Hola, yo he implementado soap en la seguridad de web services, soap es simplemente el protocolo, lo utilizar solamente para accesar al web service(asmx), en el codigo del web service puedes usar lo que gustes.
Y si es seguro, por que en el soap header mandas el usuario y contraseña que se recibira en el web service el cual evaluara si usuario y contraseña son validos para que puedas tener accesp a x funcion de tu web service..


Un ejemplo muy basico que tu puedes extender para adaptarlo a tus necesidades.
http://www.codeproject.com/cs/webser...ebservices.asp

Salu2