需求类型可测试性需求子类型测试日志用户安全安全需求组件安全系统安全部署交付需求初始化License在线调试可维护性需求重新部署升级容错可靠性需求还原浏览器可用行需求用户体验设计需求1.支持快速搭建测试环境,如提供测试使用的基础数据包,提供测试环境的初始化,环境重建的方法2.对接口类的测试,应提供可视化的测试界面以便测试人员通过修改接口参数进行测试3.系统异常日志能准确定位错误发生的位置和类型,以及引发异常的来源4.保存系统异常日志的记录,并提供异常收集功能,以便开发者在后来的版本中了解需要修复哪些问1.用户帐号不允许使用空密码2.系统管理帐号不允许使用弱口令密码3.支持用户帐号强度校验,帐号强度至少3级4.可以针对角色配置该角色所需要的最低用户帐号强度。系统已有角色用户不满足该强度密码的,能5.用户密码存储时需要进行MD5加密。6.用户登录时必须使用HTTPS协议进行提交,避免帐号,密码在传输过程泄密7.禁止用户关键信息,如帐号,密码在URL中传递8.支持系统管理帐号设置帐号定期修改的间隔时间配置,并支持修改提醒9.支持系统管理帐号修改密码的不重复间隔设置,如设置了3次,则用户在修改密码时,新密码应该10.提供错误密码登录次数的设置,超过数量后,在登录时需提供登录校验码的功能11.对错误请求次数在一定时间内超过一定数量的IP进行访问12.用户客户端侧保存的客户关键信息必须进行加密存储,比如Cookie中的密码13.系统管理员帐号不允许自动登录功能,对于普通业务用户可以设置一定时间内自动登录系统14.支持用户管理员登录系统后,显示上次登录的时间,以便用户了解自己的帐号是否安全1.系统所使用的操作系统,数据库,Web中间件服务器等访问帐号必须使用高强度密码2.关闭部署主机操作系统上的不必要的端口、服务、以及删除不必要的系统用户/角色3.对部署操作系统,数据库,Web中间件进行必要的加固4.禁止使用root帐号访问数据库,业务系统数据库必须使用专有帐号进行访问5.专有帐号需保证仅具有最小访问权限1.涉及系统资源配额的设置应具有边界,如任务间隔时间,任务进程数量,数据库字段长度设置2.用户访问系统资源(URL)应具备必要的权限访问,避免用户通过构造URL的方式访问非授权信息3.授权的粒度应当包括资源(URL)访问,功能操作,以及特定数据属性级别(如果业务需要的话)4.对影响系统安全性的操作需要进行记录,以便事后审计1.提供应用程序安装部署包2.提供安装环境检测功能,并提供缺失部件安装包获取以及安装简要说明3.提供系统初始化帐号和配置界面,系统正常运行期间,能禁止进行重新初始化配置4.提供部署初始化关键信息的检查和回退修改5.系统初始化时具备License导入、重新导入功能,6.应具备License功能以及应用使用有效期的控制1.提供系统维护状态运行模式,在该模式下,系统将输出有利于进行系统问题定位,检测的的必要日2.提供系统关键信息(如初始化部署配置信息)快速备份的能力,在系统重新安装部署时,简化初始3.软件重装不会影响系统配置和业务数据改变4.提供系统在线升级功能或量化升级所需要的停止服务时间1.关键部件支持并采用冗余部署方式2.系统对前端非法请求以及输入错误应具有容错能力,并将错误转化为用户易于了解的信息3.系统关键数据具有恢复或重建机制4.对业务数据具备数据备份和还原能力,对可能的数据损失有量化说明1.互联网访问B/S应用需兼容当前主流的浏览器,以及主要使用版本2.根据系统功能的使用操作频率进行合理的导航分区,常用操作放置于易关注和易操作位置3.程序操作界面的文字描述要易于理解,操作有必要的指示或示例说明4.用户关键操作,如删除数据,定制安全配置等需进行必要的操作提醒,提醒分为:信息,提示,警5.应用功能的入口操作的最大导航层级不大于4,因保持在1-2层即可到达是否需要满足
