信息之间相互核对，可以防止伪造信息的流通。

3 电子商务的信息安全要素电子商务安全要素涉及面广，在使用电子商务的过程中主要的安全要素包括以下几个方面：（1）真实性真实性是指网络交易双方身份信息和交易信息要真实有效。

双方交换信息之前通过数字签名、身份认证以及数字证书来辨别参与者身份的真伪，防止伪装攻击。

交易时，对提供的交易信息也要保证其真实性，防止欺骗交易行为。

（2）保密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家商业信息，有些可能已经是商业机密[4]。

电子商务建立在开放的网络环境之上，并且功能越是强大的电子商务系统，其开放性越大，在这样的开放环境下，如何维护商业机密是电子商务全面推广应用的重要保障。

信息的保密性要求信息在传输过程或存储中不被他人窃取。

（3）不可否认性在无纸化的电子商务模式下，通过手写签名和印章进行贸易方的鉴别已是不可能了。

因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，这种标志信息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不否认性常采用数字签名来实现。

（4）可靠性可靠性是指防止计算机失效、程序出错、传输错误、自然灾害等引起的计算机信息失效或失误。

保证存储在介质上的信息的正确性。

（5）及时性及时性是指防止延迟或拒绝服务，及时性安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。

在电子商务中，延迟一个消息或删除一个消息会带来灾难性的后果。

（6）完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息完整性和统一性的问题。

由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的不同。

完整性包括信息传输和存储两方面。

在存储时，要防止非法篡改和破坏网站上的信息。

在传输的过程中，接收端受到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏[5]。

（7）不可拒绝性不可拒绝性又称有效性，可用性。

是保证授权用户在正常访问信息和资源时不被拒绝，既保证为用户提供稳定的服务。

4 我国电子商务信息安全存在的问题由于电子商务的重要技术特征是利用网络来传输和处理商业信息，因此,电子商务安全主要包括两个方面：网络安全和商务安全。

而这些安全的实现又依托于一些具体的安全技术，遵循相关安全协议。

4.1 网络安全问题网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性。

网络安全是电子商务的基础，其问题一般表现为：（1）计算机本身潜在的安全隐患带来的网络安全问题计算机使用的是未经过相关的网络安全配置的操作系统，不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题，而仅仅将操作系统按缺省安装后，再配上很长的密码就认为安全的想法是不可靠的。

因为计算机本身存在的软件漏洞和“后门”往往是网络攻击的首选目标。

（2）入侵者风险降低获利升高带来的刺激引发的网络安全问题由于网络的全球性，开放性，共享性的发展，使得任何人都可以自由地接入互联网，而这其中也包括了黑客，入侵者和病毒制造者。

他们采用的攻击方法越来越多，对电子商务的威胁也显得越来越明显[6]。

相对而言，袭击者本身的风险却非常小，甚至可以在袭击后很快就消失得无影无踪，使对方几乎没有实行报复打击的可能，这使他们的活动更加猖獗。

美国的“雅虎”和“亚马逊”曾受到攻击的事件就说明了这一点。

（3）安全设备使用不当带来的网络安全问题虽然绝大多数网站采用了网络安全设备，有的甚至还耗费巨资，但由于安全设备本身因素或使用问题，这些设备并没有起到应有的或期望的作用[7]。

很多安全厂商的产品对配置人员的技术背景要求很高，往往超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确地安装，配置，一旦系统改动，需要改动相关安全设备的设置时，很容易产生许多安全问题。

而通常意义上的网络管理者往往无法胜任这样的工作。

4.2 商务安全问题商务安全指商务交易在网络媒介中体现出来的安全问题，也就是要实现电子商务信息的保密性，完整性，真实性和不可抵赖性。

在早期的电子交易中，曾采用过一些简单的安全措施。

例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知，以防泄密，网上交易后再用其他方式对交易做确认，以保证其真实性和不可抵赖性[8]。

这些方法不仅操作不便，而且有一定的局限性，也不能实现其真正的安全性。

商务安全中普遍存在的几种安全隐患：（1）窃取信息信息在传输过程中未采用相应的加密措施或加密强度不够，导致数据信息在网络上以明文或近乎明文的形式传送。

入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息，通过对窃取数据参数的分析比对，找到信息的格式和规律，进而得到传输信息的内容，导致消费者消费信息，账号密码和企业商业机密等信息的外泄。

（2）篡改信息当入侵者掌握了信息的格式和规律后，通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地，从而破坏信息的真实性。

入侵者通过改变信息流的次序，更改信息的内容，删除信息的某些部分，甚至在信息中插入一些附加内容，使接收方做出错误的判断与决策。

（3）信息假冒由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以进一步冒充合法用户获取和发送信息，而远端接受方或发送方通常不易分辨。

常见的方式有伪造用户和商户的收定货单据，套取或修改相关程序的使用权限等。

（4）信息破坏由于攻击者已侵入网络，已获得对网络中信息的修改权限，如其对网络中现有机要信息进行修改乃至于删除，其后果是非常严重的。

5 我国电子商务信息安全的保障措施及对策网络安全是电子商务的基础。

为了保证电子商务交易能顺利进行，要求电子商务平台要稳定可靠，能不中断地提供服务。

任何系统的中断，如硬件、软件错误，网络故障、病毒等都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。

网络管理者在思想上高度重视安全问题也是相当有必要的。

技术的产生一般相对于人们的需求有一定的滞后性，而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术，毕竟这才是真正实现网络安全的基础。

5.1 保障我国电子商务信息安全的技术措施5.1.1数据加密策略加密技术是电子商务的最基本措施，最初主要用于保证数据在存储和传输过程中的保密性。

随着电子商务的发展，对数据完整性以及身份鉴定技术提出了新的要求，数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用[9]。

加密技术是一种主动的信息安全防范策略，利用一定的加密算法，将明文转换成毫无意义的密文。

阻止非法用户理解原始数据，从而确保数据的保密性。

比较广泛使用的加密技术有两种：一种是对称密钥加密体制，一种是非对称密钥加密体制。

他们的区别在于密钥的类型不同。

（1）对称密钥加密体制对称密钥加密，又称私钥加密（Secret Key Encryption），即数据加密和解密采用的都是同一个密钥，因而其安全性依赖于所持有密钥的安全性[10]，其最大的优点是速度快，适合于对大数据量进行加密，最大的缺点是在大量用户的情况下密钥答理复杂，而且无法完成身份认证等功能，不便于应用于网络开放的环境中。

（2）非对称密钥加密体制非对称密钥加密，又称公钥加密（Public Key Encryption）,数据加密和解密采用不同的密钥，需要使用一对密钥来分别完成加密和解密操作[11]。

在非对称密钥加密体制中密钥被分解为一对。

密钥对生成后，公开密钥以非密保方式对外公开，只对应于生成该密钥的发布者，私有密钥则保存在密钥发布者手里。

5.1.2防火墙技术它是目前一种最重要的网络防护设备。