1.4 电子商务安全应用

为保障电子商务交易安全和规范电子交易过程，人们在电子商务规范方面做了大量的工作，制定了一系列电子商务安全服务标准。特别是在网络层、传输层和应用层的角度设计了一些常用的、著名的安全服务方案与协议来保障电子商务信息系统的安全。

1.4.1 网络层安全服务

网络层的安全服务主要保障安全的通信服务。一般使用IPSec方案，IPSec可以使一个系统选择需要的安全协议，确定服务使用的算法，并在适当的位置放置所请求服务所需要的任意加密密钥，从而在IP层提供安全服务，防止窃听、篡改、伪造、拒绝服务攻击等。

1.4.2 传输层安全服务

传输层的安全服务主要保障客户端和服务器之间的安全通信，提供保密性和数据完整性。一般使用SSL/TLS方案。SSL是在客户和服务器通信之前，在Internet上建立的一个秘密传输信息的信道，提供加密、认证服务和报文的完整性验证；安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。用于在两个通信应用程序之间提供保密性和数据完整性SSL（Secure Socket Layer，安全套接字层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。

1.4.3 应用层安全服务

应用层的安全服务，通常都是对每个应用（包括应用协议）分别进行修改和扩充，集成到应用协议上，常用的应用层安全协议有：安全超文本传输协议（S-HTTP）、安全电子交易协议（SET）、Kerberos协议、S/Mime和PGP安全电子邮件协议等。

1.4.4 提供计算机信息安全服务的组织

自从在1988年莫里斯“蠕虫”病毒横扫互联网之后，各国IT行业陆续出现了一些提供信息安全服务的组织，彼此分享计算机系统威胁的信息。这些组织认为共享攻击及防卫信息可以帮助大家提高计算机安全，这些组织有些由大学组建，有些由政府机构组建。第一个计算机安全应急响应组（Computer Emergency Response Team，简称CERT）是在美国联邦政府资助下，在卡内基梅隆大学成立的。目前一些国家级的CERT组织有：卡内基梅隆大学CERT（Coordination Center）、美国国土安全部（US-CERT）、中国国家计算机网络应急技术处理协调中心（国家互联网应急中心，CNCERT/CC）等。