随着Internet的高速发展，其开放性、国际性和自由性在增加应用自由度的同时，也使安全成为一个日益重要的问题。这主要表现在：开放性的网络，导致网络的技术是全开放的，因而网络所面临的破坏和攻击也是多方面的，如何保护企业的信息不被非法获取、盗用、篡改和破坏，已成为电子商务和网络营销人员的重要研究课题。随着电子商务在Internet上全球性的推广，安全的重要性更加凸现，企业与消费者对电子交易安全的担忧已严重阻碍了电子商务和网络营销的发展。按照安全策略的要求及风险分析的结果，整个企业网络应建立的安全控制系统由物理安全、网络安全和信息安全等三个方面组成的:

1．物理安全

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。企业应对计算机网络设备、设施的使用和管理制定严格的规章制度，以杜绝此类安全隐患。

2．网络安全

网络安全可以分成三类:

（1）系统安全，指主机和服务器的安全，主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析。网络安全人员要重视对网络防火墙的使用，时刻监测系统的登录数据和网络信息流向，以便及时发现任何异常之处，经常对整个网络的端口（port）进行扫描，以发现任何安全隐患。防范各种黑客的攻击如：Back Orifice、冰河等特洛伊木马黑客软件（一种网络远程控制工具）、口令入侵、监听（Sniffing）技术、邮件炸弹攻击、拒绝服务式攻击（Denial of Service，DOS）、分布式拒绝服务攻击（Distribute Denial of Service，DDOS）等。

（2）网络运行安全，指要具备必须的针对突发事件的应急措施，如数据的备份和恢复等；网站的备份系统是为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场地内高速度、大容量自动的数据存储、备份与恢复；场地外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。

（3）局域网或子网的安全主要是访问控制和网络安全检测的问题。尽量减少暴露在互联网上的系统和服务的数量，每暴露一个都会给网络增加一份危险。企业内部局域网一般含有一些重要机密信息，此类信息如果被攻击或篡改则后果严重。网络安全人员一方面要用防火墙防范外部入侵，也要对企业内部人员管理控制，防止内部员工对企业网络安全造成的危害。

3．信息安全

信息安全涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，当然也包括对用户的鉴别和授权。在信息安全涉及到的几个方面中，为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术技术。为保证信息存储的安全，须保障数据库安全和终端安全；信息内容审计，则是实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。对用户的鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。

为了电子商务的全面开展，信息安全领域已经开发出一些较为成熟的技术来解决电子商务的安全问题。其主要的焦点集中于以下几个方面：

（1）密码技术

当今计算机业界的公司及各种机构所提供的技术服务，包括令牌、安全传输数据协议、 电子证书及可信任网站安全标准等，都要涉及到加密技术，其重要性显而易见。目前被广泛采用的算法有以下几种：美国著名的算法公司RSA提供的公钥密码算法RSA和美国IBM公司提供的分组密码算法DES。

（2）数字证书与CA中心

在数字化社会中，要实现上面所述的身份认证的安全需求，必须建立一种信任及信任验证机制，即每个网络上的实体（例如个人、企业等）必须有一个可以被验证的数字标识，这就是"数字证书（Certificate）"。同时，这就意味着应有一个网上各方都信任的机构，专门负责对各个实体的身份进行审核，并签发和管理数字证书，这个机构就是证书中心（Certification Authority，简称CA）。对于参加电子商务的各方来说，都必须拥有合法的身份，即由CA签发的数字证书，在交易的各个环节，交易的各方都检验对方数字证书的有效性，从而解决了用户信任和身份认证的问题。

目前在互联网上存在着很多CA，适用于不同的国家或地区，应用于不同的情况，实现不同的目的，其中最有全球影响力的是美国的VeriSign。在中国，目前的CA架构以银行体系为主，基本上各大银行都有自己的CA中心，另外还有一些地区性的CA中心，一些企业和网站也设立了自己的CA中心，但规模和影响目前都还比较有限。不同的CA之间可以遵循一个开放性的标准，PKI (Public Key Infrastructure，公钥基础设施) 规范，以使各个CA之间能够互联、互相认证。

（3）安全协议

这些安全功能的实现必须基于一整套的安全协议。目前世界上公认的标准有：SSL、SET和NetBill协议。

SSL（Secure Socket Layer，安全套接层）协议是TCP/IP协议族中目前最新的安全协议，可以实现通信过程的安全保密，目前SSL被众多厂家和用户广泛采用，已经成为通信底层协议的实际标准。

SET（Secure Electronic Transaction，安全电子交易）规范是由两大信用卡商Visa和MasterCard联合制定的实现网上信用卡交易的模型和规范。从概念上，它是通用信用卡的自然延拓，保留了信用卡交易的一切特点，同时针对网上交易，制定了确保安全的一系列规范和协议。SET能够保证较好的安全性，但是也有处理速度慢，协议复杂，安装麻烦等缺点，而且只适用于信用卡的应用。

NetBill协议是由卡耐基－梅隆大学（Carnegie Mellon University）开发的一个网络支付协议，包括交易过程中八个主要步骤。它提供了一种支付方法，使一次只涉及很少的资金，但支付量很大。这种安全交易的工作原理为：购买者创建一个NetBill帐户，"商品"（即信息）从销售者传输给购买者，购买者的NetBill帐户减去相应的金额，销售者的NetBill帐户增加相应的金额。

随着新型接入设备的推广和新应用的出现，安全协议也在不断的发展之中，比如与无线互联网应用WAP（Wireless Application Protocol）相配套的WTLS（Wireless Transport Layer Security）等。