记录一下我写的文档,应该不会有人看吧。
工业互联网标识解析标识服务机构服务能力成熟度等级评估管理平台(ISCA)
目录
一、概述
1.项目背景
为促进工业互联网标识解析节点服务能力测试验证指标体系和评价方法的建设,由北京中科院软件中心有限公司、中国科学院信息工程研究所、中国科学院软件研究所、北京软件产品质量检测检验中心等多家机构,面向工业互联网标识解析国家顶级节点、二级节点、企业节点开展基于服务提供能力、业务能力、运营能力、安全能力、数据应用能力等指标体系的测试和试验,形成工业互联网标识解析节点服务能力测试验证评价方法,并于2021年5月通过中国软件行业协会发布,包含《工业互联网标识解析顶级节点服务能力成熟度模型》《工业互联网标识解析顶级节点服务能力成熟度评估方法》《工业互联网标识解析二级节点服务能力成熟度模型》《工业互联网标识解析二级节点服务能力成熟度评估方法》《工业互联网标识解析企业节点服务能力成熟度模型》《工业互联网标识解析企业节点服务能力成熟度评估方法》六个评价模型和评价方法。
2.项目目的
为贯彻落实国务院《关键信息基础设施安全保护条例》,为了更高效的保障国家关键信息基础设施安全稳定运行,促进工业互联网标识解析体系健康有序发展,加强关键信息基础设施安全保障和监督管理,中国软件行业协会根据工业互联网标识解析各级节点服务能力成熟度体系标准,开展工业互联网解析各级节点服务能力成熟度评估工作。
3.用户对象
意向申报单位用户,系统管理员用户
二、前台功能需求
前台用户主要是注册企业,用户进入页面首先进入首页,未登录可以查看系统公告、使用系统进行评估机构查询和表示服务机构证书查询。登录用户同样可以使用以上功能,同时还可以进入个人中心,进行基本信息修改、机构信息认证、进行测评、修改密码等系统功能。
1. 注册登录
首先进入系统可以在首页右上角看到登录面板,主要包含登录、注册、忘记密码三个功能。
1.1 登录
前台用户登录,通过输入正确的用户名、密码进行登录,登录成功后刷新页面,进入个人中心功能页面。如果输入错误的用户名或密码会给出提示。
管理员用户登录,通过输入正确的用户名、密码进行登录,登录成功后刷新页面,进入后台功能页面。如果输入错误的用户名或密码会给出提示。
1.2 忘记密码
如果用户忘记自己的用户密码,可以点击下方‘忘记密码’按钮,进入到‘找回密码’页面。通过输入用户手机号、获取短信验证码,并输入新密码,二次确认密码之后可以提交修改,找回密码。返回首页后用户可以使用新密码登录系统。
1.3 注册
如果没有系统账号,可以点击‘注册’按钮。系统跳转到注册页面可以进行系统注册。待注册用户需要输入如下信息实现注册,包括:用户名、性别、密码、所在区域、单位名称、单位详细地址、单位社会统一信用代码、姓名、手机号。
其中,密码需要满足:密码长度8-20位,且至少包含有数字、小写字母、大写字母。社会统一信用代码需要满足:18位阿拉伯数字或大写英文字母表示,分别是1位登记管理部门代码、1位机构类别代码、6位登记管理机关行政区划码、9位主体标识码、1位校验码。按照单位的代码填写即可。
输入用户手机号后,获取验证码信息,之后完成注册流程,可以返回登录。
2. 首页
首页展示用户常用的几个功能:在线公告、评估机构资质查询、服务标识机构证书查询、友情链接。这四个功能是不需要登录系统就可以使用的。登录系统的用户也可以点击首页标题进入。
2.1 在线公告
在线公告功能主要展示工业互联网标识解析与标识服务机构服务能力成熟度等级评估管理平台发布的相关公告。公告按照发布时间倒叙展示。
点击某一对应的公告,系统页面跳转到公告详情页面。详情页面主要描述了整个公告的详情内容。
对于需要附加文件的公告,用户可以自行点击查看文档详情,也可以点击下载文档。
2.2 评估机构资质查询
在系统首页点击‘评估机构资质查询’,进入评估机构资质查询页,可以看到评估机构信息,包含:法人代表、联系人姓名、联系人邮箱、联系人电话、评估人员数码等信息。
2.3 标识服务机构证书查询
在系统首页点击‘标识服务机构证书查询’,进入标识服务机构证书查询页,可以看到证书信息,包含:证书编号、证书名称、公司名称、节点类型、服务能力等信息。输入需要查询的企业名称或者项目编号,点击查询按钮,可以显示所有的信息,查询支持模糊查询。
2.4 友情链接
本系统提供了其他三个相关平台的链接,可以点击快速进入。分别是:工业互联网监测与服务平台、工业互联网标识解析测评能手,军民两用软件协会。
3. 个人中心
3.1 基本信息
在基本信息页面,主要展示了注册时用户填写的基本信息,用户可以在此进行查看。主要包含:姓名、用户名、昵称、性别、生日、邮箱、手机号、职位名称。注册时没有填写的信息可以在此补充,同时对于其他信息可以修改。点击‘确认修改’按钮,提交修改信息。提交后提示‘基本信息修改成功’,完成修改。
3.2 机构认证信息
刚注册登录的企业用户需要填写机构信息从而获取认证。需要填写的信息包括:机构名称、节点表示前缀、组织机构代码、营业执照、联系人、手机号、地址等信息。
输入信息后点击提交可以看到,提交的申请处于后台管理员审核中。该页面主要有三种状态是和后台管理员审核相关的,分别是:‘正在审核中’,‘审核未通过’,‘审核通过’三种状态。
- ‘待审核’的用户无法使用‘立即测评’功能,需要等待后台管理员审核之后使用。
- ‘审核未通过’的用户需要重新提交相关文件信息,等待审核
- 只有‘审核通过’的用户才可以使用系统后续功能进行测评。
3.3 修改密码
- 在此页面用户输入用户名、旧密码确认身份,之后两次输入密码,实现密码重置。重置之后需要重新登录系统。
-
4. 测评报告
本页面功能是系统的核心功能,主要进行测评提交。
4.1 查看报告列表
在本页面可以查看已经提交的测评。主要包含的信息有:节点标识前缀、节点分类、标准版本号、申请测试等级、提交日期、自评结果、审核状态、报告发布状态等信息,并且可以进行操作。
上面的查询栏可以根据申请测试等级、审核状态、发布状态查询本用户已经申请的测评报告,并查看。
点击‘发布’按钮,‘报告发布状态’修改显示。
点击修改按钮,可以修改信息。并可以进行后续的提交文档操作。点击查看按钮,不可编辑。
4.2 立即测评
(1)选择节点类型
未完成机构认证信息的用户点击‘立即测评’会显示需要先完成机构审核,审核通过才可以使用该功能。
已完成机构认证的用户可以选择节点类型,主要有:国家顶级节点、二级节点、企业节点三种。选择之后点击‘下一步’按钮。
(2)选择测评级别
主要的测评级别是根据前面的节点类型对应生成的,主要包括:能力成熟度第一级(初始级)、能力成熟度第二级(受管理级)、能力成熟度第三级(稳健级)、能力成熟度第四级(量化管理级)、能力成熟度第五级(优化级)。选择之后点击‘下一步’。
(3)填报表单
需要填写自我评价报告,主要包含自评结果。通过对测评指标进行评价填写,指标项是后台管理配置的。填写完成之后点击‘保存’按钮。
系统会根据测评返回结果,如果不通过需要重新填写提交,通过的可以进入下一步。点击‘导出报告’可以下载测评报告到本地。点击‘下一步’可以进入最终步骤。
(4)提交审核
用户上传盖章的PDF文件既可以完成提交
三、后台管理系统需求
后台管理系统管理员用户登录系统可以实现对系统的维护,主要包括:机构信息审核、测评报告审核、指标项管理、轮播图管理、公告管理、统一用户管理、证书管理等功能。
1. 机构信息审核
机构信息审核页面,展示前台用户提交的机构信息列表,可进行搜索、审核和查看功能操作。可通过机构名称、手机号、审核状态进行管理员搜索。
管理员点击‘审核’按钮,可以审核改机构信息,审核通过后前台会显示,对应用户可以实现其他操作,审核不通过的前台用户需要返回修改。
点击查看按钮可以查看详情信息
2 测评报告审核
测评报告审核主要是对前台用户在‘立即测评’功能中提交的报告进行审核和发布,展示审核列表,可以查看到企业名称、节点标识前缀、节点分类、申请测评等级、提交时间、报告发布时间、发布时间、审核状态。可通过企业名称、审核状态、节点标识前缀、节点分类、申请测评级别进行查询。
对于未审核的报告,可以进行审核;对于已审核通过的,直接可以查看。
点击‘审核’按钮,弹框显示了该用户在前台提交的信息,主要包括:节点信息和审核信息。节点信息涵盖了前台用户提交的盖章版测评报告,可以点击按钮进行下载,同时可以看到测评结果和其他信息。
审核人员选择审核结果‘审核通过’和‘退回修改’完成该报告审核。
对于审核完成的,提供查看功能。
3. 指标项管理
指标项管理功能主要进行后台指标项的管理。涉及前台‘立即测评’模块中的评价报告。管理员可以查看指标项列表信息,包含:能力分类、测评描述、是否一票否决权。并可以进行查看和删除功能,不提供修改功能。
管理员可以进行指标项的添加,点击‘新增’可以编辑弹框信息,主要包含能力的选择和测评项描述。其中能力主要包括:业务能力、运营能力、安全能力、服务提供能力、数据应用能力五种。在选择完是否具有一票否决权之后点击确定新建成功。
4. 轮播图管理
轮播图管理主要管理前台首页的轮播图。用户可以根据系统需要添加上传轮播图图片,并进行编辑管理。列表主要展示轮播图标题、最后修改人、修改时间、状态。提供编辑、删除、发布和取消发布功能。同时提供通过标题和状态过滤筛选的查询操作。
管理员点击‘新增’按钮,弹框编辑页。编辑轮播图标题,并上传轮播图图片,即可完成新建。如果需要发布轮播图,点击发布按钮,前台页面就会新增轮播图。
5. 公告管理
公告管理功能主要实现前台首页的公告管理,提供列表查看功能,可以查看:公告标题、摘要、状态。状态的主要作用在于,管理员可以新增一条公告,但是可以在需要的时候发布,不需要的时候取消发布,只有发布的公告前台才可以看到,未发布的公告前台无法查看。
管理员用户新增一条公告时,点击‘新增’按钮。弹框弹出需要填写的信息。主要包含:公告标题、公告摘要、公告日期、公告内容、公告附件。系统管理员可以任意指定发布日期,公告则会按照要求时间发布。公告内容提供富文本形式,可以支持加粗、斜体、颜色等编辑。点击‘确定’按钮新增完成。
点击修改可以进行公告二次编辑。
6. 统计用户管理
6.1 用户管理
用户管理,展示用户信息列表,可进行搜索、新增、编辑、授权操作。可通过姓名、状态、角色进行管理员搜索。角色状态为‘无效’和‘有效’。角色状态分为‘前台用户’和‘后台技术服务’。
管理员点击‘新增’按钮,调出弹框,输入如下信息实现新增用户:用户名、密码、姓名、性别、权限角色、地区、详细地址、手机号。点击‘保存’按钮,实现用户的后台管理员添加。
点击查看可以看到用户信息,但是不可用编辑。
6.2 角色管理
系统提供不同的角色,管理员可以对角色进行管理。角色列表主要展示了:角色名、描述、审核结果,并且可以进行查看和编辑操作。
点击‘编辑’按钮,可以对角色信息修改,并修改角色状态是否有效,无效的状态无法在系统中使用。
点击新建按钮,输入信息可以实现角色的新建。
7. 证书管理
7.1 标识服务机构证书管理
标识服务机构证书管理,主要和前台的‘标识服务机构证书查询’功能相关,后台管理员可以管理这些证书,从而实现前台用户的查询。列表主要展示如下信息:证书编号、证书名称、公司名称、节点类型、服务能力,并提供新建、修改、删除操作。
点击‘新增’按钮,弹框输入信息。主要包括:节点类型、服务能力、证书编号、证书名称、公司名称、认证依据、发证日期、有效期、评估机构、发证机构等信息。完成后点击‘确定’新建成功。
7.2 评估机构证书管理
评估机构机构证书管理,主要和前台的‘评估机构证书查询’功能相关,后台管理员可以管理这些证书,从而实现前台用户的查询。列表主要展示如下信息:评估机构名称、法人代表、联系人名称、联系人邮箱等,并提供新建、修改、删除操作。
点击新增按钮,填写如下信息:评估机构名称、法人代表、联系人姓名、联系人邮箱、联系人电话、评估人员数目,点击保存按钮提交保存。
五、非功能性需求
1. 用户界面需求
需求名称 |
详细要求 |
界面要求具备可交互性 |
系统界面简洁、友好,图像直观,方便用户操作。 |
2. 产品质量需求
需求名称 |
详细要求 |
兼容性 |
兼容市面主流及现有服务器(浪潮,华为,中科曙光等国产服务器、现有服务器Think Server RD450)、数据库(支持sqlserver ,mysql等常用数据库)、操作系统(服务器端为windows 2008/2012 Server,客户端为windows7/Win10)、浏览器(谷歌浏览器(chrome),火狐浏览器(Firefox),IE9/10/11版本); |
高速性 |
系统页面和统计报表的查询具有较快的响应速度,页面查询速度为1-3秒,统计报表查询速度为3-6秒; |
实战性 |
做到平战结合、平灾兼容,提高日常的使用率; |
稳定性 |
系统稳定,持续运行不宕机,指挥系统和应用软件的平均故障率≤0.03%; |
3. 安全性需求
3.1 主机安全
安全类别 |
安全功能 |
身份鉴别 |
应对登录操作系统和数据库系统的用户进行身份标识和鉴别 |
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求,定期更换 |
|
应启用登录失败处理功能,可采取结束会话等措施 |
|
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性 |
|
访问控制 |
应启用访问控制功能,依据安全策略控制用户对资源的访问 |
应实现操作系统和数据库系统特权用户的权限分离 |
|
应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令 |
|
应及时删除多余的、过期的账户,避免共享账户的存在 |
|
系统安全记录 |
记录范围应覆盖到服务器上的每个操作系统用户和数据库用户 |
记录内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 |
|
记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 |
|
应保护系统安全记录,避免受到未预期的删除、修改或覆盖等 |
|
入侵防范 |
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新 |
恶意代码 防范 |
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 |
应支持防恶意代码的统一管理 |
|
资源控制 |
应根据安全策略设置登录终端的操作超时锁定 |
应限制单个用户对系统资源的最大或最小使用限度 |
3.2 应用安全与数据安全
安全功能 |
备注 |
应用程序访问控制 |
|
具有基于用户或角色的权限管理 |
|
管理员可以根据用户或角色赋予不同的权限 |
|
用户输入时屏幕不显示口令 |
|
用户连接超时重新登录,连接超时时间根据系统实际情况自行确定 |
|
系统、数据库账户使用 |
|
应用程序不能使用sa、dba等数据库管理员账户连接数据库,应为不同的程序应用建立不同的数据库账户连接 |
|
应用程序所使用的数据库等帐户口令应为复杂口令,即口令长度不少于8位,包括大写字母、小写字母、数字、符号至少3种 |
|
应用程序所使用的数据库等帐户口令可修改,也就是账户口令不能固化在程序中 |
|
系统间不能使用rlogin等远程登录服务 |
|
数据安全 |
|
用户口令信息加密保存 |
|
对关联的数据写操作采用事务控制,以保持数据完整性 |
|
根据系统实际情况,对重要数据进行加密存储 |
|
防SQL注入 |
|
提供本地数据备份与恢复功能 |
|
关键活动日志 |
|
账号和权限管理,包括账号建立、口令修改、账号授权、权限变更等 |
|
系统管理员登录成功 |
|
系统管理员登录失败 |
|
记录Web服务的access日志,并至少保存3个月 |
|
用户操作日志 |
|
根据系统实际情况,对关键活动日志提出备份需求,制订备份策略,要求运行部门满足 |
|
输入输出验证 |
|
用户数据输入范围验证,根据实际情况要求输入的数据在特定范围内(例如进行长度限制,或是数字、字母、邮箱等) |
|
用户数据输入非法字符验证,转换或过滤特殊字符(<、>、%、&、;、单引号、双引号等)或确保程序能够将所有输入整体作为文本。 |