《金光集团电子商务平台一期需求说明书》.doc

金光集团 电子商务平台 一期需求说明书 2009年12月 上海同富信息科技有限公司 引言 编写目的 准确全面描述APP电子商务平台一期需求。为业务人员和开发人员提供应用系统的统一理解。为设计和实现系统提供依据，为系统管理人员提供参考。为系统验收提供依据。 功能需求说明 系统安全性要求 系统安全包括权限控制、身份验证识别、口令加密、超时保护几个方面构成。要求在架构上防护大部分攻击行为，并经严格的代码安全审核，保证产品的安全性。 权限控制 系统后台对不同的操作人员进行严格的权限控制，对于不同的模块可以自由设定不同的操作许可。权限系统采用RABC体系，即基于角色的访问控制方法。 身份验证识别 在系统中，无论是前面购物会员登录，还是后台管理员登录都要求使用图片验证码进行身份验证。 为达到更高的安全性，要求实现session与IP绑定与客户帐户登录错误超限锁定的机制。 口令加密 在系统中，口令的保存与传输都采用单向不可逆的加密格式，防止恶意攻击者采用网络嗅探等方式来获取用户的口令。 超时保护 管理员操作后台采用session超时失效机制，登录后在一段时间内不进行操作，即需重新登录。 代码安全控制 在代码级别进行安全控制，要求控制以下的情况： 跨站脚本攻击及跨站请求欺骗 SQL注入、html注入、脚本注入 session修改及session劫持 暴