IT项目需求规格说明书模板

需求规格说明书 ISO QP08v08 表 1 密级 内部保密 需求规格说明书 文件编号Aostar YinHai 项目管理 文件名称 XXXX 系统 需求规格说明书 版本号 v0100 编制日期 项目编号 09080001P 项目名称 信息管理系统 项目经理 立项日期 修订历史记录 日期 版本号 作者 说明 2009 01 01 v0100 张三 最初版本 审核 日期 批准 日期 开发单位 四川启明星银海科技有限公司 Aostar YinHai Information Technologies Co Ltd XXXXX 项目 需求规格说明书 ii 目录 需求规格说明书 i 1 引言 4 1 1 编写目的 4 1 2 文档构成 4 1 3 预期读者 5 1 4 术语及缩略词 5 2 相关现状说明 6 2 1 相关机构及岗位说明 6 2 2 目前网络及部署环境 6 2 3 相关应用及信息化建设情况 6 3 需求总体说明 7 3 1 技术要求 7 3 2 规范及标准性要求 7 3 3 系统边界与接口 8 4 功能需求 12 4 1 需求概述 12 4 2 需求清单 12 4 3 需求单元编号 子系统名称 14 5 非功能需求 23 5 1 运行要求 23 5 2 数据精度要求 24 5 3 性能要求 26 5 4 安全性要求 27 5 5 可靠性要求 30 5 6 可维护性要求 30 5 7 易用性要求 31 5 8 备份要求 32 5 9 其它要求 32 XXXXX 项目 需求规格说明书 iii 6 集成需求 41 6 1 应用集成平台 41 6 2 企业门户集成 42 6 3 目录服务集成 43 6 4 数据中心集成 43 7 部署及运行环境 43 8 附件 43 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 4 页 共 42 页 1 引言 1 1 编写目的 需求规格说明书是标准化设计工作从业务建模过渡到系统设计的转折点 需求规格说明书在业务模型说明书的基础上针对业务本质进行系统信息化实现 抽象 进行全面的需求分析工作 包括进行功能需求分析 业务功能需求 系 统支撑需求等 进行数据需求分析 数据类需求 数据处理需求 代码需求 等 进行系统非功能需求分析 集成需求 性能需求 安全需求 其他系统 需求等 提供优化的业务功能和非功能需求标准规范 需求规格说明书对标准化设计工作进行需求约束和界定 为标准化设计项 目接下来的功能精化设计 数据模型设计 IT 架构设计 系统编码设计 系统 安全设计提供完整的系统需求 需求分析同时也反过来促进的业务模型的完善 在标准化设计过程中发挥着承上启下的关键作用 需求规格说明书为各应用系统开发实施提供业务功能需求模型和系统需求 模型 确保系统最终业务功能实现思路一致 同时作为实施阶段系统测试和用 户文档的重要依据 是设计后续实现和验证的基础 是对未来运行系统进行评 测 评价和验收的基础 1 2 文档构成 系统需求从以下几个方面来描述 功能需求 指满足用户业务需求而必须具有的特性 常用交互场景方式 描述系统的输入输出行为 包括业务功能需求及非业务功能需求 业务功能需求 针对每个业务环节系统应实现的具体需求 非业务功能需求 支撑系统正常运行的公共功能 为业务功能实现 提供统一共享的公共服务需求 包括工作流 日志管理 权限管理 等 功能模块 以业务子项或业务子子项为依据 根据具体使用角色的 需要进一步细化的功能需求描述 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 5 页 共 42 页 功能点 功能交互场景中每个步骤的详细描述 每个功能点通常包 括操作动作和系统响应 基本功能点 基本路径功能点 用例完成的关键路径 也是用 户期望的路径 一个基本功能点表示一个系统动作或表现交互 辅助功能点 扩展路径功能点 非功能性需求 是指软件产品为满足用户业务需求而必须具有且除功能 需求以外的特性 软件产品的非功能性需求包括系统的性能 可靠性 安全性 可维护性 易用性 备份要求 集成要求等 数据需求 在各业务处理环节中针对业务处理对象和业务处理过程所产 生的数据 1 3 预期读者 需求规格说明书预期读者为业务专家 系统设计分析人员以及系统实施厂 商的设计 开发 测试人员 1 4 术语及缩略词 缩写词 英文解释 中文解释 API Application Programming Interface 应用编程接口 ASCII American Standard Code for Information Interchange ASCII 码 B S Browse Server 浏览器 服务器 C S Client Server 客户机 服务器 CMM Capability Maturity Model 能力成熟度模型 CPU Central Processing Unit 中央处理器 IEEE Institute of Electrical Electronics Engineers 电气与电子工程师协会 IP Internet Protocol 网际协议 ISO International Standardization Organization 国际标准化组织 LAN Local Area Network 局域网 LCD Liquid Crystal Display 液晶显示器 MAC Media Access Control 网络适配器地址 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 6 页 共 42 页 MIS Management Information System 管理信息系统 RAID Redundant Array of Independent Disks 冗余磁盘阵列 TCP Transmission Control Protocol 传输控制协议 TCP IP Transmission Control Protocol Internet Protocol 传输控制协议 网际协议 UPS Uninterrupted Power System 不间断电源系统 USB Universal Serial Bus 通用串行总线 VLAN Virtual Local Area Network 虚拟局域网 VPN Virtual Private Network 虚拟专用网 XML eXtended Markup Language 扩展标记语言 2 相关现状说明 对项目应用部署可能依赖的现有环境 现有客户管理环境 相关业务现状 等做出详细的描述 如果是在一定应用基础上建设 还需要对依赖的基础进行 细致的说明 例如原始设计资料等 可以以附件形势提供 此部分内容包含且 不限于以上内容 2 1 相关机构及岗位说明 对项目应用相关的组织机构的描述 力求兼顾现状和发展 切身相关的职 位 岗位 人员等需要具体说明 并将其职责清晰描述 依据项目相关性 充分考虑到企业信息化和项目的发展 制作项目相关的单位 部门及相关岗位的机构说明 也可以采用如下的组织关系图做总索引 对相关 的单位 部门 岗位情况做详细的说明 说明要具体清晰 特别是相关岗位的职责以及具体负责的相关事务等内容 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 7 页 共 42 页 2 2 目前网络及部署环境 对项目部署依赖环境的说明 必须清晰的表述目前环境和将要部署环境的 差异 以及和项目相关的网络 服务器及其他相关配置的具体情况 用户方是 否会有相关的环境调整和发展计划 相关本项目的部分也要具体清晰说明 例 如具体服务器的配置情况等 2 3 相关应用及信息化建设情况 这部分应详细描述系统相关且具有依赖性或关联性的信息化建设情况 如 果较多 可以采用此处概述 附件详细说明的形势 3 需求总体说明 项目总体技术要求 性能 安全及标准和规范性要求 以及项目相关的其 他总体性的要求 这部分往往涉及到客户最关注的整体指标性的要求 所以描 述应力求清晰 此部分包含且不限于以下内容 根据实际项目情况增补 3 1 技术要求 包括技术路线 技术标准 技术限制 包括数据库 操作系统 中间件等 等相关的技术指标要求 技术 要求 技术路线 B S 和 C S 相结合的方式 以 B S 为主 技术标准 Hibernate Struts Spring ajax Adobe Form 开发工具 eclipse 3 1 MyEclipse JBuilder 2006 Drameware 数据库 Oracle 10g Microsoft SQL Server 2000 Sybase 12 0 中间件 Weblogic Portal Server JBoss 4 1 Tomcat 6 0 客户端 Internet Explorer 6 0 7 0 Firefox Microsoft XML Parser 4 0 消息 交易中间件 BEA Tuxedo IBM MQSeries 东方通 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 8 页 共 42 页 3 2 规范及标准性要求 此部分描述和项目相关的用户规范性及标准性的要求 如果有相关的电子 资料 以附件形式提供 或者引用说明 便于设计和开发人员参考 凡是注日 期的引用文件 其随后所有的修订版均不适用于本标准 然而 鼓励根据本标 准达成协议的各方研究是否可使用这些文件的最新版本 凡是不注日期的引用 文件 其最新版本适用于本标准 参考文件 版本 作者 XXXX 技术规范书 XXXX 技术协议 XXXX 用户调研报告 XXXX 会议纪要 XXXX 建设方案 国家电网公司 十一五 信息发展规 划 2006 年 国家电网公司应用软件通用安全要求 2006 年 电网企业信息系统等级保护技术要求 2002 年 电网调度管理条例 1993 第 115 号 中华人民共和国 国务院令 电力监管条例 2005 第 432 号 中华人民共和国 国务院令 GB T 8567 2006 计算机软件文档编制 规范 2006 年 GB T 11457 2006 软件工程术语 2006 年 GB T 18336 2 2001 信息技术 安全技 术 信息技术安全性评估准则 第 2 部分 安全功能要求 GB T 18336 2 2001 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 9 页 共 42 页 3 3 系统边界与接口 清晰描述该项目业务和用户其他业务应用之间的关系 以及该项目内部业 务功能之间的关系 对于多层次管理应用和多层次部署要求的项目 应当针对 业务功能模块 明确各个业务功能模块在不同级别应用上的区别和共性 可以 以图示方式说明 但是要求必须准确和清晰 利用本节来确定可以保证新产品与外部组件正确连接的需求 关联图表示 了高层抽象的外部接 需要把对接口数据和控制组件的详细描述写入数据字典 中 如果产品的不同部分有不同的外部接口 那么应把这些外部接口的详细需 求并入到这一部分的实例中 例如 S K 2 0 0 0 井 场 端 C M S A L SS W 业 务 数 据 上 报 管 理 系 统 视 频 传 输 摄 像 头 摄 像 头 视 频 监 控 录 井 专 业 数 据 库 基 地 端 实 时 数 据 库 其 他 W E B 应 用 流 媒 体 服 务 实 时 数 据 采 集 与 预 警 系 统 录 井 资 料 管 理 系 统 人 工 填 报 数 据 导 入 生 产 指 令 接 收 系 统 接 收 查 询 消 息 传 输 实 时 数 据 传 输 防 火 墙 实 时 数 据 发 布 接 口 服 务 实 时 数 据 监 控 与 预 警 门 户 查 询 管 理 监 控 中 心 一 般 用 户 管 理 员 视 频 集 成 生 产 指 令 发 布 管 理 系 统 数 据 迁 移 工 具 管 理 者 数 据 管 理 员 卫 星 传 输 实 时 数 据 采 集 管 理 维 护 软 件 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 10 页 共 42 页 图 1 系统功能结构图 如上图所示为实时数据采集以及预警在井场信息远传及网络发布系统中所 起作用以及地位 实时数据采集与预警系统 对于实时数据采集 实现典型的综合录井仪实 时数据采集 从而完成典型的综合录井仪数据接入 包括 SK SW CMS ALS 2 并将其数据格式转换成标准的符合实时数据库模型的 数据格式 对于预警 监控每口井的工程状况 发现工程异常后进行预警 并 将预警结果信息写入到实时数据库 实时数据采集预警管理维护软件 主要是提供可视化界面的方式对实时数 据采集预警系统进行管理和维护 3 3 1 主业务流程 清晰描述该项目业务和用户其他业务应用之间的关系 以及该项目内部业 务功能之间的关系 对于多层次管理应用和多层次部署要求的项目 应当针对 业务功能模块 明确各个业务功能模块在不同级别应用上的区别和共性 可以 以图示方式说明 但是要求必须准确和清晰 3 3 2 硬件接口 描述系统中软件和硬件每一接口的特征 这种描述可能包括支持的硬件类 型 软硬件之间交流的数据和控制信息的性质以及所使用的通信协议 3 3 3 软件接口 描述该产品与其它外部组件 由名字和版本识别 的连接 包括数据库 操作系统 工具 库和集成的商业组件 明确并描述在软件组件之间交换数据 或消息的目的 描述所需要的服务以及内部组件通信的性质 确定将在组件之 间共享的数据 例如 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 11 页 共 42 页 3 3 3 1 例 与实时数据库 消息中间件的接口 实时数据采集后 将解析其数据格式 按照实时数据库模型进行数据格式 标准化 包括名称 单位等 并生成如下格式 可以为两种格式 xml csv 注 1 生成数据 其标签名应符合如下格式 参数名 井号 注 2 Xml 格式 2008 09 22 13 01 29 1 Good 注 3 CSV 格式 Data TimeStamp DataQuality Value 参数名 井号 2008 09 25 09 10 20 good 1 参数名 井号 2008 09 25 09 10 25 good 1 参数名 井号 将生成的标准格式的数据字节流 通过消息中间件传输到基地 并生成文 件 由实时数据采集器进行采集 3 3 4 通信接口 描述与产品所使用的通信功能相关的需求 包括电子邮件 We b 浏览器 网络通信标准或协议及电子表格等等 定义了相关的消息格式 规定通信安全 或加密问题 数据传输速率和同步通信机制 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 12 页 共 42 页 4 功能需求 4 1 需求概述 需求分三级展开 子系统 模块 业务用例 子系统需要描述该子系统需要实现哪些功能点 用到的业务名称解释 以及整个系统涉及的总体业务流程 模块需要描述该模块需要实现哪些功能点 以及该模块涉及的业务流程 模块级核心算法等 业务用例描绘描述具体功能点的业务需求 4 2 需求清单 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 13 页 共 42 页 需求编号 需求名称 子系统 模块 优先级 版本号 修改人员 r90030011 用户管理 高 中 低 v0100 张三 工作流管理 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 14 页 共 42 页 4 3 需求单元编号 子系统名称 4 3 1 概述 描述该系统的实现的主要功能点 起提纲作用 4 3 2 专有定义和解释 对于本单元中涉及到的专有名字或内容做出专业性质的解释 4 3 3 业务活动以及业务流程 以 VISIO 或者 WORD 图形方式 细致展现子系统涉及到的业务流程 对 于能够细化的流程 以子流程方式提供 流程中必须标示 或者在后面附加说 明 具体执行的角色或岗位 以及相关的控制点情况 4 3 4 安全及性能要求需求 依据用户提出的具体要求 对本单元中所有有关性能的指标进行明细量化 便于设计把握 如用户单位对使用方便的需求 对可维护性 可补充性 易读 性 可靠性 运行环境可转换性的特殊需求等 如用户单位对本单元中存在的 安全要求 例如安全保密的需求 高敏感数据要求密文存储等 具体描述 4 3 5 边界和接口需求 在本项目中 本单元与其他业务单元发生的关系 以关系图描述更好 特 别要关注信息的变化 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 15 页 共 42 页 4 3 6 需求单元编号 模块名称 4 3 6 1 概述 描述该模块的实现的主要功能点 4 3 6 2 业务活动以及业务流程 模块内涉及业务流程以及相应的业务活动 4 3 6 3 安全以及性能需求 依据用户提出的具体要求 对本单元中所有有关性能的指标进行明细量化 便于设计把握 如用户单位对使用方便的需求 对可维护性 可补充性 易读 性 可靠性 运行环境可转换性的特殊需求等 如用户单位对本单元中存在的 安全要求 例如安全保密的需求 高敏感数据要求密文存储等 具体描述 4 3 6 4 边界以及接口需求 在本项目中 本模块与其他业务模块发生的关系 以关系图描述更好 特 别要关注信息的变化 4 3 6 5 需求单元编号 业务用例名称 需求编号 r10030011 需求名称 需求模板 业务说明 业务子项的概要说明 引用业务说明书的业务描述 实例 根据客户提交的用电申请及相关资料 受理低压客户新装业务 业务规则 一 与功能有关的规则 如果与功能无关的规则下没内容 本项标 题可以不写 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 16 页 共 42 页 描述业务项 业务子项中的工作要求及工作内容 与功能有关的规 则 该部分必须列出 1 抽象业务说明书中工作要求的业务规则 2 抽象业务说明书中工作内容的业务规则 二 与功能无关的规则 如果本项下没内容 本项标题可以不写 描述业务项 业务子项中的工作要求及工作内容 与功能无关的规 则 该部分可以不列举 使用级别 省公司 地市公司 区县公司 供电所 先决条件 功能执行和启动的必备条件描述 XXX 业务项已完成 XXX 文档已产生 XXX 数据已经生成 符合 XXX 条件 4 XXX 审批已通过 功 能 要 求 基本 功能 共计 XXX 个基本功能点 参照业务模型说明书中的工作要求与工作内容描述基本功能具体实 现过程 基本功能描述必须能体现过程实现的顺序 及该过程中所包含的基 本功能 在描述中需要充分考虑对可预知的过程分支 异常等特殊 情况的处理方法 基本功能内容必须涵盖业务模型说明书中的工作要求和工作内容 除与功能无关的规则 基本功能可以参照以下的几种描述方法 方法一 初始化功能 描述方法 默认为 方法二 查询类功能 描述方法 输入 查询 选择 查询 输入或选择 查询 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 17 页 共 42 页 方法三 判断类功能 描述方法 如果 则 否则 方法四 输入保存类功能 描述方法 根据 输入并保存 方法五 统计类功能 描述方法 按 统计出 方法六 过程处理类功能 描述方法 根据 输入或选择 完成 得到 按照流程设置发送到环节 根据 生成 按 对 进行校验 方法七 异常处理类功能 描述方法 如果出现错误 进行 处理 方法八 其它支持功能 描述方法 根据 XXX 打印 XXX 单据 可以查询 按 XXX 排序 共计 2 个基本功能点 实例 根据 客户识别信息 01 099 004 查询与该客户属于同一自然人 或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电 费后方受理 改为 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 18 页 共 42 页 输入 客户识别信息 01 099 004 查询与该客户属于同一自然 人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清 电费后方可受理 格式实例 输入客户识别信息后自动通过 客户识别信息 01 099 004 查询 与该客户属于同一自然人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电费后方可受理 输入客户识别信息后自动通过 客户识别信息 01 099 004 查询 与该客户属于同一自然人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电费后方可受理 输入客户识别信息后自动通过 客户识别信息 01 099 004 查询 与该客户属于同一自然人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电费后方可受理 输入客户识别信息后自动通过 客户识别信息 01 099 004 查询 与该客户属于同一自然人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电费后方可受理 输入客户识别信息后自动通过 客户识别信息 01 099 004 查询 与该客户属于同一自然人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电费后方可受理 输入客户识别信息后自动通过 客户识别信息 01 099 004 查询 与该客户属于同一自然人或同一法人主体的其它客户电费缴费情况 如有欠费则须在缴清电费后方可受理 辅助 功能 共计 XXX 个辅助功能点 在系统实现所支撑业务的基本过程中提供的非必需但能辅助业务方 便 快捷开展及保障业务过程顺利实现的功能 可查询 可打印 可导出 格式 可按排序 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 19 页 共 42 页 共计 2 个辅助功能点 可查询相同识别信息 如 身份证号码 用电地址 联系电话 的 客户服务记录 可打印客户查询卡 查询卡是提供给客户查询业务办理情况的单据 主要信息包括客户的工作单编号 业务类型 受理人员以及供电公 司的联系方式等 提示 信息 描述各种情况的提示信息 如果 则提示 实例 同一户名 用电地址或联系电话的客户申请用电进行提示 改为 如果办理申请的客户户名 用电地址或联系电话已经存在 则提示 处理 约束 描述功能实现时针对业务要求内部必须满足的控制性约束和条件 描述功能处理的算法 数据之间的逻辑关系等 描述方法如下 必须填写 信息的 不允许 只能 如果 则不允许 与必须相等或平衡 算法 实例 必须填写户名 用电地址 联系电话 证件类别 证件号码 管理 单位等信息 修改客户档案时 不允许修改客户编号 信 息 处 理 要 求 输入 信息 要求 填写功能输入 查询系统 的信息 如勘测处理功能中的客 户申请信息 如果输入的信息是整个信息类 则信息类后要加信息类编号 不需 罗列具体数据项 否则罗列数据项格式如下 信息 如果是网站及客户服务电话完成预受理的客户 本环节需要客户预 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 20 页 共 42 页 受理信息 预受理信息 户名 地址 联系电话 预受理业务联系 输出 信息 要求 本功能输出 系统保存 的信息 如果输出的信息是整个信息类 则信息类后要加信息类编号 不需 罗列具体数据项 否则罗列数据项格式如下 信息 客户申请信息 客户编号 客户名称 行政区 用电地址 客户类 型 联系地址 邮编 联系人 联系电话 移动电话 用电设备信息 设备名称 型号 容量 台数 合计容量 流程信息 传单编号 业务类型 用户名称 开始时间 完成时间 考核要素 列出考核要素 根据考核要素描述本业务子项应具备的功能 列出业务说明书 业务要求或工作要求 中考核要素 针对 XXX 考核要素 在本业务子项应提供 XXX 功能 如 针对答复时限考核要求 需对超期业务进行记录 并对即将到期业 务进行提醒 非功能需 求 包括性能需求 安全需求和其他需求 根据以下表格指出本业务项的性能分类 分类 性能要求 适用功能 快速响应 响应时间 5 秒 普通响应 响应时间 10 秒 事 务 处 理 批量处理 响应时间 5 分钟 简单查询 响应时间 5 秒 精确查询 简单条件查询查 询 综合查询 响应时间 10 秒 非统计查询 简单统计 响应时间 30 秒统 计 复杂统计 响应时间 10 分钟 复杂报表统计 对特殊情况的性能响应要求应单独进行描述 如电费计算 复杂电 费报表 安全要求包括操作 是否需要审计 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 21 页 共 42 页 是否需要 AB 密码校验 是否需要第三方安全接口 数据权限 XXX 部门的人员只能查询 XXX 范围的 XXX 数据 此处只需描述性能非功能需求 可以选择属于上面哪一类 可以补充特殊的非功能需求 统计要素 按 统计出 表卡单据 列出本功能使用到的表卡单据 一般节点 重要节点 文档 一般工作流程 判断 重要工作流程 输入输出 开始 结束 人工 显示 打印输出 数据输入 数据输出 审批 5 非功能需求 5 1 运行要求 运行环境 要求 数据库服务器 操作系统 IBM AIX Oracle 10g 应用服务器 操作系统 Windows 2003 Server SP1 64bit Weblogic Portal Server JBoss 4 1 Tomcat 6 0 接口服务器 操作系统 Windows 2003 Server SP1 32bit Microsoft SQL Server 2000 工作站 操作系统 Windows XP sp2 浏览器 Internet Explorer 6 0 7 0 网络环境 48 口交换机 100 1000M 自适应网口 数据库服务器 应用服务器和交换机之间采用光纤连接 5 2 数据精度要求 分类 类型 限制及范围 数字 整数 同 java int XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 22 页 共 42 页 浮点数 同 java float 双精度数 同 java double 电力 单位 MW 9 位有效数字 1 位小数 四舍五入 电量 单位 MWh 18 位有效数字 3 位小数 四舍五 入 电价 单位元 MWh 9 位有效数字 4 位小数 四舍五 入 电费 单位元 18 位有效数字 4 位小数保存 2 位小 数显示 编号 0 编号 99 99 并发稳定性 200 并发连续运行 72 小时 稳定性 服务器 CPU 负载 平均 30 峰值 70 可用内存数 不超过物理内存 30 Java 虚拟机占用内存 2GB 服务器 平均每秒钟响应次数 1000 界面展示 平均用户响应时间 3s XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 25 页 共 42 页 最大用户响应时间 15s 95 概率平均响应时 间 1s 95 概率最大响应时 间 5s 5 4 安全性要求 对于安全性 目前信息化建设的安全性已经逐渐被客户所重视 一般都会 提出相对具体的要求 这部分也要结合我们的经验 提出包容用户要求的项目 安全性能要求 待以后出具公司具体的信息系统建设安全规范 这部分将描述 用户特殊性的安全要求 指标分类 指标项 指标要求 口令限制 身份鉴别信息具有不易被冒用的特点 口令有复 杂度要求 如口令长度至少八位以上 同时包含 字母 数字 特殊字符等 并定期更换口令 登录限制 对登录网络设备的用户进行身份鉴别 对网络设备的管理员登录地址进行限制 网络设备用户的标识唯一 结束会话 限制非法登录次数 当网络登录连接 超时自动退出 当远程对网络设备进行管理时 采取必要措施 防止鉴别信息在网络传输过程中被窃听 结束会话 限制非法登录次数 当网络登录连接 超时自动退出 用户登录 身份鉴别 系统的标识和鉴别机制可以包含以下一个或多个 安全技术 用来替代或者作为用户名 静态口令 方式的补充 公钥基础设施 PKI 硬件令牌 生物鉴别 一 次性动态口令等 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 26 页 共 42 页 用户帐号 严格限制默认帐号的访问权限 禁用或重命名系 统默认帐号 并修改这些帐号的默认口令 及时删除多余的 过期的帐号 避免共享帐号的 存在 数据库用户 不能用系统用户 如 sysdba system sa 等 数据库用户保证只能操作相应得表和存储过程 应用系统配置得数据库用户不能有 DDL 权限 应用服务器配置得数据库用户密码必须以加密方 式保存 数据库备份 数据库必须每 24 小时做一次全库备份 至少保留最近 7 天的备份历史记录 备份记录应该保存到可移动介质或其它服务器 数据库日志 数据库操作日志不能被删除 以备出现数据库问 题后追查原因 数据库补丁 数据库安装时必须保证安装了最新补丁 以后每半年更新一次补丁 数据库 操作系统密码 操作系统密码必须具有一定得安全性 不低于 8 字符 不能是单个单词 在系统试运行后 服务器密码必须移交给客户方 维护人员 对服务器得操作采取工作票制度 定期更新 服务器必须每月至少做一次系统更新 防病毒软件 服务器必须安装防病毒软件 并定期升级病毒库 漏洞扫描 服务器 防火墙 数据库服务器 应用服务器必须置于防火墙保护 方位内 用户只能访问应用服务器 不能访问数据库服务 器 网络 入侵检测 数据库服务器 应用服务器和客户端之间应部署 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 27 页 共 42 页 入侵检测系统 双机 数据库服务器采用双机配置 双网 数据库服务器 应用服务器采用双网配置 安全隔离 根据各部门的工作职能 重要性 所涉及信息的 重要程度等因素 划分不同的子网或网段 并按 照方便管理和控制的原则为各子网 网段分配地 址段 需要建立 VLAN 虚拟专网以保证营销系统业务处 理的数据安全 通过分配固定带宽保证数据传输 的稳定可靠 在网络边界处监视以下攻击行为 端口扫描 强 力攻击 木马后门攻击 拒绝服务攻击 缓冲区 溢出攻击 IP 碎片攻击 网络蠕虫攻击等入侵事 件的发生 部署企业级防病毒软件 以保证系统安全 用户密码 用户密码以不可逆算法加密保存 用户密码不能以明文形式在网络上传输 SQL 注入漏洞 采用 Microsoft SQL Server 数据库的应用程序应进 行 SQL 注入漏洞检查 跨域 Cookie 采用 ajax 架构的程序应进行跨域 Cookie 漏洞检查 敏感数据 存放在数据库中的敏感数据 不能被系统其它低 级别权限用户和系统管理员看到的数据 如密码 身份证号码 银行账号等 应该以加密方式存储 防抵赖设计 敏感用户操作的敏感数据 如财务主管付款记录 领导对文件的审批记录等 应该做防抵赖设计 权限分离 实现操作系统和数据库系统特权用户的权限分离 应用系统 操作日志 用户操作记录 特别是系统管理员操作记录应该 以日志方式记录 条件允许的情况下应该记入独 立的审计数据库 安全性审 计 系统自审计 系统应该提供自审计功能 发现系统的伪造数据 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 28 页 共 42 页 审计范围 审计范围覆盖到服务器上的每个操作系统用户和 数据库用户 审计内容包括系统内重要的安全相关事件 如 重要用户行为 系统资源的异常使用和重要系统 命令的使用等 安全相关事件的记录包括日期和时间 类型 主 体标识 客体标识 事件的结果等 保护审计进程避免受到未预期的中断 保护审计记录避免受到未预期的删除 修改或覆 盖等 审计追踪记录 记录关键网络设备的运行状况 网络流量 用户 行为等事件的日期和时间 用户 事件类型 事 件是否成功及其他与审计相关的信息 审计数据管理 系统应该具有对审计信息的访问控制机制 允许 安全管理员配置能够对审计数据进行访问的用户 范围 系统应该提供对审计数据进行手动或自动备份的 工具 具有根据用户提供的查询条件对审计数据 进行搜索 分类 排序的能力 系统应该提供对审计数据 日志 的管理工具 允许管理员或安全管理员设定审计日志的容量 覆盖规则和审计事件的类型 5 5 可靠性要求 指标分类 要求 系统稳定性要求 7 24 小时 6 12 小时 5 8 小时 系统可用率要求 年可用率不低于 99 99 平均年故障率 1 小时 故障恢复时间 自动 4 小时 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 29 页 共 42 页 故障恢复时间 手动 24 小时 并发稳定性要求 200 并发连续运行 72 小时 5 6 可维护性要求 可维护性是指在不影响系统其他部分的情况下修改现有系统功能中问题或 缺陷的能力 指标分类 要求 构件化设计 应用系统应该采用构件化设计思想 系统框架与业务逻辑分离 异常信息 应用系统出现异常错误报告时 必须能够提供详细的异常信息 错误编号 系统在运行过程中所发生的错误应该有明确的错误编号 并能在 系统的相应维护手册中查到错误处理方法与步骤 扩展性 当系统负荷加大时 仍需确保所需的服务质量 而不应更改整个 系统的架构 单独升级 应用系统必须支持各构件的单独升级 应用软件中的任一模块更新 加载时 在不更新与上下模块 的接口的前提下 不影响业务运转和服务 统一监控 利用全局统一的运维管理监控平台实现对的系统的统一监控 监 控内容包括运行状态 告警 日志 分析等 5 7 易用性要求 指标分类 要求 统一风格 应用系统必须提供一致性的图形用户界面风格 必填字段 应用系统的操作界面必须明确标识出必填的输入信息 采用粗体 特殊颜色 尾部添加星号 等措施明确标示 多窗口支持 应用系统必须支持同时打开多个管理窗口以对不同任务进行并行 的操作 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 30 页 共 42 页 快捷键 应用系统应该支持常用的快捷键 快捷键符合用户常用习惯 操作键序符合工作处理步骤 能自动跳转 以提高日常业务 处理效率 应用系统应该支持通过 Tab 键或回车键可以访问到同一 个窗口的所有控件对象 分页显示 应用系统必须采用分页机制显示查询结果 并显示返回的记录数 目 当前页和总页数 错误处理 应用系统发现用户提交有误信息 必须以弹出窗口的形式明确提 示用户错误的原因 并把界面控制焦点置于发生错误的控件对象 上 系统在处理程序出错时信息提示以红色字体出现在操作页面的上 方 并通过提示信息内容告诉客户系统处理失败的原由 出错的信息提示内容通过本地化文件进行管理 菜单组织 应用系统功能菜单必须按照功能域 功能项的分类方法进行组织 操作提示 在导致系统数据发生变化的操作执行之前 系统应该弹出提示窗 口供用户确认 分栏显示 经常性的面向基层的具体岗位的业务处理界面必须简洁 实 用 直观 数据信息分层显示 常用的排前 不常用的靠后 或消隐 对于操作员无权限使用的菜单功能 应用系统不显示该菜单 或将其设置为不可用状态 对于复杂的信息结构 系统应该采用分栏的机制在同一个窗 口中显示不同的信息内容 并自动刷新不同部分的信息内容 进度显示 当应用系统正在执行用户提交的请求而无法返回时 必须明确标 识系统处于繁忙阶段 在线帮助 系统必须提供在线帮助功能 对于每一个操作功能都能查找 到相应的详细使用说明 应用系统提供 FAQ 功能 支持常见问题的管理 发布等 应用系统提供问题管理功能 支持常见问题的收集 反馈等 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 31 页 共 42 页 事务处理 操作员登录系统后 系统必须能够主动地提醒等待该操作员处理 的任务 导出功能 应用系统的查询统计结果可以转存为 EXECL 等常见格式文件 5 8 备份要求 指标分类 要求 基础数据 基础数据在线永久保存 过程数据 过程数据在线保存 3 年 离线永久保存 实时数据 实时数据在线保存 2 年 离线永久保存 文档数据 文档数据在线保存 3 年 离线永久保存 统计数据 统计汇总数据在线保存 3 年 离线永久保存 系统数据 系统数据全备份时间周期 7 天 增量备份时间周期 24 小时 5 9 其它要求 5 9 1 用户和权限管理 本部分安全要求规定了系统的用户分类管理 口令管理和授权管理 5 9 1 1 系统管理员帐号 角色 系统应该将系统的管理权限 包括用户管理 权限管理 配置定制 单独 赋予系统管理员帐号 角色 这类帐号 角色 仅负责进行系统级的管理 不具备任何业务操作的权限 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 32 页 共 42 页 5 9 1 2 安全管理员帐号 角色 系统应该通过设置特殊的安全管理员帐号 角色 对系统中所有的安全 功能进行管理或监视 例如具有操作审计 数据备份等权限 从而限制和监督 系统管理员 业务员行使正常权限 系统使用中 应该保证安全管理员帐号 角色 与系统管理员帐号 角色 不能为同一人 5 9 1 3 审核管理员帐号 角色 系统应该能够通过设置审核管理员帐号 角色 对关键的系统管理和特 殊要求的业务操作行为实施不可绕行的审批 没有经过审批的操作将不能生效 系统使用中 应该保证审核管理员帐号 角色 与系统管理员帐号 角色 不能为同一人 5 9 1 4 非管理帐号 角色 系统应该将业务操作权限赋予非管理员帐号 角色 这类帐号 角色 不能具备任何系统级的管理权限 并且其具有的权限转移和委托机制不能违背 系统的授权原则 5 9 1 5 禁用匿名帐户 系统应该不内置匿名账户 也不允许匿名用户的登录 5 9 1 6 用户口令管理 系统应该可以让系统管理员用户去分发用户的初始口令 同时需要强制用 户在初始登录时去改变管理员分发的口令 在此之后应该不允许除了系统管理 员用户之外的其它用户去改变非他们本人的口令 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 33 页 共 42 页 系统在鉴别身份之前 应该能够检验用户口令是否过期 并强制性的要求 口令过期的用户去更新口令 系统在用户更新口令时应该能够检测用户的新口令是否已经被使用过 并 阻止其选择使用过的最近几次 管理员定制 的口令 系统应该能够系统管理用户对以上涉及的口令策略进行配置 5 9 1 7 用户授权管理 系统应该提供给系统管理员用户一个产生和修改用户授权的管理工具 并 且保证在每次产生或修改权限后不需要重启系统就能立即生效 系统应该能够根据业务特性 设置权限互斥的原则 保证用户 权限合理 对应关系 避免任何可能产生安全问题的权限分配方式或结果 例如 一个用 户不能同时具有两个互相制约的权限 系统能够支持应用网省集中或应用地市集中不同模式下的数据和业务功能 省对市 市对县的分级授权管理功能 使系统安全从应用程序前端界面到数据 库后端的访问修改权限都能得到灵活控制 系统应具备一定的灵活性 能灵活调整适应一定条件下组织机构变化所引 起的数据及权限的变化 5 9 2 操作安全 本部分安全要求规定了系统的访问控制机制 具体表现为用户操作合法性 的验证方式 操作输入的安全性以及异常情况的处理机制 5 9 2 1 用户授权的验证 系统应该在允许用户 或代表用户的进程 获取权限或者资源之前 已经 对其进行了授权确认 系统应该能够确保用户可以正常执行所有授权操作 同时不能绕过其控制 机制执行任何非授权的操作 对系统中一些关键的业务操作 需要进行 AB 校验或二次校验 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 34 页 共 42 页 5 9 2 2 输入 导入数据的安全验证 系统应该对用户在客户端输入或导入的数据进行长度 范围 数据类型等 属性的合法性进行检验 对不合法的数据应该禁止输入系统 并且提示明确的 错误信息 系统应该在服务器端对将要存储到后台数据库中的数据进行合法性检验 对不合法的数据应该舍弃 并报警 5 9 2 3 并发操作保护 系统应该能够允许多用户同时对同一个系统资源进行不相冲突的访问操作 并且设定保护措施 防止相互可能造成的冲突 系统应该禁止客户端用户执行相互矛盾的操作 例如两个用户同时修改一 个资源 5 9 2 4 异常事件的提示和报警 系统应该定义了分级的系统异常事件类型 并且根据异常的严重程度分别 采用日志记录 警告提示 声光报警等方式进行通知 5 9 2 5 异常事件的自动处理 系统应该能够对部分严重故障进行自动处理 采取可能使系统恢复正常状 态的行为或保护现存数据安全的行为 5 9 3 应用数据安全 本部分安全要求依据应用数据的分类保护情况 由数据拥有者或使用者定 义需求 例如定义敏感数据 鉴别数据 普通数据 确定其在存储 传输过 程中的机密性 完整性和可用性等方面的需求 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 35 页 共 42 页 5 9 3 1 鉴别数据保护 应该对系统内鉴别数据的存储和传输进行保护 保证对其机密性 完整性 和可用性的保护强度符合业务需求 系统应该负责保证其访问数据库系统 中间件系统的用户名和口令的机密 性 并能够允许系统管理员用户进行该类口令的修改而不影响系统的使用 系统应该保证临时出现的鉴别数据的机密性 包括内存或缓存文件中口令 密钥等 5 9 3 2 业务数据分级保护 系统应该允许系统管理员用户或数据创建者定义 修改业务数据的安全性 等级 并且确保该分级标记是可以被访问控制机制理解的 系统应该按照已定义的业务数据安全级别 进行分级的存储保护和传输保 护 保证对其机密性 完整性和可用性的保护强度符合业务需求 对关键业务的每一步操作 如电价表维护 都要记录操作日志 以备安全 检查 5 9 3 3 系统数据保护 系统应该对程序文件 配置文件和可执行代码等系统数据进行存储保护和 传输保护 保证对其机密性 完整性和可用性的保护强度符合业务需求 5 9 3 4 客户端返回数据 系统应该能够保证其向客户端提供的数据信息 包括不成功的连接尝试 中不包含会泄漏系统安全数据的内容 例如 数据库类型 中间件类型和操作 系统的版本信息等 也不包含与用户请求无关的数据 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 36 页 共 42 页 5 9 3 5 客户端缓存数据 系统应该避免在客户端缓存任何重要和敏感的数据 如果有必要应采取安 全措施确保数据的机密性和完整性 5 9 3 6 输出数据 系统应该在输出保密数据到外部系统或打印时 恰当的标记数据的保密等 级 5 9 4 密码技术 本部分规定了系统在使用密码技术进行数据加密或完整性保护时需要满足 的要求 这些要求独立于特定的密码技术 5 9 4 1 密码算法的选择 系统中使用的密码算法在强度上应该等于或大于公司规定和用户提出的安 全强度要求 5 9 4 2 密钥的安全管理 系统需要在密钥生成 存储 分配 销毁的整个生命周期中对其实施保护 确保密钥明文不能被其他进程 程序和应用中非相关组件访问到 5 9 4 3 证书验证和撤销 系统应该确保能够对系统中使用的证书进行正确鉴别 而且不会接受或继 续使用非法的或者无效的证书 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 37 页 共 42 页 5 9 5 审计管理 本部分安全要求定义系统所应具有的审计功能和实现方式 包括利用外部 审计系统达到的审计功能 5 9 5 1 基本审计功能 系统应该能够将所有的安全相关事件记录到事件日志中 或者将事件数据 安全地发送到外部 5 9 5 2 完整的审计功能 系统应该提供对审计数据进行查看 分析的管理工具 保证系统管理员或 安全管理员方便的实施安全运维行为 5 9 5 3 审计事件的类型 系统应该能够对所有与应用本身相关的各类事件进行有效记录 包括但不 限于以下事件 系统事件 例如 系统启动 关闭 认证和鉴别 配置更改等 业务事件 例如 信息查询 数据输入等 成功事件 失败事件 对审计功能的操作 系统应该能够允许安全管理员选择需要进行审计的事件项目 5 9 5 4 审计事件的信息 系统对审计事件的记录应该确保可以将每个可审计事件与引起该事件的用 户身份相关联 需要包含并绑定以下信息 事件发生的时间 或时间段 事件发起用户 ID 程序 ID 或其他实体的识别 ID XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 38 页 共 42 页 用户操作的客户端 事件内容 事件导致的结果 5 9 5 5 审计数据的管理 5 9 6 安全实施 本部分安全要求规定了信息系统上线部署阶段应该考虑的安全要求 5 9 6 1 代码清除 信息系统部署后应当确定应用程序代码和其运行的平台不包含着不必要的 文件或者 后门 5 9 6 2 用户初始化 信息系统部署后 应当确认系统中存在的所有用户生成应该是合法 并且 不能存在以下用户或口令 实施过程中使用的临时用户 或测试用户 隐藏用户和匿名用户 管理员的初始默认口令 管理员给用户分发的口令 5 9 6 3 权限初始化 信息系统部署后 信息系统用户和数据库用户的权限应该符合最小权限原 则 并且由信息系统管理员完全控制 5 9 6 4 安全策略配置 信息系统部署后 应该按照具体业务的安全需求启用安全功能和配置安全 策略 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 39 页 共 42 页 5 9 6 5 运行环境加固 信息系统部署后 应该对操作系统 数据库等基础系统进行针对性的加固 在保证信息系统正常运行的情况下 关闭其他风险服务和端口 5 9 7 数据安全 5 9 7 1 数据完整性 能够检测到网络设备操作系统 主机操作系统 数据库管理系统和应用系 统的鉴别信息和重要业务数据在传输过程中完整性受到破坏 5 9 7 2 数据保密性 网络操作系统 主机操作系统 数据库系统 应用系统的鉴别信息和重要 业务数据采用加密或其他保护措施实现存储保密性 采用信息加密技术对客户端和应用服务器之间 银电联网的各环节之间传 输的数据流进行加密处理 保证在网络传输过程中的数据安全 5 9 7 3 数据备份和恢复 提供对重要信息进行备份和恢复的功能 提供重要网络设备 通信线路和服务器的硬件冗余 定期进行数据备份安全恢复试验 采用磁盘镜像的技术进行数据冗余保护 建立数据异地容灾 以在意外或不可预料的灾难情况发生时 确保营销关 键业务还能够正常开展 数据库服务器需考虑多种方式的冗灾 冗错和备份 数据库服务器应有独立的网段 不允许网内普通用户直接访问数据库服务 器 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 40 页 共 42 页 6 集成 需求 6 1 应用集成平台 6 1 1 技术要求 系统应按照 SOA 架构对业务应用进行搭建或改造 实现系统的可集成 松 耦合 开放可重用 业务应用基本实现 即插即用 应用集成平台提供按照标准信息模型构建的数据 应用和流程集成服务 并依据标准搭建相应的技术实现平台 应用集成平台提供的接口规范应包括但不局限于标准的 Web Service JMS 等 应用集成平台提供统一的信息模型标准 统一的服务目录 服务的注册 发布和订阅机制 营销管理业务系统按照标准模型统一通过应用集成平台对外 进行集成工作 系统支持按照国际标准信息模型 例如 CIM 进行转换 并依据标准通过 应用集成平台进行数据 应用和流程的集成 6 1 2 数据集成 系统与其它业务系统实时性较高的数据共享需求 需要按照标准的信息模 型通过应用集成平台企业服务总线进行数据共享和交换 系统与其它业务应用系统间非实时的批量数据共享数据需求 需要信息模 型通过数据中心 ETL 服务进行数据共享和交换 6 1 3 应用集成 系统与其它业务应用系统 彼此调用功能获取信息 需要实时返回结果 通过调用应用集成平台按标准接口和模型封装的业务服务 并实时返回结果 系统与其它业务应用系统 彼此调用功能获取信息 需要非实时返回结果 通过应用集成平台调用按标准接口和模型封装的业务服务 非实时返回结果 XXXXX 项目 需求规格说明书 四川启明星银海科技有限公司 第 41 页 共 42 页 系统与其它业务应用系统 彼此单向发送信息的 通过应用集成平台调用 按标准接口和模型封装的业务服务