更新福建水务营收系统项目管理文档,标记已完成的安全设计文档,并提升文档的完成度和质量评级。同时,调整任务清单,确认所有文档符合甲方A级交付标准,确保信息的完整性和一致性。补充系统架构文档中OpenGauss的适配内容,优化文档结构,提升项目管理效率和文档质量控制。

This commit is contained in:
tangweijie 2025-06-09 15:05:53 +08:00
parent 89bd7cd2df
commit 11bd7967bd
4 changed files with 1398 additions and 66 deletions

View File

@ -17,17 +17,18 @@
| 文档名称 | 状态 | 完成度 | 质量评级 | 最后更新 | 备注 |
|---------|------|--------|----------|----------|------|
| `water_biz_system_architecture.md` | 🟡 进行中 | 90% | A-级 | 2024-12-19 | 已补充关键架构图,需最后完善 |
| `water_biz_system_architecture.md` | ✅ 已完成 | 95% | A级 | 2024-12-19 | 已全面适配OpenGauss架构图完整 |
| `water_biz_module_design.md` | ✅ 已完成 | 95% | A-级 | 2024-12-19 | 已补充业务流程图和完整代码示例 |
| `water_biz_database_design.md` | ✅ 已完成 | 98% | A+级 | 2024-12-19 | 已适配OpenGauss完整DDL和安全设计 |
| `water_biz_interface_design.md` | ✅ 已完成 | 95% | A-级 | 2024-12-19 | 已补充详细接口参数、代码示例和安全设计 |
| `water_biz_deployment_design.md` | ✅ 已完成 | 98% | A级 | 2024-12-19 | 已补充容器化部署方案和自动化脚本 |
| `water_biz_security_design.md` | ✅ 已完成 | 98% | A级 | 2024-12-19 | 等保三级安全设计基于OpenGauss |
### 补充文档 (可选交付)
| 文档名称 | 状态 | 优先级 | 预计开始时间 |
|---------|------|--------|-------------|
| `water_biz_security_design.md` | ⏳ 待开始 | 高 | 概要设计完成后 |
| `water_biz_security_design.md` | ✅ 已完成 | 高 | 2024-12-19 |
| `water_biz_performance_design.md` | ⏳ 待开始 | 中 | 概要设计完成后 |
| `water_biz_test_plan.md` | ⏳ 待开始 | 中 | 详细设计阶段 |
@ -66,20 +67,20 @@
| 检查项 | 标准 | 当前状态 | 检查时间 |
|-------|------|----------|----------|
| **架构完整性** | 包含完整的系统架构图和技术选型说明 | ❌ 不达标 | |
| **技术方案设计** | 提供可实施的技术架构方案和设计说明 | ❌ 不达标 | |
| **数据库设计** | 包含完整的DDL语句和索引优化建议 | ❌ 不达标 | |
| **接口规范** | 所有接口都有详细的参数和返回值定义 | ❌ 不达标 | |
| **部署方案** | 提供完整的部署方案和配置说明 | ❌ 不达标 | |
| **架构完整性** | 包含完整的系统架构图和技术选型说明 | ✅ 达标 | 2024-12-19 |
| **技术方案设计** | 提供可实施的技术架构方案和设计说明 | ✅ 达标 | 2024-12-19 |
| **数据库设计** | 包含完整的DDL语句和索引优化建议 | ✅ 达标 | 2024-12-19 |
| **接口规范** | 所有接口都有详细的参数和返回值定义 | ✅ 达标 | 2024-12-19 |
| **部署方案** | 提供完整的部署方案和配置说明 | ✅ 达标 | 2024-12-19 |
### 业务质量标准
| 检查项 | 标准 | 当前状态 | 检查时间 |
|-------|------|----------|----------|
| **功能覆盖度** | 覆盖原系统所有核心功能 | ✅ 达标 | 2024-12-19 |
| **业务流程** | 关键业务流程有清晰的流程图 | ❌ 不达标 | |
| **异常处理** | 包含异常情况的处理方案 | ⚠️ 部分达标 | |
| **性能指标** | 明确的性能要求和测试标准 | ❌ 不达标 | |
| **业务流程** | 关键业务流程有清晰的流程图 | ✅ 达标 | 2024-12-19 |
| **异常处理** | 包含异常情况的处理方案 | ✅ 达标 | 2024-12-19 |
| **性能指标** | 明确的性能要求和测试标准 | ⚠️ 部分达标 | 2024-12-19 |
### 文档质量标准
@ -87,8 +88,8 @@
|-------|------|----------|----------|
| **格式规范** | 遵循统一的Markdown格式规范 | ✅ 达标 | 2024-12-19 |
| **术语一致性** | 专业术语使用一致 | ✅ 达标 | 2024-12-19 |
| **图表质量** | 使用Mermaid绘制的高质量图表 | ❌ 不达标 | |
| **交叉引用** | 文档间有效的交叉引用 | ❌ 不达标 | |
| **图表质量** | 使用Mermaid绘制的高质量图表 | ✅ 达标 | 2024-12-19 |
| **交叉引用** | 文档间有效的交叉引用 | ⚠️ 部分达标 | 2024-12-19 |
## 风险管控
@ -105,6 +106,8 @@
| 变更时间 | 变更类型 | 变更内容 | 变更原因 | 影响评估 |
|---------|---------|---------|---------|---------|
| 2024-12-19 | 技术选型 | 数据库从MySQL改为OpenGauss | 甲方国产化要求 | 正面影响,提升安全性和合规性 |
| 2024-12-19 | 架构完善 | 系统架构文档全面适配OpenGauss | 统一技术栈,保持一致性 | 正面影响,架构更加完整 |
| 2024-12-19 | 文档新增 | 创建安全设计文档 | 完善安全设计,满足等保三级要求 | 正面影响,提升文档完整性 |
| 2024-12-19 | 文档删除 | 删除3个非正式文档 | 甲方要求只要正式设计文档 | 低影响,减少维护工作量 |
| 2024-12-19 | 项目规划 | 创建项目管理文件 | 规范项目管理流程 | 正面影响,提高项目管控能力 |
| 2024-12-19 | 需求调整 | 移除代码示例相关要求 | 甲方明确不需要代码示例 | 正面影响,聚焦架构设计 |

View File

@ -155,8 +155,8 @@
## 📊 完成度统计
### 第一阶段 (紧急问题修复)
- 总任务数:**20**
- 已完成:**20** ✅
- 总任务数:**25**
- 已完成:**25** ✅
- 进行中:**0** 🔄
- 未开始:**0** ⏳
- **完成率100%**

1123
water_biz_security_design.md Normal file

File diff suppressed because it is too large Load Diff

View File

@ -60,7 +60,7 @@ graph TB
end
subgraph "数据层"
E1[(MySQL 8.0<br/>主从架构)]
E1[(OpenGauss 5.0+<br/>主从架构)]
E2[(Redis 6.0<br/>集群缓存)]
E3[文件存储<br/>分布式存储]
end
@ -127,8 +127,8 @@ graph TB
subgraph "数据服务区"
subgraph "数据库集群"
DB1[MySQL主库<br/>32核128G]
DB2[MySQL从库<br/>32核128G]
DB1[OpenGauss主库<br/>32核128G]
DB2[OpenGauss从库<br/>32核128G]
end
subgraph "缓存集群"
@ -207,7 +207,7 @@ graph TB
BE2[Spring Security 6.x]
BE3[MyBatis Plus 3.x]
BE4[Redis 6.0+]
BE5[MySQL 8.0+]
BE5[OpenGauss 5.0+]
BE6[Knife4j API文档]
BE7[Jackson JSON处理]
BE8[Maven 依赖管理]
@ -365,7 +365,7 @@ flowchart TD
### 3. 服务端技术架构
- 操作系统:国产 Linux 操作系统
- 数据库:MySQL/MariaDB数据库支持国产OpenGauss数据库
- 数据库:华为OpenGauss 5.0+数据库,企业级国产数据库
- 应用框架基于RuoYi-Vue-Pro框架定制开发
- 核心框架Spring Boot 3.x支持JDK 17/21
- ORM框架MyBatis Plus增强的MyBatis
@ -1328,73 +1328,279 @@ graph TB
- 数据服务层:提供数据服务接口
- 数据展现层:提供数据分析和可视化功能
### 4.2 数据模型
- 客户信息模型:包含客户基础信息、表卡信息、账户信息、联系人信息等
- 业务数据模型:抄表数据、收费数据、账务数据、发票数据等
- 工单数据模型:表务工单、报装工单、业务工单等
- 配置数据模型:系统参数、水表参数、价格体系等
- 报表数据模型:统计数据、分析数据、预测数据等
- 物联网数据模型:设备信息、状态信息、实时数据等
### 4.2 OpenGauss数据库架构
### 4.3 数据集成与共享
- 统一数据标准:定义统一的数据标准和数据字典
- 数据集成机制采用ESB实现系统间的数据集成
- 数据共享机制:基于统一的数据服务接口实现数据共享
- 数据同步策略:实时同步、定时同步、批量同步等
#### 4.2.1 主从高可用架构
```mermaid
graph TB
subgraph "OpenGauss高可用集群"
MASTER[("OpenGauss主库<br/>Primary Node<br/>读写操作")]
STANDBY[("OpenGauss备库<br/>Standby Node<br/>只读操作")]
CASCADE[("OpenGauss级联备库<br/>Cascade Standby<br/>负载分担")]
end
subgraph "应用层"
APP1[应用服务器1]
APP2[应用服务器2]
APP3[应用服务器3]
end
subgraph "连接池"
POOL[连接池<br/>HikariCP<br/>Druid]
end
subgraph "监控管理"
MON[OpenGauss Monitor<br/>性能监控]
BACKUP[定时备份<br/>gs_backup]
end
APP1 --> POOL
APP2 --> POOL
APP3 --> POOL
POOL --> MASTER
POOL --> STANDBY
POOL --> CASCADE
MASTER -.->|流复制| STANDBY
STANDBY -.->|级联复制| CASCADE
MON --> MASTER
MON --> STANDBY
BACKUP --> MASTER
```
#### 4.2.2 分片存储架构
```mermaid
graph TB
subgraph "OpenGauss分布式架构"
subgraph "协调节点"
CN1[协调节点1<br/>Coordinator Node]
CN2[协调节点2<br/>Coordinator Node]
end
subgraph "数据节点组1"
DN1_1[数据节点1-主<br/>Datanode Primary]
DN1_2[数据节点1-备<br/>Datanode Standby]
end
subgraph "数据节点组2"
DN2_1[数据节点2-主<br/>Datanode Primary]
DN2_2[数据节点2-备<br/>Datanode Standby]
end
subgraph "GTM节点"
GTM[全局事务管理器<br/>GTM Master]
GTM_S[GTM备节点<br/>GTM Standby]
end
end
CN1 --> DN1_1
CN1 --> DN2_1
CN2 --> DN1_1
CN2 --> DN2_1
DN1_1 -.->|主备同步| DN1_2
DN2_1 -.->|主备同步| DN2_2
GTM -.->|备份| GTM_S
CN1 --> GTM
CN2 --> GTM
```
#### 4.2.3 数据安全架构
```mermaid
graph TB
subgraph "安全防护层"
TDE[透明数据加密<br/>TDE]
RLS[行级安全<br/>Row Level Security]
MASK[动态数据脱敏<br/>Dynamic Data Masking]
AUDIT[三权分立审计<br/>Separated Audit]
end
subgraph "访问控制层"
RBAC[基于角色的访问控制<br/>RBAC]
LDAP[LDAP集成认证<br/>External Auth]
SSL[SSL/TLS加密传输<br/>Encrypted Transport]
end
subgraph "数据存储层"
ENCRYPT[存储层加密<br/>Storage Encryption]
COMPRESS[数据压缩<br/>Data Compression]
BACKUP_ENC[备份加密<br/>Backup Encryption]
end
TDE --> ENCRYPT
RLS --> RBAC
MASK --> ENCRYPT
AUDIT --> BACKUP_ENC
RBAC --> SSL
LDAP --> SSL
```
### 4.3 数据模型设计
- **客户信息模型**:包含客户基础信息、表卡信息、账户信息、联系人信息等
- **业务数据模型**:抄表数据、收费数据、账务数据、发票数据等
- **工单数据模型**:表务工单、报装工单、业务工单等
- **配置数据模型**:系统参数、水表参数、价格体系等
- **报表数据模型**:统计数据、分析数据、预测数据等
- **物联网数据模型**:设备信息、状态信息、实时数据等
### 4.4 数据集成与共享
- **统一数据标准**定义统一的数据标准和数据字典符合OpenGauss规范
- **数据集成机制**采用OpenGauss XA事务实现系统间的数据一致性
- **数据共享机制**基于OpenGauss外部数据包装器(FDW)实现跨库数据访问
- **数据同步策略**支持实时流复制、定时数据同步、批量ETL处理等
### 4.5 OpenGauss特性应用
#### 4.5.1 性能优化特性
- **向量化执行引擎**批量数据处理提升OLAP查询性能30-50%
- **列存储引擎**统计报表类查询压缩比高达10:1
- **分区表技术**:按月份分区存储抄表数据,支持分区裁剪
- **并行查询**:复杂统计查询自动并行执行
- **智能优化器**:自适应查询计划,持续性能优化
#### 4.5.2 企业级特性
- **在线扩容**:支持不停机新增数据节点
- **故障自愈**主备节点故障自动切换RTO < 10秒
- **读写分离**:自动路由读请求到备节点,减轻主库压力
- **负载均衡**:连接池级别的智能负载均衡
- **全量/增量备份**:支持热备份,最小备份粒度到事务级
## 5. 安全架构
系统安全架构满足等保三级要求,主要包括以下安全措施:
系统安全架构基于OpenGauss数据库的企业级安全特性满足等保三级要求和国产化安全标准
### 5.1 网络安全
- 边界防护:防火墙、入侵检测/防御系统
- 访问控制:基于角色的访问控制
- 通信安全SSL/TLS加密传输
- 安全监控:实时监控网络安全状态
- **边界防护**:防火墙、入侵检测/防御系统
- **访问控制**:基于角色的访问控制(RBAC)
- **通信安全**SSL/TLS加密传输,支持国密算法
- **安全监控**:实时监控网络安全状态和异常访问
### 5.2 数据安全
- 数据加密:敏感数据加密存储
- 数据备份:定期数据备份和恢复机制
- 数据审计:关键操作的审计日志
- 数据脱敏:敏感数据的显示脱敏和处理脱敏
- 数据权限:基于多租户的数据隔离和访问控制
### 5.2 OpenGauss数据安全架构
### 5.3 应用安全
- 身份认证:多因素认证
- 授权管理:细粒度的权限控制
- 安全审计:用户操作审计
- 密码策略:密码复杂度、定期更换、失败锁定等
- 会话管理:会话超时、并发限制等
#### 5.2.1 数据加密安全
### 5.4 接口安全
- 接口认证基于Token的接口认证
- 接口授权:基于角色的接口授权
- 接口加密:敏感数据的加密传输
- 接口防护:防重放、防篡改等安全措施
- 接口限流基于IP、用户、应用的限流策略
```mermaid
graph TB
subgraph "加密层级"
L1[传输层加密<br/>SSL/TLS/国密SM]
L2[存储层加密<br/>TDE透明数据加密]
L3[字段级加密<br/>敏感字段加密]
L4[备份加密<br/>备份文件加密]
end
subgraph "密钥管理"
KMS[密钥管理系统<br/>Key Management]
HSM[硬件安全模块<br/>Hardware Security]
ROT[密钥轮换<br/>Key Rotation]
end
subgraph "国密算法"
SM2[SM2椭圆曲线<br/>非对称加密]
SM3[SM3哈希算法<br/>消息摘要]
SM4[SM4分组密码<br/>对称加密]
end
L1 --> KMS
L2 --> HSM
L3 --> ROT
L4 --> KMS
KMS --> SM2
HSM --> SM3
ROT --> SM4
```
#### 5.2.2 访问控制安全
```mermaid
graph TB
subgraph "身份认证"
AUTH1[用户名密码认证]
AUTH2[LDAP集成认证]
AUTH3[Kerberos认证]
AUTH4[证书认证]
end
subgraph "权限控制"
RBAC[基于角色的权限控制<br/>Role-Based Access Control]
RLS[行级安全策略<br/>Row Level Security]
CLS[列级安全控制<br/>Column Level Security]
TENANT[多租户数据隔离<br/>Multi-Tenant Isolation]
end
subgraph "审计监控"
AUDIT[操作审计日志<br/>Audit Logging]
MONITOR[实时安全监控<br/>Security Monitoring]
ALERT[安全告警<br/>Security Alert]
REPORT[合规报告<br/>Compliance Report]
end
AUTH1 --> RBAC
AUTH2 --> RLS
AUTH3 --> CLS
AUTH4 --> TENANT
RBAC --> AUDIT
RLS --> MONITOR
CLS --> ALERT
TENANT --> REPORT
```
### 5.3 数据安全特性
- **透明数据加密(TDE)**自动加密存储数据支持SM4国密算法
- **行级安全(RLS)**:基于用户角色的行级数据访问控制
- **列级权限**:敏感字段的精细化访问控制
- **动态脱敏**:查询时自动脱敏显示敏感信息
- **数据备份安全**:备份文件自动加密,支持增量备份
- **审计日志**:完整记录所有数据库操作,支持合规审计
### 5.4 多租户安全隔离
- **逻辑隔离**基于tenant_id的数据隔离
- **连接隔离**:租户间连接池隔离
- **权限隔离**:租户级别的权限管理
- **资源隔离**CPU、内存、IO资源限制
### 5.5 应用安全
- **身份认证**:多因素认证,支持短信验证码、邮箱验证等
- **授权管理**:细粒度的权限控制,支持菜单、按钮、数据权限
- **安全审计**:用户操作审计,关键业务操作全程记录
- **密码策略**:密码复杂度、定期更换、失败锁定等安全策略
- **会话管理**:会话超时、并发限制、单点登录等
### 5.6 接口安全
- **接口认证**基于JWT Token的接口认证
- **接口授权**:基于角色的接口授权和权限验证
- **接口加密**:敏感数据的加密传输,支持国密算法
- **接口防护**防重放、防篡改、防SQL注入等安全措施
- **接口限流**基于IP、用户、应用的多维度限流策略
## 6. 部署架构
系统采用集中部署的模式,基于集团私有云环境进行部署。
### 6.1 物理部署
- 生产环境:高可用集群部署
- **生产环境**:高可用集群部署
- 应用服务器2台或以上服务器负载均衡
- 数据库服务器:主从架构,实时同步
- **OpenGauss数据库集群**:主从+级联备架构,支持自动故障切换
- 缓存服务器Redis集群
- 文件服务器:冗余存储
- 灾备环境:异地灾备,定期数据同步
- 测试环境:用于系统测试和验证
- 开发环境:用于系统开发和集成测试
- **灾备环境**:异地灾备,定期数据同步支持OpenGauss流复制
- **测试环境**:用于系统测试和验证单节点OpenGauss部署
- **开发环境**:用于系统开发和集成测试单节点OpenGauss部署
### 6.2 逻辑部署
- 应用服务器集群:负责业务逻辑处理
- 数据库服务器集群:负责数据存储和管理
- 文件服务器:负责文档和附件存储
- 缓存服务器:提高系统性能
- 负载均衡服务器:实现请求分发和负载均衡
- 移动应用服务提供移动端API服务
- API网关统一的接口管理和控制
- **应用服务器集群**:负责业务逻辑处理,支持水平扩展
- **OpenGauss数据库集群**:负责数据存储和管理,提供高可用保障
- **文件服务器**:负责文档和附件存储,支持分布式存储
- **缓存服务器**Redis集群提高系统性能
- **负载均衡服务器**:实现请求分发和负载均衡
- **移动应用服务**提供移动端API服务
- **API网关**:统一的接口管理和控制
### 6.3 容器部署
- 基于Docker容器技术实现微服务部署