制定安全策略的目的，是从整体性、计划性和规范性三个方面来考虑电子商务的安全问题，保证制定的安全措施和使用的技术手段是有效的和可行的，使电子商务的交易过程可以受到全面、完善的保护。安全策略的主要内容应该包括：确定所要保护的对象，要防范的对象，在什么层次上投入何种程度的保护，在安全防范上计划进行多少投入，选择适合的安全措施等。

 1．制定安全策略时需要考虑的问题
 （1）电子商务安全是网络整体系统的问题，因此要从均衡性和整体性方面考虑问题。电子商务的安全不仅是一台计算机或服务器问题，而是整体网络系统的问题。所以网络安全要考虑整个网络系统，因此必须结合网络系统来制定合适的网络安全策略。
 （2）电子商务安全不能由单一的网络技术或产品来达到。如前所述，网络安全涉及到的问题非常多，如防病毒、防入侵破坏、防信息盗窃、用户身份验证等，这些都不是由单一产品来完成，也不可能由单一产品来完成，因此网络安全也必须从综合策略来考虑。
  （3）电子商务安全需要系统具有可评估性。电子商务安全策略的制定要参照一定的国际国内标准，以便今后可以进行合理方便的评估。
 （4）电子商务安全保障要求安全策略的制定具有动态性。电子商务安全策略的制定要具有动态性，我们在电子商务交易中所面对的安全问题和威胁是不断发生变化的，因此我们的安全策略也必须考虑不断进行合理变化和调整以应对不断出现的新问题。 一个最重要的网络安全任务就是制订一个网络安全策略。一个深思熟虑的安全规划，将帮助你决定哪些东西需要保护、在保护时愿意投资多少、由谁来负责执行该保护等。
 2．安全策略的制定

 建立企业网络安全策略，应从多个方面予以考虑，其中包括安全检测评估、安全体系结构、安全管理措施和网络安全标准等, 

（1）首先需要进行安全需求分析

 企业的安全策略是企业在网络安全工作中的法律。安全策略应该对企业的各种网络服务的安全、档次、地位和用户的权限、分类、安全故障处理、网络拓扑结构、管理员的职责、入侵和攻击的防御和检测、备份和灾难恢复计划等内容。
 （2）对网络资源进行安全检测评估，对可能存在的风险进行分析
  从安全角度看，电子商务交易企业接入Internet网络前的检测与评估是保障网络安全的重要措施。企业应从以下几个方面对网络安全进行检测与评估：网络设备：重点检测与评估连接不同网段的设备和连接广域网（WAN）的设备；网络操作系统：网络操作系统是网络信息系统的核心，其安全性占据十分重要的地位。
 （3）建立安全体系结构
  首先考虑设备的安全问题。设备安全是指在物理介质层次上对存储和传输的网络信息进行安全保护，是网络信息安全的基本保障。建立物理安全体系结构应从3个方面考虑：一是自然灾害、物理损坏和设备故障；二是电磁辐射、乘机而入、痕迹泄漏等；三是操作失误（格式硬盘、线路拆除）、意外疏漏等。  其次考虑访问控制问题，即什么用户可以以何种权限接入系统，把数据的不同访问权限授予用户，只有被授权的用户才能访问相应的数据。
  另外还要考虑数据保密和完整性的问题。数据保密是保护网络中各系统之间的交换数据，防止因数据被截获而造成泄密。数据完整性保证接收方收到的信息与发送方发送的信息完全一致，它包括可恢复的完整性、无恢复的完整性、选择字段的完整性。目前主要通过数字签名技术来实现。
  （4）制定安全管理措施
  网络安全管理既要保证网络用户和网络资源不被非法使用，又要保证网络管理系统本身不被未经授权的访问。制定合理的安全管理措施，是保证网络安全的重要策略之一。
 安全管理措施应包括网络设备的安全管理：主要包括网络设备的互联原则、配置更改原则等；软件的安全管理：包括软件的使用原则、配置更改原则、权限设置原则等；密钥的安全管理：密钥的管理主要包括密钥的生成、检验、分配、保存、更换、注入、销毁等；管理网络的安全管理：管理网络是一个有关网络维护、运营和管理信息的综合管理系统。它集高
度自动化信息的搜集、传输、处理和存储于一体，主要功能是性能管理、配置管理、故障管理、计费管理等；安全的行政管理：安全的行政管理的重点是安全组织的设立、安全人事管理、安全责任与监督等。如在安全组织结构中，应该有一个全面负责的人，负责整个网络信息系统的安全与保密。
  （5）制定实施方案
 根据以上安全策略，还要制定安全体系实施方案，以具体实现安全策略。制定实施方案包括制定实施方案的具体内容以及选择适合的安全技术。