《手机商城系统项目技术策划方案书》由会员分享,可在线阅读,更多相关《手机商城系统项目技术策划方案书(63页珍藏版)》请在金锄头文库上搜索。
1、联讯证券移动商城系统方案书思想启迪以后 信息创新价值2014年03月 64 / 64证券公司网上自助开户系统书投标书技术部分(以下简称“本投标书”)由深圳市思迪信息技术有限公司(以下简称“思迪信息”)为证券公司公司网上开户业务平台项目编写。本投标书仅限于在本项目评标时内部使用,除了对本投标书进行评审外,不能以任何理由复制、使用或泄漏本方案的全部或部分内容。若证券公司在本投标书基础上最终与思迪信息签订了正式商务合同,就具有了在合同所规定的范围内复制、使用或公布有关信息的权利。本限制条款不限制证券公司使用本投标书中从其它非限制渠道获得的信息。思想启迪以后 信息创新价值地址:深圳市南山区高新南一道创
2、维大厦A座1009电话:(0755)86036621传真:(0755)86036635目录1概述61.1业务背景61.2思迪信息部分案例实施情况(截止2014年03月)72手机开户整体业务流程93手机新开户103.1选择开户103.2开户提示103.3身份验证113.4上传身份证等相关资料113.5视频见证123.6安装数字证书143.7选择开立账户153.8设置密码163.9指定三方存管173.10风险测评173.11确认开户183.12签署开户协议184手机转户194.1专户身份验证194.2上传映像资料194.3补充资料204.4安装数字证书214.5选择开立账户224.6设置密码234
3、.7指定三方存管244.8风险测评244.9确认开户254.10签署开户协议255技术方案265.1总体设计265.1.1特点分析275.1.2实现技术285.2系统结构295.3外部系统接口305.3.1公安部身份认证接口305.3.2CA证书模块及接口305.3.3账户治理系统接口315.3.4呼叫中心接口315.3.5客户经理治理系统接口315.3.6带宽参数315.4证书业务技术方案325.4.1系统架构325.4.2安全通信模块325.4.3签名验签服务器335.4.4证书操作模块345.4.5证书系统数据库365.4.6证书治理后台366部署方案396.1网上开户系统部署方案396
4、.2证书业务系统部署方案406.3安全性406.3.1验证码机制406.3.2安全密码机制416.3.3跨站脚本攻击防范机制416.3.4SQL注入防范机制426.3.5密码安全传递机制437项目实施、培训和售后447.1项目实施447.1.1项目实施安排447.2项目治理工具和文档467.3项目组织和治理原则477.4项目执行、测试、验收487.5项目变更治理497.5.1提出修改497.5.2乙方的反应507.5.3甲方的认可507.5.4项目更改流程507.6售后支持服务承诺517.6.1思迪信息服务理念517.6.2定期安全检测服务517.6.3现场服务承诺517.6.4热线支持服务承
5、诺527.6.5服务体系527.6.6服务流程551 概述1.1 业务背景中国移动互联网进展迅猛,据统计,2013年中国网民的总数为5.6亿,而移动数为4.2亿,用户的上网终端从PC转向智能手机和平板电脑等移动终端,移动互联网是互联网的以后,移动互联网也正逐步改变着用户的生活适应和消费适应。移动客户端将用户碎片化的时刻利用起来,起到PC商城延深服务的功能,使得用户随时随地能够了解,关注,购买金融产品。2 业务方案2.1 认购功能描述A. 通过点击产品链接出现以下页面,该页面能够进行关注和购买操作B. 当点击购买后,假如用户之前没有签署过电子签名约定书,就需要进行签署C. 确认后进入提交订单页面
6、D. 进入到支付页面E. 托付成功2.2 首页展示首页展示包括,商城精选,理财,基金,服务等产品的展示(后期依照客户需求可添加资讯产品等)。2.3 产品推举2.4 产品展示2.4.1 理财产品展示产品推举,包括理财,基金,服务等产品推举2.4.2 基金产品展示2.4.3 服务产品展示2.5 个人中心个人中心模块包括我的产品,我的订单,我的关注,总资产,银证转账,转账查询,风险测评,资料修改,退出等功能2.5.1 我的产品我的产品模块包括,理财,基金,服务等产品2.5.2 我的订单我的订单包括,理财,基金,服务产品等2.5.3 我的关注我的关注包括,理财,基金,服务等产品2.5.4 总资产2.5
7、.5 银证转账银证转账包括两个功能,银行转证券,证券转银行2.5.6 转账查询转账查询结果页面2.5.7 风险测评2.5.8 资料修改2.5.9 退出3 技术方案3.1 总体设计 1、打造非现场业务的统一支撑平台和接入平台 统一接口标准和协议,扩展性高,即网上营业厅和移动展业使用统一的接口和标准。 2、基于SOA打造业务组件,不断积存业务组件 3、基于思迪信息ThinkBUS2.0全开放平台,同意客户扩展接口和自定义业务功能 4、后台整合各个业务系统,前端完全屏蔽 3.1.1 特点分析 统一渠道接入标准:通过对服务的抽象和描述,形成统一的服务标准,手机证券或者网上营业厅也将基于那个标准进行接入
8、,屏蔽后台业务系统。 提升客户接触体验树立服务品牌:基于一体化的平台,完全能够操纵各个渠道的内容,了解客户的行为,并通过不断增加的差异化功能来树立服务品牌。 快速响应新业务:基于标准化开发的业务组件,能够不断的继承和重用,新开发一个系统,能够直接基于业务组件来进行开发,使得应用的扩展性得到质的提升。 3.1.2 实现技术l 在接入层,支持多种不同语言开发的接入客户端,如PC客户端、IOS终端、WEB、Android终端等。l 客户端与服务器端通信要紧使用文本协议与二进制协议(SOCKET、HTTPS、HTTP、JSON、AFM) l ThinkBus是采纳JAVA和C+开发的业务中间件,用于提
9、供基础的服务单元组件 l TableModel抽象了数据访问层,使JAVA开发人员不用再关怀具体的数据库操作,大大提高3.2 系统结构1. 界面前端客户网上自助界面前端,通过网银接口验证客户身份,开通第三方存管(假如银行支持)。2. 中台业务流程操纵通过业务中间件ThinkBus调用后台业务接口,数据库保存离柜开户流程的中间过程的数据。3. 后台其他业务系统通过应用接口调用后台接口,包括:l 账户治理系统生成资金账号、客户开户接口l 客服系统发起客服人员回访流程l 柜职员作平台柜员审核、符合客户资料l 客户经理工作平台见证人登录开户终端的用户名和密码l 其他系统接口3.3 外部系统接口4 部署
10、方案4.1 网上开户系统部署方案系统按照规划需要4-6台服务器,安全设备和网络设备使用现有设备。1. 2台WEB服务器在DMZ区部署2台WEB服务器,互为备份,部署前台开户程序;HP380中档次PC Server,1CPU,4G内存,100G硬盘。2. 2台应用服务器在应用区部署2台受理服务器,互为备份,假如业务受理界面在账户综合系统里面,则存储相关临时数据和留痕数据;HP380中档次PC Server,2CPU,8G内存,100G硬盘。3. 2台流媒体服务器在应用区部署2台流媒体服务器,互为备份,支持实时视频方案;HP380中档次PC Server,2CPU,8G内存,100G硬盘。4. 数
11、据库服务器HP380中档次PC Server,2CPU,8G内存,100G硬盘。4.2 证书业务系统部署方案证书治理系统上线后,将是整个公司的一个核心业务系统,为了幸免单点故障,有具体部署时,必须考虑每个节点的热备。证书治理系统使用两台,同时对外提供服务,前端接入层能够通过配置方式,实现证书治理系统接口调用的负载均衡与故障转移功能。签名服务器也同时使用两台,在具体使用时,每台证书治理系统能够依照需要,实现签名服务器的负载均衡和故障转移功能,具体实现时能够在签名硬件接口层使用软件方式实现。数据库层也使用两台服务器,Oracle服务器能够采纳DataGuard模式实现实时热备。4.3 安全性4.3
12、.1 验证码机制用户登陆,短信发送,邮件发送等操作业务需要增加输入验证码,防止恶意的密码试探,短信重复发送等行为;4.3.2 安全密码机制 密码通过业界标准成熟的MD5算法进行加密,MD5加密算法为不可逆加密算法。 在https协议中中进行密码输入。 密码输入控件的使用 在客户端对密码进行RSA加密,防止Strip攻击。RSA为非对称加密算法,用户请求登陆页面时,服务器会把公钥public key发送给客户端,由js明文保存,js通过公钥对密码进行加密后,然后发送给服务器端,服务器通过private key 进行解密。密码是加密传输,如此就增加了中间人攻击的难度。有效的降低了String攻击的
13、危害。4.3.3 跨站脚本攻击防范机制跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那儿恶意盗取信息。跨站脚本攻击的攻击目标是客户端,它通过伪造恶意的url参数链接,然后通过其他途径,如论坛发帖,给目标用户发邮件等,欺骗用户点击该链接,网站在接收到包含恶意的url请求参数后,会产成一个包含恶意客户端脚本代码的html页面,并发给客户端,客户端就会执行这段代码;依照代码意图不同,可能是伪造一个非法的登陆页面,欺骗客户输入密码,也可能是猎取客户本机cookie信息等;由于他们的工具目标是客户端,因此它是Web安全中最为常用,攻击成功率最高的攻击手段,危害专门大;防范机制: 1.必须规范编码,使用系统提供getStrParameter(xxx)猎取参数的方法;2.不信任用户提交的数据,对用户的输入数据必须进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅同意指定长度范围内、采纳适当格式、采纳所预期的字符的内容提交,对其他的一律过滤。尽量采纳POST 而非GET 提交表单;对”,”;”,”等字符做过滤;3.关于用户输入的数据,需要输出到页面显示的,必须要进行encode;4.3.4 SQL注入防范机制sql注入攻击要紧手段是利用非法的参数串传给待接收的sql语句变量,然后组合成能够达到某种目的的sql指令;比如:用户登陆sql= select *
