网站安全性要求将管理界面与提供给用户的常用功能区分开。例如，美国的萨班斯·奥克斯利（SOX）要求进行这种隔离，也是ISO 17799强烈建议的。

系统应为管理员和普通用户提供单独的应用程序。OWASP指南2.0建议， 如果不通过某些管理网络（例如，通过高度认证的VPN或可信网络操作中心）访问互联网，则不应从Internet访问网站管理应用程序。

除管理员外，客服还应该可以使用管理界面的某些部分，因为他们需要能够在使用面向客户的网站时协助遇到问题的客户。

下面的顶级用例图显示了管理网站可以提供的一些管理功能。

使用管理界面的 两个参与者是网站管理员和客服。帮助台使用网站管理员可以使用的部分功能。所示的所有顶级用例 都是抽象的，因为每个用例代表管理功能的某些组或“包”。

管理网站的顶级用例图。

管理用户组 抽象用例由创建组， 更新组和删除组用例专用。网站管理员可以创建不同的用户组，例如，拥有不同的权限或选项，然后可以修改甚至删除某些用户组。

管理网站的用户组管理用例图。

网站管理员和服务台 都可以使用用户管理用例。设置了标准的用户CRUD（创建，检索/查找，更新，删除）功能。

锁定用户和解锁用户这 两个其他用例特定于网站安全。例如，如果在某个预定义的时间段内使用错误的用户密码进行了几次失败的登录尝试，则应将用户帐户锁定一段预定义的时间，以防止可能的暴力密码猜测攻击。这种锁定和解锁通常由入侵检测或网站身份验证子系统自动完成，但是以防万一，此功能也需要在手动模式下可用。例如，某些用户可能打电话并要求锁定他或她的帐户。

管理网站的用户管理用例图。

为尚未成为会话一部分的每个新传入请求创建用户会话，或/和在对用户进行身份验证之后创建用户会话。网站管理员应具有查看创建了多少会话的能力，包括有关会话的一些统计信息，查找某些特定会话并查看该会话的状态，以及在需要时取消（删除）某些会话的能力。

管理网站的用户 sessions 管理用例图

日志管理中 包含的管理功能列表取决于网站支持和实施的安全要求。

日志的标准安全要求是（例如，请参阅OWASP指南2.0），即只能附加新记录，而不应重写或删除旧的日志记录。例如，可以通过将日志写入一次写入/多次读取（WORM）设备（如CD-R）来实现。

网站管理员应该能够查看日志状态。该状态可能包括验证日志记录仍然可以正常工作（磁盘上有足够的空间和/或与数据库的连接不是陈旧的），以及是否已按计划将较旧的日志文件移至永久性存储以进行归档。

管理网站的日志管理用例图

允许网站管理员查找和查看与特定用户或特殊情况相关的一些日志记录也是常见的要求。