GB T 30882.1-2014信息技術(shù) 應(yīng)用軟件系統(tǒng)技術(shù)要求第1部分：基于BS體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)基本要求

信息技術(shù)應(yīng)用軟件系統(tǒng)技術(shù)要求應(yīng)用軟件系統(tǒng)基本要求 I 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25功能要求 25.1基本組成 25.2基本功能 36質(zhì)量要求 36.1可靠性 36.2易用性 46.3效率 46.4維護性 46.5易安裝性 46.6安全性 46.7依從性 6.8兼容性 57運行環(huán)境要求 6IGB/T30882《信息技術(shù)應(yīng)用軟件系統(tǒng)技術(shù)要求》分為以下兩部分：——第1部分：基于B/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)基本要求；——第2部分：基于C/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)基本要求。本部分是GB/T30882的第1部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。本部分由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC28)提出并歸口。本部分起草單位：上海萬達信息系統(tǒng)有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、復(fù)旦大學(xué)、北京系統(tǒng)工程研究所、北京東方通科技股份有限公司。1信息技術(shù)應(yīng)用軟件系統(tǒng)技術(shù)要求第1部分：基于B/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)基本要求1范圍GB/T30882的本部分規(guī)定了基于B/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)功能要求、質(zhì)量要求、運行環(huán)境要本部分適用于建設(shè)方、開發(fā)方、用戶方對基于B/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)的分析、設(shè)計、開發(fā)、維2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB13000—2010信息技術(shù)通用多八位編碼字符集(UCS)GB18030信息技術(shù)中文編碼字符集GB/T11457信息技術(shù)軟件工程術(shù)語GB/T16260.1—2006軟件工程產(chǎn)品質(zhì)量第1部分：質(zhì)量模型(ISO/IEC9126-1:2001,IDT)GB/T25000.51—2010軟件工程軟件產(chǎn)品質(zhì)量要求與評價(SQuaRE)商業(yè)現(xiàn)貨(COTS)軟件產(chǎn)品的質(zhì)量要求和測試細則(ISO/IEC25051:2006,IDT)3術(shù)語和定義GB/T11457、GB/T16260.1—2006和GB/T25000.51—2010中界定的以及下列術(shù)語和定義適用于本文件B/S體系結(jié)構(gòu)即瀏覽器和服務(wù)器結(jié)構(gòu)，用戶前端工作界面是通過瀏覽器來展現(xiàn)，主要業(yè)務(wù)邏輯在服務(wù)器端實現(xiàn)。網(wǎng)絡(luò)環(huán)境下為客戶提供web服務(wù)的服務(wù)器(軟件)。注：主要功能是提供網(wǎng)上信息瀏覽服務(wù)，處理向瀏覽器發(fā)送HTTP消息以供瀏覽。應(yīng)用服務(wù)器applicationserver提供訪問商業(yè)邏輯的途徑以供客戶端應(yīng)用程序使用的一種服務(wù)器(軟件)。注：在B/S體系結(jié)構(gòu)應(yīng)用中，應(yīng)用服務(wù)器通常與前置部署的Web服務(wù)器一起，向應(yīng)用提供完整的業(yè)務(wù)邏輯和展現(xiàn)邏輯的運行支撐。2可以顯示W(wǎng)eb服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容，并讓用戶與這些文件交互的一種軟件。注：Web瀏覽器主要通過HTTP協(xié)議與web服務(wù)器交互并獲取網(wǎng)頁，這些網(wǎng)頁由URL指定，文件格式通常為HTML,并由MIME在HTTP協(xié)議中指明。網(wǎng)頁webpage萬維網(wǎng)網(wǎng)站的一個頁面，由文字和圖片等構(gòu)成，對應(yīng)web服務(wù)器上存放的一個HTML格式的文檔。網(wǎng)頁是構(gòu)成網(wǎng)站的基本元素。注：網(wǎng)頁需要使用web瀏覽器來閱讀。應(yīng)用軟件系統(tǒng)applicationsoftwaresystem由應(yīng)用軟件和支撐應(yīng)用軟件運行的軟硬件共同組成的運行系統(tǒng)。在系統(tǒng)運行管理中所有與安全相關(guān)活動的規(guī)則。4縮略語下列縮略語適用于本文件。AJAX異步JavaScript和XML(AsynchronousJavaScriptAndXML)CSS層疊式樣單(CascadingStyleSheet)HTML超文本置標(biāo)語言(HyperTextMarkupLanguage)HTTP超文本傳輸協(xié)議(HypertextTransferProtocol)HTTPS基于SSL的HTTP(HypertextTransferProtocoloverSecureSocketLayer)JavaEEJava企業(yè)版(JavaEnterpriseEdition)MIME多用途的網(wǎng)際郵件擴充協(xié)議(MultipurposeInternetMailExtensions)SSL安全套接字層(SecureSocketLayer)URL統(tǒng)一資源定位符(UniformResourceLocator)W3C萬維網(wǎng)聯(lián)盟(WorldWideWebConsortium)WS-SecurityWeb服務(wù)安全(WebServiceSecurity)XML可擴展置標(biāo)語言(ExtensibleMarkupLanguage)5功能要求基于B/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)主要由客戶端和服務(wù)器端兩部分組成，其體系結(jié)構(gòu)如圖13服務(wù)端服務(wù)端數(shù)據(jù)庫/文件系統(tǒng)應(yīng)用服務(wù)器業(yè)務(wù)邏輯層Web服務(wù)器客戶端表示層瀏覽器數(shù)據(jù)層圖1典型的B/S軟件體系結(jié)構(gòu)客戶端為瀏覽器，服務(wù)器端一般包括Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫或文件系統(tǒng)。B/S體系結(jié)構(gòu)的應(yīng)用軟件系統(tǒng)一般包括表示層、業(yè)務(wù)邏輯層和數(shù)據(jù)層三層。各層功能定義如下：a)表示層表示層也稱為展現(xiàn)層，用于呈現(xiàn)應(yīng)用軟件系統(tǒng)的功能并實現(xiàn)與用戶的交互。一般采用HTML頁面實現(xiàn)技術(shù)，可采用Javascript、AJAX、HTML5、Flash等技術(shù)實現(xiàn)更好的人機交互體驗。表示層一般由Web服務(wù)器和瀏覽器配合實現(xiàn)。應(yīng)選用符合國家相關(guān)標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)的Web服務(wù)器，可與應(yīng)用服務(wù)器集成。b)業(yè)務(wù)邏輯層業(yè)務(wù)邏輯層處理展現(xiàn)層的用戶的業(yè)務(wù)請求，調(diào)用數(shù)據(jù)層操作數(shù)據(jù)，用于實現(xiàn)業(yè)務(wù)規(guī)則和業(yè)務(wù)流程。業(yè)務(wù)邏輯層可采用JavaEE等技術(shù)實現(xiàn)。業(yè)務(wù)邏輯層一般由應(yīng)用服務(wù)器及其中部署的應(yīng)用程序?qū)崿F(xiàn)。c)數(shù)據(jù)層數(shù)據(jù)層也稱為持久化層，用于實現(xiàn)應(yīng)用軟件系統(tǒng)對數(shù)據(jù)的存取和管理。數(shù)據(jù)層一般由數(shù)據(jù)庫系統(tǒng)或文件系統(tǒng)實現(xiàn)。5.2基本功能根據(jù)用戶要求(如合同、用戶需求說明書、產(chǎn)品說明書等),應(yīng)用軟件系統(tǒng)應(yīng)提供符合用戶要求的功能，并確保功能的完備性和準(zhǔn)確性。6質(zhì)量要求6.1可靠性可靠性要求如下：a)應(yīng)用軟件系統(tǒng)宜在出現(xiàn)局部業(yè)務(wù)故障時，不影響其他業(yè)務(wù)的運行，仍能提供業(yè)務(wù)服務(wù)，確保連續(xù)服務(wù)；b)應(yīng)用軟件系統(tǒng)宜在關(guān)鍵模塊發(fā)生故障時，該模塊能夠被接管或屏蔽，不影響其他業(yè)務(wù)的運行；c)系統(tǒng)對重要指標(biāo)參數(shù)宜具有監(jiān)控和診斷能力，當(dāng)指標(biāo)值異常時提示用戶并給出處理建議；宜提4供應(yīng)用軟件系統(tǒng)和數(shù)據(jù)的在線/離線備份和恢復(fù)功能。6.2易用性易用性要求如下：a)系統(tǒng)應(yīng)提供離線幫助文檔或在線聯(lián)機幫助功能，并與軟件功能保持一致，使用戶在使用系統(tǒng)過程中遇到問題能夠快速獲得相應(yīng)的幫助；b)系統(tǒng)宜具有個性化定制功能，包括通過CSS進行頁面風(fēng)格的改變、通過門戶技術(shù)增加用戶體驗等；c)對有大量交互操作的界面在不影響用戶使用和理解的前提下，宜提供異步響應(yīng)的功能；d)系統(tǒng)宜提供網(wǎng)站導(dǎo)航、網(wǎng)站地圖等功能，使用戶在使用系統(tǒng)過程中能夠快速進入頁面。6.3效率應(yīng)用軟件系統(tǒng)應(yīng)包括但不限于響應(yīng)時間、并發(fā)數(shù)、點擊量、文件下載數(shù)等效率指標(biāo)要求：a)響應(yīng)時間指請求發(fā)送端發(fā)送對應(yīng)的請求消息至服務(wù)器端，服務(wù)器處理完成后，發(fā)送回請求端對應(yīng)的處理結(jié)果的總耗時?？偤臅r包含服務(wù)器處理時間(包含消息等待、處理邏輯耗時、數(shù)據(jù)庫查詢時間等)、建立連接耗時、接受處理結(jié)果時間；b)并發(fā)數(shù)指請求端在某一時刻共同發(fā)送請求的虛擬用戶數(shù)，以虛擬用戶代替實際操作人員在指定點進行共同發(fā)送請求的行為的用戶數(shù)量；c)點擊量指在場景中每秒虛擬用戶向Web服務(wù)器提交HTTP/HTTPS點擊請求數(shù)，總量為場景中虛擬用戶向Web服務(wù)器提供HTTP/HTTPS點擊請求總數(shù)；d)文件下載數(shù)指每個返回包中含有的HTTP/HTTPS請求所對應(yīng)的文件，在服務(wù)器端根據(jù)安全策略能夠提供的文件總數(shù)。6.4維護性對應(yīng)用軟件系統(tǒng)的瀏覽器插件等宜提供在線升級功能，可通過網(wǎng)絡(luò)下載軟件包并進行升級更新操作。6.5易安裝性易安裝性要求如下：a)服務(wù)端軟件宜提供本地安裝腳本或向?qū)В部芍С志W(wǎng)絡(luò)遠程安裝和配置；b)應(yīng)提供完整的安裝文檔，說明所支持的操作系統(tǒng)、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫系統(tǒng)等配置信息，應(yīng)用的配置信息和可能出現(xiàn)異常的提示信息等內(nèi)容；c)宜提供系統(tǒng)的在線配置功能，使得應(yīng)用軟件系統(tǒng)管理人員能夠根據(jù)需要在線進行一些參數(shù)指標(biāo)的調(diào)整。身份鑒別要求如下：a)根據(jù)系統(tǒng)的安全策略宜支持用戶名/密碼在內(nèi)的2種以上身份鑒別的手段；用戶名/密碼宜具有能夠防范密碼猜測等攻擊的手段，如足夠復(fù)雜的密碼、定期更換的密碼、多次嘗試鎖定、驗證碼等；b)應(yīng)禁止密碼等的存儲、傳輸、顯示采用明文形式，應(yīng)禁止對錄入的密碼進行復(fù)制；5c)根據(jù)系統(tǒng)的安全策略宜在瀏覽器端輸入宜采用特制的控件并支持軟鍵盤輸入；d)宜具有防止登錄攻擊的手段；e)宜根據(jù)系統(tǒng)的安全策略設(shè)置會話有效期；f)宜支持單點登錄。權(quán)限控制要求如下：a)應(yīng)對用戶進行權(quán)限控制，宜支持基于角色的權(quán)限控制；b)應(yīng)根據(jù)系統(tǒng)的安全策略區(qū)分不同管理員的權(quán)限(例如，系統(tǒng)管理員、審計管理員、安全管理員等),不宜設(shè)置擁有所有權(quán)限的超級用戶；c)權(quán)限設(shè)置變更后應(yīng)立即生效，不應(yīng)存在能夠繞過權(quán)限控制的直接訪問；d)對資源的使用應(yīng)具有權(quán)限控制，避免對資源不安全的直接引用；e)應(yīng)根據(jù)系統(tǒng)的安全策略設(shè)置操作系統(tǒng)級別的文件和目錄的訪問權(quán)限，包括用戶組、用戶、讀寫權(quán)限等。根據(jù)系統(tǒng)的安全策略提供應(yīng)用審計功能，應(yīng)用審計要求如下：a)宜對關(guān)鍵操作(如用戶登錄/退出、關(guān)鍵業(yè)務(wù)提交、關(guān)鍵網(wǎng)頁訪問等)進行審計記錄，包括時間、b)應(yīng)對審計日志的訪問設(shè)置權(quán)限，宜具有日志加密功能；c)宜具有對審計日志的備份、還原和清理功能。數(shù)據(jù)安全要求如下：a)根據(jù)系統(tǒng)的安全策略，數(shù)據(jù)的加密簽名應(yīng)采用國家密碼管理部門認(rèn)可的加密簽名算法或加密b)根據(jù)系統(tǒng)的安全策略宜支持不同層面的安全協(xié)議，例如，HTTPS、WS-Security等；c)根據(jù)系統(tǒng)的安全策略宜具有防范應(yīng)用層面安全攻擊的能力，例如：SQL注入攻擊、跨站攻擊等；d)根據(jù)系統(tǒng)的安全策略宜對異常信息進行適當(dāng)處理和屏蔽，不顯示包括操作系統(tǒng)、應(yīng)用服務(wù)器、數(shù)據(jù)庫、代碼結(jié)構(gòu)在內(nèi)的型號、版本等信息；e)宜對網(wǎng)站的網(wǎng)頁內(nèi)容、目錄、腳本文件、文件屬性等未經(jīng)授權(quán)的增減、變更、篡改等能夠及時檢測和恢復(fù)。6.7依從性依從性要求如下：a)網(wǎng)頁設(shè)計應(yīng)符合W3C的相關(guān)標(biāo)準(zhǔn)；b)網(wǎng)頁所用的字符集應(yīng)符合GB18030或GB13000—2010等國家相關(guān)標(biāo)準(zhǔn)；c)應(yīng)遵守國家和地方的法律法規(guī)和相關(guān)政策。6.8兼容性兼容性要求如下：a)網(wǎng)頁中宜避免使用基于特定瀏覽器和操作系統(tǒng)功能的腳本和插件，對使用的ActiveX等插件6宜進行數(shù)字簽名；b)網(wǎng)頁宜適應(yīng)不同瀏覽器和分辨率的展示，應(yīng)提供至少一種推薦的瀏覽器和分辨率，確保在該瀏覽器和分辨率下展示的網(wǎng)頁布局和元素完整正確；c)宜針對瀏覽器所運行