评国内三大B2C网站首页的信息架构
随着电子商务的成熟,国内涌出了很多B2C网站,我经常访问的有:当当网、1号店、京东商城、易迅网、为为网和新蛋网等。这类网站很好的利用了计算机技术、互联网技术、即时通信技术和物流渠道,实现整个商务过程中的电子化、数字化和网络化,让不少用户得以不出户购天下物。
在访问这些网站的过程中,我发现其首页的信息架构拥有一些共同特点,也有各自的特色,遂以京东商城、新蛋网和易迅网为例,撰粗评一篇,拿来分享。行文难免有个人主观色彩,欢迎指正。
三大网站首页基本结构
信息架构的主要目的是帮助用户找到他想要的东西,即Design for way finding。在访问一个电子商务网站时,我们一般会考虑到以下问题:
一. 这是什么网站?
这个问题的答案在站点标题上得到了很清楚的表达。
京东商城:
新蛋网:
易迅网:
三者都表明了自身的定位是网上购物商城,除此之外京东和新蛋都附加了网站的特色描述,比如正品、货到付款等,这些附加信息可以提升网站的可信度以及加深用户的好感度。
二. 我需要什么?怎么找?我从哪里开始逛?
访问网站的用户可以分为有目的和无目的两种类型:
有目的:
1.确切知道自己想要的是什么商品
2.知道自己大概想要什么商品
两类都可以通过搜索和分类目录来查找。尽管位置略有区别,三大网站都将搜索放在顶部容易发现的位置,附近也能找到通过SEO计算出来的搜索热门关键词。可见对于商品繁多内容庞大的电商网站来说,搜索是个非常重要的功能,几乎所有用户都能用到。信息架构应该为网站不断增长的资源内容打好基础,搜索则是具有适应网站动态性的最好查找工具,无论网站如何变化,用户可以借助它在任何时候找到想要的东西,并且花费的时间最少。怎样让用户更容易找到搜索功能,怎样提供更优化更合实效的关键词,怎样提高搜索命中率,都是电商网站设计开发的重点。
对于分类目录,三者摆放的位置惊人的一致(如3所示),作为副导航,它一般都位于页面左上部的焦点位置,从这个入口,通过各种分类链接我们可以找到几乎所有需要的商品。
此外,页面中酌情加入一些导购标签链接,提供热门商品的直接入口,减少用户通过常规分类目录导航浏览所需的多步操作,缩短访问层级。
无目的:
1.看有什么销售活动(特价+团购+打折)
三大网站都在页面靠近顶部的正中位置开辟了活动展示板块(如4所示),以Carousel的模式对当前网站正在进行的销售活动进行宣传。另外,还搭配有团购、限时抢购、特价促销等活动。出于实惠,不少无目的进来逛的用户会留意一下有哪些促销活动在进行,进而选择适合自己的商品购买。以下是三大网站的活动推广区域:
京东商城:
活动版块较多,所占页面篇幅较大,不足之处在于各类活动相对分散,团购(尽管在水平导航中有一个专门的团购页面)和抢购两个对用户吸引力非常大的板块被放置到页面两侧中部偏下的位置,不易发现。京东或许觉得团购和抢购不是首页重点?或者他们不屑以这种方式吸引眼球?
新蛋网和易迅网:
两者差别不大,都想利用限时抢购和团购促销的方式吸引用户,所以把活动放在集中而且突出的位置。这样确实招揽了不少用户,其实很多人(包括我自己)已经慢慢养成习惯,就算没啥具体的需求,也会天天打开看一下有没有什么商品在做特价,恰巧正是自己可能需要的。从挖掘需求到引领需求,同样是电商的成长之道。
2.随便逛逛有没有正好需要的商品
如果没有具体的需求,只是浏览网站,那么网页内容的组织系统对用户发现和探索商品极其重要,即如何将页面上的内容组织起来,有效的呈现给用户。三大网站都不约而同的采用了按照主题分tab的水平导航,属于模糊组织方式:
京东商城:
新蛋网:
易迅网:
关于品牌专卖,京东和新蛋将其作为独立的tab页面放在主导航栏上,说明在品牌上,易讯还支持的不够多。
关于团购,京东和新蛋将其放上了主导航栏,团购相关的内容较多,选择面相对比较广。反观易讯,尽管只有主页上一个小版块(如8所示)做2款产品的团购,但是其效果未必差,出于对其团购产品的“惊喜度”和“实用性”,个人更加喜欢易讯的团购。
关于二手货物,京东和易讯都提供这类服务,新蛋没有,表明了新蛋没有发展或者不够重视二手交易的业务。
关于抢购,新蛋有限时抢购,易讯有天黑黑,都是在特价促销活动方面做足了功夫,以此为卖点吸引注重价格的用户。
另外,京东的在线读书、京东社区、全部分类页面,表明了该站在图书领域、社区营建和商品种类齐全性都有独特的优势。易迅的礼莫愁直接开辟了纪念日送礼通道,方便用户在特殊的日子为家人朋友选购礼物。
综上所述,我需要什么?怎么找?我从哪里开始逛?这类问题主要由网站的组织系统、导航系统、标签系统和搜索系统来解答。只有内容组织严谨清晰、合理显示最大面积的内容与服务,标签和搜索关键词契合热门风向与时俱进,导航重点明确,利于发挥长处,让用户在网页间顺畅的来回穿梭,才能帮助用户找到这些问题的答案。
三. 怎样快速发现大众偏好?
用户在网站上漫游时,常会去查看一些热门话题、最流行文章以及热卖商品。既然用户想知道其他人在用什么,其他人在买什么,我们就利用从众心理,提供各类热销排行告诉他们这些信息。只要保证数据的真实性和资料的即时性,从销售排行还是能挖掘到一些潜在的购物需求。
京东商城:
如图所示,京东的首页上并没有任何销售排行或者评论排行的版块。
新蛋网:
整个购物馆的左侧边栏都是销售排行,利于用户快速定位受欢迎的大众化商品。
易迅网:
不但有热销榜,还有热评榜,根据销量和评论的热度推送商品,给予用户更多选择。
可见,在购物参照信息的提供方面,三大网站是有区别的,易讯网>新蛋网>京东商城。
四. 如何提供反馈?
为了收集用户的需求、意见和建议,一般网站特别是消费购物网站都会提供一个反馈通道,方便用户提交自己对网站的看法。我们来看看三大网站的表现:
京东商城:
我姑且把主页上的投诉中心当成出了购物评价之外的唯一反馈通道,它在用户信息栏(如京东商城1所示)帮助信息下,不太容易发现。
点击进入后发现需要登录才能继续,然后提交反馈时需要与订单号绑定才能生效。这等于是说,一个新用户通过浏览京东的网页想提一些意见还必须注册和购物。
新蛋网:
可以在页面左下角(如新蛋网14所示)找到反馈位置。
进入后发现,除了要填写个人的联系方式之外(估计是减少恶意投诉),无需注册也无需提供订单号就能发送反馈,非常方便。
易迅网:
反馈位置很容易发现,就在用户信息栏的第一项(如易迅网1所示)。不足之处在于,必须注册登入账号才能继续提交反馈意见。
反馈提交单可以不用绑定订单号,即无需发生交易。问题在于还是需要填写联系方式,既然要求我注册登入账户才能提交反馈,直接从我的个人账户里就能调出相关联系方式,何必再次让我填写呢?
我们可以发现,三大网站的反馈模块在易发现性上排名为:易迅网>新蛋网>京东商城,而易用性上的排名为:新蛋网>易迅网>京东商城。
五. 如何注册?
三者表现良好,都将注册入口放在了网页的顶端靠左,方便用户第一时间找到。关于注册流程,本文不做讨论。
六. 网站使用相关问题在哪里找答案?
三者表现良好,在网站页面底部统一提供了指南&向导,此处用户能找到有关新手指南、支付流程、配送方式和服务条款等网站使用相关问题的解答。
总结
经过对上面一些问题的分析,我们发现国内三大B2C网站首页在信息架构上的一致和区别。以下是组织此类网站信息架构的基本准则:
站点标题要表明网站的用途,最好主logo能让用户一看就明白网站定位。
提供搜索工具,方便直接查询。
信息组织方式要清晰,按主题、按任务、按用户,或者按年份、按地理位置,将全站的主要版块串接起来。
支持分类目录作为有效的副导航方式,能藉此按层级逐次检索目标。
快速导航标签链接是热门商品的高效捷径。
各类活动(促销、团购、抢购、特价等)放在视觉热点会带来更好的宣传作用,促进销量。
热门排行能利用从众心理挖掘用户潜在需求。
提交网站反馈环节要步骤从简、无需注册。
注册入口和网站常见问题解答要易被发现,前者通常放在顶部,后者通常放在底部。
信息安全整体架构设计 信息安全目标 信息安全涉及到信息的保密性(Confidentiality) 、完整性(Integrity) 、可用性(Availability) 。 基于以上的需求分析,我们认为网络系统可以实现以下安全目 标: 保护网络系统的可用性 保护网络系统服务的连续性 防范网络资源的非法访问及非授权访问 防范入侵者的恶意攻击与破坏 保护信息通过网上传输过程中的机密性、完整性 防范病毒的侵害 实现网络的安全管理 信息安全保障体系 信息安全保障体系基本框架 通过人、管理和技术手段三大要素,构成动态的信息与网络安全保障体系框架WPDR模型,实现系统的安全保障。WPDR是指: 预警(Warning )、保护(Protection )、检测(Detection )、反应(Reaction )、恢复(Recovery),五个环节具有时间关系和动态闭环反馈关系。
安全保障是综合的、相互关联的,不仅仅是技术问题,而是人、 管理和技术三大要素的结合。 支持系统安全的技术也不是单一的技术,它包括多个方面的内容。在整体的安全策略的控制和指导下,综合运用防护工具(如: 防火墙、VPN加密等手段),利用检测工具(如:安全评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的反应将系统调整到“最高安全”和“最低风险”的状态,并通过备份容 错手段来保证系统在受到破坏后的迅速恢复,通过监控系统来实 现对非法网络使用的追查。 信息安全体系基本框架示意图 预警:利用远程安全评估系统提供的模拟攻击技术来检查系 统存在的、可能被利用的脆弱环节,收集和测试网络与信息的安全风险所在,并以直观的方式进行报告,提供解决方案的建议,在经过分析后,了解网络的风险变化趋势和严重风险点,从而有 效降低网络的总体风险,保护关键业务和数据。 保护:保护通常是通过采用成熟的信息安全技术及方法来实现网络与
第一章概述 1.比较体系结构的各种定义,并说明这些定义之间的异同点,指出其共性要素。 一个体系结构应该包括一组组件以及组件之间的联系。 ANSI/IEEE STD 1471-2000使用的体系结构的定义是:一个系统的基本组织,通过组件、组件之间和组件与环境之间的关系以及管理其设计和演变的原则具体体现。 IEEE的体系结构计划研究组指出,体系结构可以被认为是“组件+连接关系+约束规则”。“组件”等同于“元素”,“组件之间和组件与环境之间的关系”等价于“关系/连接关系”。 2.分析体系结构的六种基本模式各自的优缺点,描述最常用的四种结构的特点。 六种基本模型各自的优缺点: (1)管道和过滤器:在这种模式下,每个组件具有输入和输出的数据流集合,整个系统可以被看成多个过滤器复合形成的数据处理组件。如:shell编程,编译器。 (2)数据抽象和面向对象:在这种模式下,数据和数据上的操作被封装成抽象数据类型或者对象。系统由大量对象组成,在物理上,对象之间通过函数或者过程调用相互作用; 在逻辑上,对象之间通过集成、复合等方式实现设计的复用。 (3)事件驱动:在这种模式下,系统提供事件的创建和发布的机制,对象产生事件,对象通过向系统注册关注这个事件并由此触发出相应的行为或者产生新的事件。如:GUI 的模型。 (4)分层次:这种模式将系统功能和组件分成不同的功能层次,一般而言,只有最上层的组件和功能可以被系统外的使用者访问,只有相邻的层次之间才能够有函数调用。如:ISO的开放系统互联参考模型。 (5)知识库:这种模型使用一个中心数据结构表示系统的当前状态,一组相互独立的组件在中心数据库上进行操作。如:传统的数据库模型。 (6)解释器:这种模式提供面向领域的一组指令,系统解释这种语言,产生相应的行为,用户使用这种指令完成复杂的操作。 最常用的四种结构的特点: 严格的层次结构:系统可以被清楚地分解成不同的层次功能。 事件驱动的结构:适用于对互操作性、特别是异构环境下的互操作性要求高的情况。 知识库的结构:适用于以大量数据为核心的系统。 基于解释器的结构:适用于应用系统和用户的交互非常复杂的情况。 3.比较信息安全体系结构的各种定义,并说明这些定义之间的异同点。 信息系统的安全体系结构是系统信息安全功能定义、设计、实施和验证的基础。该体系结构应该在反映整个信息系统安全策略的基础上,描述该系统安全组件及其相关组件相互间的逻辑关系与功能分配。 信息系统的安全体系结构是系统整体体系结构描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。 4.叙述PDRR模型。 信息安全保障明确了可用性、完整性、可认证性、机密性和不可否认性这五个基本的信息安全属性,提出了保护(Protect)、检测(Detect)、恢复(Restore)、响应(React)四个动态的信息安全环节,强调了信息安全保障的范畴不仅仅是对信息的保障,也包括对信息系统的保障。 5.叙述信息安全保障的基本含义,阐述信息安全保障的基本要素。 信息安全保障明确定义为保护和防御信息及信息消系统,确保其可用性、完整性、机密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能,并提供信息系统的恢复功能。
信息安全整体架构设计 1.信息安全目标 信息安全涉及到信息的性(Confidentiality)、完整性(Integrity)、可用性(Availability)。 基于以上的需求分析,我们认为网络系统可以实现以下安全目标:?保护网络系统的可用性 ?保护网络系统服务的连续性 ?防网络资源的非法访问及非授权访问 ?防入侵者的恶意攻击与破坏 ?保护信息通过网上传输过程中的性、完整性 ?防病毒的侵害 ?实现网络的安全管理 2.信息安全保障体系 2.1信息安全保障体系基本框架 通过人、管理和技术手段三大要素,构成动态的信息与网络安全保障体系框架WPDRR模型,实现系统的安全保障。WPDRR是指:预警(Warning)、保
护(Protection)、检测(Detection)、反应(Reaction)、恢复(Recovery),五个环节具有时间关系和动态闭环反馈关系。 安全保障是综合的、相互关联的,不仅仅是技术问题,而是人、管理和技术三大要素的结合。 支持系统安全的技术也不是单一的技术,它包括多个方面的容。在整体的安全策略的控制和指导下,综合运用防护工具(如:防火墙、VPN加密等手段),利用检测工具(如:安全评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的反应将系统调整到“最高安全”和“最低风险”的状态,并通过备份容错手段来保证系统在受到破坏后的迅速恢复,通过监控系统来实现对非法网络使用的追查。 信息安全体系基本框架示意图 预警:利用远程安全评估系统提供的模拟攻击技术来检查系统存在的、可能被利用的脆弱环节,收集和测试网络与信息的安全风险所在,并以直观的方式进行报告,提供解决方案的建议,在经过分析后,了解网络的风险变化趋势和严重风险点,从而有效降低网络的总体风险,保护关键业务和数据。 保护:保护通常是通过采用成熟的信息安全技术及方法来实现网络与信息的
一、名词解释 1.信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。 2.VPN:一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。 3.安全策略:是有关信息安全的行为规范,是一个组织所颁布的对组织信息安全的定义和理解,包括组织的安全目标、安全范围、安全技术、安全标准和安全责任的界定等。 4.入侵检测:对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安 全策略的行为和被攻击的迹象。 5.SSL协议:SSL(secure socket layer)修改密文规定协议室友Netscape提出的、基于web应用的安全协议,是一种用于传输层安全的协议。传输层安全协议的目的是为了保护传输层的安全,并在传输层上提供实现报名、认证和完整性的方法。SSL 制定了一种在应用程序协议,如HTTP、TELENET、NNTP、FTP和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性及可选的客户机认证。 6.数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。 7.非对称加密:拥有两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 TCP/IP协议的网络安全体系结构的基础框架是什么? 由于OSI参考模型与TCP/IP参考模型之间存在对应关系,因此可根据GB/T 9387.2-1995的安全体系框架,将各种安全机制和安全服务映射到TCP/IP的协议集中,从而形成一个基于TCP/IP协议层次的网络安全体系结构。 什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点? 数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。 访问控制表ACL有什么优缺点? ACL的优点:表述直观、易于理解,比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。 ACL应用到规模大的企业内部网时,有问题: (1)网络资源很多,ACL需要设定大量的表项,而且修改起来比较困难,实现整个组织 范围内一致的控制政策也比较困难。 (2)单纯使用ACL,不易实现最小权限原则及复杂的安全政策。1信息安全有哪些常见的威胁?信息安全的实现有 哪些主要技术措施? 常见威胁有非授权访问、信息泄露、破坏数据完整性, 拒绝服务攻击,恶意代码。信息安全的实现可以通过 物理安全技术,系统安全技术,网络安全技术,应用 安全技术,数据加密技术,认证授权技术,访问控制 技术,审计跟踪技术,防病毒技术,灾难恢复和备份 技术 2列举并解释ISO/OSI中定义的5种标准的安全服 务 (1)鉴别用于鉴别实体的身份和对身份的证实, 包括对等实体鉴别和数据原发鉴别两种。 (2)访问控制提供对越权使用资源的防御措施。 (3)数据机密性针对信息泄露而采取的防御措施。 分为连接机密性、无连接机密性、选择字段机密性、 通信业务流机密性四种。 (4)数据完整性防止非法篡改信息,如修改、复 制、插入和删除等。分为带恢复的连接完整性、无恢 复的连接完整性、选择字段的连接完整性、无连接完 整性、选择字段无连接完整性五种。 (5)抗否认是针对对方否认的防范措施,用来证 实发生过的操作。包括有数据原发证明的抗否认和有 交付证明的抗否认两种。 3什么是IDS,它有哪些基本功能? 入侵检测系统IDS,它从计算机网络系统中的若干关 键点收集信息,并分析这些信息,检查网络中是否有 违反安全策略的行为和遭到袭击的迹象。入侵检测被 认为是防火墙之后的第二道安全闸门。 1)监测并分析用户和系统的活动,查找非法用户和 合法用户的越权操作; 2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为; 5)操作系统日志管理,并识别违反安全策略的用户 活动等。 4简述数字签名的基本原理 数字签名包含两个过程:签名过程和验证过程。由于 从公开密钥不能推算出私有密钥,因此公开密钥不会 损害私有密钥的安全性;公开密钥无需保密,可以公 开传播,而私有密钥必须保密。因此若某人用其私有 密钥加密消息,并且用其公开密钥正确解密,就可肯 定该消息是某人签名的。因为其他人的公开密钥不可 能正确解密该加密过的消息,其他人也不可能拥有该 人的私有密钥而制造出该加密过的消息,这就是数字 签名的原理。 5防火墙的实现技术有哪两类?防火墙存在的局限 性又有哪些? 防火墙的实现从层次上可以分为两类:数据包过滤和 应用层网关,前者工作在网络层,而后者工作在应用 层。 防火墙存在的局限性主要有以下七个方面 (1) 网络上有些攻击可以绕过防火墙(如拨号)。 (2) 防火墙不能防范来自内部网络的攻击。 (3) 防火墙不能对被病毒感染的程序和文件的传输 提供保护。 (4) 防火墙不能防范全新的网络威胁。 (5) 当使用端到端的加密时,防火墙的作用会受到很 大的限制。 (6) 防火墙对用户不完全透明,可能带来传输延迟、 瓶颈以及单点失效等问题。 (7) 防火墙不能防止数据驱动式攻击。有些表面无害 的数据通过电子邮件或其他方式发送到主机上,一旦 被执行就形成攻击。 6什么是密码分析,其攻击类型有哪些?DES算法中 S盒的作用是什么 密码分析是指研究在不知道密钥的情况下来恢复明 文的科学。攻击类型有只有密文的攻击,已知明文的 攻击,选择明文的攻击,适应性选择明文攻击,选择 密文的攻击,选择密钥的攻击,橡皮管密码攻击。S 盒是DES算法的核心。其功能是把6bit数据变为4bit 数据。 7请你利用认证技术设计一套用于实现商品的真伪 查询的系统 系统产生一随机数并存储此数,然后对其加密,再将 密文贴在商品上。当客户购买到此件商品并拨打电话 查询时,系统将客户输入的编码(即密文)解密,并将 所得的明文与存储在系统中的明文比较,若匹配则提 示客户商品是真货,并从系统中删了此明文;若不匹 配则提示客户商品是假货。
第1章概述 1.1 基本概念 1.1.1 体系结构:是系统整体体系结构的描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。 1.1.2 信息安全体系结构 1.1.3 信息安全保障:是人类利用技术和经验来实现信息安全的一个过程。 1.2 三要素 1.2.1 人:包括信息安全保障目标的实现过程中的所有有关人员。 1.2.2 技术:用于提供信息安全服务和实现安全保障目标的技术。 1.2.3 管理:对实现信息安全保障目标有责任的有管人员具有的管理职能。 1.2.4 三者的相互关系:在实现信息安全保障目标的过程中,三个要素相辅相成,缺一不可。 1.2.5 作为一个信息安全工作者,应该遵循哪些道德规范? 1、不可使用计算机去做伤害他人的事 2、不要干扰他人使用计算机的工作 3、不要窥视他人的计算机文件 4、不要使用计算机进行偷窃。 5、不要使用计算机来承担为证 6、不要使用没有付款的专用软件。 第2章信息安全体系结构规划与设计 2.1 网络与信息系统总体结构初步分析 2.2 信息安全需求分析 2.2.1 物理安全:从外界环境、基础设施、运行硬件、介质等方面为信息系统安全运行提供基本的底层支持和保障。安全需求主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷电、防火、防静电。 2.2.2 系统安全:提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行。安全需求包括:操作系统、数据库系统、服务器安全需求、基于主机的入侵检测、基于主机的漏洞扫描、基于主机的恶意代码的检测与防范、基于主机的文件完整性检验、容灾、备份与恢复。 2.2.3 网络安全:为信息系统能够在安全的网络环境中运行提供支持。安全需求包括:信息传输安全需求(VPN、无线局域网、微博与卫星通信)、网络边界防护安全需求、网络上的检测与响应安全需求。 2.2.4 数据安全:目的:实现数据的机密性、完整性、可控性、不可否认性,并进行数据备份和恢复。 2.2.5 应用安全:保障信息系统的各种业务的应用程序安全运行,其安全需求主要涉及口令机制和关键业务系统的对外接口。 2.2.6 安全管理:安全需求:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护管理。 2.3 信息安全体系结构的设计目标、指导思想与设计原则 2.3.1 设计目标:帮助采用该体系结构的用户满足其信息安全需求,从而对其相关资产进行保护。 2.3.2 指导思想:遵从国家有关信息安全的政策、法令和法规,根据业务应用的实际应用,结合信息安全技术与产品的研究与开发现状、近期的发展目标和未来的发展趋势,吸取国外的先进经验和成熟技术。 2.3.3 设计原则:需求明确、代价平衡、标准优先、技术成熟、管理跟进、综合防护。 2.4 安全策略的制定与实施 2.4.1 安全策略:作用:表现管理层的意志、知道体系结构的规划与设计、知道相关产
网络信息安全体系架构 一、安全保障体系的总体架构 网络信息安全涉及立法、技术、管理等许多方面, 包括网络信息系统本身的安全问题, 以及信息、数据的安全问题。信息安全也有物理的和逻辑的技术措施, 网络信息安全体系就是从实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全等层面上进行综合的分析和管理。安全保障体系总体架构如下图所示: 安全保障体系架构图 二、安全保障体系层次 按照计算机网络系统体系结构,我们将安全保障体系分为7个层面: (1)实体安全 实体安全包含机房安全、设施安全、动力安全、等方面。其中, 机房安全涉及到:场地安全、机房环境/温度/湿度/电磁/噪声/防尘/
静电/振动、建筑/防火/防雷/围墙/门禁;设施安全如:设备可靠性、通讯线路安全性、辐射控制与防泄露等;动力包括电源、空调等。这几方面的检测优化实施过程按照国家相关标准和公安部颁发实体安全标准实施。 (2)平台安全 平台安全包括:操作系统漏洞检测与修复(Unix系统、Windows 系统、网络协议);网络基础设施漏洞检测与修复(路由器、交换机、防火墙);通用基础应用程序漏洞检测与修复(数据库、Web/ftp/mail/DNS/其它各种系统守护进程);网络安全产品部署(防火墙、入侵检测、脆弱性扫描和防病毒产品);整体网络系统平台安全综合测试、模拟入侵与安全优化。 (3)数据安全 数据安全包括:介质与载体安全保护;数据访问控制(系统数据访问控制检查、标识与鉴别);数据完整性;数据可用性;数据监控和审计;数据存储与备份安全。 (4)通信安全 既通信及线路安全。为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化;安装网络加密设施;设置通信加密软件;设置身份鉴别机制;设置并测试安全通道;测试各项网络协议运行漏洞等方面。 (5)应用安全 应用安全包括:业务软件的程序安全性测试(bug分析);业务交