《艺术特长生考试打分系统技术性能及功能要求.docx》由会员分享,可在线阅读,更多相关《艺术特长生考试打分系统技术性能及功能要求.docx(10页珍藏版)》请在三一办公上搜索。
1、艺术特长生考试打分系统技术性能及功能要求一、总体要求(一)系统具有先进性和成熟性系统建设尽可能采用成熟先进的技术、方法、软件和网络平台,确保系统的先进性、成熟性,使系统稳定可靠。(二)系统具有可维护性和扩展性系统应具有较强的可维护性和扩展性。采用标准化设计,严格遵循相关技术的国际、国内标准,能方便地进行系统流程和功能的调整,以适应系统需求的变化;系统能够方便地进行管理与维护,软硬件的升级不影响正常运作,系统功能、结构以及数据库可方便地扩展。(三)系统具有实用性和易用性系统的开发要“以人为本”,贴近工作人员的需求与习惯,做到功能强大、界面友好美观、操作简单、使用方便。充分实现信息资源的共享,降低
2、软件安装配置、联调与维护工作实施难度,快速实现互联互通,减少工作人员的工作量。(四)系统具有标准化和开放性。系统建设采用的软件平台、数据标准、开发技术应符合公认的工业标准,符合国家、地方和行业的有关标准与规范,系统的分析、设计、实现和测试要严格按照统一的标准规范以及通用的软件工程标准和规范,以确保系统符合国际上各种开放标准,采用基于正确公开标准的部件和技术,以确保最大限度的协作能力以及与第三方系统与部件集成的简便性。采用标准的数据描述语言以及标准的通信协议,适应以后的数据交换标准以及系统间互连的标准协议。同时提供标准化的二次开发接口,使得系统具有较强的开放性和扩展性,易于兼容已经存在的或者未来
3、建设的各种业务应用系统。当业务内容与流程变更时,能方便地进行系统流程和功能的调整,以适应系统需求的变化。(五)系统具有安全性和保密性保证网络环境下数据的安全,防止入侵、非法访问、恶意更改毁坏,采取完备的数据保护和备份机制。为防止非授权用户的非法入侵和授权用户的越权使用,系统应进行各种级别的权限控制,并具备审计功能,自动记录访问用户信息及其访问操作过程,以备日后查询。(六)系统具有高性能和稳定性在系统设计、开发和应用时,应从系统结构、技术措施、软件平台、技术服务和维护响应能力等方面综合考虑,多用户并发操作具有较高稳定性和响应速度。二、功能需求序号模块名称功能名称说明1系统平台基础信息设置(1)艺
4、术特长生种类设置:可设置声乐、乐器、舞蹈、播音、模特等类别,可新增、修改和删除;(2)种类打分项设置:可对每种类别的具体打分项目进行设置;(3)分值计算设置:可对各打分项分值进行设置;(4)现场打分时段设置:可对现场有效打分时段限定。系统设置(1)用户管理:平台操作人员的信息管理;(2)部门管理:对相关执行部门信息的管理;(3)角色管理:对操作人员权限的管理;(4)日志查看:查看各操作人员进入系统的具体操作情况;(5)系统参数:系统运行相关参数设定管理。评分设备管理(1)评分设备授权:对打分设备进行授权管理;(2)已授权设备查询:查询已授权设备信息。评委管理(1)增加评委:增加评委相关信息(姓
5、名、专业、评分平板的登录帐号、密码等信息);(2)评委管理:修改评委信息以及分配权限和评分设备。考生信息管理(1)批量导入考生基本信息:批量导入考生基本信息;(2)艺术特长生信息管理:增加、修改、删除考生信息;(3)生成检录二维码打印单:生成各考生考试现场检录二维码;(4)艺术特长生报名数量统计:各类考生报名人数统计。成绩管理(1)总分排名:生成各类考生总分排名表;(2)成绩总表:生成考生成绩总表;(3)最低分数线设置:设置后可实时得出合格比例;(4)合格比例设置:设置后可实时得出最低分数线;(5)生成合格名单:生成合格考生名单;(6)录像调取:可以调取回放考生现场考试的录像。2考场评委打分系
6、统(I)AndroidAPP可安装在主流安卓平板中运行;(2)评分软件运行需授权后进行,杜绝非法评分;(3)评委需在评分设备上使用帐号、密码在评分登录,实名评分;(4)在检录设备上刷考生二维码检录,同考室其它平板可同步调出此考生信息;(5)当场自动计算得分,并可同步显示其它评委的评分(仅评分);(6)有中文语音报读功能;(7)有现场录像功能,可全程对考生进行录像并上传到服务器供随时查看。三、运行环境与技术要求(一)平台运行环境与开发工具操作系统CentOS7.X64BitLinux数据库MySql/SQLite缓存系统Redis管理平台开发语言Python,Node,VUE,H5评分设备开发语
7、言Java,C+,VUE,H5支持用户数量不少于1万人平均响应时间小于1.75秒系统部署方式Docker虚拟化(二)、系统运行所需服务器硬件要求CPUIntelXEON内存16G+硬盘1TB+操作系统CentOS7.X64BitLinux带宽100MB四、系统开发安全需求(一)本项目按照国家标准的信息系统等级保护第三级或以上安全设计技术要求进行应用系统安全设计。软件开发过程的控制方法和人员行为准则应遵照GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求、GB/T28452-2012信息安全技术-应用软件系统通用安全技术要求、GB/T30998-2014信息技术-软件安全保障
8、规范、GB/T32926-2016信息安全技术政府部门信息技术服务外包信息安全管理规范、GB/T34946-2017C#语言源代码漏洞测试规范、GB/T34944-2017Java语言源代码漏洞测试规范、GB/T34943-2017CC+语言源代码漏洞测试规范等标准,依据安全需求进行安全设计,保证安全功能的完整实现。(二)系统开发测试和管理须遵循安全编程规则。程序员应通过简单的、经证实的编码技术提高程序集的安全性;通过良好设计的接口和面向对象编程的可靠技术来缩小攻击面;使用强名称使程序集具有防篡改性;减少与调用非托管代码相关的风险;编写安全的资源访问代码,包括文件I/O、注册表、事件日志、数据
9、库和网络访问代码;解决常见程序集威胁需要应用的对策,包括防特权提升、代码注入、信息泄露和篡改等;不得在程序中植入后门和恶意代码。包括但不限于采取下表做法:事项安全要求主动的安全开发过程不断改进开发过程,安全贯穿于设计阶段、开发阶段、测试阶段。赖以生存的安全法则从错误中吸取教训;尽可能缩小攻击面;采用安全的默认设置;纵深防御;使用最小特权;向下兼容总是不安全的;假设外部系统是不安全的;失败时的应对计划;失败时进入安全模式;安全特性不等于安全的特性;决不要将安全仅维系于隐匿;不要将代码与数据混在一起;正确地解决安全问题。防止缓冲区溢出堆栈溢出;堆溢出;数组下标错误;格式字符串错误;UniCode和
10、ANSI缓冲区大小不匹配。以最小特权运行最小特权运行;访问控制;令牌。应用程序要求提高特权的三个理由(ACL问题、特权问题、使用LSA秘密),解决提高特权的问题,确定适当特权的过程,WindOWS中的低特权级服务账户,模拟特权,调试最小特权问题。加密不宜编写自己的加密软件,应使用现成可用的Microsoft加密API和加密方案。保护机密数据保护秘密信息;不要选择最低共同点解决方案;管理内存中的秘密;锁定内存以防敏感数据被分页;保护托管代码中的机密数据;提高安全门槛,必要时才采用折衷方案。身份认证具有完备的权限管理和用户认证措施(统一账号、统一授权、统一认证、日志管理、统一审计),杜绝未授权的非
11、法访问。从登录、修改密码、初始化密码等源头强制使用中等强度以上密码(8位以上包含字母、数字、特殊符号三类字符的字符串)。修改密码时,禁止新旧密码相同;用户设置密码不能与用户名相同;初始化密码每人每次各不相同。可单个配置用户或统一设置全部用户的认证检验项(是否允许同一账户同时在线、是否启用校验码及其复杂度、允许认证失败次数及锁定时长、身份鉴别方式组合、启用/停用账户、账户有效期等)。校验码里的字符须有干扰线。可对用户角色权限进行管理操作,可修改用户的权限内容。可对系统生成的日志进行管理操作,包括:日志查询、日志详情查看、日志导出等功能,防止日志注入(LogInjection),日志记录前要对非信
12、任的数据进行校验或编码。具有审计功能,对历史操作可追溯、回访。一切输入都是有害的程序默认情况下就要对输入的信息进行验证,拒绝验证失败的数据。把输入验证作为软件框架的一部分,所有输入使用一致的输入验证;使用正则表达式检查输入;不能使用正则表达式寻求最佳做法。将可信和不可信数据分别储存来保证输入验证总是被执行。对来自命令行、系统属性,环境变量以及配置文件的输入都需要进行校验,保证它们是一致的和健全的。规范表示的问题规范文件名的问题;基于Web的规范问题;视觉等效攻击和同形异义词攻击;预防规范化错误;基于Web的规范化问题的补救措施。数据库合理分配数据库访问权限;合理存放数据库连接账号和密码信息;以
13、安全方式创建SQL语句;使用参数化请求方式并进行数据类型检查;对SQL语句中来自于不可信区域的输入参数进行验证;对数据库操作返回数据进行验证;分次提取数据;确保数据库资源被释放。文件访问及上传下载使用文件系统访问控制;注意文件访问竞争条件;安全使用临时文件;确保文件系统资源被释放。禁止上传目录的执行权限;对上传文件进行限制(是否包含特殊字符和扩展名);把文件名以及文件内容作为不可信的输入对待;安全使用文件名。文件下载和引用时,应该检查该用户是否具有此文件的相关权限,禁止下载应用系统自身的配置和数据,禁止直接根据文件位置和文件名来定位下载文件。Web常见安全问题具有防暴力破解、防SQL注入、防跨
14、站脚本攻击、上传文件格式限制、防会话劫持、防重复注册、防虚假认证、防存储篡改、防数据外泄等安全措施。验证来自HTTP请求中的所有数据,恶意数据可以从表单域、IJRL参数、cookie、http头以及IJRL自身传入。过滤器调用前对需要过滤的数据进行URL解码,并统一变成小写,一旦发现匹配危险字符串成功则拒绝请求;邮箱地址、用户名、密码、日期、汉字、手机号、身份证号、网址、编号代码等均有固定格式,均使用白名单正则匹配来限制输入;防止客户端恶意代码执行,在服务端对输出的数据内容进行HTML编码转义按照UTF-8标准来执行。认证失败错误提示模糊处理。不允许攻击者控制发送给文件系统、浏览器、数据库或者
15、其它子系统的命令。使用HTTPPOST方法来保证ReqUeSt参数的安全。不管在客户端是否经过输入验证,在服务端仍要进行验证。对所有的异常构造统一的错误页面,包括HnP错误和未经处理的异常。应用错误提示信息不会泄露系统信息以及出错原因等敏感信息,自定义友好的错误页面来代替默认的错误页面。在会话终止时清空其数据。使用最具限制性的域和路径来限制对会话使用的cookie的访问,cookie有效时间不得超过24小时,在cookie中加入HttpOnly来防止跨站脚本盗取cookie,在HTTP响应头中加入X-XSS-ProteCtiOn:1;mode=block来启用XSS保护。强制执行一个会话最大生
16、存周期,在会话终止时清空其数据。日志真实可靠,不可伪造和篡改。国际化问题适应多个地区语言和文化风俗习惯。在应用程序中使用Unicode;预防il8n缓冲区溢出;验证il8n;字符集转换问题;比较和排序;UniCode字符属性;时间时区问题及其格式化处理;规范化。Socket安全编程避免服务器被劫持;TCP窗口攻击;选择服务器接口;接受连接;编写防火墙友好的应用程序;预防基于主机和基于端口信任的欺骗。RPC/DC0M和Activex控件安全编程慎用RPC/DCOM;不得使用ActiveXo拒绝服务攻击的防范应用程序失败攻击;CPlJ不足攻击;内存不足攻击;资源不足攻击;网络带宽攻击。编写安全的代
17、码严格验证导出的和公共的应用程序编程接口(APD的所有参数;代码访问安全;程序集是强命名的;指定程序集权限需求;及时禁用断言;验证请求和链接请求;验证远程请求;限制代码的使用范围;不要在XML或配置文件中存储敏感数据;审查允许部分信任的程序集;检查非托管代码的托管包装的正确性;隔离存储的作用;在部署应用程序之前禁用跟踪和调试;不要远程发布冗长的错误信息;对来源不可信的数据进行反序列化;失败时不要让攻击者知道太多,不允许攻击者能够写任意的数据到日志里;禁止在源代码中写入口令;不得在客户端存放敏感数据。在代码中加入隐私策略建立隐私基础设施;设计尊重隐私的应用程序。安全性测试根据威胁模型制定安全性测
18、试计划;制订检查表进行代码安全检查。用欺诈性的服务程序测试客户软件;用户是否应看到或修改数据;用安全模板进行测试;发现一个错误时测试并未结束;测试码应有很高的质量;测试端到端解决方案;确定攻击面。审查代码安全建议使用自动化使用源代码分析工具审核代码。从易处着手,多遍审查;对指针代码进行额外的审查;绝不要相信网络上的所谓标准代码。安全的软件安装最小特权原则;安装后立即清除密码;使用安全配置编辑器;调用低层的安全APL编写安全文档和错误消息文档中的安全问题;信息泄漏问题;错误消息中的安全问题;安全消息;对安全消息进行可用性测试;审阅产品说明书;检查安全设置的可用性。常用的好做法不要向攻击者透露任何
19、信息;寻求最佳做法;不要以标志字符串的形式泄漏信息;在补丁中改变错误信息时要谨慎;复查错误路径;保持关闭;核心态错误;在代码中添加关于安全的注释;借助于操作系统的功能;不要依赖用户去做正确的选择;安全地调用CreatePrOCeSS函数;不要创建共享的/可写的代码段;正确使用模拟函数;不要将用户文件写入PrOgranIFilCS目录;不要以“完全控制”权限打开对象;对象创建错误;慎用CreateFiIe,安全地创建临时文件;SetUP程序和EFS文件系统的问题;文件系统重解析点问题;客户端安全是自相矛盾的说法;范例就是模板;以身作则、亲身体验;基于管理员Sn)确定访问权限;允许使用长口令;慎用_aHoca、ALT转换宏;不要嵌入公司的名称;将字符串移至资源DLL中;应用程序日志;从危险的C/C+迁移到托管代码。威海市招生考试办公室
