藝術特長生考試打分系統(tǒng)技術性能及功能要求

藝術特長生考試打分系統(tǒng)技術性能及功能要求一、總體要求（一）系統(tǒng)具有先進性和成熟性系統(tǒng)建設盡可能采用成熟先進的技術、方法、軟件和網(wǎng)絡平臺，確保系統(tǒng)的先進性、成熟性，使系統(tǒng)穩(wěn)定可靠。（二）系統(tǒng)具有可維護性和擴展性系統(tǒng)應具有較強的可維護性和擴展性。采用標準化設計，嚴格遵循相關技術的國際、國內(nèi)標準，能方便地進行系統(tǒng)流程和功能的調(diào)整，以適應系統(tǒng)需求的變化;系統(tǒng)能夠方便地進行管理與維護，軟硬件的升級不影響正常運作，系統(tǒng)功能、結(jié)構(gòu)以及數(shù)據(jù)庫可方便地擴展。（三）系統(tǒng)具有實用性和易用性系統(tǒng)的開發(fā)要“以人為本”，貼近工作人員的需求與習慣，做到功能強大、界面友好美觀、操作簡單、使用方便。充分實現(xiàn)信息資源的共享，降低軟件安裝配置、聯(lián)調(diào)與維護工作實施難度，快速實現(xiàn)互聯(lián)互通，減少工作人員的工作量。（四）系統(tǒng)具有標準化和開放性。系統(tǒng)建設采用的軟件平臺、數(shù)據(jù)標準、開發(fā)技術應符合公認的工業(yè)標準，符合國家、地方和行業(yè)的有關標準與規(guī)范，系統(tǒng)的分析、設計、實現(xiàn)和測試要嚴格按照統(tǒng)一的標準規(guī)范以及通用的軟件工程標準和規(guī)范，以確保系統(tǒng)符合國際上各種開放標準，采用基于正確公開標準的部件和技術，以確保最大限度的協(xié)作能力以及與第三方系統(tǒng)與部件集成的簡便性。采用標準的數(shù)據(jù)描述語言以及標準的通信協(xié)議，適應以后的數(shù)據(jù)交換標準以及系統(tǒng)間互連的標準協(xié)議。同時提供標準化的二次開發(fā)接口，使得系統(tǒng)具有較強的開放性和擴展性，易于兼容已經(jīng)存在的或者未來建設的各種業(yè)務應用系統(tǒng)。當業(yè)務內(nèi)容與流程變更時，能方便地進行系統(tǒng)流程和功能的調(diào)整，以適應系統(tǒng)需求的變化。_alloca.ALT轉(zhuǎn)換宏；不要嵌入公司的名稱；將字符串移至資源DLL中；應用程序日志；從危險的C/C++遷移到托管代碼。威海市招生考試辦公室（五）系統(tǒng)具有安全性和保密性保證網(wǎng)絡環(huán)境下數(shù)據(jù)的安全，防止入侵、非法訪問、惡意更改毀壞，采取完備的數(shù)據(jù)保護和備份機制O為防止非授權(quán)用戶的非法入侵和授權(quán)用戶的越權(quán)使用,系統(tǒng)應進行各種級別的權(quán)限控制，并具備審計功能，自動記錄訪問用戶信息及其訪問操作過程，以備日后查詢。（六）系統(tǒng)具有高性能和穩(wěn)定性在系統(tǒng)設計、開發(fā)和應用時，應從系統(tǒng)結(jié)構(gòu)、技術措施、軟件平臺、技術服

務和維護響應能力等方面綜合考慮，多用戶并發(fā)操作具有較高穩(wěn)定性和響應速度。二、功能需求序號模塊名稱功能名稱說明1系統(tǒng)平臺基礎信息設置（1）藝術特長生種類設置：可設置聲樂、樂器、舞蹈、播音、模特等類別，可新增、修改和刪除；（2）種類打分項設置：可對每種類別的具體打分項目進行設置；（3）分值計算設置：可對各打分項分值進行設置；（4）現(xiàn)場打分時段設置：可對現(xiàn)場有效打分時段限定。系統(tǒng)設置（1）用戶管理：平臺操作人員的信息管理；（2）部門管理：對相關執(zhí)行部門信息的管理；（3）角色管理：對操作人員權(quán)限的管理；（4）日志查看：查看各操作人員進入系統(tǒng)的具體操作情況;（5）系統(tǒng)參數(shù)：系統(tǒng)運行相關參數(shù)設定管理。評分設備管理（1）評分設備授權(quán)：對打分設備進行授權(quán)管理；(2)已授權(quán)設備查詢：查詢已授權(quán)設備信息。評委管理(1)增加評委：增加評委相關信息(姓名、專業(yè)、評分平板的登錄帳號、密碼等信息)；(2)評委管理：修改評委信息以及分配權(quán)限和評分設備。考生信息管理(1)批量導入考生基本信息：批量導入考生基本信息；(2)藝術特長生信息管理：增加、修改、刪除考生信息；(3)生成檢錄二維碼打印單：生成各考生考試現(xiàn)場檢錄二維碼;(4)藝術特長生報名數(shù)量統(tǒng)計：各類考生報名人數(shù)統(tǒng)計。成績管理(1)總分排名：生成各類考生總分排名表；(2)成績總表：生成考生成績總表；(3)最低分數(shù)線設置：設置后可實時得出合格比例；(4)合格比例設置：設置后可實時得出最低分數(shù)線；(5)生成合格名單：生成合格考生名單；(6)錄像調(diào)取：可以調(diào)取回放考生現(xiàn)場考試的錄像。2考場評委打分系統(tǒng)(1)AndroidAPP可安裝在主流安卓平板中運行；(2)評分軟件運行需授權(quán)后進行，杜絕非法評分；(3)評委需在評分設備上使用帳號、密碼在評分登錄，實名評分；(4)在檢錄設備上刷考生二維碼檢錄，同考室其它平板可同步調(diào)出此考生信息；(5)當場自動計算得分，并可同步顯示其它評委的評分(僅評分）;（6）有中文i口日報讀功月匕；（7）有現(xiàn)場錄像功能，可全程對考生進行錄像并上傳到服務器供隨時查看。三、運行環(huán)境與技術要求（一）平臺運行環(huán)境與開發(fā)工具操作系統(tǒng)CentOS7.x64BitLinux數(shù)據(jù)庫MySql/SQLite緩存系統(tǒng)Redis管理平臺開發(fā)語言Python,Node,VUE,H5評分設備開發(fā)語言Java,C++,VUE,H5支持用戶數(shù)量不少于1萬人平均響應時間小于1.75秒系統(tǒng)部署方式Docker虛擬化（二）、系統(tǒng)運行所需服務器硬件要求CPUIntelXEON內(nèi)存16G+硬盤1TB+操作系統(tǒng)CentOS7.x64BitLinux-4+bcAz市寬WOMB四、系統(tǒng)開發(fā)安全需求(一)本項目按照國家標準的信息系統(tǒng)等級保護第三級或以上安全設計技術要求進行應用系統(tǒng)安全設計。軟件開發(fā)過程的控制方法和人員行為準則應遵照《GB/T22239-2008信息安全技術-信息系統(tǒng)安全等級保護基本要求》、《GB/T28452-2012信息安全技術-應用軟件系統(tǒng)通用安全技術要求》、《GB/T30998-2014信息技術-軟件安全保障規(guī)范》、《GB/T32926-2016信息安全技術政府部門信息技術服務外包信息安全管理規(guī)范》、《GB/T34946-2017C#語言源代碼漏洞測試規(guī)范》、《GB/T34944-2017Java語言源代碼漏洞測試規(guī)范》、《GB/T34943-2017CC++語言源代碼漏洞測試規(guī)范》等標準，依據(jù)安全需求進行安全設計，保證安全功能的完整實現(xiàn)。(-)系統(tǒng)開發(fā)測試和管理須遵循安全編程規(guī)則。程序員應通過簡單的、經(jīng)證實的編碼技術提高程序集的安全性；通過良好設計的接口和面向?qū)ο缶幊痰目煽考夹g來縮小攻擊面；使用強名稱使程序集具有防篡改性；減少與調(diào)用非托管代碼相關的風險；編寫安全的資源訪問代碼，包括文件I/O、注冊表、事件日志、數(shù)據(jù)庫和網(wǎng)絡訪問代碼;解決常見程序集威脅需要應用的對策，包括防特權(quán)提升、代碼注入、信息泄露和篡改等；不得在程序中植入后門和惡意代碼。包括但不限于采取下表做法：事項安全要求主動的安全開發(fā)過程不斷改進開發(fā)過程，安全貫穿于設計階段、開發(fā)階段、測試階段。賴以生存的安全法則從錯誤中吸取教訓；盡可能縮小攻擊面；采用安全的默認設置；縱深防御；使用最小特權(quán)；向下兼容總是不安全的；假設外部系統(tǒng)是不安全的；失敗時的應對計劃；失敗時進入安全模式；安全特性不等于安全的特性；決不要將安全僅維系于隱匿；不要將代碼與數(shù)據(jù)混在一起；正確地解決安全問題。防止緩沖區(qū)溢出堆棧溢出；堆溢出；數(shù)組下標錯誤；格式字符串錯誤；Unicode和ANSI緩沖區(qū)大小不匹配。以最小特權(quán)運行最小特權(quán)運行；訪問控制；令牌。應用程序要求提高特權(quán)的三個理由（ACL問題、特權(quán)問題、使用LSA秘密），解決提高特權(quán)的問題，確定適當特權(quán)的過程，Windows中的低特權(quán)級服務賬戶，模擬特權(quán)，調(diào)試最小特權(quán)問題。加密不宜編寫自己的加密軟件，應使用現(xiàn)成可用的Microsoft加密API和加密方案。保護機密數(shù)據(jù)保護秘密信息；不要選擇最低共同點解決方案；管理內(nèi)存中的秘密；鎖定內(nèi)存以防敏感數(shù)據(jù)被分頁；保護托管代碼中的機密數(shù)據(jù)；提高安全門檻，必要時才采用折衷方案。身份認證具有完備的權(quán)限管理和用戶認證措施（統(tǒng)一賬號、統(tǒng)一授權(quán)、統(tǒng)一認證、日志管理、統(tǒng)一審計），杜絕未授權(quán)的非法訪問。從登錄、修改密碼、初始化密碼等源頭強制使用中等強度以上密碼（8位以上包含字母、數(shù)字、特殊符號三類字符的字符串）。修改密碼時，禁止新舊密碼相同；用戶設置密碼不能與用戶名相同；初始化密碼每人每次各不相同?？蓡蝹€配置用戶或統(tǒng)一設置全部用戶的認證檢驗項（是否允許同一賬戶同時在線、是否啟用校驗碼及其復雜度、允許認證失敗次數(shù)及鎖定時長、身份鑒別方式組合、啟用/停用賬戶、賬戶有效期等）。校驗碼里的字符須有干擾線。可對用戶角色權(quán)限進行管理操作，可修改用戶的權(quán)限內(nèi)容。可對系統(tǒng)生成的日志進行管理操作，包括：日志查詢、日志詳情查看、日志導出等功能，防止日志注入（LogInjection）,日志記錄前要對非信任的數(shù)據(jù)進行校驗或編碼。具有審計功能，對歷史操作可追溯、回訪。一切輸入都是有害的程序默認情況下就要對輸入的信息進行驗證，拒絕驗證失敗的數(shù)據(jù)。把輸入驗證作為軟件框架的一部分，所有輸入使用一致的輸入驗證；使用正則表達式檢查輸入；不能使用正則表達式尋求最佳做法。將可信和不可信數(shù)據(jù)分別儲存來保證輸入驗證總是被執(zhí)行。對來自命令行、系統(tǒng)屬性，環(huán)境變量以及配置文件的輸入都需要進行校驗，保證它們是一致的和健全的。規(guī)范表示的問題規(guī)范文件名的問題；基于Web的規(guī)范問題；視覺等效攻擊和同形異義詞攻擊；預防規(guī)范化錯誤；基于Web的規(guī)范化問題的補救措施。數(shù)據(jù)庫合理分配數(shù)據(jù)庫訪問權(quán)限；合理存放數(shù)據(jù)庫連接賬號和密碼信息；以安全方式創(chuàng)建SQL語句；使用參數(shù)化請求方式并進行數(shù)據(jù)類型檢查；對SQL語句中來自于不可信區(qū)域的輸入?yún)?shù)進行驗證；對數(shù)據(jù)庫操作返回數(shù)據(jù)進行驗證；分次提取數(shù)據(jù)；確保數(shù)據(jù)庫資源被釋放。文件訪問及上傳下載使用文件系統(tǒng)訪問控制；注意文件訪問競爭條件；安全使用臨時文件；確保文件系統(tǒng)資源被釋放。禁止上傳目錄的執(zhí)行權(quán)限；對上傳文件進行限制（是否包含特殊字符和擴展名）；把文件名以及文件內(nèi)容作為不可信的輸入對待；安全使用文件名。文件下載和引用時，應該檢查該用戶是否具有此文件的相關權(quán)限，禁止下載應用系統(tǒng)自身的配置和數(shù)據(jù)，禁止直接根據(jù)文件位置和文件名來定位下載文件。Web常見安全問題具有防暴力破解、防SQL注入、防跨站腳本攻擊、上傳文件格式限制、防會話劫持、防重復注冊、防虛假認證、防存儲篡改、防數(shù)據(jù)外泄等安全措施。驗證來自HTTP請求中的所有數(shù)據(jù)，惡意數(shù)據(jù)可以從表單域、URL參數(shù)、cookie、http頭以及URL自身傳入。過濾器調(diào)用前對需要過濾的數(shù)據(jù)進行URL解碼，并統(tǒng)一變成小寫，一旦發(fā)現(xiàn)匹配危險字符串成功則拒絕請求；郵箱地址、用戶名、密碼、日期、漢字、手機號、身份證號、網(wǎng)址、編號代碼等均有固定格式，均使用白名單正則匹配來限制輸入；防止客戶端惡意代碼執(zhí)行，在服務端對輸出的數(shù)據(jù)內(nèi)容進行HTML編碼轉(zhuǎn)義按照UTF-8標準來執(zhí)行。認證失敗錯誤提示模糊處理。不允許攻擊者控制發(fā)送給文件系統(tǒng)、瀏覽器、數(shù)據(jù)庫或者其它子系統(tǒng)的命令。使用HTTPPOST方法來保證Request參數(shù)的安全。不管在客戶端是否經(jīng)過輸入驗證，在服務端仍要進行驗證。對所有的異常構(gòu)造統(tǒng)一的錯誤頁面，包括HTTP錯誤和未經(jīng)處理的異常。應用錯誤提示信息不會泄露系統(tǒng)信息以及出錯原因等敏感信息，自定義友好的錯誤頁面來代替默認的錯誤頁面。在會話終止時清空其數(shù)據(jù)。使用最具限制性的域和路徑來限制對會話使用的cookie的訪問，cookie有效時間不得超過24小時，在cookie中加入HttpOnly來防止跨站腳本盜取cookie。在HTTP響應頭中加入x-xss-protection:1；mode=b中加來啟用XSS保護。強制執(zhí)行一個會話最大生存周期，在會話終止時清空其數(shù)據(jù)。日志真實可靠，不可偽造和篡改。國際化問題適應多個地區(qū)語言和文化風俗習慣。在應用程序中使用Unicode；預防il8n緩沖區(qū)溢出；驗證il8n；字符集轉(zhuǎn)換問題；比較和排序；Unicode字符屬性；時間時區(qū)問題及其格式化處理；規(guī)范化。Socket安全編程避免服務器被劫持；TCP窗口攻擊；選擇服務器接口；接受連接；編寫防火墻友好的應用程序；預防基于主機和基于端口信任的欺騙。RPC/DCOM和ActiveX控件安全編程慎用RPC/DCOM；不得使用ActiveXo拒絕服務攻擊的防范應用程序失敗攻擊；CPU不足攻擊；內(nèi)存不足攻擊；資源不足攻擊；網(wǎng)絡帶寬攻擊。編寫安全的代碼嚴格驗證導出的和公共的應用程序編程接口（API）的所有參數(shù)；代碼訪問安全；程序集是強命名的；指定程序集權(quán)限需求；及時禁用斷言；驗證請求和鏈接請求；驗證遠程請求；限制代碼的使用范圍；不要在XML或配置文件中存儲敏感數(shù)據(jù)；審查允許部分信任的程序集；檢查非托管代碼的托管包裝的正確性；隔離存儲的作用；在部署應用程序之前禁用跟蹤和調(diào)試；不要遠程發(fā)布冗長的錯誤信息；對來源不可信的數(shù)據(jù)進行反序列化；失敗時不要讓攻擊者知道太多,不允許攻擊者能夠?qū)懭我獾臄?shù)據(jù)到日志里；禁止在源代碼中寫入口令；不得在客戶端存放敏感數(shù)據(jù)。在代碼中加入隱私策略建立隱私基礎設施；設計尊重隱私的應用程序。安全性測試根據(jù)威脅模型制定安全性測試計劃；制訂檢查表進行代碼安全檢查。用欺詐性的服務程序測試客戶軟件；用戶是否應看到或修改數(shù)據(jù)；用安全模板進行測試；發(fā)現(xiàn)一個錯誤時測試并未結(jié)束；測試碼應有很高的質(zhì)量；測試端到端解決方案；確定攻擊面。審查代碼安全建議使用自動化使用源代碼分析工具審核代碼。從易處著手，多遍審查；對指針代碼進行額外的審查；絕不要相信網(wǎng)絡上的所謂標準代碼。安全的軟件安裝最小特權(quán)原則；安裝后立即清除密碼；使用安全配置編輯器；調(diào)用低層的安全API。編寫安全文檔和錯誤消息文檔中的安全問題；信息泄漏問題；錯誤消息中的安全問題；安全消息；對安全消息進行可用性測試；審閱產(chǎn)品說明書；檢查安全設置的可用性。常用的好做法不要向攻擊者透露任何信息；尋求最佳做法；不