金税三期工程架构服务需求.doc

目录第1章31.1.总体战略目标31.2.总体技术目标41.3.总体架构要求5第2章应用设计约束62.1.规划思路62.2.纳税人渠道62.2.1.功能约束62.2.2.技术约束72.3.纳税服务应用支撑92.3.1.功能约束92.3.2.技术约束9第3章数据设计约束113.1.规划策略113.2.数据分类113.3.数据质量12第4章集成约束134.1.界面集成134.2.应用集成134.3.数据集成144.4.安全集成14第5章非功能性约束165.1.范围165.2.系统性能165.3.可靠性175.4.可用性185.5.易用性185.6.可维护性185.7.可扩展性205.8.可伸缩性205.9.可移植性205.10.可重用性20第6章安全性约束216.1.安全等级要求216.2.策略和措施216.3.应用层安全226.3.1.应用系统安全设计要求226.3.2.应用开发安全要求236.3.3.身份认证系统236.3.4.Web安全防护246.3.5.数据层安全246.4.终端安全策略246.5.系统层安全256.6.网络层安全266.6.1.网络结构安全266.6.2.划分子安全域266.6.3.网络访问控制266.6.4.恶意代码防范276.6.5.网络安全审计276.6.6.边界完整性检查276.6.7.入侵防范276.6.8.网络设备安全防范286.7.物理层安全28第7章部署约束29第8章架构管控约束30第9章标准约束329.1.标准体系概述329.2.系统标准遵循说明33第1章 金税三期概述1.1. 总体战略目标金税三期工程的业务战略目标是：l 统一税收执法；l 统一纳税服务；l 统一管理决策；l 统一征管数据实时监控。首先，统一税收执法是在国家税法统一的前提下，以总局统一的政策管理为依托，包括国、地税税收执法尺度的统一，为纳税人提供公平、公正的税收环境。在现阶段，公平、公正是对纳税人最好的服务。同时，统一税收执法，也是现阶段实现应收尽收，保证税款及时入库的有效保证。其次，统一纳税服务，不是简单的建立一个平台，而是保证服务目标、服务内容、服务水平的一致，避免不同地区、不同税务人员对同类事项执法不一、口径各异和服务差异。第三，统一管理决策，是采用科学的方法，利用数据集中和信息共享手段，为各级领导提供一致的管理和决策依据。第四，建立在全国大集中基础上的统一实时的征管数据监控，是促进统一执法、统一服务、统一管理决策的手段保障。在国内外新的经济形势下，为了实现四个统一的战略目标,总局确定了信息管税的总体战略，信息管税就是以税收风险管理理念为指导，以现代信息技术为依托，以对涉税信息的采集、应用为主线，优化资源配置，完善税源管理体系，加强业务与技术的高度融合，着力解决征纳双方信息不对称问题，不断提高税法遵从度和税收征收率。其中，信息管税是一项系统工程,必然要涉及到税务管理的思想观念、制度机制、业务流程、组织机构等一系列变化。如下图所示：金税三期的六个亮点统一税收执法统一纳税服务统一管理决策统一征管数据实时监控统一全国征管数据标准、口径统一国、地税核心征管应用系统版本实现全国征管数据大集中统一、规范全国的纳税服务平台以SOA技术整合行政管理系统以流程管理理念开发征管系统以风险管理理念开发管理决策系统建设网络实时开具的电子发票平台金税三期的业务战略总体战略树立税收风险管理理念以数据的采集和分析为核心以健全税源管理体系为落脚点加强业务、技术高度融合信息管税这里的“全国大集中”，涵盖核心业务系统全国集中部署和应用，统一业务需求管理、统一应用开发和运行维护管理。1.2. 总体技术目标金税三期工程建设的主要内容是：计划用四年时间，在现有资源基础上，通过制度、业务和技术创新，完成“一个平台、两级处理、三个覆盖、四个系统”的建设，进一步强化纳税服务和税务管理，提高税法遵从度和税收征收率，降低税收成本，为税收法律法规的统一执行提供有力保障。上述目标可具体概括为“一门户、三网、四平台、七库”，具体描述如下：1、“一门户”是通过实施全国数据大集中，优化业务流程和功能配置，统一国地税征管系统，为全国各级税务人员提供统一的内部门户和工作平台，实现全国税收业务的统一、规范管理。2、“三网”是建成税收征管业务网络、行政办公网络、涉密网络，这三个网络全国国、地税统一建设，具备强大的信息采集、存储、处理、交换等功能，安全可靠程度高，确保各项税收业务与管理在统一、安全、稳定的网络化信息平台支撑下平稳运行。3、“四平台”是指建设全国统一的纳税服务平台、征管和行管业务操作平台、管理决策平台，这四大平台能使广大纳税人方便、快捷地办理各项税费事宜，广大基层税务人员高效、简洁地处理各项业务，使各级税务管理者及时有效地实施管理与决策。4、“七库”是指在总局、省局两级建立并逐步完善法人涉税数据库、自然人涉税数据库、发票数据库、第三方信息数据库、税收风险管理数据库、税务机构数据库（包括财务、固定资产等）和人力资源数据库、税收法规数据库（包括文件、档案等）这七个数据库，并进行数据的集中存储和处理，同时建立第三方信息共享机制，实时、完整、准确地掌握纳税人涉税费信息和税务机构、人员等情况，以利于提高税收服务与管理水平。1.3. 总体架构要求总体架构既包含业务、应用、数据、技术、安全等方面的框架，也包括架构管控的体系。一方面，作为框架，总体架构定义了业务、应用、数据、技术、安全等架构的目标蓝图，还包括相关模型，及各部分的指南、设计准则，项目需要根据总体架构的约束来实现其应用；另一方面，作为架构管控，它指明了项目在进行项目实施的时候需要遵守的标准、规范，可以参考的相关架构资源以及需要遵守的架构管控流程，以确保项目的实施符合金税三期的总体规划。总体架构主要由业务架构、应用架构、数据架构、技术架构（包括系统软件、基础设施等）、安全架构、运维架构、标准、架构管控体系等组成，这些总体架构的内容将构成对项目架构方面的约束，项目需要在这些架构的约束下进行业务需求分析、设计以及实现。第2章 应用设计约束2.1. 规划思路按照金税三期总体应用架构规划设计，纳税服务系统由服务渠道、纳税服务应用支撑两部分组成，其中服务渠道包括大厅、网络、电话、短信、邮寄、自助终端，在整体金税三期应用环境的位置如下图中红色框部分所示。但综合考虑业务的连续性耦合度要求和项目划分及实施的情况，大厅、自助终端以及邮寄的建设划入核心征管系统项目。下面重点对纳税人渠道和纳税服务应用支撑的功能约束和技术约束进行说明。2.2. 纳税服务渠道2.2.1. 功能约束纳税服务渠道从技术手段主要包括网络、电话、短信以及邮寄，从支撑的业务范围主要包括三类服务，一是面向包括纳税人在内的所有公众提供的静态信息服务，它是宣传税务局形象的窗口；二是为纳税人提供信息交互服务的通道；三是纳税人办税的重要服务形式，它是一个虚拟的办税服务渠道。渠道的技术实现要求支持以下几类形式，其中大厅、自助终端、邮寄类渠道由核心征管来负责处理：l 网络：提供基于网站的各类服务，包括通知公告发布、纳税人互动交流以及在线业务办理的相关功能等。l 电话：提供基于电话语音的各类服务，包括通知公告发布、纳税人互动交流以及在线业务办理的相关功能等。l 短信：提供统一的短信服务，包括通知公告发布、业务交互等服务等。此外要求能够接入未来的各类商业纳税人端渠道，提供统一的技术和数据接入标准。渠道服务主要包括以下内容： l 通知公告：对纳税人提供各类通知公告的机制。l 税法宣传：包括税法法规和办税指南等。l 预约：提供对各类预约业务的支持。l 涉税公告：包括定额公示公告、非正常户公告、欠税公告、催报催缴和违法违章公告等。l 电子邮件：在网络渠道中提供电子邮件的方式实现同纳税人的交互。l 互动交流：包括咨询、举报投诉建议、评价调查、在线访谈和电子导税员等。l 涉税查询：包括发票查询、登记信息查询、欠税查询、信用等级查询和发票真伪查询等。l 个性化服务：包括涉税提醒和受理反馈信息等。l 在线办税：包括税费申报、实时缴款、财务会计报表、网上认证、网上抄税、委托代征、出口退税申报和网上开票等。所有渠道必须提供统一规范标准的接口支持各种形式的数据导入。具体功能参见业务需求。2.2.2. 技术约束服务渠道建设统一的信息访问入口，包括静态信息服务、信息交互服务和办税服务，统一访问后台所有需要访问的应用系统和信息资源，并为用户提供个性化服务。服务渠道提供门户框架、内容管理、短信、电话语音、安全认证、系统集成等功能，具体如下：名称定义技术约束门户框架提供各类网站页面开发、部署、运行、管理以及集成的框架环境。考虑到网络渠道需要加载的业务未来将会不断增加，要求必须能够提供完整的门户框架来保证不同类型业务的扩展需求。纳税人个人门户管理机制提供界面布局、样式以及内容的个性化定制机制。同时包括纳税人的个性信息、个人涉税记录等各类能够进行个性化定制的功能和信息机制。为了更好的提升纳税人的交互体验，方便纳税人网上办税，要求提供纳税人个人门户空间机制，允许其在一定范围内根据个人喜好进行功能和信息层面的定制。内容管理机制提供完整的网络信息采集、审核、存储、全文检索、发布平台环境，实现对各类信息的统一管理。内容管理是实现渠道信息公开类业务的关键性技术，要求必须提供能够满足全国集中规模下的内容管理平台环境。短信机制提供完整短信平台，实现基于短信的信息发布、提醒通知、业务交互等功能短信方式是实现对纳税人主动服务的一种重要手段，因此要求必须提供能够满足全国集中规模下的短信管理平台环境。电话语音机制提供完整的基于电话的语音服务平台，实现同纳税人的互动交流以及相关业务办理等功能。要求必须提供能够满足全国集中规模下的电话语音管理平台环境。可靠的认证机制提供可靠的认证方式，以保证整个渠道的访问的安全性。要求必须提供满足安全策略要求的认证方式，支持总局统一的安全认证机制。数字签名及数据加密提供数字签名及数据加密机制。为了保障网上涉税业务中纳税人的权利和义务，服务渠道必须提供符合全局安全性要求和标准的数字签名和数据加密机制。页面表单提供页面表单的缓存管理，避免页面重复生成带来的性能开销，提升交互的响应时间。对于大量的静态信息页面以及频繁使用的各类业务模板,要求采用页面缓存机制来提升性能。代码缓存机制提供代码缓存机制,降低大量代码数据对网络、磁盘IO的消耗，提升系统整体的性能。考虑到全国大集中模式下各类代码数据会急剧增加，因此必须在客户端提供不同策略的代码缓存机制，有效缓减海量代码带来的性能问题。并发控制并发控制是提升系统可靠性，降低系统性能风险的关键性机制。通过并发控制，及时掌握系统当前的用户访问流量，进行监控预警。并发控制作为前端的一个总控点，需要保证健壮和稳定，并且支持分布式部署。考虑到全国大集中模式下各类渠道的业务量会逐年上升，因此必须提供并发控制来有效保障系统的可靠性。2.3. 纳税服务应用支撑2.3.1. 功能约束纳税服务应用支撑是提供给税务干部进行纳税人交互类服务处理的统一、集成、多种服务渠道共享的平台，它主要包括例如集成的联络界面、纳税人接触历史管理、渠道集成、功能集成、服务管理等内容. 集成的联络管理界面：提供一个以纳税人为中心来组织纳税人各类信息的统一的界面视图，便于税务干部迅速、准确的处理纳税人提出的各类服务请求；接触历史管理：为税务干部提供完整的纳税人和税务局之间发生交互行为的历史信息；渠道服务集成：必须提供统一的渠道接入标准，同时能够根据需要接入或者访问多种服务渠道，并能把来自不同渠道的交互类服务请求进行统一管理；功能集成：能够实现将服务信息内容与核心征管、行政管理、风险管理和知识库等进行相应功能集成。数据集成：纳税服务应用支撑必须保留能够支撑纳税人进行各类查询的业务明细数据和业务状态数据，根据各类业务数据的特性提供相应的数据同步策略和机制。交互类服务：实现各类渠道的咨询、预约、通知通告、评价调查、提示提醒、举报投诉等交互服务的处理；查询类服务：为各类渠道提供纳税人相关的业务状态以及业务明细数据的查询服务。服务质量管理：对税务干部提供纳税人的服务进行质量管理，如服务评价、服务满意度调查、服务监督等。2.3.2. 技术约束纳税服务应用支撑技术约束包括以下几个部分：名称定义技术约束流程处理机制实现纳税服务应用支撑中相关服务的流程定义、运行、监控和维护机制。与总局指定的流程管理平台能兼容和互操作。界面集成支持支持统一的业务工作门户和外网纳税服务门户进行界面层集成，界面层的设计和开发必须遵循界面集成标准。总局会建设全局统一的业务工作门户和外部纳税服务门户，实现所有业务系统界面层的一体化展现，以及面向纳税人的纳税服务门户，要求纳税服务应用支撑的界面环境必须能够实现与业务工作门户和外部纳税服务门户的完全融合渠道集成机制对于各类服务渠道，需要提供完备的管理机制，定义和维护渠道的接入协议、接入报文规范、接入安全机制、服务质量等特性纳税服务应用支撑信息来源众多，涉及到征管、管理决策、行政办公、网络，12366、短信、电话、外部门反馈等多个信息来源渠道，针对这些众多的信息来源渠道，纳税服务应用支撑平台需要提供完善的渠道集成机制。服务监控机制实现对各类型纳税人服务的实时监控，使得纳税人和税务干部能够实时掌握关键服务的动态执行过程、结果，以及服务提醒。纳税服务应用支撑是集成以纳税人为中心的各类服务，要求提供服务监控服务机制，使税务干部和纳税人能够实施掌握关键服务的流程，执行状态，并能够为其相关业务平台提供服务提醒功能或者提醒机制。符合服务集成封装机制符合全局的服务注册、调用以及管理标准，能够很方便的将内部业务逻辑根据需求封装为全局性服务，以供其他系统进行消费所有需要提供给外部各应用的业务接口，必须符合全局的应用集成体系所定义的服务集成标准，从而保证各类对外暴露的服务能够被其他应用所共享知识库集成机制提供与知识库进行衔接的集成机制一方面，纳税服务应用支撑利用知识库的知识为纳税人提供服务，另一方面纳税服务应用支撑形成的知识纳入知识库管理。第3章 数据设计约束3.1. 规划策略在金税三期的大集中战略指导下，纳税服务系统数据设计应遵循以下关键策略：n 性能优先考虑到全国大集中后各类渠道业务量将会持续增长，因此数据设计必须以性能为关键设计原则进行优先考虑，充分考虑数据模型设计和物理分布给性能带来的影响。n 共享状态信息集中管理各渠道需要共享的各类业务数据，例如纳税人基本信息、业务状态信息等，统一由纳税服务应用支撑集中管理，以服务的方式提供给各渠道使用。对于各类渠道业务的状态信息，例如纳税人咨询交流状态、业务办理状态等过程信息将统一由纳税服务应用支撑进行集中管理，以服务方式提供给各渠道使用。渠道共享信息的范围和手段必须从性能角度去分析，如果性能不能满足建议采用渠道冗余存储的方式。n 业务明细数据集中管理针对各类纳税人查询的明细数据，考虑到未来全国大集中带来的查询性能压力，因此要求各类渠道查询必须用到相关业务明细数据集中可以由核心系统同步到纳税服务应用支撑。提供合理的数据复制策略，在不影响核心系统性能的情况下，保证业务明细数据的及时性、一致性和完整性。采用适当的数据库设计，避免全国数据大集中的性能瓶颈。如支持缓存数据、根据内聚性按照那个某种业务属性进行数据库拆分等。3.2. 数据分类纳税服务系统至少包含以下类型的数据：n 静态类服务信息外网网站数据是指外网网站采集和发布的信息，它用于支持总局外部网站的静态类应用n 主数据包括纳税人基本信息、纳税人状态信息、代码信息等数据的副本，这类数据原则上统一由纳税服务应用支撑进行存储管理；n 业务交易明细数据 包括各类涉税查询的业务明细数据，对于实时性要求不高的各类交易明细数据可以将其统一同步集中存储到纳税服务应用支撑。n 渠道交易类数据包括受理各类网上办税业务时产生的本地数据、临时缓存和暂存数据，如纳税人的本地渠道数据、申报临时数据、网上预约、网上申报暂存记录等信息； n 交互服务类数据为纳税人提供交互类服务时产生的数据，例如咨询历史记录、调查信息、投诉举报信息等等。3.3. 数据质量数据质量管理应遵循“事前预防、事中监控、事后补救”的设计思路：n 事前预防，指在数据录入时提供在线帮助，提示数据的录入规范；n 事中监控，指在数据录入端引入对数据项的校验功能，包括数据格式校验、逻辑关系校验等，对录入错误及时发现并提示修改，有效避免错误数据的进入；n 事后补救，指数据录入后，基于标准进行数据质量的审计，对错误数据提供更正界面，以避免后台数据库调整；同时，制定规范的数据更正流程，确保数据修改的高效执行和安全管理。第4章 集成约束金税三期纳税服务系统项目要遵循架构设计约束，在应用架构、集成架构、数据架构、安全架构设计等方面要求遵循金税三期相关技术规范和标准。整体的集成环境说明及相关要求和策略请参见应用总集成架构需求文档，下面给出纳税服务系统需要遵循的相关集成要求。4.1. 界面集成服务渠道的主要用户是纳税人，纳税服务应用支撑的主要用户是税务人员，它们在界面集成的要求上有些区别，主要的界面集成要求如下：针对纳税服务应用支撑的界面集成要求：n 要求纳税服务应用支撑遵循总局统一内部工作门户集成标准；n 要求纳税服务应用支撑支持统一单点登录控制；n 要求纳税服务应用支撑支持统一的用户管理；针对网络渠道的界面集成要求：n 要求网络渠道遵循总局统一外网门户集成标准，即静态信息服务、办税信息服务和交互信息服务符合外网门户框架的集成标准；n 要求网络渠道遵循安全架构要求4.2. 应用集成纳税服务系统应用集成包括渠道系统与前置系统的集成以及渠道系统与纳税服务应用支撑系统的应用集成，要求遵循总局统一的应用集成架构设计规范和标准。1、 要求必须遵循总局应用集成架构制定的服务协议标准。2、 要求所有应用系统中需要被外部应用调用的功能必须将其暴露为共享服务，注册发布到全局的应用集成平台之中。3、 要求渠道采用总局集成标准接口与总局前置进行集成，所有涉及渠道与核心系统的交互都必须通过前置来进行，不能直接访问核心系统。4、 要求纳税服务应用支撑采用总局集成标准接口与各类渠道进行集成。5、 要求纳税服务应用支撑采用总局集成标准接口与后台系统集成，如核心征管、知识库、风险管理、行政管理等。4.3. 数据集成纳税服务系统涉及到的数据库有总局外网网站数据、外部应用业务数据和纳税服务应用支撑数据库，内部各数据库之间存在多种数据交换模式，同核心征管系统与管理决策系统之间还存在数据层交互。数据集成应用场景的不同，需要采用不同的数据集成策略，但都必须遵循以下数据集成原则，同时在数据库设计时遵循总局统一的数据集成规范和标准。1、 对于海量数据，有较高的实时性要求，如主库同备份库之间数据集成、同构库间的数据同步复制、总局到省局的数据库下发等要求采用物理库表级的集成策略。2、 对于批量或异构数据，实时性要求不高，集成逻辑比较复杂，需要大量转换的如生产库到ODS（面向各类主题的统一操作型数据存储数据库），ODS到数据仓库；生产库到历史库；有非结构库到结构化库要求基于ETL（数据的抽取、转换、装载）的批量集成策略。3、 对于基于文件的非结构或半结构化数据，如总局同省局的跨层级交换、总局同外部机构间的数据交换、其他涉及到文件交换的场景等要求基于消息报文的集成策略。4、 对于小数据量，实时性要求高，如应用系统间的实时数据访问、构建虚拟的数据视图等要求可以基于数据服务的集成策略。4.4. 安全集成纳税服务系统安全集成包括与总局和省局应用安全支撑平台等几方面内容集成，安全集成要求遵循总局总体应用安全支撑体系规划要求。1.认证管理要求n 要求支持总局指定的认证管理机制；n 纳税服务应用支撑必须遵循全局的用户管理n 要求支持认证与权限分离，支持多种身份鉴别机制，例如CA、用户名/密码、动态口令、IP等等，未来可以灵活扩展；n 所有渠道必须遵循全局标准的前置接入安全标准.2.数据安全要求n 必须遵循全局标准的数据签名和加密标准n 必须遵循全局标准的数据通道安全标准第5章 非功能性约束5.1. 范围非功能需求规定了系统必须满足的服务水平、系统非运行时间的属性以及系统必须遵守的约束。非功能需求适用于整个系统、系统的几个部分或特定的用例。非功能需求虽然不直接影响系统功能，但在用户和系统支持人员对该业务系统的认可方面具有很大的影响。非功能需求包含许多方面。主要的非功能需求包括以下几方面：l 系统性能l 可靠性l 可用性l 易用性l 可维护性l 可扩展性l 可伸缩性l 可移植性l 可重用性5.2. 系统性能交易可以定义为：一个交易是当一个单一角色跨越系统边界触发一个事件并执行一定数量的处理和数据库访问，它将影响架构中的所有服务器层。交易响应时间指完成目标系统中的交互或批量处理所需的响应时间。根据业务处理类型的不同，把交易划分为三类：交互类业务、查询类业务和大数据量批处理类业务，分别给出响应时间要求的参考值，包括峰值响应时间、平均响应时间。l 交互类业务日常交易指传统的大厅交互业务，如申报、发票销售、税务登记等，具有较高的响应要求。业务复杂性平均响应时间参考值（秒）峰值响应时间参考值（秒）日常交易<3秒<5 秒备注：以上交易如果涉及与其它系统之间交互，响应时间应包括系统之间交互的时间;以上给出的响应时间为参考值，l 查询类业务查询业务由于受到查询的复杂程度、查询的数据量大小等因素的影响，需要根据具体情况而定，在此给出一个参考范围。简单查询如登记资料查询、业务清册、申报表查询等。复杂查询如多表数据关联统计分析查询类报表等等。如有特殊要求，可以在具体用例文档中单独给出响应时间要求。备注：业务处理过程的交互操作的响应时间参见上面交互类业务的相关指标。l 大数据量、批处理业务批量交易指一次完成多笔业务处理的交易，如批量扣缴等，由于批量交易的数据量不确定，需要根据具体的情况确定响应时间。业务复杂性平均响应时间参考值（秒）峰值响应时间参考值（秒）批量交易视提交数据量、业务处理量而定5.3. 可靠性1、 最大宕机时间n 网络渠道：最大宕机时间1小时。n 纳税服务应用支撑：最大宕机时间1小时。n 12366系统参考12366系统现有非功能性需求。n 短信：最大宕机时间8小时。n 电子邮件：最大宕机时间8小时。2、 系统备份提供备份系统，防止单点故障3、 灾难恢复备份遵循金税三期工程容灾设计方案。5.4. 可用性业务系统应满足7×24小时可以使用。5.5. 易用性1、 易理解a) 系统所有的业务功能界面风格和操作流程一致；b) 业务表单尽量做到所见即所得；c) 界面美观、简洁、高效；界面各部件的布局应该保持合理性和一致性；d) 界面风格一致，颜色调和、提示清晰、窗口大小适当，使用方便。e) 在选择快捷键、缩写、暗示和图标时应符合税务行业为习惯。2、 易操作a) 常用操作有快捷键支持，大部分操作能够在小键盘内完成；b) 信息录入能够完全通过键盘完成；c) 无论逻辑步骤还是操作步骤都应避免繁杂。3、 易学习a) 提供在线帮助，系统关键业务操作应提供在线帮助文档和提示信息，使操作人员能够快速直观的利用这些信息进行相应的业务操作，并对各种状态和操作结果进行及时的反馈和提示。b) 提供符合税务行业习惯，详细、易读、易理解的操作使用手册4、 需遵循“金税三期”工程的界面集成标准规范；5.6. 可维护性1、 可配置a) 人员机构的可维护系统应具备人员/机构等基础信息的维护功能，系统应该能够快速的对人员/机构信息进行维护和调整操作。b) 岗位权限的可维护性系统应具备岗位权限的维护功能，系统应该能够快速的对岗位权限进行权限赋予和回收等维护操作。c) 业务流程的可维护性系统主要业务流程应具备维护功能，可根据业务规则的变化快速的对业务流程进行调整维护操作。d) 服务接口的可维护性系统主要业务功能应提供标准的服务交换接口，可通过开关配置快速的提供对外服务能力。e) 参数指标的可维护性系统应具备规范、完善的参数指标的管理功能，具备针对系统运行基础性能参数进行配置和维护的功能。2、 可监控a) 提供日志审计功能系统每个组件应具备规范、完善的的日志管理功能，具备多级日志搜集开关、有效/失效开关、性能指标搜集开关以及开配置参数表。b) 业务流水机制为保证关键业务一致性，建议考虑采用流水机制。c) 标准监控协议支持符合业界主流监控软件的接口规范，能够将监控数据方便的接入到监控软件中，便于集中监控和管理；3、 可读、易于修改要求在系统的建设过程中要有规范、清晰、完整和详细的文档，如业务需求阶段要有业务用例模型、业务活动图、业务规则、表证单书等；系统需求分析阶段要求有系统用例模型、用例文档、规则说明等；概要设计阶段要求有宏观设计文档；详细设计阶段要求有类图、时序图等；编码阶段要求有程序设计说明、变量定义说明等；测试阶段要有测试用例、测试记录等。4、 易于升级要求数据库、应用服务器、开发工具能方便地进行版本升级，具有向下兼容性；易于升级也要求客户端的升级工作量较小，建议采用浏览器客户端而不是GUI客户端。5.7. 可扩展性在设计上必须具有适应业务变化的能力，当系统新增业务功能或现有业务功能改变时（界面的改变、业务实体变化、业务流程变化、规则的改变、代码改变等），应尽可能的保证业务变化造成的影响局部化。系统应提供一个弹性的架构，支持使用配置而免编程的方式对业务流程、业务表单、查询统计等功能的定制与调整。5.8. 可伸缩性当系统容量发生变化时，应能通过各个层次的扩充，保证系统合理的响应时间和吞吐量，支持负载的划分与均衡。5.9. 可移植性应用系统硬件平台无关性，支持主流的硬件平台和操作系统。5.10. 可重用性可重用性主要是指软件产品在不同的系统建设中可以被重复利用的程度。要提高系统的可重用性，应采用构件化的设计思想，即在提供标准化的服务接口的前提下可以替换各种可选的实现，而不会影响系统其他部分的实现，以此将系统可重用部分可能的变更充分的局部化第6章 安全性约束6.1. 安全等级要求纳税服务系统安全等级建议定为二级，最终级别以总局的定级结果为准，系统在设计上和部署上要不低于二级等级保护的标准。6.2. 策略和措施针对总局纳税服务系统采用的安全技术策略和对应的技术措施如下所示：安全技术策略技术措施物理安全保护策略通过符合相关标准进行机房的建设和改造实现网络安全策略严格控制对纳税服务系统的访问采用防火墙作为边界隔离措施，实现不同网络边界的访问控制对内网纳税服务系统的各种攻击进行检测、分析和响应采用网络入侵检测技术（IDS）记录互联用户对纳税服务系统的访问行为，并分析响应采用网络审计系统实现对网络病毒进行防范采用网络防病毒系统网络的端口和协议进行检测采用漏洞扫描系统在网络入口处对网络病毒进行拦截采用防病毒网关在网络入口处对异常网络流量进行清洗采用防产品主机系统安全策略主机的入侵防护策略、检测主机入侵攻击采用网络防病毒软件的客户端的主动防御功能加强核心数据库主机的加固和防护采用主机防护产品加强操作系统和数据自身的安全主机系统加固对主机系统存在的漏洞查找采用漏洞扫描系统防止计算机病毒入侵主机采用防病毒系统对操作系统和数据的日志进行分析，查找非法调用采用主机与数据库综合审计系统应用安全策略加强应用系统自身的强壮性开发时对安全需求进行分析、采用安全架构设计、安全编程对程序的代码进行检测，查找程序漏洞采用应用系统漏洞扫描和代码审计对核心应用系统进行双因子认证采用身份认证体系防止网站被非法篡改采用网页方篡改系统防止注入和跨占攻击采用应用防火墙防止网站的被挂木马程序和被攻击，监控网站的运行状况采用网站的实时监控系统数据安全策略防止数据丢失、错误和非法篡改采用数据备份与恢复体系和相关技术保障关键业务数据的传输安全、采用数字证书并实现数字签名、对未采用数字证书的用户提供的访问机制，采用加速器解决访问性能6.3. 应用层安全6.3.1. 应用系统安全设计要求应该单独编写安全性设计说明概要。应用系统架构设计时要进行安全可行性分析并通过评审。应用系统安全性设计至少要包括以下内容：l 认证与授权服务：Ø 必须有单独的登录控制模块对登录用户进行身份标识和鉴别；需要支持多种的身份认证方式，如CA证书方式，用户名密码方式和其它多因子认证方式。l 程序资源访问控制安全 ：Ø 根据用户的身份和对系统的使用情况将用户分成不同的用户组；Ø 为不同的用户或用户组分配不同的系统资源（如对象、数据等）访问权限；Ø 用户只能访问到自己有权限访问的系统资源（如对象、数据等）。l 功能性安全：Ø 明确各个功能的流程上的安全措施， 如是否需要审核，文件上传最大限制等。l 数据域安全Ø 数据域安全包括两个层次，其一是行级数据域安全，即用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤；其二是字段级数据域安全，即用户可以访问业务记录的哪些字段；l 应用日志与审计Ø 为关键的系统流程设计日志审计功能；Ø 日志记录用户对系统敏感资源（如保密数据或文件等）的访问情况；Ø 对过期的日志进行备份；Ø 日志具有查阅的功能，但不可以修改。6.3.2. 应用开发安全要求l 安全编程 Ø 对于总局有标准和制定工具的，要采用总局标准和工具进行开发；Ø 对于总局未指定的，需要对采用的标准和工具进行安全性评估；l 接口安全Ø 接口要遵循总局的接口标准规范。l 数据传输的机密性Ø 对敏感数据要采用加密传输技术。必要时要采用二次认证方式，实现对数据的保护。l 安全审计Ø 系统要支持审计，审计模块至少包括以下内容：事件的日期、时间、发起者信息、类型、描述和结果等内容，审计记录的内容应当尽可能保证详细以便于事后问题的最终和审计检查。l 安全测试Ø 系统上线前要进行安全测试和评估。6.3.3. 身份认证系统利用总局统一建设的基于PKI基础设施为纳税人提供应用系统的身份认证功能。纳税人身份认证系统的推广使用采用先试点再逐步推广的策略。针对内部用户利用总局统一建设的基于PKI基础设施为内部操作人员提供应用系统的身份认证功能。6.3.4. Web安全防护对web我们建议采用以下三种措施进行防范：u 利用IDS对SQL注入和跨站攻击进行实时，并通知防火墙进行阻断。u 在网站服务器前部署两台Web应用防火墙，来防范来自应用层的风险。u 通过在重要网站服务器安装网站防篡改软件，实现对网站页面的保护。6.3.5. 数据层安全1、针对远征用户（如出差在外的税务工作人员）通过SSL VPN接入业务专网。SSL VPN最大的好处之一就是不需要安装客户端程序，远程用户可以随时随地从任何浏览器上安全的接入到内部网络，安全地访问应用程序，因此降低了管理员维护客户端的成本。利用SSL VPN实现：1）用户身份认证，防止外部人员非法接入。2）数据传输安全：通过加密，保护在互联网上传输数据的安全。基于安全性的考虑SSL VPN设备部署在互联网接入区的防火墙的DMZ区。2、利用https协议为使用网上发票的用户提供数据传输加密，以保护纳税人的隐私信息和敏感数据。通常的做法是将SSL 运算放在提供发票服务的主机上，由于SSL 运算极耗资源，即使是功能最强大的服务器也无法达到很高的速度。这样，在上网的高峰时刻，等待时间会越来越长，有时一些交易根本无法完成，这种情况下，需要部署SSL加速器，来实现SSL加速。3、根据应用系统的实际需要部署服务器密码机，为应用系统的提供统一的、高性能、与具体协议和设备无关的多密码算法作业服务，实现应用数据的保密、防抵赖、完整性等安全保密服务。6.4. 终端安全策略1、防病毒软件进行全网终端计算机的病毒防范。2、个人防火墙防止对终端的非法访问。3、终端安全管理和补丁管理6.5. 系统层安全总局主机的安全设计主要从操作系统和数据库和等两个方面来考虑。根据等级保护三级的防护要求主要从以下几个方面对主机的安全进行防护：l 身份鉴别对登录操作系统和数据库系统的用户进行身份标识和鉴别，杜绝默认帐号，不合规则的帐号登录访问；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施，三次登录失败帐号会被锁定。为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。对服务器进行远程管理需要采用安全的模式， 针对系统管理员除用户名和密码外，还需要采用数字证书或者UKEY等其他身份鉴别手段。l 访问控制建立标记规则，在服务器等实体资产上粘贴属性标签，文档介质类粘贴或打印密级等标记，对于电子数据使用文件名或文件注释进行标记。建立访问控制策略，依据最小原则授予用户权限，操作系统和数据库系统要使用不同的特权用户，对用户权限分配应当定期检查。严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；及时删除多余的、过期的帐户，避免共享帐户的存在。l 安全审计由于开启操作系统和数据库的审计功能会影响系统的性能，建议在核心交换安全域配置主机数据库综合审计系统对主机和数据库信息进行审计l 入侵防范通过部署主机防火墙设备或者主机防病毒软件中的入侵检测模块监视外来的入侵行为并记录，定期进行系统升级和安全加固。l 恶意代码防范在主机上安装防病毒产品。l 资源控制Windows系统通过本地安全策略限制登录IP，Unix系统可通过TCP Wrapper工具进行访问IP限制。使用监控管理软件对服务器的C