网站内容安全防护技术浅析(一个电商网站有搜素功能，内容和功能有异同？)

　　网站内容安全防护技术浅析(一个电商网站有搜素功能，内容和功能有异同？)

　　小眼睛

　　主要需求是产品经理暴露最多的需求，即功能、内容和安全性。三者总结如下。

　　电子商务网站具有搜索功能，体现人机交互，是动态交互。这是功能。

　　当用户通过搜索查看商品详情时，商品详情中的标题、图片、描述和价格都是信息，这些信息是静态的。这是内容。

　　用户下单购买时，需要输入支付密码。有很多安全机制，这些安全机制就是保护的盾牌。

　　两个功能

　　功能是系统可以执行的特定过程、动作或任务。

　　在电子商务的情况下，搜索是一项功能。此时用户输入搜索词，系统输出搜索结果。这是系统执行的特定过程。

　　当用户申请贷款时，银行会对贷款进行审核，而银行的审核系统就是为了实现这个功能。

　　3 内容 1 内容概念

　　用户使用该功能后，还需要获取内容。例如，当用户去电子商务公司网站使用搜索功能和过滤功能时，是为了找到想要的产品。该产品包括介绍信息，这是用户希望看到的。只有在看到内容之后，用户才能进行购买。

　　为了设计好内容，产品经理需要确定内容的两个方面。一方面，内容包括什么，即信息是什么？比如商品详情中收录的信息包括商品图片、商品名称、商品价格、商品销量、是否自营等，另一方面，如何显示内容。例如，价格、销售等信息在页面上是如何布局的，使用什么颜色等等。总之，内容需要包括信息是什么以及信息是如何呈现的。

　　2 内容和功能的异同

　　简单来说，能用于人机交互的是功能，不能用于人机交互的是内容。比如登录是一个函数，一系列的人机交互。再比如，商品列表的过滤是一个功能，因为用户可以在各个维度进行过滤，这也是一系列的人机交互。但是，项目列表中的项目标题。促销信息和好评数量不是功能，而是内容。

　　四安全1安全概述

　　安全是必须满足的要求。一方面，用户账户被盗、资金被转移是不可接受的。另一方面，系统因受到攻击而无法使用，或显示错误页面也是不可接受的。

　　安全需求实际上是功能需求。比如用户多次输入错误密码后，系统显示账号被禁用，这是一个功能需求。但是，由于安全需求相对独立，需要专业的安全知识，所以应该单独列出。

　　2 谁来做安全要求？

　　对于产品经理来说，对安全需求的梳理往往很薄弱。因此，在很多公司中，开发者往往会梳理出安全需求，提供一整套解决方案，包括如何防止黑客攻击网站、如何防止黑客窃取用户密码、如何防止黑客获取内部信息等等。对于产品经理来说，一些安全需求还是需要做的，包括常规需求和后台控制接口。

　　监管要求：如用户支付金额上限，多次输入错误密码将冻结账户。制定这些业务规则是为了兼顾便利性和安全性。显然，不同平台的要求是不同的。例如，银行系统和信息系统对账户有不同的密码安全和保护策略。可以说，这样的安全需求是用户体验的一部分，需要产品经理来做。

　　后台控制界面：比如用户刷单时，后台会列出可疑用户，审核者会检查用户信息，然后禁用账号，或者判断订单无效。显然，这个流程也需要产品经理来设计。

　　3 安全需求框架

　　以下是企业服务行业常见的安全需求列表

　　项目

　　安全要求

　　防信息盗窃解决方案

　　对于某些公司而言，数据具有很高的价值，可能会发生盗窃。这种盗窃可以发生在企业内部，比如研发人员导出和销售数据，也可以发生在企业外部，比如黑客通过获取系统权限获取高价值信息的手段。

　　安全日志记录

　　信息被盗后，应保留窃贼的操作日志，以利于溯源。此类日志信息量大，涉及安全知识多，可能没有操作界面，由研发人员负责。

　　信息安全规范

　　大公司有相应的保密制度，会非常详细地记录数据访问和访问规则。产品经理应确保软件满足其安全要求。

　　操作日志记录

　　操作人员创建、编辑或查看产品信息、身份信息等信息。操作日志应记录谁做了什么、更改了什么等。有了这样的记录，公司可以对错误或恶意行为负责。安全日志的目的是防止外部攻击，操作日志的目的是追究内部工作的责任，方便业务处理。

　　历史数据备份

　　公司将指定内容的存储要求，包括 文章、视频等。信息存储后，如果用户有*敏*感*词*，事后很容易被追究责任。对于备份数据，产品经理必须定义要存储哪些信息以及存储多长时间。备份历史数据还可以避免系统人员误操作造成的损失。