昆仑银行2021年监管报送非金融资产类数据人行接入项目

1、昆仑银行2021年CMDB配置管理平台配合人行接入改造实施需求说明书PAGE 第页昆仑银行2021年CMDB配置管理平台配合人行接入改造实施需求说明书昆仑银行2021年监管报送非金融资产类数据人行接入项目CMDB配置管理平台配合人行接入改造实施需求说明书昆仑银行股份有限公司2021年 03月15日 软件需求说明书目 录 TOC o 1-4 h z u HYPERLINK l _Toc66750009 第一章总述 PAGEREF _Toc66750009 h 1 HYPERLINK l _Toc66750010 1.1需求概述 PAGEREF _Toc66750010 h 1 HYPERLINK

2、 l _Toc66750011 1.1.1项目背景 PAGEREF _Toc66750011 h 1 HYPERLINK l _Toc66750012 1.1.2项目目标 PAGEREF _Toc66750012 h 2 HYPERLINK l _Toc66750013 1.1.3适用范围 PAGEREF _Toc66750013 h 2 HYPERLINK l _Toc66750014 1.2定义和术语 PAGEREF _Toc66750014 h 2 HYPERLINK l _Toc66750015 第二章功能（或技术）需求 PAGEREF _Toc66750015 h 2 HYPERLI

3、NK l _Toc66750017 2.1功能需求说明 PAGEREF _Toc66750017 h 2 HYPERLINK l _Toc66750018 2.2详细功能（或技术）描述 PAGEREF _Toc66750018 h 3 HYPERLINK l _Toc66750019 2.2.1全量数据纳管 PAGEREF _Toc66750019 h 3 HYPERLINK l _Toc66750020 2.2.2资产配置数据标准化 PAGEREF _Toc66750020 h 4 HYPERLINK l _Toc66750021 第三章非功能需求 PAGEREF _Toc66750021

4、h 6 HYPERLINK l _Toc66750022 3.1非功能需求说明 PAGEREF _Toc66750022 h 6 HYPERLINK l _Toc66750023 3.2安全性要求 PAGEREF _Toc66750023 h 8 HYPERLINK l _Toc66750024 第四章服务需求 PAGEREF _Toc66750024 h 11 HYPERLINK l _Toc66750025 4.1服务需求说明 PAGEREF _Toc66750025 h 11 HYPERLINK l _Toc66750026 4.2详细服务描述 PAGEREF _Toc66750026

5、h 12 HYPERLINK l _Toc66750027 4.2.1项目服务周期 PAGEREF _Toc66750027 h 12 HYPERLINK l _Toc66750028 4.2.2项目服务地点 PAGEREF _Toc66750028 h 12 HYPERLINK l _Toc66750029 4.2.3项目实施工作量估算 PAGEREF _Toc66750029 h 12 HYPERLINK l _Toc66750030 4.2.4项目组成员情况和分工职责 PAGEREF _Toc66750030 h 13 HYPERLINK l _Toc66750031 4.2.5项目支持

6、和培训 PAGEREF _Toc66750031 h 14 HYPERLINK l _Toc66750032 4.2.6项目文档交付 PAGEREF _Toc66750032 h 14 HYPERLINK l _Toc66750033 4.2.7项目验收方式 PAGEREF _Toc66750033 h 15 HYPERLINK l _Toc66750034 4.2.8项目实施质量保证 PAGEREF _Toc66750034 h 15 HYPERLINK l _Toc66750035 4.2.9服务支持 PAGEREF _Toc66750035 h 15 HYPERLINK l _Toc66

7、750036 4.2.10费用与支付 PAGEREF _Toc66750036 h 16总述需求概述项目背景根据我行2021年1月21日收到的中国人民银行科技司关于做好金融业科技信息综合管理平台第三批接入工作的通知（银科技202037号）工作要求，为提高我国金融行业科技信息数字化管理水平，促进金融业科技信息共享交流，全面掌握我国金融业信息化建设情况，需要将我国各金融机构的基础设施、基础软件、应用系统等数据报送至人民银行的金融业科技信息综合管理平台。我行作为人行的第三批接入单位，需要在2021年6月30日前完成我行的首次全量数据上报工作，2021年6月30日之后，每天上报增量变化数据。根据人民银

8、行科技司第三批次接入工作通知要求，本次上报的数据元范围包括4大类数据元（虚拟机资源、IT基础设施、基础软件、关联关系），59小类数据元（如环境监控系统、网络线路、服务器、安全设备、普通机柜、应用系统、供电关联关系等），2064个数据元属性、近2000个校验和编码规则等内容，涉及我行所有全量非金融资产数据。（参考人行金融业科技信息综合管理平台数据采集范围-属性清单列表V1.9.xls标准要求）。为了满足人行要求，根据同业三批次接入情况，结合我行目前现状，需要针对报送平台需求对我行CMDB配置管理平台进行改造实施，实现同城与异地灾备、开发测试等环境所有资产及属性数据自动采集与实施工作，并完成人行资

9、产数据标准化实施工作。项目目标本项目通过调研需求，除了完成报送系统建设实施同时，也需要对CMDB配置管理平台完成改造实施。完成同城与异地灾备、开发测试等环境的所有资产及属性数据自动采集与实施工作。完成配置资产数据标准化过程实施，包括CMDB报送数据模型及关系设计调整，数据字典标准字段及增量标识等设计开发，数据转换处理和校验规则开发等，配合报送平台和人行科技信息综合管理平台接口联调测试，配合上报功能投产上线，人行接口数据规范变更持续优化改造及调整维护等工作。适用范围CMDB配置管理平台适用于总行信息科技部。定义和术语CMDB：CMDB配置管理平台功能（或技术）需求功能需求说明为配合2021年监管

10、报送非金融资产类数据人行接入项目需求，需要CMDB配置管理平台配合改造实施需求如下：功能序号实施内容模块实施内容名称需求级别备注1全量数据纳管全量数据纳管中2资产配置数据标准化数据模型创建及优化调整高3配置数据收集高4对接报送平台高5接口变更维护高详细功能（或技术）描述全量数据纳管CMDB已经完成昌平数据中心生产环境部分资产数据纳管，本项目计划对同城与异地灾备中心、开发测试环境的所有资产配置数据及关系的自动采集管理，最终实现对昆仑银行数据中心的全量资产信息管理。具体包括：针对同城灾备、异地灾备、开发测试等环境的所有资产情况（包括应用系统、主机、数据库、中间件、设备及拓扑关系等）开展深入需求调研

11、，收集整理资产需求文档。调研CMDB配置管理平台外围对接第三方系统接口对接需求，形成对接需求文档。针对资产需求文档开展需求分析，梳理基础资源及网络需求，梳理自动发现范围及定制开发需求，梳理CMDB模型需求等。完成基础资源及网络申请，完成CMDB对接系统接口开发，设计代理部署架构及网络架构，针对定制开发需求设计开发自动采集脚本，设计开发CMDB配置模型及调和规则等。完成约2000个节点代理部署实施，包括采集代理用户及权限创建、采集代理程序部署实施及验证测试、采集脚本部署实施及验证测试，完成系统接口的联调测试，完成系统网络等资源部署实施，完成配置数据及关系数据的采集配置及测试验证等工作。完成CMD

12、B配置模型、数据处理规则及接口功能调整测试验证及上线工作，完成重要系统CMDB拓扑的配置实施。资产配置数据标准化数据模型创建及优化调整按照人行数据元规范要求定制数据模板，完成CMDB人行报送数据模型及关系设计开发，完成与金融业科技信息上报管理平台（报送平台）数据定时同步更新按照人行数据上报规范，针对CMDB已纳管的数据元进行优化完善，完成数据字典标准字段及增量标识扩展等设计开发、完成数据转换处理和校验规则开发等。配置数据收集在定制好需要上传的各类数据模型后，需要实现对各类配置项数据的信息收集和初审校验，针对部分资产属性自动采集能力缺失可能涉及定制开发采集脚本并完成脚本测试验证及部署实施等工作。

13、基于数据中心现有各平台所具备的功能，配置项数据的收集可以通过以下几种方式实现：配置数据自动发现对于各类网络设备、虚拟机、各类相关系统等类型的配置项，CMDB具备了相应的配置项属性自动发现的能力，能够通过本地发现方式，实现对部分配置信息的自动采集。与第三方系统对接支持通过与第三方系统对接的方式，获取需要上报的各类配置项的属性数据。例如对于需要上报的各类机房设备的相关数据，就可以通过与机房动环监控系统对接的方式获取。配置数据批量导入CMDB支持从平台中导出指定类型配置项的模版，然后按照模版的格式，填写好相关配置数据后，再将Excel文件中的数据批量导入到CMDB配置管理平台。配置数据手工输入CMD

14、B支持选择相应的配置项类型，然后通过手工的方式实现配置项信息的手工录入。此方式主要针对各类配置项数据的零星录入、修改和删除等操作，如手工补录完善相应运维管理属性等字段。对接报送平台CMDB配置管理平台将已纳管资产数据通过RestfulAPI同步给人行上报数据平台，由报送平台完成统一上报工作，具体包括对接接口调研、接口开发、接口及上报数据联调测试及配合报送平台投产上线等工作。接口变更维护针对人行上报接口数据格式频繁变更需求，CMDB配置管理平台需根据人行上报接口规范变更要求，及时调整及测试验证数据模型和处理规则，完善配置管理信息，满足人行数据上报要求。非功能需求非功能需求说明本项目涉及CMDB配

15、置管理平台配合改造实施除接口有变化外，其他非功能需求无变化（与CMDB配置管理平台建设项目一致）。非功能性需求列表序号分类一分类二内容1可用性运行时间模式724小时2特定操作培训时间重大更新前3可靠性备份、数据恢复机制系统需供开发人员实时访问，对系统可用性要求较高，该系统配置了高可用服务器配置需求，需按照我行相关灾备管理要求进行灾备配置。4故障恢复时间1小时5数据在线和备份保留暂不涉及数据清理6性能业务估算规模不涉及7业务增长趋势不涉及8事务响应时间（平均）不大于2秒9事务响应时间（最长）不大于5秒10吞吐量预计40tps11容量数据存储容量不低于100万，可根据业务发展进行扩容12降级模式不

16、涉及13资源利用情况不涉及14联机用户文档和帮助系统需求操作手册15接口/界面1、可提供各种标准接口RestfulAPI，支持与各类管理系统、业务系统进行对接；2、CMDB配置管理平台支持标准RestfulAPI接口方式与报送平台接口交互。3、CMDB配置管理平台提供B/S用户操作使用界面。16业务连续性1、系统为7x24小时运行17监控基础监控、应用监控18备份系统具备完善的数据存储及备份机制，数据保存在存储设备中，每日进行全量备份，每天数据量约为1-2GB。19批量处理不涉及20批量处理用时（平均）不涉及21批量处理用时（最长）不涉及22批量供数完成时间点不涉及安全性要求身份鉴别：用户名管

17、理：用户名管理采用统一的规范格式：用户命名使用现有KLB邮箱名；用户名唯一对应到相应的人员。身份鉴别管理： 本系统为运维管理类应用系统，可采用密码单因素认证机制；密码管理：本行在应用系统身份认证中采用的密码策略，应涵盖密码生成，密码使用和管理等方面的要求。密码生成要求如下：密码最小长度不少于8位。密码配置至少由大写字母、小写字母、数字和特殊符号中的三种或以上字符组成。密码的使用和管理应遵循如下要求：对于密码仅由简单数字组成，如111111、123456等弱口令密码，系统可提供弱口令密码的检测和警示机制。用户通过原始密码初次登录后，原则上应强制修改原始密码。用户修改后的新密码与旧密码不能相同。在

18、密码存储和传输过程中，不能使用明文。输入密码时，在屏幕上不显示密码。用户登录时，若错误输入密码的次数超过一定次数（如5次），其账户将被锁定。用户身份管理：用户身份帐户的创建、注销、冻结/解冻、修改、查询等功能由系统管理员统一集中设置。访问控制：权限管理：特权用户账户：负责系统用户账号设置和权限分配的账户，特权用户账户负责执行重要的系统操作；业务操作账户：访问系统的普通用户，只具有相应访问内容和操作权限。用户权限管理：根据实际业务需要设定用户审批和授权流程。系统支持功能级、菜单级和数据级访问控制能力。系统支持根据用户所属机构和级别进行数据访问控制。数据安全数据分级：本系统的数据分为普通数据和敏感

19、数据。普通数据：组织机构、系统访问用户、权限、配置模型、关系、配置项等数据都属于普通数据，允许采用明文传输和明文存储。敏感数据：系统访问用户密码属于敏感数据，在传输、保存过程中采用加密处理。数据机密性：敏感数据加密算法应尽量使用国家密码局认定的国产密码算法。保密数据在存储时，需对存储数据进行加密。数据完整性：建立数据检测机制，鉴别信息和重要业务数据在采集、传输、使用和存储过程中完整性不受到破坏。数据可用性：经过授权的用户在需要时可以及时可靠的访问和使用数据资产，防止数据丢失。数据安全保护：应用系统采用高可用、数据保存采用集中存储等技术，以确保应用系统具备相应的安全功能。系统应用能对不同用户/角

20、色对数据的访问权限进行限制。安全控制应用系统应确保输入数据的完整性及合理性，设计输入验证功能，对输入的数据进行校验，严格限制仅有正确类型和限定长度的数据可以输入系统：（1）采用边界校验或者限制特定输入数据范围域等验证方式。（2）在验证出现错误时提供及时响应的功能。（3）输入数据程序的合理性。（4）对输入数据进行自动检查和验证。为确保系统内部处理的正确性，采取以下控制措施：（1）将验证检查整合到应用中，以检查由于处理错误或故意的行为造成信息的讹误。（2）应用系统的设计与实现应确保将完整性损坏的风险控制在最小层面：（a）数据变更使用添加、修改和删除功能；（b）防止程序以错误次序运行；（c）防止程序

21、在故障后运行；（d）使用适当的程序恢复故障，以确保数据的正确处理。（e）防范利用缓冲区溢出进行的攻击。应用系统应保证输出信息的正确性：（1）对输出数据进行合理性检查；（2）对输出数据进行自动检查和验证。（3）能够在验证出现错误时提供及时响应的功能。应对系统应对使用资源进行控制：（1）对系统的最大并发会话连接数进行限制。（2）对单个帐户的多重并发会话进行限制。（3）对一个时间段内可能的并发会话连接数进行限制。日志管理和安全控制日志管理要求为了便于对系统进行的维护，同时满足审计要求，系统的日志审计应包括：（a）系统提供的日志的内容应包括日期和时间、类型、主体标识、客体标识、事件的结果等具体数据项，

22、同时应具备一定的可读性；（b）系统应提供前端用户的日志审计功能和界面，并确保审计进程无法被中断、删除，以便于对日志的查阅以及审计；（c）系统的日志应存放在固定目录下，防止非法访问，同时不能对日志内容进行非授权修改和删除。（d）系统应包含对日志进行定期归档的功能，同时日志记录应采用只读方式归档保存。访问控制信息日志：当系统产生一个访问控制的事件时，应将事件记录到日志中：（a）由于超出尝试次数的限制而引起的拒绝登录；（b）成功或失败的登录；（c）用户权限的变更；（d）用户密码的变更；（e）授权用户执行了角色中没有明确授权的功能；（f）用户试图执行角色中没有明确授权的功能。（g）用户账户的创建；（h

23、）用户帐户的注销；（i）用户账户的冻结；（j）用户账户的解冻。用户对数据的异常操作日志当应用系统运行时发生用户对数据的异常操作事件，应将事件记录到安全日志中：（a）不成功的存取数据尝试；（b）数据标志或标识被强制覆盖或修改；（c）对只读数据的强制修改；（d）来自非授权用户的数据操作；（e）特别权限用户的活动。日志的记录要素：日志文件至少包含以下记录要素：（a）事件的日期、时间（时间戳）；（b）请求的来源（例如请求的IP地址）；（c）用户ID或引起这个事件的处理程序ID；（d）事件类型；（e）事件的内容（操作动作，操作对象及操作是否成功与失败）。日志禁止记录的内容：用户敏感信息（如登录密码）。安

24、全监控：应用系统应考虑与本行监控、审计等相关安全平台的对接，以便上线后将应用系统统一接入监控平台，统一进行安全管理。涉及监控方面的其它要求须遵照本行昆仑银行股份有限公司信息系统监控管理办法等监控相关规章制度执行。抗抵赖系统应采用数字签名等非对称加密技术，保证传输的数据是由确定的用户发送的，没有被篡改破坏且能够在必要时提供发送用户的详细信息。等级保护需求：按照人行项目建设要求和金融行业信息系统信息安全等级保护实施指引，该系统为本单位及所有下属机构所使用，数据来源于用户提交数据，与其他系统耦合性较低，定为等保一级系统，未向公安局备案。密码应用需求：按照转发中国人民银行乌鲁木齐中心支行办公室中国银行

25、业监督管理委员会新疆监管局办公室关于金融领域密码应用指导意见的通知要求，统筹考虑国密改造实施的内容和需求。通信保密性在通信双方建立连接之前，系统利用密码技术进行会话初始化验证，并对整个通信过程加密资源控制 不涉及业务耦合性不涉及审计不涉及服务需求服务需求说明标准服务序号服务需求服务需求说明1现场支持现场实施及现场支持，包括需求分析、模板定制、代理安装部署测试验证、参数拓扑等配置、模型及规则设计开发、采集脚本定制开发、接口开发测试、配合投产上线、接口及数据变更维护支持、上报支持、巡检、问题排查等工作。2文档输出在项目实施过程中，供应商应依据项目计划中的里程碑控制点，提交完整的各阶段交付物。3培训

26、服务应根据昆仑银行的基本情况和项目需求确定培训的目标，制定相应的培训计划，选择培训的内容，提供培训材料，组织对关键用户及其它与项目相关人员的培训，实现知识转移，保证用户能承担日常的维护管理。4售后服务针对本次项目采购内容，自验收之日需提供一年免费维保服务，包含且不限于远程服务支持和现场服务支持。详细服务描述项目服务周期本项目涉及全量报送相关配合工作需在合同签署之日起三个月内完成（确保6月30日前按时完成全量数据报送），其他内容需在合同签署之日起一年内完成本次项目周期内的全部内容，项目验收后提供整个系统1年7*24小时的免费维保服务。项目服务地点服务方对项目的产品、技术、质量、进度等负责，昆仑银

27、行积极配合，提供必要的工作环境，并选派有关业务和技术人员参加，服务地点为北京。项目组成员情况和分工职责1、项目经理PMP认证资质或者信息系统项目管理师，须具有类似同等规模实际项目经验，能够提供规范的项目管理和质量控制服务，须全程跟踪项目进度和质量；对项目实施全程提供严格的项目管理制度，依据项目计划中的里程碑控制点，提交完整的各阶段交付物。2、技术人员须具有同类项目工作经历工程师2人。项目支持和培训应根据昆仑银行的基本情况和项目需求确定培训的目标，制定相应的培训计划，选择培训的内容，提供培训材料，组织对关键用户及其它与项目相关人员的培训，实现知识转移，保证用户能承担日常的维护管理。培训服务包含但不仅限于服务培训、操作培训和运维培训。培训应该采取多种灵活的