在当今开放的、分布式的网络环境下,Web站点的信息安全管理与控制问题日益突出,传统的安全模型大多只局限于计算机本身和网络上,过分关注技术环节,而忽略了安全问题本质的来源和管理的重要性,管理界有这样的说法:“七分管理三分技术”,实践证明,信息安全中由于人员、组织和管理方面的原因而造成的影响远大于安全技术和产品。因此,解决安全问题,人们越来越重视技术和产品以外的因素。因此,本文的目的就是在管理层面上,结合系统安全工程能力成熟度模型(SSE-CMM)模型,对Web站点的安全体系结构加以研究。本文首先分析了Web站点的安全现状,总结了Web站点安全的特点;以SSE-CMM为基础,结合新一代信息安全设计方法,融合安全最佳实践、工程管理面向过程、风险管理、系统生命周期安全等思想,建立了Web站点安全工程管理模式。该模式涵盖了SSE-CMM模型中的11个过程域(PA)、61个基本实践(BP),这样就可以通过Web安全工程的过程改进来实现企业的安全目标。无论是SSE-CMM还是信息安全工程生命周期模型,只是给出了构造安全体系应该遵循的指导思想,而没有给出安全体系设计的参考模型以及可操作方法,因此本文进一步从多个视图角度分析来描述安全维,提出了多视图的体系结构模型,分别对业务运营视图、协议层次视图、安全域视图、安全管理视图、安全运作视图、安全技术视图、安全过程周期视图、系统生命周期视图、信息生命视图进行描述,并分析说明了各视图之间的关系。在此基础上,描述了Web站点安全体系结构构建的步骤,提出了完整的、多层次的Web站点安全体系结构。最后,以某大型Web站点为例,结合实际安全工作,阐述安全体系结构的构建,并对该安全体系进行了评价和度量。为后续的Web站点安全体系的建立,提供了较为完整的、可行的、先进的、可度量的参考模版。