T-UNP 293-2024 用户管理特殊纪念日自动提醒系统技术规范

ICSUNSPSCCCS35.08043.23.15范TechnicalspecificationforautomaticremindersystemspeciaIT/UNP293—2024前言 2规范性引用文件 3术语和定义 4缩略语 5功能要求 5.1信息管理 5.2提醒管理 25.3信息搜索 25.4数据分析 25.5主题设置 26性能要求 26.1界面要求 26.2可靠性要求 26.3Web要求 36.4响应要求 37接口要求 37.1设计原则 37.2接口协议 37.3开发要求 37.4发布要求 37.5服务更新 47.6授权验证 48安全要求 48.1设计安全 48.2物理安全 48.3网络安全 48.4运行安全 58.5管理安全 59运维要求 59.1制度建设 5 69.3响应支持 69.4风险管控 69.5运行监控 6T/UNP293—202410评价改进 参考文献 T/UNP293—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由湖北宝妈赋能网络科技有限公司提出。本文件由中国联合国采购促进会归口。本文件起草单位：湖北宝妈赋能网络科技有限公司、湖北千夏网络科技有限公司、武汉励为企业管理咨询有限公司、亿丰（深圳）实业有限公司、江西采薇实业有限公司。本文件主要起草人：颜艳艳、胡剑、卢佳琦、朱文都、高科。T/UNP293—2024为助力中国企业参与国际贸易，推动企业高质量发展，中国联合国采购促进会依托联合国采购体系，制定服务于国际贸易的系列标准，这些标准在国际贸易过程中发挥了越来越重要的作用，对促进贸易效率提升，减少交易成本和不确定性，确保产品质量与安全，增强消费者信心具有重要的意义。联合国标准产品与服务分类代码（UNSPSC，UnitedNationsStandardProductsandServicesCode）是联合国制定的标准，用于高效、准确地对产品和服务进行分类。在全球国际化采购中发挥着至关重要的作用，它为采购商和供应商提供了一个共同的语言和系统，促进了全球贸易的高效、有序发展。围绕UNSPSC进行相关产品、技术和服务团体标准的制定，对助力企业融入国际采购，提升国际竞争力具有十分重要的作用和意义。本文件采用UNSPSC分类代码由6位组成，对应原分类中的大类、中类和小类并用小数点分割。本文件UNSPSC代码为“43.23.15”，由3段组成。其中：第1段“43”为大类，表示“信息技术广播和电信”，第2段为中类，“23”表示“软件”，第3段为小类，“15”表示“特定于业务功能的软件”。1T/UNP293—2024用户管理特殊纪念日自动提醒系统技术规范本文件规定了用户管理特殊纪念日自动提醒系统的功能要求、性能要求、接口要求、安全要求、运维要求、评价改进。本文件适用于用户管理特殊纪念日自动提醒系统的设计、开发、部署及应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20270信息安全技术网络基础安全技术要求GB/T21052信息安全技术信息系统物理安全技术要求GB/T28827.3信息技术服务运行维护第3部分：应急响应规范GB/T50174数据中心设计规范3术语和定义本文件没有需要界定的术语和定义。4缩略语下列缩略语适用于本文件。CPU：中央处理器（CentralProcessingUnit）HTTP：超文本传输协议（HyperTextTransferProtocol）HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）REST：表述性状态转移（RepresentationalStateTransfer）SOAP：简单对象访问协议（SimpleObjectAccessProtocol）WSDL：网络服务描述语言（WebServicesDescriptionLanguage）5功能要求5.1信息管理对纪念日进行创建、编辑、删除：a)纪念日创建：1)纪念日名称；2)日期：通过日历控件选择公历日期，同时提供农历日期切换按钮；3)纪念日描述：详细描述纪念日的特殊意义；b)纪念日编辑：可修改纪念日名称、日期和描述信息，修改后的信息实时更新并保存到数据库。原纪念日有重复提醒设置，系统自动根据新日期重新计算下一次提醒时间；c)纪念日删除：删除纪念日信息，相关的提醒设置也一并删除。2T/UNP293—20245.2提醒管理5.2.1时间设定支持手动输入特殊纪念日的日期、名称、相关描述等信息，精确到年、月、日、时、分，提醒时间设置包括：a)提供按天提前提醒的设置选项，可选择提前1d～30d中的任意天数；b)按周提前提醒时，可选择提前1周～4周，可指定周几提醒。5.2.2提醒途径提醒途径包括但不限于：a)应用内推送通知：用户可选择推送通知的优先级，可设置是否开启声音和震动；b)短信提醒：提供短信提醒模板编辑功能，用户可在模板中插入纪念日名称、日期等信息；c)邮件提醒：用户可编辑邮件主题和正文内容，支持插入纪念日相关变量。邮件内容可添加图片、链接等元素。5.2.3日历关联可与手机系统日历或第三方日历软件同步，根据用户在本系统中设置的纪念日信息，在其他日历应用中创建相应的日程事件。5.3信息搜索用户可根据纪念日名称、日期、类型等信息进行搜索：a)输入纪念日名称中的关键词进行搜索；b)支持按日期范围搜索，可通过日历选择起始日期和结束日期，搜索出该时间段内的所有纪念c)可结合纪念日名称、日期、类型等多个条件进行搜索，系统通过复杂查询准确筛选出符合条件的纪念日。5.4数据分析数据分析包括：a)纪念日数量统计：实时显示用户已添加的纪念日总数，并可按年、月统计不同时间段内新增的纪念日数量，以图表（如柱状图、折线图）形式展示；b)纪念日类型分类统计：对用户的纪念日按类型进行分类统计，以饼图形式展示各类纪念日在总数中的占比，可进一步分析不同类型纪念日的平均提前提醒时间、重复提醒频率等数据，为用户优化提醒设置提供参考。5.5主题设置提供丰富多样的主题皮肤供用户选择，涵盖浪漫、温馨、简约、卡通等多种风格。支持用户自定义主题元素，包括背景图片、图标样式、字体颜色和大小等。6性能要求6.1界面要求界面设计简便、色调统一、内容清晰、界面基本元素风格统一、操作流程统一简便，满足用户对于PC、平板及手机等不同设备的使用需求。6.2可靠性要求可靠性指标要求包括：a)系统年可用率不应小于99.9%；b)系统平均无故障时间不应小于16000h。3T/UNP293—20246.3Web要求Web发布及移动应用的实时性指标要求包括：a)单值实时类数据刷新时间不应大于5s；b)单值非实时类数据刷新时间不应大于1min；c)调用页面的响应时间不应大于5s；d)管理信息大区应支持至少200个用户同时访问。6.4响应要求系统响应要求包括：a)热备用计算机切换时间应保证实时任务不中断；b)冷备用计算机切换时间不应大于10min；c)网络平均负荷不应大于30%（任意5min内）；d)服务器CPU平均负荷率不应大于50%；e)其他计算机CPU平均负荷率不应大于35%；f)计算机重载情况下，CPU最大负载率不宜超过70%；g)在线运行的服务器内存平均占用量不应大于50%；h)历史数据在线保存时间宜不小于2年；i)系统支持的数据库点数宜不小于50万点；j)服务器磁盘容量至少应留有20%的备用容量。7接口要求7.1设计原则接口设计的基本原则包括但不限于：a)安全性原则：应提供多种安全可靠的技术手段，保证接口数据的安全；b)开放性原则：应采用通用的接口设计标准，保证与其他系统的互联互通；c)灵活性原则：应能根据业务变化，灵活调整接口容量与性能。7.2接口协议接口技术要求包括但不限于：a)服务传输协议：应符合HTTP或HTTPS的1.0版本或1.1版本的要求；b)服务描述要求：服务描述的内容格式应符合WSDL1.1、SOAP1.1/1.2的要求。7.3开发要求接口开发要求包括但不限于：a)接口名称：接口的中文名称宜包含提供方名称、共享信息名称和接口分类等信息；b)接口方式：包括WebService和REST两种方式，若为REST方式，应标明REST操作；c)接口方法：命名应采用大小写混合的形式，以小写字母开头，名称中其他单词的首字母以大写字母开头，不宜使用下划线分割单词；d)接口测试：接口应对信息共享协同系统开放测试权限，并提供测试用例；e)接口授权：提供方授权的接口应明确管控参数ApiKey；f)返回数据：1)接口注册时应标明接口的返回格式；2)返回数据应采用固定的格式封装；3)接口调用不通过，可通过返回码返回数据。7.4发布要求服务接口发布时，应准确填写接口描述信息。接口主要描述信息填写要求包括但不限于：a)接口概述：应描述出接口的提供方和功能；4T/UNP293—2024b)接口授权：应明确服务授权方，服务授权方包括信息共享协同系统和提供方；c)输入参数：针对每个接口方法，应给出参数名、参数说明、类型、约束等输入信息；d)输出参数：针对每个接口方法，应给出返回值格式等输出信息；e)接口实例：提供方应提供服务接口实例，并标注返回参数含义等信息。7.5服务更新若因业务变更，需对交换数据进行变更时，应在不影响使用的原则下对已发布的服务接口更新，接口更新时应保留原版本。服务接口更新要求包括但不限于：a)应提前在信息共享协同系统进行更新备案，说明服务更新的计划停止时间、重新启动时间、变更内容等；b)宜避免在工作时间内进行服务接口更新；c)应避免变更输入、输出参数。7.6授权验证应通过信息共享协同系统分配的接口密钥、访问令牌等方式对调用服务申请进行授权验证。8安全要求8.1设计安全设计安全要求包括：a)确定安全体系架构、设计安全协议和安全接口；b)确定访问控制与身份鉴别机制，定义主体角色和权限；c)数据结构安全设计，选择加密方法和算法；d)确定敏感数据保护方法；e)内部处理逻辑安全设计。8.2物理安全物理安全要求包括但不限于：a)应至少符合GB/T21052中第三级物理安全技术要求；b)应根据硬件设备所处理信息的最高密级标明设备的涉密属性和主要用途，并按涉密属性进行分类安放；c)应有专门区域，安放服务器、交换机、UPS电源以及其他硬件设备，并减少无关人员接触，防止信息泄露；d)机房建设应符合GB/T50174以及其他国家有关标准规定；e)重要的金融信息网络和信息处理设施应置于公众无法进入的场所；f)机房等安全区域应远离危险及易燃易爆物品，并设有防火、防盗、监视等安全设施；g)备份设备及介质应置于远离主安全区域的备用场所内。8.3网络安全网络安全应符合GB/T20270的要求，包括但不限于：a)应配备必要的防火墙、日志审计、漏洞扫描等软硬件设备，有效提升网络系统安全防护能力；b)涉密系统与非涉密系统的网络链路之间应做到物理隔离，防止电磁辐射泄漏和线路截获等；c)应加强涉密网络中人员用网、设备入网、信息出网等关键环节的管理，确保每个用户、每台设备、每个信息输出操作安全可控；d)对于涉密网络，应采取配置访问控制列表、关闭空闲端口等措施，防止非授权终端接入和互相访问；e)用户开通涉密网络或应用系统时，应由用户所在单位提出申请，并经单位主要负责人批准，信息主管部门负责实施；5T/UNP293—2024f)人员因故不再使用网络时，用户所在单位应注销该用户账号，信息部门负责关闭其相关设备端口以及应用账号等信息。8.4运行安全运行安全要求包括：a)服务器和其他计算机之间设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网站正常运行；b)在服务器及工作站上均安装了正版的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对系统的干扰和破坏；c)做好系统日志的留存，系统应具有保存60d以上的系统运行日志和用户使用日志记录功能，具备有IP地址、用户登记和识别确认功能，对没有合法用户名和密码的用户以及恶意攻击系统的用户采取惩处措施。8.5管理安全管理安全要求包括：a)建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。按“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全；b)各岗位工作人员通过培训提高专业素质，需有强烈的责任心和责任感。业务数据需经分管领导审核批准及确认；c)遵守对数据信息的监视，保存、清除和备份的制度。并开展对公司利益有损害信息的清理整治工作，对违法犯罪行外，报告并协助公安机关查处；d)信息应及时备份，并对不同数据信息分类保存备份。9运维要求9.1制度建设制度建设不仅包括相关制度的制定，还包括为了执行制度而制定的各类相配套的表单、操作规范和操作流程。制度建设的内容包括但不限于：a)日常运维管理制度1)日常巡检管理；2)值班管理；3)作业管理；4)设备管理；5)关键设备备品备件管理；6)事件与缺陷管理；7)容灾备份管理；8)工作报告管理；9)资料管理。b)应急处置管理制度1)突发应急预案管理；2)事件分级处理响应管理。c)安全保密管理制度1)人员进出管理；2)设备进出管理；3)设备上下架方案及流程管理；4)存储介质管理；5)涉密信息管理（涉密）；6T/UNP293—20246)非涉密信息管理。d)重大事件保障管理制度1)值守管理；2)响应机制及管理。e)人员管理制度1)培训制度；2)考核制度；3)人员上岗和离职管理。9.2日常维护日常维护包括常规作业、监控和预防性检查；a)常规作业：对系统进行常规作业，包括定期保养、数据备份、软件备份、日志清理、更新系统或用户密码等，以保证系统的稳定运行；b)监控：对系统的运行状况和发展趋势等进行记录、分析和告警；c)预防性检查：对系统的运行条件、运行状况、监控记录进行检查和趋势分析，发现其脆弱性，以消除或改进。9.3响应支持在最短的时间内恢复服务或启用备份资源，维持服务的持续提供，并对事件做出分析。根据响应的前提不同，分为事件驱动响应、服务请求响应和应急响应：a)事件驱动响应：针对系统故障而进行的响应服务，驱动触发条件包括外部事件、系统事件和安全事件；b)服务请求响应：针对系统运行需要或需方、服务相关方提出的各类服务请求，进行及时的响应和处理；c)应急响应：针对重大事件、自然灾害等做出的应急处理，应急响应的服务实施及相关要求应符合GB/T28827.3规定的应急响应服务。9.4风险管控风险管控要求包括但不限于：