IT综合项目需求规格说明指导书模板.doc

资源描述

密级：内部保密需求规格说明书 Aostar&YinHai 项目管理文件编号文件名称《XXXX系统》需求规格说明书版本号 v0100 编制日期项目编号 09080001P 项目名称信息管理系统项目经理立项日期修订历史统计日期版本号作者说明 -01-01 v0100 张三最初版本审核：日期：同意：日期：开发单位：四川启明星银海科技 Aostar&YinHai Information Technologies Co., Ltd 目录需求规格说明书 i 1. 引言 4 1.1. 编写目标 4 1.2. 文档组成 4 1.3. 预期读者 5 1.4. 术语及缩略词 5 2. 相关现实状况说明 6 2.1. 相关机构及岗位说明 6 2.2. 现在网络及布署环境 6 2.3. 相关应用及信息化建设情况 6 3. 需求总体说明 7 3.1. 技术要求 7 3.2. 规范及标准性要求 7 3.3. 系统边界和接口 8 4. 功效需求 12 4.1. 需求概述 12 4.2. 需求清单 12 4.3. 需求单元编号/子系统名称 14 5. 非功效需求 23 5.1. 运行要求 23 5.2. 数据精度要求 24 5.3. 性能要求 26 5.4. 安全性要求 27 5.5. 可靠性要求 30 5.6. 可维护性要求 30 5.7. 易用性要求 31 5.8. 备份要求 32 5.9. 其它要求 32 6. 集成需求 41 6.1. 应用集成平台 41 6.2. 企业门户集成 42 6.3. 目录服务集成 43 6.4. 数据中心集成 43 7. 布署及运行环境 43 8. 附件 43 1. 引言 1.1. 编写目标需求规格说明书是标准化设计工作从业务建模过渡到系统设计转折点。需求规格说明书在业务模型说明书基础上针对业务本质进行系统信息化实现抽象，进行全方面需求分析工作，包含进行功效需求分析（业务功效需求、系统支撑需求等），进行数据需求分析（数据类需求、数据处理需求、代码需求等），进行系统非功效需求分析（集成需求、性能需求、安全需求、其它系统需求等），提供优化业务功效和非功效需求标准规范。需求规格说明书对标准化设计工作进行需求约束和界定，为标准化设计项目接下来功效精化设计、数据模型设计、IT架构设计、系统编码设计、系统安全设计提供完整系统需求，需求分析同时也反过来促进业务模型完善，在标准化设计过程中发挥着承上启下关键作用。需求规格说明书为各应用系统开发实施提供业务功效需求模型和系统需求模型，确保系统最终业务功效实现思绪一致，同时作为实施阶段系统测试和用户文档关键依据，是设计后续实现和验证基础，是对未来运行系统进行评测、评价和验收基础。 1.2. 文档组成系统需求从以下多个方面来描述： l 功效需求：指满足用户业务需求而必需含有特征，常见交互场景方法描述系统输入输出行为。包含业务功效需求及非业务功效需求： n 业务功效需求：针对每个业务步骤系统应实现具体需求。 n 非业务功效需求：支撑系统正常运行公共功效，为业务功效实现提供统一共享公共服务需求，包含工作流、日志管理、权限管理等 n 功效模块：以业务子项或业务子子项为依据，依据具体使用角色需要深入细化功效需求描述 n 功效点：功效交互场景中每个步骤具体描述，每个功效点通常包含操作动作和系统响应 u 基础功效点：基础路径功效点，用例完成关键路径，也是用户期望路径。一个基础功效点表示一个系统动作或表现交互 u 辅助功效点：扩展路径功效点 l 非功效性需求：是指软件产品为满足用户业务需求而必需含有且除功效需求以外特征。软件产品非功效性需求包含系统性能、可靠性、安全性、可维护性、易用性、备份要求、集成要求等； l 数据需求：在各业务处理步骤中针对业务处理对象和业务处理过程所产生数据。 1.3. 预期读者需求规格说明书预期读者为业务教授、系统设计分析人员和系统实施厂商设计、开发、测试人员。 1.4. 术语及缩略词缩写词英文解释汉字解释 API Application Programming Interface 应用编程接口 ASCII American Standard Code for Information Interchange ASCII码 B/S Browse/Server 浏览器/服务器 C/S Client/Server 用户机/服务器 CMM Capability Maturity Model 能力成熟度模型 CPU Central Processing Unit 中央处理器 IEEE Institute of Electrical & Electronics Engineers 电气和电子工程师协会 IP Internet Protocol 网际协议 ISO International Standardization Organization 国际标准化组织 LAN Local Area Network 局域网 LCD Liquid Crystal Display 液晶显示器 MAC Media Access Control 网络适配器地址 MIS Management Information System 管理信息系统 RAID Redundant Array of Independent Disks 冗余磁盘阵列 TCP Transmission Control Protocol 传输控制协议 TCP/IP Transmission Control Protocol/Internet Protocol 传输控制协议/网际协议 UPS Uninterrupted Power System 不间断电源系统 USB Universal Serial Bus 通用串行总线 VLAN Virtual Local Area Network 虚拟局域网 VPN Virtual Private Network 虚拟专用网 XML eXtended Markup Language 扩展标识语言 2. 相关现实状况说明对项目应用布署可能依靠现有环境、现有用户管理环境、相关业务现实状况等做出具体描述，假如是在一定应用基础上建设，还需要对依靠基础进行细致说明，比如原始设计资料等，能够以附件形势提供，此部分内容包含且不限于以上内容。 2.1. 相关机构及岗位说明对项目应用相关组织机构描述，努力争取兼顾现实状况和发展，切身相关职位、岗位、人员等需要具体说明，并将其职责清楚描述。依据项目相关性，充足考虑到企业信息化和项目标发展，制作项目相关单位、部门及相关岗位机构说明，也能够采取以下组织关系图做总索引，对相关单位、部门、岗位情况做具体说明。说明要具体清楚，尤其是相关岗位职责和具体负责相关事务等内容。 2.2. 现在网络及布署环境对项目布署依靠环境说明，必需清楚表述现在环境和将要布署环境差异，和和项目相关网络、服务器及其它相关配置具体情况，用户方是否会有相关环境调整和发展计划，相关本项目标部分也要具体清楚说明，比如具体服务器配置情况等。 2.3. 相关应用及信息化建设情况这部分应具体描述系统相关且含有依靠性或关联性信息化建设情况，假如较多，能够采取此处概述，附件具体说明形势。 3. 需求总体说明项目总体技术要求、性能、安全及标准和规范性要求，和项目相关其它总体性要求，这部分往往包含到用户最关注整体指标性要求，所以描述应努力争取清楚。此部分包含且不限于以下内容（依据实际项目情况增补）。 3.1. 技术要求包含技术路线、技术标准、技术限制（包含数据库、操作系统、中间件等）等相关技术指标要求。技术要求技术路线 B/S和C/S相结合方法，以B/S为主技术标准 Hibernate/Struts/Spring/ajax/Adobe Form/ 开发工具 eclipse 3.1/MyEclipse/JBuilder /Drameware 数据库 Oracle 10g/Microsoft SQL Server /Sybase 12.0 中间件 Weblogic Portal Server/JBoss 4.1/Tomcat 6.0 用户端 Internet Explorer 6.0/7.0、Firefox Microsoft XML Parser 4.0 消息/交易中间件 BEA Tuxedo/IBM MQSeries/东方通 3.2. 规范及标准性要求此部分描述和项目相关用户规范性及标准性要求，假如有相关电子资料，以附件形式提供，或引用说明，便于设计和开发人员参考。通常注日期引用文件，其随即全部修订版均不适适用于本标准，然而，激励依据本标准达成协议各方研究是否可使用这些文件最新版本。通常不注日期引用文件，其最新版本适适用于本标准。参考文件版本作者 XXXX技术规范书 XXXX技术协议 XXXX用户调研汇报 XXXX会议纪要 XXXX建设方案《国家电网企业“十一五”信息发展计划》《国家电网企业应用软件通用安全要求》《电网企业信息系统等级保护技术要求》《电网调度管理条例》【1993】第115号中国国务院令《电力监管条例》【】第432号中国国务院令《GB/T 8567- 计算机软件文档编制规范》《GB/T 11457- 软件工程术语》《GB/T 18336.2－信息技术安全技术信息技术安全性评定准则第2部分：安全功效要求》 GB/T 18336.2－ 3.3. 系统边界和接口清楚描述该项目业务和用户其它业务应用之间关系，和该项目内部业务功效之间关系，对于多层次管理应用和多层次布署要求项目，应该针对业务功效模块，明确各个业务功效模块在不一样等级应用上区分和共性，能够以图示方法说明，不过要求必需正确和清楚，利用本节来确定能够确保新产品和外部组件正确连接需求。关联图表示了高层抽象外部接。需要把对接口数据和控制组件具体描述写入数据字典中。假如产品不一样部分有不一样外部接口，那么应把这些外部接口具体需求并入到这一部分实例中。比如：图1系统功效结构图如上图所表示为实时数据采集和预警在井场信息远传及网络公布系统中所起作用和地位。实时数据采集和预警系统：对于实时数据采集，实现经典综合录井仪实时数据采集，从而完成经典综合录井仪数据接入，包含SK、SW、CMS、ALS-2，并将其数据格式转换成标准符合实时数据库模型数据格式；对于预警：监控每口井工程情况，发觉工程异常后进行预警，并将预警结果信息写入到实时数据库。实时数据采集预警管理维护软件：关键是提供可视化界面方法对实时数据采集预警系统进行管理和维护。 3.3.1. 主业务步骤清楚描述该项目业务和用户其它业务应用之间关系，和该项目内部业务功效之间关系，对于多层次管理应用和多层次布署要求项目，应该针对业务功效模块，明确各个业务功效模块在不一样等级应用上区分和共性，能够以图示方法说明，不过要求必需正确和清楚。 3.3.2. 硬件接口描述系统中软件和硬件每一接口特征。这种描述可能包含支持硬件类型、软硬件之间交流数据和控制信息性质和所使用通信协议。 3.3.3. 软件接口描述该产品和其它外部组件（由名字和版本识别）连接，包含数据库、操作系统、工具、库和集成商业组件。明确并描述在软件组件之间交换数据或消息目标。描述所需要服务和内部组件通信性质。确定将在组件之间共享数据。比如： 3.3.3.1. 例：和实时数据库、消息中间件接口实时数据采集后，将解析其数据格式，根据实时数据库模型进行数据格式标准化，包含名称、单位等，并生成以下格式（能够为两种格式xml、csv）：注1：生成数据，其标署名应符合以下格式：参数名.井号注2：Xml格式： <Import> <DataList Version="3.1.1760"> <Tag Name="参数名.井号"> <Data> <TimeStamp>-09-22 13:01:29</TimeStamp> <Value>1</Value> <DataQuality>Good</DataQuality> </Data> </Tag> </DataList> </Import> 注3：CSV格式： [Data] TimeStamp,DataQuality,Value, 参数名.井号 -09-25 09:10:20,good,1, 参数名.井号 -09-25 09:10:25,good,1, 参数名.井号将生成标准格式数据字节流，经过消息中间件传输到基地，并生成文件，由实时数据采集器进行采集。 3.3.4. 通信接口描述和产品所使用通信功效相关需求，包含电子邮件、We b 浏览器、网络通信标准或协议及电子表格等等。定义了相关消息格式。要求通信安全或加密问题、数据传输速率和同时通信机制。 4. 功效需求 4.1. 需求概述需求分三级展开：子系统，模块，业务用例。 l 子系统需要描述该子系统需要实现哪些功效点，用到业务名称解释，和整个系统包含总体业务步骤； l 模块需要描述该模块需要实现哪些功效点，和该模块包含业务步骤，模块级关键算法等； l 业务用例描绘描述具体功效点业务需求。 4.2. 需求清单需求编号需求名称子系统/模块优先级版本号修改人员 r90030011 用户管理高/中/低 v0100 张三工作流管理 4.3. 需求单元编号/子系统名称 4.3.1. 概述描述该系统实现关键功效点，起提要作用。 4.3.2. 专有定义和解释对于本单元中包含到专有名字或内容做出专业性质解释。 4.3.3. 业务活动和业务步骤以VISIO或WORD图形方法，细致展现子系统包含到业务步骤，对于能够细化步骤，以子步骤方法提供。步骤中必需标示（或在后面附加说明）具体实施角色或岗位，和相关控制点情况 4.3.4. 安全及性能要求需求依据用户提出具体要求，对本单元中全部相关性能指标进行明细量化，便于设计把握。如用户单位对使用方便需求，对可维护性、可补充性、易读性、可靠性、运行环境可转换性特殊需求等。如用户单位对本单元中存在安全要求，比如安全保密需求、高敏感数据要求密文存放等，具体描述。 4.3.5. 边界和接口需求在本项目中，本单元和其它业务单元发生关系，以关系图描述愈加好，尤其要关注信息改变。 4.3.6. 需求单元编号.模块名称 4.3.6.1. 概述描述该模块实现关键功效点。 4.3.6.2. 业务活动和业务步骤模块内包含业务步骤和对应业务活动。 4.3.6.3. 安全和性能需求依据用户提出具体要求，对本单元中全部相关性能指标进行明细量化，便于设计把握。如用户单位对使用方便需求，对可维护性、可补充性、易读性、可靠性、运行环境可转换性特殊需求等。如用户单位对本单元中存在安全要求，比如安全保密需求、高敏感数据要求密文存放等，具体描述。 4.3.6.4. 边界和接口需求在本项目中，本模块和其它业务模块发生关系，以关系图描述愈加好，尤其要关注信息改变。 4.3.6.5. 需求单元编号/业务用例名称需求编号 r10030011 需求名称需求模板业务说明业务子项概要说明。引用业务说明书业务描述。【实例】依据用户提交用电申请及相关资料，受理低压用户新装业务。业务规则一、和功效相关规则（假如和功效无关规则下没内容，本项标题能够不写）描述业务项、业务子项中工作要求及工作内容，和功效相关规则（该部分必需列出）。 1、抽象业务说明书中工作要求业务规则。 2、抽象业务说明书中工作内容业务规则。二、和功效无关规则（假如本项下没内容，本项标题能够不写）描述业务项、业务子项中工作要求及工作内容，和功效无关规则（该部分能够不列举）使用等级省企业、地市企业、区县企业、供电所先决条件功效实施和开启必备条件描述。 XXX业务项已完成。 XXX文档已产生。 XXX数据已经生成，符合XXX条件。 4、XXX审批已经过。功效要求基础功效累计XXX个基础功效点参考业务模型说明书中工作要求和工作内容描述基础功效具体实现过程。基础功效描述必需能表现过程实现次序，及该过程中所包含基础功效；在描述中需要充足考虑对可预知过程分支、异常等特殊情况处理方法。基础功效内容必需涵盖业务模型说明书中工作要求和工作内容（除和功效无关规则）。基础功效能够参考以下多个描述方法：方法一、初始化功效描述方法：<XXX数据项>默认为<XXX数据值>。方法二、查询类功效描述方法：输入<XXX条件><，根据XXX次序 >，查询<YYYY信息>。选择<XXX条件><，根据XXX 次序>，查询<YYYY信息>。输入或选择<XXX条件><，根据XXX次序 >，查询<YYYY信息>。方法三、判定类功效描述方法：假如<XXX条件>，则<实施YYYY功效 > <,不然<实施ZZZ功效>>。方法四、输入保留类功效描述方法：依据<XXX资料或信息>，输入并保留<XXX信息>。方法五、统计类功效描述方法：按<XXX>，统计出<XXX结果>。方法六、过程处理类功效描述方法：依据<XXX>， <完成XXX处理>。输入或选择<XXX>，完成<XXX处理>，得到<XXX信息>。根据< XXX >步骤设置发送<XXX>到<XXX>步骤。依据<XXX规则>，生成<XXX编号及XXX信息>。按<XXX规则>，对<XXX信息>进行校验。方法七、异常处理类功效描述方法：假如出现<XXX>错误，进行<XXX>处理。方法八、其它支持功效描述方法：依据XXX，打印XXX单据。能够查询<XXX>。按XXX……排序。累计2个基础功效点【实例】依据『用户识别信息』(01_099_004)查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方受理。【改为】输入『用户识别信息』(01_099_004)，查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。【格式实例】输入用户识别信息后自动经过『用户识别信息』(01_099_004) 查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。输入用户识别信息后自动经过『用户识别信息』(01_099_004) 查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。输入用户识别信息后自动经过『用户识别信息』(01_099_004) 查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。输入用户识别信息后自动经过『用户识别信息』(01_099_004) 查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。输入用户识别信息后自动经过『用户识别信息』(01_099_004) 查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。输入用户识别信息后自动经过『用户识别信息』(01_099_004) 查询和该用户属于同一自然人或同一法人主体其它用户电费缴费情况，如有欠费则须在缴清电费后方可受理。辅助功效累计XXX个辅助功效点在系统实现所支撑业务基础过程中提供非必需但能辅助业务方便、快捷开展及保障业务过程顺利实现功效。可查询<XXX信息>。可打印<XXX单据>。可导出<XXX>格式<XXX数据>。可按<XXX>排序。累计2个辅助功效点可查询相同识别信息（如：身份证号码、用电地址、联络电话）用户服务统计。可打印用户查询卡。查询卡是提供给用户查询业务办理情况单据，关键信息包含用户工作单编号，业务类型，受理人员和供电企业联络方法等。提醒信息描述多种情况提醒信息。假如<XXX条件（或情况）>，则<进行>提醒<XXX信息>。【实例】同一户名，用电地址或联络电话用户申请用电进行提醒。【改为】假如办理申请用户户名、用电地址或联络电话已经存在，则提醒。处理约束描述功效实现时针对业务要求内部必需满足控制性约束和条件。描述功效处理算法，数据之间逻辑关系等。描述方法以下：必需填写<XXX>信息<YYY,ZZZ数据栏> 不许可<实施XXX 处理><,只能<实施YYY 处理>> 假如<XXX情况>，则不许可<必需><YYYY>。 <XXX>和<YYY>必需相等或平衡算法。【实例】必需填写户名，用电地址，联络电话，证件类别，证件号码，管理单位等信息。修改用户档案时，不许可修改用户编号。信息处理要求输入信息要求：填写功效输入（查询系统）信息，如勘测处理功效中用户申请信息。假如输入信息是整个信息类，则信息类后要加信息类编号，不需罗列具体数据项。不然罗列数据项格式以下： <XXX>信息：<YYY 、 ZZZ……> 假如是网站及用户服务电话完成预受理用户，本步骤需要用户预受理信息。预受理信息：户名、地址、联络电话、预受理业务联络输出信息要求：本功效输出（系统保留）信息。假如输出信息是整个信息类，则信息类后要加信息类编号，不需罗列具体数据项。不然罗列数据项格式以下： <XXX>信息：<YYY 、 ZZZ……> 用户申请信息：用户编号，用户名称，行政区，用电地址，用户类型，联络地址，邮编，联络人，联络电话，移动电话。用电设备信息：设备名称，型号，容量，台数，累计容量步骤信息：传单编号、业务类型、用户名称、开始时间、完成时间考评要素列出考评要素，依据考评要素描述本业务子项应含有功效。列出业务说明书（业务要求或工作要求）中考评要素。针对XXX考评要素，在本业务子项应提供XXX功效。如：针对回复时限考评要求，需对超期业务进行统计，并对立即到期业务进行提醒。非功效需求包含性能需求、安全需求和其它需求。依据以下表格指出本业务项性能分类。分类性能要求适用功效事务处理快速响应响应时间<=5秒一般响应响应时间<=10秒批量处理响应时间<=5分钟查询简单查询响应时间<=5秒正确查询、简单条件查询综合查询响应时间<=10秒非统计查询统计简单统计响应时间<=30秒复杂统计响应时间<=10分钟复杂报表统计对特殊情况性能响应要求应单独进行描述，如电费计算，复杂电费报表。安全要求包含操作：是否需要审计是否需要AB密码校验是否需要第三方安全接口数据权限，XXX部门人员只能查询XXX范围XXX数据此处只需描述性能非功效需求，能够选择属于上面哪一类。能够补充特殊非功效需求。统计要素按<XXX>，统计出<XXX结果>。表卡单据列出本功效使用到表卡单据 5. 非功效需求 5.1. 运行要求运行环境要求数据库服务器操作系统：IBM AIX Oracle 10g 应用服务器操作系统：Windows Server SP1 64bit Weblogic Portal Server/JBoss 4.1/Tomcat 6.0 接口服务器操作系统：Windows Server SP1 32bit Microsoft SQL Server 工作站操作系统：Windows XP sp2 浏览器：Internet Explorer 6.0/7.0 网络环境 48口交换机，100/1000M自适应网口数据库服务器、应用服务器和交换机之间采取光纤连接 5.2. 数据精度要求分类类型限制及范围数字整数同 java/int 浮点数同 java/float 双精度数同 java/double 电力单位MW，9位有效数字，1位小数，四舍五入电量单位MWh，18位有效数字，3位小数，四舍五入电价单位元/MWh，9位有效数字，4位小数，四舍五入电费单位元，18位有效数字，4位小数保留，2位小数显示编号 0 <= 编号 <= 舍入方法四舍五入 3.4=3;3.5=4 向上取整 -3.1=-3;3.1-4 向下取整 -3.1=-4;3.1=3 向内取整 -3.1=-3;3.1=3 向外取整 3.1=-4;3.1=4 字符编码户号 18位，只包含[0-9]数字 1-2位表示电业局号，3-4位表示供电局号，其它为序列号名称能够为汉字或英文数字，不包含标点符号，最大长度40 身份证号能够是15位或18位身份证号； 15位身份证号，第7-12位应满足短日期格式[yyMMdd]要求； 18位身份证号，第7-14位应满足长日期格式[yyyyMMdd]要求；除最终一位能够为X外，其它位数只能是数字移动电话必需是由11位数字组成字符串电话号码根据(028)-68122888-8888格式显示，区号用圆括号包含，电话号码7-8位，只能是数字，中间用端破折号分隔电子邮件由字母、数字、@和点号(.)组成，包含@和点号(.) 用户名由字母、下划线和数字组成字符串，不区分大小写，第一个字符不能是数字；用户口令用户口令不能是汉字；日期年显示格式yyyy[]，保留格式INT 季度显示格式yyyy-QQ[-03] 保留格式DATE，保留为每三个月第一天[-09-01] 月显示格式yyyy-MM[-05] 保留格式DATE，保留为每个月第一天[-05-01] 日期显示格式yyyy-MM-dd[-01-01] 保留格式DATE 显示和保留精度：天日期时间显示格式yyyy-MM-dd HH:mm [-01-01 12:15] 保留格式DATE 显示和保留精度：分时间显示格式HH:mm:ss [12:15:30] 保留格式DATE 显示和保留精度：秒布尔真假 java/boolean：true/false java/integer：非0/0 5.3. 性能要求基于用户提出系统性能指标，结合我们信息化建设经验，制订适合和满足用户要求项目总体性能指标，这些性能包含可靠性、易用性（用户界面）、集成性、可维护性、可扩展性、可管理性和软件时间效率等，所列内容必需包容用户要求。指标分类指标项指标要求用户静态用户数 5000 动态用户数并发数 200 数据库数据库容量 10GB 数据库增加量 150MB/月估计3年后容量 30GB 网络带宽数据库出口带宽 1000M 应用服务器出口带宽 1000M 终端用户带宽 10M 稳定性稳定性要求 7*二十四小时/5*8小时系统可用率 >99.99% 并发稳定性 200并发连续运行72小时服务器服务器CPU负载平均<30%，峰值<70% 可用内存数不超出物理内存30% Java虚拟机占用内存 <2GB 界面展示平均每秒钟响应次数 1000 平均用户响应时间 <3s 最大用户响应时间 <15s 95%概率平均响应时间 <1s 95%概率最大响应时间 <5s 5.4. 安全性要求对于安全性，现在信息化建设安全性已经逐步被用户所重视，通常全部会提出相对具体要求，这部分也要结合我们经验，提出包容用户要求项目安全性能要求。待以后出具企业具体信息系统建设安全规范，这部分将描述用户特殊性安全要求。指标分类指标项指标要求用户登录口令限制身份判别信息含有不易被冒用特点，口令有复杂度要求，如口令长度最少八位以上，同时包含字母、数字、特殊字符等，并定时更换口令。登录限制对登录网络设备用户进行身份判别对网络设备管理员登录地址进行限制网络设备用户标识唯一结束会话、限制非法登录次数、当网络登录连接超时自动退出当远程对网络设备进行管理时，采取必需方法，预防判别信息在网络传输过程中被窃听结束会话、限制非法登录次数、当网络登录连接超时自动退出身份判别系统标识和判别机制能够包含以下一个或多个安全技术，用来替换或作为用户名＋静态口令方法补充：公钥基础设施（PKI）；硬件令牌、生物判别；一次性动态口令等用户帐号严格限制默认帐号访问权限，禁用或重命名系统默认帐号，并修改这些帐号默认口令立即删除多出、过期帐号，避免共享帐号存在数据库数据库用户不能用系统用户（如sysdba,system,sa等）数据库用户确保只能操作对应得表和存放过程应用系统配置得数据库用户不能有DDL权限应用服务器配置得数据库用户密码必需以加密方法保留数据库备份数据库必需每二十四小时做一次全库备份最少保留最近7天备份历史统计备份统计应该保留到可移动介质或其它服务器数据库日志数据库操作日志不能被删除，以备出现数据库问题后追查原因数据库补丁数据库安装时必需确保安装了最新补丁以后每六个月更新一次补丁服务器操作系统密码操作系统密码必需含有一定得安全性（不低于8字符，不能是单个单词）在系统试运行后，服务器密码必需移交给用户方维护人员，对服务器得操作采取工作票制度定时更新服务器必需每个月最少做一次系统更新防病毒软件服务器必需安装防病毒软件，并定时升级病毒库漏洞扫描网络防火墙数据库服务器、应用服务器必需置于防火墙保护方位内用户只能访问应用服务器，不能访问数据库服务器入侵检测数据库服务器、应用服务器和用户端之间应布署入侵检测系统双机数据库服务器采取双机配置双网数据库服务器、应用服务器采取双网配置安全隔离依据各部门工作职能、关键性、所包含信息关键程度等原因，划分不一样子网或网段，并根据方便管理和控制标准为各子网、网段分配地址段。需要建立VLAN虚拟专网以确保营销系统业务处理数据安全，经过分配固定带宽确保数据传输稳定可靠。在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件发生。布署企业级防病毒软件，以确保系统安全应用系统用户密码用户密码以不可逆算法加密保留用户密码不能以明文形式在网络上传输 SQL注入漏洞采取Microsoft SQL Server数据库应用程序应进行SQL注入漏洞检验跨域Cookie 采取ajax架构程序应进行跨域Cookie漏洞检验敏感数据存放在数据库中敏感数据（不能被系统其它低等级权限用户和系统管理员看到数据，如密码、身份证号码、银行账号等）应该以加密方法存放防抵赖设计敏感用户操作敏感数据（如财务主管付款统计、领导对文件审批统计等）应该做防抵赖设计权限分离实现操作系统和数据库系统特权用户权限分离安全性审计操作日志用户操作统计，尤其是系统管理员操作统计应该以日志方法统计，条件许可情况下应该记入独立审计数据库系统自审计系统应该提供自审计功效，发觉系统伪造数据审计范围审计范围覆盖到服务器上每个操作系统用户和数据库用户审计内容包含系统内关键安全相关事件，如：关键用户行为、系统资源异常使用和关键系统命令使用等安全相关事件统计包含日期和时间、类型、主体标识、客体标识、事件结果等保护审计进程避免受到未预期中止保护审计统计避免受到未预期删除、修改或覆盖等审计追踪统计统计关键网络设备运行情况、网络流量、用户行为等事件日期和时间、用户、事件类型、事件是否成功及其它和审计相关信息审计数据管理系统应该含有对审计信息访问控制机制，许可安全管理员配置能够对审计数据进行访问用户范围系统应该提供对审计数据进行手动或自动备份工具，含有依据用户提供查询条件对审计数据进行搜索、分类、排序能力系统应该提供对审计数据（日志）管理工具，许可管理员或安全管理员设定审计日志容量、覆盖规则和审计事件类型 5.5. 可靠性要求指标分类要求系统稳定性要求 7*二十四小时/6*12小时/5*8小时系统可用率要求年可用率不低于99.99%，平均年故障率<1小时故障恢复时间（自动） <=4小时故障恢复时间（手动） <=二十四小时并发稳定性要求 200并发连续运行72小时 5.6. 可维护性要求可维护性是指在不影响系统其它部分情况下修改现有系统功效中问题或缺点能力。指标分类要求构件化设计应用系统应该采取构件化设计思想，系统框架和业务逻辑分离异常信息应用系统出现异常错误汇报时，必需能够提供具体异常信息错误编号系统在运行过程中所发生错误应该有明确错误编号，并能在系统对应维护手册中查到错误处理方法和步骤扩展性当系统负荷加大时，仍需确保所需服务质量，而不应更改整个系统架构单独升级 l 应用系统必需支持各构件单独升级 l 应用软件中任一模块更新、加载时，在不更新和上下模块接口前提下，不影响业务运转和服务统一监控利用全局统一运维管理监控平台实现正确系统统一监控，监控内容包含运行状态、告警、日志、分析等 5.7. 易用性要求指标分类要求统一风格应用系统必需提供一致性图形用户界面风格。必填字段应用系统操作界面必需明确标识出必填输入信息。采取粗体/特殊颜色/尾部添加星号(*)等方法明确标示多窗口支持应用系统必需支持同时打开多个管理窗口以对不一样任务进行并行操作快捷键 l 应用系统应该支持常见快捷键，快捷键符适用户常见习惯； l 操作键序符合工作处理步骤，能自动跳转，以提升日常业务处理效率； l 应用系统应该支持经过【Tab】键或回车键能够访问到同一个窗口全部控

展开阅读全文