电子商务安全评估即通过对系统进行检测或扫描，发现并分析问题，采取相应的防护措施，从而保障系统的安全。 进行漏洞检测与评估的主要目的是先于入侵者发现漏洞并及时弥补，从而进行安全防护。由于网络环境比较复杂，一般利用工具来进行漏洞检查，针对网络层、操作系统层、数据库层、应用系统层多个层面上进行。漏洞可能是系统自身的也可能是管理、配置上的。因为网络是动态变化的，所以漏洞检测与评估应该定期执行。

 １．电子商务安全评估的内容

 电子商务安全评估的内容可以从内外两个方面来进行分类：
 （１）内部网络的安全评估
 从技术的角度应包括物理设备的安全评估、数据库安全评估、操作系统自身安全性的评估（文件访问控制的漏洞、系统用户帐号管理的漏洞等）、第三方应用软件安全性的评估、入侵风险级别的评估、数据备份和恢复措施评估、病毒防护技术评估等。从管理的角度要对企业安全管理规定以及保障措施进行评估。
 （２）从企业外部进行评估
 包括防火墙的安全性评估、加密算法和密钥的安全性评估、企业网站安全评估。
 ２．安全评价标准及其发展
 计算机系统安全评价标准是一种技术性法规。只有制定出完善的技术标准，网络安全的评估才能有法可依，因此许多国家都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评价认证标准。下面对各种主要的安全评价标准给以简单介绍。第一个有关信息技术安全评价的标准诞生于八十年代的美国，被称为“可信计算机系统评价准则”（TCSEC，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。TCSEC标准是计算机系统安全评估的第一个正式标准，具有非常重要的意义。
TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、8个级别。安全级别从高到低分为A、B、C、D四级，每级再分类，即：A，B3，B2，B1，C2，C1，D。
 欧洲的安全评价标准（ITSCE）是欧洲多国安全评价方法的综合产物，该标准将安全概念分为功能与评估两部分。功能准则从F1—F10共分10级。1—5级对应于TCSEC的D级到A级。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。
  加拿大的评价标准（CTCPEC）将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。
  美国联邦准则（FC）是对TCSEC的升级，FC充分吸取了ITSEC和CTCPEC的优点，在美国的政府、民间和商业领域得到广泛应用。
   国际通用准则（CC）是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。
1996年6月，CC第一版发布；1998年5月，CC第二版发布；1999年10月CC v2.1版发布，并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC。CC将评估过程划分为功能和保证两部分，评估等级分为EAl1、EAl2、EAl3、EAl4、EAl5、EAl6和EAl7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。
  我国的信息安全标准化工作主要由国家质量技术监督局、全国信息化标准委员会、全国信息化标准委员会信息安全分技术委员会、中国电子技术标准研究所承担，我国于1978年加入国际标准化组织（ISO），1989年实施“标准化法”。
1997年以来国家信息安全测评认证中心参与制订的国家标准主要有：防火墙系统安全技术要求；网关安全技术要求；代理服务器安全技术要求；路由器安全技术要求；数字签名机制标准；鉴别机制标准；安全电子交易的抗抵赖机制标准；电子商务的密钥管理框架；安全电子数据交换标准；信息系统安全评价准则及测试规范；国信息安全测评认证的发展方向是：完善认证体系、推行标准规范、制定安全轮廓、培育测评机构、加强研究开发、推进国际互认。
  ３．系统安全评估的一般步骤对系统进行安全评估可以按以下基本步骤进行：
 （1）制定系统安全标准：即按照企业自身的安全要求选择相应的安全标准。
 （2）按照安全标准对系统进行检测，找出问题和漏洞：评估系统的安全架构，审查系统的安全政策和措施，发现系统安全的薄弱环节和安全漏洞。检测范围包括所有的网络系统设备：服务器、防火墙、交换机、路由器等网络中所有设备及主机。
  （3）对问题进行分析：一方面分析发现的安全问题，找出问题的根源并确定该问题对于企业整体安全的重要程度，另一方面对该安全问题进行风险的本利分析（cost-benefit analysis），从而决策是否马上需要解决问题和以何种方式进行解决。
  网络是否安全，有时并不是网络所有者自己便完全清楚的。所以许多公司要请第三方评估机构或专家来完成网络安全的评估。这样做的好处是能对自己所处的环境有个更加清醒的认识，把未来可能的风险降到最小，目前在国内外已经开始将网络的安全评估做为一个新的服务项目向社会推出