1.4 电子商务安全应用

为保障电子商务交易安全和规范电子交易过程，人们在电子商务规范方面做了大量的工作，制定了一系列电子商务安全服务标准。特别是在网络层、传输层和应用层设计了一些常用的、著名的安全服务方案与协议来保障电子商务信息系统的安全。

1.4.1 网络层安全服务

网络层的安全服务主要保障安全的通信服务。一般使用IPSec方案，IPSec可以使一个系统选择需要的安全协议，确定服务使用的算法，并在适当的位置放置所请求服务所需要的任意加密密钥，从而在IP层提供安全服务，防止窃听、篡改、伪造、拒绝服务攻击等。

1.4.2 传输层安全服务

传输层的安全服务主要保障客户端和服务器之间的安全通信，提供保密性和数据完整性，一般使用SSL/TLS方案。SSL是在客户和服务器通信之前，在Internet上建立的一个秘密传输信息的信道，提供加密、认证服务和报文的完整性验证；安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。

1.4.3 应用层安全服务

应用层的安全服务，通常都是对每个应用（包括应用协议）分别进行修改和扩充，集成到应用协议上。常用的应用层安全协议有：安全超文本传输协议（S-HTTP）、安全电子交易协议（SET）、Kerberos协议、S/MIME和PGP安全电子邮件协议等。

1.4.4 信息安全服务组织

信息安全服务是指适应整个安全管理的需要，为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。

自从在1988年莫里斯“蠕虫”病毒横扫互联网之后，各国IT行业陆续出现了一些提供信息安全服务的组织，彼此分享计算机系统威胁的信息。这些组织认为共享攻击及防卫信息可以帮助大家提高计算机安全。这些组织有些由大学组建，有些由政府机构组建。第一个计算机安全应急响应组（Computer Emergency Response Team，CERT）是在美国联邦政府资助下，在卡内基梅隆大学成立的。目前一些国家级的CERT组织有：卡内基梅隆大学CERT（Coordination Center）、美国国土安全部（US-CERT）、中国国家计算机网络应急技术处理协调中心（国家互联网应急中心，CNCERT/CC）等。

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。