旅游电商网站建设技术规范（GB/T26360—2010）优化方案

GB/T26360—2010——旅游电子商务网站建设技术规范于2011年1月14日发布，6月1日实施，对旅游电子商务网站建设提出了规范要求。因篇幅所限，部分内容有删减。

1.范围

本标准规定了旅游电子商务网站建设应遵循的基本原则、总体设计要求及安全和建设服务要求。

本标准适用于旅游管理部门、旅游企业等机构进行旅游电子商务网站的规划和建设。

2.规范性引用文件

GB/T 19256.1—2003（基于XML的电子商务 第1部分：技术体系结构）。

3.术语和定义

略。

4.基本原则

旅游电子商务网站的建设应考虑以下原则，以便系统在投入使用后能够充分发挥作用。

●可靠性：应确保旅游电子商务网站可靠、稳定运行，确保数据的完整性、正确性和可恢复性。

●安全性：应采取足够的措施，保证网站软、硬件系统的安全以及用户使用的安全。

●开放性：旅游电子商务网站建设应满足具有开放性、符合相关技术标准的要求，使其能与原有系统和其他应用系统兼容或集成。

●先进性：应采用先进而成熟的技术和设备，以保证系统高效且安全可靠运行，可分阶段逐步实现。

●可扩充性：应保证系统具有升级、可扩展的能力。

●实用性：应做好规划和需求分析，根据具体要求和实际情况选择实用可行的技术及软、硬件产品。

●集成性：底层设计应集成化，各类数据、计算、共享应高度统一。

5.总体设计要求

（1）功能

旅游电子商务网站应具有（但不限于）以下功能：

●旅游机构形象宣传。

●新闻及供求信息发布。

●产品和服务项目展示。

●产品和服务订购、转账与支付。

●信息检索与查询。

●用户信息管理。

●旅游社区系统。

●短信增值服务。

●广告管理与发布。

●网站服务。

（2）体系结构和关键技术

1）体系结构。旅游电子商务网站建设的技术体系结构应从总体上描述运用各种技术构建网站系统的规则和方法，标识出各服务领域及其接口，实现开放系统的分离原则。

旅游电子商务网站的体系结构自下而上可分为基础设施层、基础支持平台、商务支持平台、商务服务平台、商务应用层和电子商务应用表示层6个层次，其中每个层次为上层提供服务和支持。整个体系结构中的各个模块和层次之间应是低耦合的。

体系结构中的各层应包含以下内容：

●电子商务应用表示层应将商务应用层的各种业务逻辑的处理结果以多种形式提交给客户端，该层次应支持多种标准数据格式和多种主流数据终端。

●商务应用层应实现旅游电子商务网站的核心业务逻辑。

●商务服务平台应直接为商务应用层提供具体的服务，扩充和优化商务应用层的功能。

●商务支持平台应为旅游电子商务网站的应用服务提供抽象的、通用性的功能，简化应用程序的开发，提高应用系统的效率。

●基础支持平台应定义旅游电子商务网站的基础架构，为旅游电子商务网站的各类应用提供系统开发与环境维护、系统性能优化及可靠性、系统可管理性、应用互操作性4种基本类型的服务。旅游电子商务网站的基础架构技术应符合本标准的要求。

●基础设施层是旅游电子商务网站的运行环境，应包括计算机、网络等硬件环境，操作系统、数据库管理系统等软件环境，同时该部分还应包括各种网络协议。

2）基础架构技术分类如下：

●面向过程的架构。旅游电子商务网站的基础架构技术可采用面向过程的架构。面向过程的架构主体是中间件技术，可包括消息中间件、交易中间件、数据访问中间件、远程例程调用中间件等。

●基于组件的架构。旅游电子商务网站可采用基于组件的架构。基于组件的架构应建立在组件对象模型之上，提高软件的重用性、可扩展性。

●面向服务的架构。旅游电子商务网站可采用面向服务的架构。面向服务的架构应使采用不同编程语言、组件模型、硬件环境、数据库实现的服务能够集成在一起，消除异构的分布式环境对应用系统的影响。

3）信息表示技术。旅游电子商务网站的信息表示技术应提供一种独立于系统、平台的通用数据内容描述语言和方法。旅游电子商务网站应采用统一的信息表示规范，且应满足以下特性：

●自描述性，使信息在不同的系统中都能被正确识别和处理。

●可扩展性，允许在现有的信息结构中扩展新的结构。

●可校验性，允许通过定义一些约束条件，自动校验信息的格式是否满足约束。

●信息的层次结构，允许信息的层次性描述。

●信息的关联，允许信息之间建立一对多、多对一和双向链接等多种关联。

●多样式表支持，允许将数据内容与它们的表现形式分开。

●多语言支持，允许表示多种语言的信息，使同一语种的信息在多种语言的系统环境下都能处理。

旅游电子商务网站的信息表示宜采用XML技术。

4）数据访问技术。旅游电子商务网站的数据访问技术应满足以下要求：

●采用标准的数据访问接口，保证应用系统对数据的访问独立于数据的物理结构和逻辑结构。

●在数据层和应用层之间提供数据映射机制，保证应用层和数据层相互独立。

●应提供包括结构化数据的查询和非结构化数据的查询。

●在不同的数据源（异构数据）之间实现数据交换，或者将不同的数据源的数据集成并整合。

数据访问可采用（但不限于）数据库访问技术、Web资源访问技术、基于XML的数据访问技术。

5）Web 2.0技术。旅游电子商务网站建设可采用Web 2.0技术实现可编程的Web和社会性Web应用，包括网络日志等。

（3）信息采集与数据交换

1）信息采集。旅游电子商务网站的信息采集可包含旅游目的地信息、出游信息、旅游企业信息等。

旅游电子商务网站信息采集应包括以下内容：

●目的地综合信息规范。

●旅游景区信息规范。

●饮食信息规范（含饮食及餐馆信息）。

●旅游住宿设施信息规范。

●交通信息规范。

●购物信息规范。

●娱乐休闲场所信息规范。

●旅行社信息规范。

●旅游交通运输企业信息规范。

●旅游用品供应商信息规范。

●便民服务机构信息规范。

●旅游行政机构信息规范。

●旅游行业协会信息规范。

2）数据交换。旅游电子商务网站应可以通过网络进行广泛的信息交换并完成相应的电子商务活动，可采用以消息服务为核心的技术实现数据交换。

消息服务应满足以下要求：

●数据具有统一的封装格式。

●统一编址，采用统一、简单易用、易扩展、易管理的地址编码体系。

●可靠的数据传输。

●信息的表示与交换分开，实现高效的数据交换并具有充分的灵活性。

●具有可管理性，提供日志、审计、会话管理、传输优先级等功能。

（4）系统集成

1）旅游电子商务应用集成。旅游电子商务网站建设可与其他应用系统集成，实现以下功能：

●网上支付。

●全球分销系统旅游产品和服务预订。(www.xing528.com)

●语音呼叫服务。

2）分布式数据库的集成。旅游电子商务网站建设可采用分布式数据库提供多下级机构或多营业点的分布式管理，在这种情况下应至少满足以下要求之一：

●各个分点的数据库应能独立运作，并能定时或人工启动复制到其他节点。

●各个分点的数据库能独立运作，并能在在线时传递修改记录。

●各个分点的数据库在线状态下能独立运作，并能在在线时将修改记录整合至其他节点。

●可以自由定义需要复制的信息。

6.旅游电子商务网站的安全建设

（1）安全目标旅游电子商务网站的信息安全应满足以下目标：

●确保旅游电子商务网站信息的保密性，使得旅游电子商务网站的信息在生成、存储、传输和处理过程中，信息被访问的时间、地点、人员、方式4个要素满足信息保密性的规定。

●确保旅游电子商务网站流程的安全性。在信息系统流程的设计中，对流程的安全属性、安全要求应进行充分的分析和论证，同时保证满足旅游业务的需要。

●保证用户身份正确识别。

●确保用户权限正确分配和执行。

●确保旅游业务连续运转，应对“连续性”保障体系进行设计，确保旅游电子商务网站的故障不会影响旅游业务的连续运行。

（2）安全保护范围

1）计算环境。基本的计算环境由信息处理、传输和存储的设备构成。计算环境的保护应满足（但不限于）以下内容：

●确保对用户终端、服务器系统、应用系统实施有效保护，防止系统设备性能下降、信息泄露、数据丢失和变化。

●确保授权用户正确使用所授权使用的功能，正确地访问、处理、传输和存储信息。

●确保服务器系统、用户终端按照相应的安全要求进行配置，及时进行系统更新和修补。

●具有防范内部和外部攻击的能力。

●具有对安全事件及时响应的能力。

2）系统边界。旅游电子商务网站与其他系统连接的边界即为“系统边界”。系统边界的防护应满足（但不限于）以下内容：

●确保系统边界上系统连接点的可用性，防止拒绝服务等攻击。

●确保系统边界不成为攻击的入口点。

●确保系统边界所交换的信息的保密性、完整性和可用性。

●确保系统边界所进行的信息交换的合法性。

3）网络和基础设施。旅游电子商务网站的网络和基础设施资源包括物理资源、逻辑虚拟资源和通信资源。网络和基础设施防护应满足（但不限于）以下内容：

●防止远程通信信息被截获。

●防止远程通信带宽的损失。

●防止信息发送过程中的延时异常，防止信息丢失和误传。

●防止数据流分析。

●防止通信干扰。

4）支撑性安全基础设施。旅游电子商务网站的支撑性安全基础设施应涵盖以下内容：

●密码管理系统。

●密钥管理系统。

●入侵检测系统。

●安全管理系统。

●数字证书系统。

●PKI/PMI系统。

●灾难恢复系统。

●应急响应系统。

（3）安全体系结构

1）构成。旅游电子商务网站的安全体系结构应包含安全平台、加密技术、认证手段、安全协议4个层次，为旅游电子商务网站的业务系统提供安全保护。安全体系中的各层次应符合本标准的要求。

2）安全平台。旅游电子商务网站的安全平台应涵盖软件安全、数据安全和网络安全3个方面内容。

3）加密技术。旅游电子商务网站采用的加密技术应涵盖加密方法和密钥管理两方面的内容。加密方法可采用对称密钥加密或非对称密钥加密。

密钥的管理应满足下列要求：

●应在生命周期内对密钥资料进行控制，保证密钥资料的完整性，防止信息非法授权、泄露、修改、替换和重用。

●在允许使用相同算法的密码装置之间互用密钥时，应进行安全的人工或自动分配。

●在密钥管理进程失败或密钥资料的完整性存在疑问时应具有恢复能力，并提供审计追踪所有密钥资料的途径。

4）认证手段。旅游电子商务网站可采用数字签名保证信息的完整性和真实性。

旅游电子商务网站可采用证书授权认证机制，由证书授权认证中心向用户颁发包含用户公钥及用户身份信息的数字证书。

5）安全协议。旅游电子商务网站可采用安全套接层协议实现旅游电子商务网站的客户端和服务端之间的身份认证和保密通信。

旅游电子商务网站可采用安全电子交易协议实现旅游电子商务网站的安全电子交易和支付。

7.旅游电子商务网站的建设服务

（1）服务内容

旅游电子商务网站在建设和运行期间应提供相应的服务以保证网站建设的顺利完成和正常运行，这些建设服务应涵盖（但不限于）以下内容：

●服务保证体系。

●管理咨询。

●安装集成。

●用户培训。

●产品升级。

●技术支持。

（2）服务保证体系

旅游电子商务网站应建立独立的满意度评估与用户投诉渠道，保证用户能够得到等价的服务内容，并保证服务质量。

（3）管理咨询

旅游电子商务网站建设过程中应提供管理咨询服务，进行业务流程调研与优化、项目规划、主导推动、进度监控与阶段报告反馈工作。进行工作协调，提出组织分工与专业的编码建议，进行流程与软件运作规划，以保障旅游电子商务网站的顺利建设。

（4）安装集成

旅游电子商务网站的建设应针对所购买的软、硬件设备提供安装集成服务。安装集成服务应：

●提供集成前的规划与建议报告。

●提供集成后的完成报告，并得到用户确认。

●提供软、硬件安装集成服务的操作规范。

（5）用户培训

1）模块功能培训。旅游电子商务网站的建设应针对旅游电子商务网站各模块的功能说明、操作、使用时机、管理目的与导入程序进行培训，使系统应用人员、运行人员、维护人员深入了解每个模块的详细功能并能熟练操作。

2）开发技术培训。旅游电子商务网站的建设应对有能力自行维护并合法取得源代码的网站运营机构进行技术培训，提供相应技术文档和培训课程，使其能顺利掌握产品技术，提升其运行维护的技术水平。

（6）产品升级

旅游电子商务网站的建设应能在软件供应商推出新版本时，针对用户使用的旧版本提供软件升级服务。软件升级服务应：

●明确升级服务的收费方式。

●在升级前说明新老产品的差异。

●在产品升级后应保证用户原始数据不被破坏，且能适合新版本的功能。

●提供产品升级服务的操作规范。

（7）技术支持

旅游电子商务网站的建设应针对网站建设、运行维护和使用上的问题，提供以下方式的技术支持：

●热线电话技术支持。

●远程网络技术支持。

●现场技术支持。

（8）信息采集的主要内容

旅游电子商务网站的信息采集应主要包含旅游目的地信息、出游信息和旅游企业信息。