电商平台方案样本.doc_咨信网zixin.com.cn

资源描述

1、资料内容仅供您学习参考，如有不当之处，请联系改正或者删除。电商平台方案合肥梧桐网络技术有限公司运营部目录目录2第1章摘要41.1项目名称41.2项目背景41.3建设原则4第二章建议方案52.1总体规划52.1.1系统平台概念框架52.1.2系统平台建设框架72.1.3系统平台设计框架72.2电商平台应用系统设计92.2.1电商平台整体简述92.2.2前台展示系统设计102.2.3后台管理系统设计222.3安全保障系统412.3.1系统安全整体策略412.3.2网络安全策略422.3.3应用安全策略432.3.4数据安全策略462.3.4.2应急处理措施482.3.4.3安全策略升级49第三

2、章推广方案493.1电商平台推广493.1.1推广的意义493.1.2 推广的方法503.2.1 论坛推广503.2.2 博客推广503.2.3 qq群发513.2.4 广告交换513.2.5 网址导航513.2.6 搜索引擎提交513.2.7 参加各种排行榜及评选活动523.2.8 在各种留言簿、聊天室、新闻组发布信息引人注意523.2.9 利用软件推广 (慎用)533.2.10 信息发布533.2.11 贴吧、说吧54第1章摘要1.1项目名称电商电子商务平台1.2项目背景电商电子商务平台, 经过建设电子商务ERP系统、前端销售系统和渠道中心, 实现官方商城销售实现天猫渠道销售,

3、同时能够提供一个功能全、可操作、有优势和结合了决策团队经营思想的电子商务解决方案。1.3建设原则系统整体建设, 建议遵循一下5个原则进行: 1、数据统一以资源数据库为基础实现数据统一, 包括产品信息, 订单信息, 用户信息, 库存信息等多种数据资源的统一处理, 对产品展示, 产品销售, 订单审核, 订单发货, 会员信息处理等业务操作提供可靠的数据源信息。2、流程统一在统一数据的基础上, 整合产品分类、产品发布, 订单管理, 促销管理等多种电子商务业务逻辑的处理, 形成规范标准的通用业务模块。规范操作程序, 杜绝漏洞风险, 以统一的流程提高服务水平。3、接口统一经过在电子商务平台系

4、统内部的标准设计, 建设一个体系完整、互动高效可靠的统一接口规范, 形成各种需求和自有系统相互贯通的统一接口, 实现对接入平台业务进行统一的系统支持和资源配置。4、管理统一经过统一的运维管理设计, 在强有力的技术保障支持下, 实现平台的安全稳定运行。5、服务统一按照平台提供的各类业务模式, 建立一整套技术与管理保障服务模式, 把线上线下体验、热线响应服务等的有机结合, 实现一站式窗口服务的目标。整个平台建设按照”统一规划、统一设计、统一建设、统一管理”的要求组织, 在严格遵照国家电子商务建设的有关标准基础上, 结合当前国内外的技术, 确保工程的规范性和先进性。要以现行需求为基础,

5、充分考虑发展的需要, 力求避免重复建设, 降低建设投资。整个系统应易于管理、易于维护、易于扩充、易于升级。第二章建议方案2.1总体规划2.1.1系统平台概念框架系统平台概念图如下所示: 用户: 用户经过互联网访问官方商城所展示的全部商品数据, 参与各种产品促销活动, 进行产品购买, 支付等操作。面向用户系统: 即前台展示系统, 该平台提供各种产品信息, 促销信息和订单信息等供用户使用。面向业务人员系统: 即后台管理系统, 该平台提供对产品信息, 订单信息, 促销信息和会员信息等多个业务模块的统一操作。支付接口: 第三方支付平台, 提供用户在线安全支付。网上银行: 经过第三方支

6、付平台进行用户支付的功能。商城数据: 商城数据进行统一存储。2.1.2系统平台建设框架系统平台建设框架图如下所示: 系统平台的功能开发中将做到构件化、模块化和平台化, 以保证各系统及子系统的各项功能, 满足可持续性开发需求, 每一个应用程序都做到高度模块化, 以便支持跨平台的移植能力, 同时具备可扩展的技术框架和标准的对外接口, 为与系统外的应用系统和二次开发预留接口。在支撑功能实现的数据库设计中, 将科学地制定一系列商业数据标准, 利于数据标准化交换。在代码编制方面也将推行一套代码准则, 规范各类代码。采用标准的Windows+IIS+SQLserver+asp, 作为平台运行环境。

7、2.1.3系统平台设计框架系统平台设计框架图如下所示: 前台展示系统设计: 包含首页展示, 产品列表, 产品详情, 产品搜索, 购买流程, 订单中心, 账户中心, 会员中心, 服务与沟通, 帮助中心, 一般通用功能等多个模块组成。后台管理系统设计: 包含商品管理, 订单管理, 促销管理, 报表管理, 会员管理, 内容管理, 新闻管理, 系统管理等多个模块组成。 API接口: 根据具体需求, 为外部系统对接做好各种业务的接口对接准备。2.2电商平台应用系统设计2.2.1电商平台整体简述经过对电商平台需求的整体分析, 我们能够将整个电商平台分为以下两个部分的内容: 前台展示系统前台展示系统将以产

8、品展示、产品销售、用户中心、订单中心、帮助中心等多个核心模块组成, 以实现用户经过互联网方便、快捷、准确的购买商品的需求。要求前台设计以用户为中心, 方便简捷的实现用户购物流程。同时能够实现与主流社区、微博等分享互通。世纪杰晨提供的B2C前端销售系统中, 将包含异常强大的促销模块, 将网络和实体中常见的促销方式, 以商品类和订单类区分, 进行了数年的沉淀和优化。另外, 世纪杰晨提供的促销模块, 具有非常好的可扩展性, 能够非常方便快捷的将创新的促销方式纳入平台; 也能够经过组合, 直接利用系统现有功能生成新的促销方式。系统对后续实施IOS App和Android App, 具有良

9、好的支撑, 能够经过统一接口提供的方式极快的与各种App实现技术对接。后台管理系统后台管理系统作为前台系统的数据和业务支持, 经过商品管理、订单管理、促销管理、报表管理、会员管理、内容管理、新闻管理、系统管理等核心模块对整个电商平台系统进行流程化统一管理。系统数据库设计和技术架构, 充分考虑了与各个销售渠道、 WMS系统等的技术对接, 后续能够非常方便的完成系统间对接。2.2.2前台展示系统设计经过分析整理, 前台展示系统设计总体框架图如下: Web前台系统界面, 以CSS+Div构建, 在兼容性方面, 符合电子商务系统的一般要求, 以”IE6-10、 Google Chrom

10、e、 Firefox”作为制作基本要求, 进行第一次经过检测; 以当前互联网排名前6的浏览器( 覆盖率98%) 作为检验工具, 进行第二次经过检测。以下, 给出了主要的业务功能要求和原型范例( 约20个范例, 全业务系统大约需要60个左右的界面组成) : 2.2.2.1首页功能要求首页轮播展示区域能够支持动态图片配置首页提供热卖排行区首页提供新品推荐区首页提供广告宣传区所有区域支持后台动态配置原型范例2.2.2.2产品列表功能要求产品列表页面提供广告宣传区动态配置产品列表页面提供条件筛选产品列表页面提供热卖推荐产品列表页面提供浏览了该系列用户最终购买的商品列表产品列表页面提

11、供按照分类显示产品列表数据列表数据提供以下几种排序方式: 按销量, 按价格, 按上架时间原型范例2.2.2.3搜索结果功能要求搜索结果页面提供根据搜索关键字展示搜索结果列表搜索结果页面提供根据搜索结果显示此结果下的筛选条件区域2.2.2.4产品详情功能要求详情页面根据产品数据显示相应结果详情页面要有图片放大功能方便用户浏览详情页面提供以下数据供用户参考购买: 产品名称、服务方、库存、价格、购买数量详情页面提供立即购买和放入收藏夹等功能详情页面提供产品参数, 商品展示, 商品咨询和用户评价等功能用户点击放入收藏, 则在用户账户中心的收藏夹中收藏此产品用户点击立即购买,

12、则进入购物车页面并显示购买的商品数据2.2.2.5购物流程功能要求购物流程主要包含购物车、订单确认和提交成功几个部分购物车中要显示用户购买的商品数据、促销活动信息、优惠信息等购物车中提供继续购物, 去结算等功能在购物车中点击去结算, 进入订单确认页面在订单确认页面, 用户需要填写配送信息、配送方式、支付方式、发票信息和订单备注等信息用户确认订单后, 点击提交订单系统生成用户订单数据, 并进入提交成功页面在用户提交成功页面, 提示用户订单提交成功, 并进行立即支付2.2.2.6账户中心功能要求账户中心中包含以下功能: 个人资料修改密码地址管理1、个人资料个人资料

13、能够对用户账户的个人信息进行维护, 编辑操作2、修改密码用户能够经过对密码的修改来保证账户的安全, 用户密码经过一定规则进行加密处理3、地址管理用户能够经过地址管理进行收获地址的维护, 能够在确认订单页面方便的选择已有地址而且提供默认地址设置功能, 在确认订单页面优先选择默认地址项2.2.2.7订单中心功能要求订单中心包含以下功能: 我的订单我的收藏1、我的订单我的订单页面提供用户对订单的操作, 包含订单状态查看、订单支付、订单取消、查看明细、商品评价等2、我的收藏我的收藏页面提供用户对已收藏商品的操作, 包含立即购买, 查看等3、已买到的商品已买到的商品提供显示用户已经购

14、买的商品。2.2.2.8会员中心功能要求会员中心主要包含以下功能: 我的积分我的优惠券1、我的积分用户能够在我的积分页面查看剩余积分和积分来源信息2、我的优惠券用户能够在我的优惠券中查看所有优惠券的使用情况此功能中包含优惠券激活原型范例3、我的礼券原型范例2.2.2.9服务与沟通功能要求服务与沟通主要包含以下功能: 商品评价商品咨询1、商品评价商品评价主要显示用户对商品的评价, 包含评价的商品信息和评价的内容2、商品咨询商品咨询主要显示用户对商品的咨询, 包含咨询的商品信息和系统客服对用户咨询的回复信息原型范例2.2.2.10帮助中心功能要求帮助中心内容有后台管理系统进行编辑维护

15、, 所有的内容经过帮助中心模块整体展现原型范例2.2.2.11关于我们功能要求关于我们模块主要包含以下内容关于我们联系我们网站地图法律声明以上内容页面变更程度不大, 以静态页面的方式呈现2.2.3后台管理系统设计世纪杰晨电商ERP系统, 将为B2C业务的日常运营, 提供电子商务专有的管理平台。经过前台业务抽取, 我们对后台管理系统也做了整体的充分分析。整理后我们后台管理系统设计总体框架如下: 以下, 给出了主要的业务功能要求和原型范例: 2.2.3.1商品管理商品管理模块中主要包含以下几个功能: 属性管理分类管理商品管理评论管理咨询管理2.2.3.1.1属性管理功能要求商品的属

16、性和属性值, 是经过关联在某个分类下实现的, 当商品发布并选择商品所属分类后, 自动经过关联显示此商品能够选择的属性和属性值属性和属性值的维护经过以下功能实现: 添加属性: 为分类添加属性, 设置属性的各种状态属性列表: 显示已添加的属性, 可对属性进行编辑、启用、删除和添加属性值的操作添加属性值: 对某个属性添加属性值属性值列表: 显示已经添加的属性, 可对属性值进行编辑、启用、删除等操作2.2.3.2分类管理功能要求分类管理是对商品分类进行管理, 方便发布商品时对分类的选择分类管理经过以下几个功能实现: 添加分类: 实现对分类的添加分类列表: 实现三级分类添加、属性添加、

17、以及对分类本身的编辑、启用、删除、排序等操作2.2.3.1.3商品管理功能要求商品管理主要是针对商品进行管理, 主要实现商品添加, sku添加、图片管理以及商品上下架操作。商品管理主要经过以下几个功能实现: 发布商品: 经过选择分类、添加基础信息, SKU信息, 主图管理, SKU图片管理, 功能设置等实现商品的发布操作在售商品列表: 显示所有上架商品信息, 提供编辑, 下架等操作待售商品列表: 显示所有下架商品信息, 提供编辑, 删除, 上架等操作商品库存管理: 显示所有商品的库存信息, 并提供修改的操作, 每次操作都会在入库表中做记录关键词管理: 方便快速维护商品关键词

18、评论管理: 对用户的评论进行审核、回复等操作咨询管理: 对用户的咨询进行审核、回复等操作2.2.3.1.4评论管理功能要求评论管理主要是对客户对商品的评价进行审核和回复的功能评论管理主要经过以下几个功能实现: 评论列表: 显示所有用户对商品的评价信息, 包含审核、回复等操作评论回复: 能够对用户的评论回复等操作2.2.3.1.5咨询管理功能要求咨询管理主要是对客户对商品的咨询进行审核和回复的功能咨询管理主要经过以下几个功能实现: 咨询列表: 显示所有用户对商品的咨询信息, 包含审核、回复等操作咨询回复: 能够对用户的评论回复操作2.2.3.2订单管理订单管理模块主要是对订单进行

19、处理的模块, 主要包含确认支付, 审核, 发货, 交易完成, 取消订单, 退换货和手工录入等业务功能的操作订单管理模块中主要包含以下几个功能: 订单查询未支付订单待审核订单待拣货订单已发货订单交易完成订单已取消订单退换货订单手工订单录入2.2.3.2.1订单查询功能要求订单查询主要提供多种查询条件和方式对订单数据的查询操作, 而且查看订单详细信息订单查询主要包含功能: 查询、查看明细2.2.3.2.2未支付订单功能要求未支付订单功能主要提供对未支付订单的查询和确认支付的操作未支付订单包含以下操作: 查询、查看详细、确认支付、取消订单等2.2.3.2.3待审核订单功能要求

20、待审核订单功能提供所有已经支付订单和货到付款订单的审核功能待审核订单包含以下操作: 查询、查看明细、取消订单、审核订单等2.2.3.2.4待拣货订单功能要求待拣货订单提供对所有审核经过的订单的拣货, 选择物流公司、输入物流单号等操作待拣货订单主要包含以下操作: 查询、查看详细、确认发货, 选择物流公司、输入物流单号、取消订单等2.2.3.2.5已发货订单功能要求已发货订单提供对所有发货订单的操作已发货订单包含以下功能: 查询、查看明细、确认交易完成等功能要求交易完成订单是显示所有已经确认交易完成的订单数据功能交易完成功能包含以下几个功能: 查询, 查看详细2.2.3.2.7

21、已取消订单功能要求已取消订单显示的是所有被取消的订单列表已取消订单包含以下功能: 查询, 查看明细原型范例2.2.3.2.8退换货订单功能要求退换货订单提供对订单的退单和换货的功能。订单退货: 在确认退货的数量后, 确认退货, 更新订单信息订单换货: 在确认订单换货的数量后, 确认换货, 此时更新订单商品信息, 并生成新的换货订单退换货订单包含以下几个功能: 申请退换货: 根据订单号等条件查询出订单并申请退换货申请退换货: 输入退换货数量, 选择退换货类型, 上传图片等信息申请退货或换货退货列表: 查看退货申请, 完成确认退货操作换货列表: 查看换货申请, 完成确认换货操作2.2.3.2

22、.9手订单录入功能要求手工订单录入提供后台人工手工订单的录入操作, 提供收货人信息、商品信息等输入操作手工订单录入支持非会员用户下单, 支持商品价格变更操作2.2.3.4 会员管理会员管理模块主要是系统用户会员的管理, 支持会员信息编辑, 会员等级修改等功能会员管理模块主要包含以下几个功能: 会员等级添加会员等级列表会员信息列表2.2.3.4.1会员等级添加功能要求会员等级添加功能要求能够设置系统会员级别, 设置级别期限、折扣、达到条件等用户级别根据设置的条件自动调整会员级别2.2.3.4.2会员等级列表功能要求会员等级列表要求系统显示所有设置的会员等级信息, 并提供编辑、删除等操

23、作2.2.3.4.3会员信息列表功能要求会员信息列表要求系统显示所有注册会员信息数据, 并提供会员数据的信息修改, 删除, 会员级别变更等操作2.2.3.5内容管理内容管理主要提供对前台展示平台各个页面中广告宣传区域、热卖推荐区域的动态设置在内容管理中要求可设置产品类型栏: 该类型能够设置推荐的产品信息, 例如: 热卖排行, 最新推荐等广告类型栏目: 该类型能够这是广告位图片, 链接等信息文字文章类型栏目: 该类型能够设置文字信息等在内容管理中主要包含几个功能: 栏位添加栏位列表产品栏位广告栏位首页分类导航推荐关键字管理2.2.3.5.1栏位添加功能要求栏位添加功能要求能够按

24、照产品栏位模版、广告栏位模版设置不同页面的栏位名称设置好的栏位名称要在相应的产品栏位和广告栏位中显示并提供配置功能2.2.3.5.2栏位列表功能要求栏位列表要求系统能够显示添加的所有栏位名称列表, 并提供编辑, 删除等功能2.2.3.5.3产品栏位功能要求此功能提供根据不同分类筛选商品并能够将商品设置在不同的栏位供前台展示2、根据产品栏位模版设置产品数据2.2.3.5.4广告栏位功能要求该功能提供根据广告栏位模版进行广告信息的不同栏位设置2.2.3.5.5首页分类导航推荐功能要求功能提供前台分类导航中的推荐商品的设置要求能够按照分类进行设置, 能够选择最多3个产品2.2.3.5.6关键词管

25、理功能要求关键词管理模块能够快速方便的对热搜的关键词进行添加, 删除的操作2.2.3.6新闻管理新闻管理能够提供前台展示区域中, 系统公告、新闻和帮助中心内容的动态管理新闻管理主要经过以下几个功能实现: 文章添加: 能够按照公告, 新闻, 帮助中心等类型添加文章内容供前台展示文章列表: 显示所有添加的文章信息2.2.3.6.1文章添加功能要求功能提供按照公告、新闻、帮助中心类型进行文章内容的添加, 支持html编码格式2.2.3.6.2文章列表功能要求功能显示所有添加的文章数据, 支持标题和发布人查询2.2.3.7报表管理报表管理模块主要提供以下几种报表数据的统计功能订单报表退换货

26、报表优惠券报表购物车中商品报表放弃购物车商品报表畅销商品报表注册报表销售额排名销量排名报表管理模块中具体的报表格式, 将和业务部门具体沟通进行定制化的开发服务。2.2.3.8系统管理2.2.3.8.1数据字典添加功能描述提供系统中对常量值的添加功能2.2.3.8.2数据字典列表功能描述提供对添加的字典值进行查询, 编辑, 删除等维护的操作【下级字典列表原型】2.2.3.8.3顶级菜单添加功能描述提供对系统菜单的添加功能2.2.3.8.4顶级菜单列表功能描述提供对添加的顶级菜单的查询, 编辑, 删除的操作2.2.3.8.5功能菜单添加功能描述提供系统左侧功能菜单的添加2.2.3.

27、8.6功能菜单列表功能描述提供对功能菜单的查询, 编辑, 删除等功能2.2.3.8.7角色添加功能描述提供对系统角色进行添加的功能, 以方便进行权限控制2.2.3.8.8角色列表功能描述提供对添加角色进行查询, 编辑, 删除的操作2.2.3.8.9添加管理用户功能描述提供系统管理员的添加2.2.3.8.10管理用户列表功能描述提供对管理员用户进行查询, 编辑, 删除, 角色分配等操作2.2.3.8.11日志管理功能描述提供系统中增, 删, 改, 查等操作的日志记录查询2.2.3.9渠道管理功能需求功能范围主要的功能需求: （1）申请天猫API Session Key （2）库存同步（3）

28、下传天猫订单, 并导入订单到官网系统（4）发货功能变更与信息上传到天猫（5）异常订单处理（6）退货换货操作业务流程流程说明: （1）队列更新( 库存信息) : 官网发来的”库存调拨”增减数据, 定时批量更新到天猫。（2）获取订单( 订单信息) : 获取已支付的未提交到官网的订单。（3）提交官网订单: 筛选”未提交订单+货到付款订单和已经支付的订单”, 在官网生成订单或更改, 其中新订单要扣减”渠道库存”数量, 地址信息存到新的地址表中; 取消的订单, 只更改交换中心订单状态即可, 不进行库存操作。（4）订单审核时, 取消订单, 还原渠道库存。官网的虚拟库存不变。天猫上的订单人工

29、取消。（5）发货处理、是否正常发货、异常挂起: 拣货正常的订单, 正常发货处理; 拣货异常的订单, 进行异常挂起操作, 由【客服工作人员】进行审核/取消处理。（6）修订审核/是否取消: 【客服工作人员】根据拣货异常提示信息, 进行审核操作, 一般情况下应该进行”取消”操作; 取消订单, 还原渠道库存。（7）队列更新( 发货信息) : 定时批量改变天猫订单的发货状态、物流公司和物流单号。需求分析API Session Key申请操作步骤1. 登录”天猫开放平台开发者中心应用管理创立应用”; 2. 选择”商家管理后台”创立API Key。库存同步功能要求( 1) 每10分钟完成一次渠道

30、库存同步; ( 2) 在应用审核经过后, 每个Key每天能够请求接口10W次, 在审核经过前, 每个Key每天能够请求5000次。( 3) 库存同步时单向的。( 4) 在重大促销时, 一般会将该服务设置为停止, 直到促销结束。订单处理经过渠道中心的管理功能, 将官网和天猫的订单, 进行统一处理。功能要求1. 订单获取（1）订单获取条件: 新的已支付的订单; （2）订单获取后, 添加”是否已生成订单”的标识; ( 交换中心) 2. 提交官网订单（1）天猫订单信息中, 含有官网的商品编码; （2）订单提交后, 在官网生成订单, 订单中, 用户ID标记为”; （3）新建配送地址表, 维护天

31、猫配送地址。字段包括: 渠道订单编号、官网订单编号、省市区、详细地址、用户名、渠道来源。（4）订单生成后, ”交换中心”的订单记录中”是否已生成订单”标记为”是”; （5）订单生成后, 扣减”渠道库存”数量, 渠道库存允许为负数。只要在天猫上已经支付成功的订单, 都能够提交官网生成订单。如果渠道库存不足, 库存能够减为负值; （6）退货取消的订单, 库存的调整, 在【库房工作人员】进行”退货入库”( 3.2.1描述) 时完成; （7）渠道订单, 同官网订单一致, 都需要审核之后再进入拣货流程。发货功能变更与信息上传功能要求1. 拣货时, 渠道订单和普通订单一样, 正常扣减”实

32、际库存”。2. 能够正常发货的订单, 提交到”交换中心”的队列, 等待批量更新到天猫。3. 需要更新的信息有: 订单的发货状态、物流公司和物流单号。【附: 天猫订单状态客户角度】（1）等待买家付款: 客户刚拍下宝贝, 尚未付款客户操作: 客户能够进行付款操作; 如果客户不想买了, 也能够联系卖家帮您关闭交易（2）买家已付款: 等待卖家发货: 客户已经付款到支付宝, 但卖家还未发货客户操作: 客户在订单详中能够提醒卖家及时发货; 若卖家迟迟未发货, 付款24小时后, 客户能够申请退款（3）卖家已发货: 等待买家确认: 卖家已经发货, 等待客户进行确认收货操作, 当客户确认收货后, 货款才

33、会真正打给卖家客户操作: 请注意, 只有客户收到物品后并确认您所收到的物品完好无损, 才能够进行确认收货操作; 如果客户收到的物品有问题, 能够对有问题的宝贝发起退款申请（4）交易成功: 交易已经成功, 货款已经打给卖家客户操作: 交易成功后, 客户所购买的宝贝如果还有问题, 客户能够投诉卖家（5）交易关闭: 客户拍下宝贝但一直没有付款, 7天后交易将会自动关闭; 订单中宝贝, 客户都退货了, 退货完成后, 交易状态就会变成交易关闭客户操作: 交易关闭后, 如果还有其它问题, 客户能够投诉卖家2.3安全保障系统电子商务平台的安全范畴包括网络设备、文件安全、漏洞分析, 压力测试以及备份与

34、恢复等各个环节。2.3.1系统安全整体策略根据电商电子商务平台系统安全需求, 系统的安全解决方案策略包含如下几个基本部分: 网络安全策略应用安全策略数据安全策略应急处理措施安全策略升级2.3.2网络安全策略在网络安全方面, 兼顾性能和安全, 主要策略包括: 1）当前网络拓扑实现了Web服务的负载均衡( Load Balance) 、应用服务和数据服务的双机热备( High Available) 、冗余存储( RAID 5) 和域控制器备份( Backup Domain Controller) 等应用, 实现了设备的双路或多路服务。2）系统部署了应用服务和数据服务多层防火墙, 采

35、用不同的安全设置, 寻求应用与安全的平衡。而且全部实行了端口过滤, 仅允许必须的端口经过。3）经过选配恰当的设备并加强网络设备( 防火墙, 路由器, 交换机等) 的安全设置强化了网络系统的安全级别。建议系统从路由器到防火墙及交换机采用性能良好、兼容匹配的安全设备, 为整套系统的安全和稳定的运行奠定了良好的基础。集成多业务路由器要求: 可安全、线速地同时提供数据业务服务, 能提供最高业务灵活性和系统保护, 能内嵌服务选项, 并要求很高的插槽性能和密度, 具有很好的性能优势。自适应安全设备要求: 能够将最高的安全性和VPN服务与全新的自适应识别和防御( AIM) 架构有机地结合在一起。如Ci

36、sco ASA系列, 要求能够提供主动威胁防御, 在网络受到威胁之前就能及时阻挡攻击, 控制网络行为和应用流量, 并提供灵活的VPN连接。在应用防火墙设置的基础上, 对数据防火墙进行更严格的安全设置。完全限制了其余端口。只允许数据库的1433端口访问。访问级别限制, 只允许从高级别访问低级别。企业级独立式配线间交换机要求: 支持安全融合应用的部署, 能最大限度地保障交换服务。交换设备在原有默认安全设置的基础上划分了vlan,分别为Web服务器、图片服务器和数据库服务器, 对三个网段分别管理, 最大程度的保证了数据库的安全。提供负载均衡器: 并对多台服务器能提供可设置比例的负载。根据用户访问自

37、动匹配session。保证用户的会话不会丢失。2.3.3应用安全策略电商电子商务平台是基于WEB和数据库架构的应用系统, 虽然在技术不断发展, 模式已经相当成熟的今天, 同样面临着各种各样的网络问题和攻击方式。其中包括基于WEB应用的攻击应用系统程序可能存在的缺陷 SQL 注入跨站式脚本攻击XSS( Cross Site Scripts) 跨站式请求伪造CSRF (Cross-site Request Forgery) Cookie和Session欺骗在应用系统方面, 我们经过实施图片安全处理方式, 系统漏洞扫描等措施来进一步增强对网络安全的防护: 2.3.3.1文件安全策略我们经过文件

38、类型过滤、及时的安全更新等技术手段, 以及严格控制的图片上传流程, 保证系统的安全性。安装安全更新必须执行微软安全公告 MS04-028 , 安装相关安全更新补丁,完全杜绝GDI+安全问题。经过设备和人工等多种方式, 保证系统漏洞补丁的及时更新。监控与扫描在图片服务器上安装有实时监控功能的杀毒软件, 同时, 当文件上传到该服务器之后, 调用杀毒软件对上传的文件进行扫描和处理。定期对图片服务器进行整体扫描, 并保存相关扫描记录。服务器管理员定期查看扫描结果, 对异常结果及时进行处理。定期以人工方式对杀毒软件和服务器安全扫描工具进行升级, 已保证相关工具的有效性。2.3.3.2安全扫描策略漏洞扫

39、描能够模拟黑客的行为, 对系统设置进行攻击测试, 以帮助程序员在黑客攻击之前, 找出系统中存在的漏洞。漏洞扫描工具说明采用Web Vulnerability Scanner (WVS) 作为安全扫描工具, 它能够经过检查SQL注入攻击漏洞、跨站式脚本攻击漏洞或者其它漏洞等来检测Web应用程序是否存在安全隐患。WVS经过抓取网站站点结构和模拟比较流行的攻击方式, 像跨站式脚本攻击和SQL注入等攻击方式对整个网络站点进行安全扫描, 能够在攻击者攻击之前扫描出在表单、安全区域和网络应用方面的问题。她不但能够支持创立和定制问题扫描检查, 而且支持现在所有主要的网络技术。另外, 配备专职安全测试人员

40、, 对系统的新功能、变更功能进行手工检测, 进一步强化系统安全。2.3.3.3压力测试评估经过模拟一定量的虚拟访问用户数, 对网站进行压力测试, 评估网站系统能提供的最大服务级别, 进而确定系统可能存在的瓶颈。LoadRunner是一种预测系统行为和性能的工业级标准性能测试负载测试工具。经过以模拟大量用户实施并发负载及实时性能监测的方式来确认和查找问题, LoadRunner能够对整个系统架构进行测试。压力测试结果说明经过设计不同的测试场景, 完成对系统的压力测试, 如以下关键流程: 1、经过测试, 检验用户进行注册的操作时, 系统最多能够接受的用户并发操作。找到在系统资源运行正常, 事物

41、平均响应时间。2、经过测试, 检验用户进行订单提交操作时, 系统最多能够接受在多少的用户进行并发操作, 并确认事物平均响应时间。压力测试评估界面2.3.4数据安全策略2.3.4.1数据安全数据备份机制1) 采用RAID 5模式, 在数据存储模式上实现了冗余备份; 2) 使用VSS等管理工具, 对不同版本的线上程序及其数据库进行版本管理; 3) 对存储在磁盘阵列上的数据库资料自动备份: 完全备份/周, 增量备份/日; 4) 全站光片介质备份: 网站内容+数据库增量/周, 数据库完全/月; 5) 全站硬盘介质备份: 网站内容+数据库完全/季度数据服务和图片应用服务双机热备采用双机热备能够避免应用

42、系统因服务器发生硬件故障而停机, 从而使系统具高可靠性。当主服务器宕机时, 经过集群(双机)软件技术, 备份服务器能够迅速接管主服务器运行的应用程序和数据资源, 保证应用的不间断运行, 为客户端提供持续的服务。条件允许, 能够建设多机服务, 提供更好的性能, 建立更有保障的服务机制。2.3.4.2数据恢复数据恢复在整个备份过程中占有相当重要的地位。因为它关系到系统在经历灾难后能否迅速恢复。针对商城系统, 在出现意外时需要恢复信息如下: 数据库对于应用层发生的意外数据丢失, 可使用每日的增量备份进行恢复。数据库资料存储在独立的磁盘阵列中, 如发生故障或损坏, 我们会及时联系专业的数据恢复服务商进

43、行恢复。图片服务器中图片文件对于误删除图片文件数据能够使用光盘或硬盘介质备份进行恢复。图片服务器中的图片文件存储在独立的磁盘阵列中, 如发生故障或损坏, 及时联系专业的的数据恢复服务商进行恢复。网站程序网站程序的恢复可使用光盘或硬盘介质中的备份进行恢复。数据恢复策略的时间目标单项信息恢复时间不超过一定的时间标准; ( 视网络设备情况而定) 包括数据库、图片服务器和网站程序在内的全站信息, 完全恢复时间小于1小时。2.3.4.2应急处理措施应急处理步骤: 1) 判断网站故障类型 2) 启动应急运行, 实时监控系统报警主机设备不可用: 自动启动备用服务器软件系统不可用: 启动备用服务器遭

44、受攻击或篡改: 启动备份网站内容3) 故障修复判断故障的严重程度和恢复时间, 故障进行修复, 非工作时间24小时内到达现场。故障原因为遭受攻击, 则采用”隔离、保护、分析、恢复、解除隔离、追查和升级处理”等一系列手段给予应对。4) 恢复运行在确认故障排除之后, 可恢复系统运行将恢复的原主服务器作为备用服务器黑客入侵应对预案( 1) 若监控系统显示系统异常, 需及时确认是否为非法入侵, 及时向电子商务平台相关协调主管人员进行通报。( 2) 系统管理员应详细记录有关现象和信息, 从网络中将被攻击的服务器等设备隔离出来, 保护现场。( 3) 系统管理员分析攻击现象, 提供解决方法, 进行恢复与重建工作。( 4) 适时解除对被攻击设备的隔离。( 5) 由系统管理员牵头, 会同相关技术人员共同追查黑客攻击来源, 将有关情况向电子商务平台相关协调主管人员汇报。( 6) 如认为事态严重, 则立即向电子商务平台相关协调主管人员提请向上级机关报警的建议。2.3.4.3安全策略升级根据业务发展情况, 可酌情考虑实现以下策略: 1) 选配不同品牌、不同架构的防火墙, 组成异构防火墙; 2) 配合版本更新计划( 约3个

展开阅读全文