1.4 電子商務安全應用

為保障電子商務交易安全和規范電子交易過程，人們在電子商務規范方面做了大量的工作，制定了一系列電子商務安全服務標準。特別是在網絡層、傳輸層和應用層設計了一些常用的、著名的安全服務方案與協議來保障電子商務信息系統的安全。

1.4.1 網絡層安全服務

網絡層的安全服務主要保障安全的通信服務。一般使用IPSec方案，IPSec可以使一個系統選擇需要的安全協議，確定服務使用的算法，并在適當的位置放置所請求服務所需要的任意加密密鑰，從而在IP層提供安全服務，防止竊聽、篡改、偽造、拒絕服務攻擊等。

1.4.2 傳輸層安全服務

傳輸層的安全服務主要保障客戶端和服務器之間的安全通信，提供保密性和數據完整性，一般使用SSL/TLS方案。SSL是在客戶和服務器通信之前，在Internet上建立的一個秘密傳輸信息的信道，提供加密、認證服務和報文的完整性驗證；安全傳輸層協議（TLS）用于在兩個通信應用程序之間提供保密性和數據完整性。

1.4.3 應用層安全服務

應用層的安全服務，通常都是對每個應用（包括應用協議）分別進行修改和擴充，集成到應用協議上。常用的應用層安全協議有：安全超文本傳輸協議（S-HTTP）、安全電子交易協議（SET）、Kerberos協議、S/MIME和PGP安全電子郵件協議等。

1.4.4 信息安全服務組織

信息安全服務是指適應整個安全管理的需要，為企業、政府提供全面或部分信息安全解決方案的服務。信息安全服務提供包含從高端的全面安全體系到細節的技術解決措施。

自從在1988年莫里斯“蠕蟲”病毒橫掃互聯網之后，各國IT行業陸續出現了一些提供信息安全服務的組織，彼此分享計算機系統威脅的信息。這些組織認為共享攻擊及防衛信息可以幫助大家提高計算機安全。這些組織有些由大學組建，有些由政府機構組建。第一個計算機安全應急響應組（Computer Emergency Response Team，CERT）是在美國聯邦政府資助下，在卡內基梅隆大學成立的。目前一些國家級的CERT組織有：卡內基梅隆大學CERT（Coordination Center）、美國國土安全部（US-CERT）、中國國家計算機網絡應急技術處理協調中心（國家互聯網應急中心，CNCERT/CC）等。

隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。