安全性非功能性需求规格说明 — 医疗信息系统（EMR/处方/影像/患者门户；跨院调阅与远程会诊）

适用范围：覆盖电子病历、处方、检查影像与患者门户，支持跨院调阅与远程会诊，涉及PHI全流程处理。约束：数据中心双活+边缘门诊弱网、仅允许国产密码算法（SM系列）、移动端仅人脸生物识别、接口基于FHIR/HL7、日志保留7年、不采集人脸外生物特征。质量标准：满足适用监管与合规要求。

1. 身份认证与会话安全

• 需求标题：统一身份认证与会话安全（含移动端人脸）
• 需求描述：
  • 为所有用户（医护/管理员/患者/第三方系统）提供统一身份认证，支持强认证与单点登录（SSO），移动端采用设备原生人脸识别能力完成本地二次因子认证。
  • 会话与令牌采用最小存活时间策略与绑定设备/客户端、绑定IP/地理位置（可选），对异常行为触发再认证。
  • 禁止采集除人脸外的任何生物特征；不在服务端存储任何生物模板。
• 量化指标：
  • 认证方式：账户口令+一次性口令（OTP）或设备原生人脸；远程/高敏操作需双因子。
  • 会话空闲超时：15分钟；绝对会话时长≤8小时。
  • OAuth2/OIDC令牌：Access Token有效期≤15分钟；Refresh Token≤12小时；令牌绑定客户端与Scope。
  • 认证成功率（合法用户）：≥99.5%；移动端人脸由系统原生API实现，失败自动降级至口令+OTP。
  • 异地/异常登录检测与阻断时间：≤60秒。
• 验收标准：
  • 渗透测试无法在无生物模板与无二因子条件下绕过认证；令牌在过期后不可用。
  • 移动端仅调用系统原生人脸API，关闭指纹/虹膜等入口；在设备不支持人脸时强制使用口令+OTP。
  • 同一账号多端并发与地理异常触发再认证或阻断，日志可追溯。
• 约束条件：
  • 仅使用SM系列算法实现相关加密与签名；国密证书体系。
  • 移动端SDK必须使用操作系统安全模块/安全区（TEE/SE）；不落地生物模板。
• 优先级评估：Must（高）

2. 细粒度访问控制（ABAC/RBAC+POU）

• 需求标题：基于属性与用途的细粒度访问控制
• 需求描述：
  • 基于角色（RBAC）+属性（ABAC）+用途（Purpose of Use，POU）进行访问决策，覆盖资源级/记录级/字段级/视图级控制。
  • 支持跨院场景（调阅/会诊）与紧急破窗（Break-the-Glass，BTG）控制与全量审计。
• 量化指标：
  • 决策延迟（P95）：≤100ms（本地缓存启用）；P99≤200ms。
  • 策略覆盖：EMR、处方、影像（DICOM元数据与像素覆盖）、患者门户、FHIR/HL7接口全面接入策略执行点（PEP）。
  • PEP与PDP一致性漂移：≤30秒（策略变更后分发至边缘）。
  • BTG触发需强制理由、审批（可事后）、审计；BTG比例≤全访问请求的0.5%。
• 验收标准：
  • 至少覆盖以下属性：用户角色/科室/执业范围、患者就诊关系、时间/地点、用途（诊疗/科研/运营）、数据敏感级别、跨院来源/目的。
  • FHIR资源级别与字段级过滤正确（抽检100个样本资源，误放行率=0）。
  • BTG流程可闭环追踪，含事后审核与封禁回退。
• 约束条件：
  • 分布式PDP需支持弱网本地策略缓存与签名校验；策略变更采用签名包分发。
• 优先级评估：Must（高）

3. 数据加密（存储与传输）

• 需求标题：PHI全流程加密与国密TLS
• 需求描述：
  • 传输：所有对外/对内接口启用国密TLS套件，双向认证用于系统对系统通信；媒体流（会诊）经国密隧道传输。
  • 存储：数据库、文件系统、对象存储、边缘缓存与备份中PHI使用SM4对称加密，SM3完整性校验，SM2签名用于关键对象防篡改。
• 量化指标：
  • 加密覆盖率：PHI字段与文件100%加密；索引最小化保留。
  • 密钥强度/管理：SM4密钥长度128位；密钥轮换周期≤90天；密钥泄露窗口≤24小时内吊销；证书更新周期≤12个月。
  • 国密TLS启用率：100%；弱加密套件禁用率：100%。
• 验收标准：
  • 抓包验证所有接口均为国密TLS；明文PHI在传输中不可见。
  • 静态介质脱机获取不可直接读取PHI；需经KMS授权解密。
  • 双活数据中心间复制链路全程加密；密钥不以明文导出。
• 约束条件：
  • KMS支持SM系列算法与HSM/密码机；双活部署、主密钥分离保管。
• 优先级评估：Must（高）

4. 密钥与证书管理（KMS/HSM）

• 需求标题：集中密钥管理与证书治理
• 需求描述：
  • 采用集中KMS与硬件密码设备管理SM2/SM3/SM4密钥与证书，支持分级分域与审计。
• 量化指标：
  • 主密钥（KEK）双人双控；操作全审计；密钥用途分离（加密/签名/握手）。
  • 证书有效期≤12个月；到期前≥30天自动预警；吊销传播≤5分钟。
  • 密钥导出策略：仅密文包（SM2包封），禁止明文导出。
• 验收标准：
  • 抽检10个加密域，均可在KMS查看生命周期记录与操作审计。
  • 故障演练：KMS单点故障不影响解密/签名服务（RTO安全视角≤5分钟）。
• 约束条件：
  • 双活数据中心独立主密钥，跨域以密文迁移；边缘站点使用子密钥域。
• 优先级评估：Must（高）

5. 审计与日志（7年保留、不可篡改）

• 需求标题：全量审计、可追溯与长周期留存
• 需求描述：
  • 覆盖登录、认证、授权、数据访问（含查看/搜索/下载/打印/导出）、接口调用、策略变更、BTG、密钥操作、审计查询自身行为等事件。
  • 日志脱敏：不写入明文PHI，仅记录资源标识与哈希指纹；支持合规用途复原链路。
• 量化指标：
  • 留存期限：≥7年；存储介质支持WORM/等效不可篡改能力；日志完整性以SM3链式散列或时间戳服务校验。
  • 采集覆盖率：≥99.9%；日志丢失率=0（设计目标），异常自动告警。
  • 中央汇聚延迟（P95）：≤60秒；边缘断网缓冲≥72小时，重传不丢失。
• 验收标准：
  • 任一访问请求均可关联到用户/时间/设备/用途/策略版本；抽检1000条访问，缺失字段为0。
  • 删除/篡改尝试被检测并告警；链式校验通过率100%。
• 约束条件：
  • 合规导出接口受控，导出同样审计；日志与业务数据分离存储。
• 优先级评估：Must（高）

6. 隐私保护与数据脱敏/去标识化

• 需求标题：PHI最小化与动态脱敏
• 需求描述：
  • 针对患者门户与跨院调阅，按用途最小化展示与动态脱敏；科研/分析使用去标识化或假名化数据集。
  • 影像去标识：DICOM标签清洗与像素覆盖（去除烧录文本）。
• 量化指标：
  • 脱敏规则覆盖：身份证号、手机号、地址、联系人、医保号、检查报告文本、影像DICOM标签等核心字段100%配置。
  • 动态脱敏延迟开销（P95）：≤50ms。
  • DICOM像素覆盖检测：对有标准叠加文本样本，自动检测与遮盖召回率≥98%；人工复核通道100%可用。
• 验收标准：
  • 用户权限不同视图差异化展示正确；抽检误放（应脱敏未脱敏）=0。
  • 跨院用途为会诊时不提供科研字段；科研数据不可反推患者身份（基于字典攻击测试）。
• 约束条件：
  • 脱敏策略由隐私官/数据治理委员会审批；策略变更可审计、可回滚。
• 优先级评估：Must（高）

7. 接口与互联互通安全（FHIR/HL7）

• 需求标题：FHIR/HL7接口安全控制
• 需求描述：
  • 提供API网关PEP，强制国密TLS双向认证、细粒度授权、速率限制、请求签名与重放防护，禁用在URL中承载PHI。
• 量化指标：
  • 速率限制：每客户端默认≤1000 RPM（可配置）；突发限流与熔断响应≤1秒。
  • 请求签名与时间窗：签名有效期≤300秒；时钟偏差容忍≤60秒。
  • 安全测试：API安全基线覆盖OWASP API Top 10，高危问题=0通过验收。
• 验收标准：
  • FHIR资源访问严格按Scope与患者关系授权；无越权读写。
  • HL7 v2消息与FHIR事件队列在弱网情况下能缓冲与去重，重放被拒绝。
• 约束条件：
  • 使用国密证书进行mTLS；令牌与签名采用SM算法；必要时通过安全网关实现协议适配。
• 优先级评估：Must（高）

8. 远程会诊媒体安全

• 需求标题：远程音视频会诊安全传输与访问控制
• 需求描述：
  • 媒体流通过国密TLS/QUIC等加密隧道传输；会诊房间基于一次性会诊密钥与访问白名单控制。
• 量化指标：
  • 会诊密钥有效期：仅限会诊时段+15分钟；超过即失效。
  • 媒体流端到端加密覆盖率：100%；录制需显式授权与水印（含会诊ID/时间/参与者）。
• 验收标准：
  • 未获邀用户无法加入；抓包不可恢复媒体内容。
  • 录制文件加密存储与审计记录齐全；导出需审批。
• 约束条件：
  • 弱网降级策略（分辨率/仅音频）不影响加密与访问控制。
• 优先级评估：Should（中高）

9. 边缘门诊弱网安全与离线保障

• 需求标题：弱网边缘安全运行
• 需求描述：
  • 边缘节点具备本地PEP与策略缓存、数据加密缓存队列、断点续传与冲突检测；网络恢复后按顺序安全同步。
• 量化指标：
  • 本地缓存PHI加密：100%；缓存过期/最长期限≤72小时。
  • 策略缓存有效性：签名校验通过方可启用；过期拒绝。
  • 同步重试策略：指数退避，最大延迟≤5分钟；去重准确率100%（基于幂等ID）。
• 验收标准：
  • 断网场景可完成已授权范围内的只读与必要写入；超出范围拒绝。
  • 重连后无数据丢失或重复；审计链完整。
• 约束条件：
  • 本地密钥受KMS子域管理；需要硬件安全支持或系统可信执行环境。
• 优先级评估：Must（高）

10. 安全监测与事件响应

• 需求标题：持续监测与响应
• 需求描述：
  • 部署主机/网络/应用层安全监测，异常行为分析与告警，联动隔离与封禁；定期演练。
• 量化指标：
  • 关键告警MTTD（检测时间）：≤10分钟；MTTR（响应初步封禁）：≤2小时。
  • 基线检查周期：每7天；高危漏洞修复SLA：≤7天，中风险≤30天。
• 验收标准：
  • 红蓝对抗或渗透测试后，整改闭环率=100%；打分达到通过阈值。
  • 至少每半年完成一次应急演练，形成报告与改进项。
• 约束条件：
  • 日志与监测数据同样遵循最小化与脱敏；跨境传输遵守适用规定。
• 优先级评估：Should（中高）

11. 安全集成与配置基线

• 需求标题：安全基线与变更管控
• 需求描述：
  • 操作系统、中间件、数据库、应用与容器/编排环境建立安全基线；基础设施即代码（IaC）与变更审批与审计。
• 量化指标：
  • 基线符合度：≥98%；配置偏移发现至修复≤48小时。
  • 机密配置（密钥、凭据）100%使用密管服务，不落盘明文。
• 验收标准：
  • 随机抽检节点均满足最小权限与补丁要求；敏感端口最小暴露。
  • 任何配置变更可追溯至工单与审批。
• 约束条件：
  • 双活数据中心一致性核查；自动化基线对比。
• 优先级评估：Must（高）

12. 数据共享合规与患者同意管理

• 需求标题：同意与目的约束
• 需求描述：
  • 跨院调阅与会诊过程需核验患者同意/法律授权；用途受限于诊疗或明确授权范围。
• 量化指标：
  • 同意记录可追溯覆盖率：100%；拒绝或撤回生效时间：≤5分钟。
  • 数据最小化：仅提供满足用途所需字段集合（预定义数据包）。
• 验收标准：
  • 抽检跨院访问均关联有效同意/授权；撤回后访问被拒绝。
  • 患者门户可查看与管理授权历史，审计可导出。
• 约束条件：
  • 遵守适用的国家法律法规与行业规范的同意与告知要求。
• 优先级评估：Must（高）

13. 第三方/供应商与外部接入安全

• 需求标题：第三方系统接入控制
• 需求描述：
  • 第三方系统通过专用网关、mTLS与最小权限Scope接入；定期资质复核与安全评估。
• 量化指标：
  • 接入系统资产登记率：100%；年度安全评估覆盖：100%。
  • 失效接入凭据吊销时间：≤15分钟。
• 验收标准：
  • 每个集成均有数据字典与最小化字段清单；超范围访问被阻断。
  • 供应商账户最小化与定期回收；无共享账号。
• 约束条件：
  • 仅允许SM算法与国密证书；必要时通过协议转换网关适配。
• 优先级评估：Should（中）

14. 打印/导出/移动介质与屏幕信息防护

• 需求标题：物理与输出端防护
• 需求描述：
  • 打印与导出需授权与审计，支持水印与去标识化选项；屏幕防窥与自动锁屏。
• 量化指标：
  • 打印/导出权限精细到科室/角色/用途；默认关闭批量导出。
  • 客户端空闲锁屏：≤5分钟；水印覆盖率：100%。
• 验收标准：
  • 未授权用户无法导出PHI；导出文件自动水印（用户/时间/用途）。
  • 屏幕截图检测提示或水印（条件允许时）。
• 约束条件：
  • 与院内资产管理对接，移动介质加密与白名单策略。
• 优先级评估：Should（中）

15. 合规性与保留/销毁

• 需求标题：法规符合与数据生命周期
• 需求描述：
  • 满足适用监管法规关于个人信息/健康数据、网络与密码、日志留存、跨机构数据流转等要求。建立数据保留与到期销毁机制。
• 量化指标：
  • 日志保留≥7年；到期销毁经审批与审计记录完整。
  • 合规检查周期：每年≥1次；问题整改闭环率=100%。
• 验收标准：
  • 合规审计通过，无重大不符合项；留存、备份与销毁记录可追溯。
• 约束条件：
  • 采用国产商用密码算法与合规密码设备；必要的制度与培训配套。
• 优先级评估：Must（高）

16. 风险评估（节选）

• 密钥与证书管理不当：通过双人双控、HSM与严格审计降低风险。
• 弱网导致策略与审计不一致：签名策略包、缓存有效期与断点重传保障一致性。
• 跨院越权访问：用途绑定与同意管理、字段级最小化与BTG审计控制。
• 影像去标识不完整：自动检测+人工复核双轨，抽检与召回率指标约束。
• 国密兼容性：通过安全网关适配与统一SDK减少实现差异风险。

17. 文档与验证汇总

• 验收标准总览：
  • 安全渗透与基线检查高危=0后方可上线。
  • 加密、访问控制、审计、脱敏、同意管理按上述量化指标抽检与压测通过。
  • 演练：应急响应、KMS故障、弱网离线、BTG事后审核场景完成并留档。
• 验证方法：
  • 配置核查、接口抓包、对账抽样、日志链校验、功能与安全测试、演练报告与审计记录。

以上需求在设计与实现中须结合系统规模与具体产品形态细化到配置项与测试用例，并在不违反“仅允许SM系列算法”的前提下完成与FHIR/HL7的安全集成。所有指标为系统要求值，作为可测量与可验证的验收依据。

政府服务平台-可用性非功能性需求规格说明

说明：本说明书围绕“可用性”维度，面向社保缴纳、税务申报与便民服务的统一门户，结合两地三中心架构、现网数据库只读分离与分区、已接入政务云CDN、需兼容IE模式、固定运维窗口（每周日02:00-04:00）及外链系统熔断等约束，提出可测量、可验证的可用性目标、指标与验收标准。指标为本项目目标值，需经基准测试与联合演练确认后冻结为合同SLO/SLA。

1. 需求标题：平台总体可用性目标（SLO）与服务时间

• 需求描述：

  • 平台提供7x24连续服务；在维护窗口外，关键事项（以客户确认的业务清单为准）零中断。
  • 计划维护可预约并公告，不影响关键事项办结（提供不停机或旁路办理能力）。
  • 高峰期（每日早/晚高峰、月底申报期）平台保持可用，必要时启用排队与降级，但不得影响用户办结。

• 量化指标：

  • 平台月度可用性目标（门户整体）：≥99.95%（按分钟计，扣除经公告的计划维护窗口）。
  • 关键事项业务级可用性目标（维护窗口外）：≥99.99%（不可用时长月累计≤4.38分钟）。
  • 计划维护窗口：每周日02:00-04:00；如需新增或延长，须提前≥72小时公告，并提供关键事项不停机方案或业务旁路。
  • 高峰期办事成功率（关键事项，含排队/异步）：≥99.95%。

• 验收标准：

  • 以合成监控（门户探活）、业务探针（端到端关键流程下单/申报/缴费）和日志审计（HTTP 2xx/业务回执）联合统计；独立第三方/客户侧监控口径一致性校验偏差≤2%。
  • 连续两个月达到目标值即判定达标；若低于目标，需提交根因与改进措施并一月内复测达标。

• 约束条件：

  • 两地三中心部署；固定运维窗口；现网DB不可更换。
  • 已接入政务云CDN；需兼容IE模式；外链系统可能不可用。

• 优先级评估：Must（最高优先级，影响整体验收）

2. 需求标题：容灾能力与恢复目标（两地三中心）

• 需求描述：

  • 满足单机房/单城故障下业务连续；跨城灾难时在目标时间内恢复关键事项办理能力。
  • 采用双活/准双活流量调度与应用层无状态化，数据库以主从/多只读方式跨城复制。

• 量化指标：

  • 站点级RTO（任一生产中心整体不可用）：平台≤30分钟；关键事项≤5分钟（基于双活切流/灰度权重调整）。
  • 站点级RPO（数据库跨城复制）：≤10秒（95分位），暂存与业务回执不丢失。
  • 容灾演练频率：≥2次/年（含有业务流量的演练≥1次/年）。
  • 站点健康探测与切流：探测周期≤10秒；异常判定阈值连续失败≥3次；故障自动降权/剔除，人工确认后恢复。

• 验收标准：

  • 演练报告包含RTO/RPO测量、业务成功率、数据一致性校验结果；各项指标≤目标值。
  • 故障注入演练（网络隔离、存储故障、应用宕机）覆盖≥3大类典型场景并通过。

• 约束条件：

  • DB仅支持读写分离与分区；跨城复制延迟受链路影响，需要链路SLA配合。
  • DNS/GSLB/四层负载需支持权重与健康检查联动。

• 优先级评估：Must

3. 需求标题：高峰与拥堵时的排队与降级策略（不影响办结）

• 需求描述：

  • 当系统接近饱和或外部依赖受限时，启用排队与功能降级，确保用户能提交并最终办结。
  • 提供可感知的排队体验与回执，异步完成后自动通知。

• 量化指标：

  • 排队触发条件（任一满足即触发）：
    • P95接口响应时长>3秒持续2分钟；或
    • CPU使用率>70%持续5分钟；或
    • 外部依赖错误率>20%持续1分钟。
  • 排队指标：排队确认页首屏呈现≤3秒；预计等待时间误差≤±20%；排队P95等待≤3分钟，P99≤10分钟（月底申报期）。
  • 降级指标：静态内容全量CDN化命中率≥90%；非关键功能可临时关闭，不影响关键事项提交与办结。
  • 办结保障：排队/降级期间，关键事项提交回执成功率≥99.99%，提交时间戳准确记录，异步补办完成率=100%。

• 验收标准：

  • 压测与演练中强制触发排队/降级，验证等待、降级命中率、回执与最终办结率满足指标。
  • 业务日志抽样核对：提交时间戳与最终入库时间一致性偏差≤1秒（以系统记录为准）。

• 约束条件：

  • 需与业务方确认“关键事项清单”及可降级范围。
  • CDN已接入政务云，可用于静态与部分接口缓存。

• 优先级评估：Must

4. 需求标题：外链系统熔断与业务连续性

• 需求描述：

  • 当外部系统（税务、社保等）不可用或性能劣化时，平台需快速熔断并提供本地兜底，保障用户提交与后续补偿。

• 量化指标：

  • 熔断触发：目标外链接口在60秒内错误率≥50%或平均超时≥2秒，连续3个观测窗口（窗口10秒）即开路；开路时长5分钟后半开探测（流量≤5%）。
  • 兜底策略：切换至可靠落仓（本地持久化队列/数据库）+异步出库；去重与幂等保障；用户即刻获得回执。
  • 积压处理SLA：外链恢复后，高优先级关键事项积压P95在2小时内清空，P99在4小时内清空（月底申报期）。
  • 数据完整性：积压丢失率=0；重复提交可去重，重复办结率=0。

• 验收标准：

  • 故障注入（下游超时/错误）演练中熔断、兜底、半开与恢复流程指标达成。
  • 审计报表显示积压创建、重试、成功闭环的全链路可追溯。

• 约束条件：

  • 外链接口契约、节流与重试策略需与对方系统协商；本方需具备持久化能力。

• 优先级评估：Must

5. 需求标题：变更与维护的可用性保障（可预约维护）

• 需求描述：

  • 所有变更优先采用不停机方式；确需停机的变更须预约在维护窗口并公告；关键事项需保持零中断路径。

• 量化指标：

  • 不停机发布比例：≥90%（按发布批次计）。
  • 金丝雀与蓝绿策略：首发流量≤5%，观察≥15分钟无严重告警后逐步放量；回滚≤10分钟。
  • 计划维护公告：提前≥72小时，多渠道通知；涉及关键事项的提供旁路或延时受理并保证时效。
  • 维护窗口内可用性：门户可访问≥90%（允许读多写少），关键事项提供提交占位/回执通道。

• 验收标准：

  • 变更单与发布记录审计通过；抽检3次发布过程，均达到金丝雀与回滚指标。
  • 维护期业务探针通过率≥90%，关键事项提交与回执全通过。

• 约束条件：

  • 固定窗口：每周日02:00-04:00。
  • 双活站点需支持分区/分批发布与回滚。

• 优先级评估：Must

6. 需求标题：浏览器IE模式兼容下的可用性

• 需求描述：

  • 平台在IE模式下应保持关键功能正常使用，避免因前端兼容导致的不可用。

• 量化指标：

  • 关键页面（登录、查询、申报、缴费、回执）在IE模式加载成功率≥99.9%。
  • 关键操作端到端通过率（自动化用例集≥50条）：100%。
  • 前端异常降级：不支持特性的组件提供等效替代或服务端渲染回退。

• 验收标准：

  • 跨浏览器测试报告（含IE模式）通过；关键用例0阻断缺陷。
  • 监控统计IE模式相关JS错误率≤0.1%/PV。

• 约束条件：

  • IE模式对现代API限制较多，需避免仅前端渲染的关键信息阻断。

• 优先级评估：Must

7. 需求标题：数据库可用性策略（读写分离与分区）

• 需求描述：

  • 在不更换现网数据库的前提下，通过读写分离、只读副本与分区/分表策略提升可用性，降低锁竞争与维护风险。

• 量化指标：

  • 只读副本延迟：跨城复制P95≤10秒，告警阈值≥30秒。
  • 读流量分担：≥60%的只读查询走只读副本。
  • 分区维护：分区切换/归档在线进行，单次操作对写入阻断≤1分钟（维护窗口内执行）。
  • 故障切换：主从切换RTO≤10分钟，应用侧连接池自动重连成功率≥99.9%。

• 验收标准：

  • 读写一致性验证（读写路径抽样校验）通过，比对误差=0。
  • 分区作业演练记录与监控显示阻断在目标内；主从演练指标达成。

• 约束条件：

  • 仅可使用现网数据库原生能力；跨城链路带宽/时延影响复制延迟。

• 优先级评估：Must

8. 需求标题：CDN与边缘可用性

• 需求描述：

  • 充分利用政务云CDN，提升静态与指定API可用性；在源站异常时保障基础访问能力。

• 量化指标：

  • 静态资源缓存命中率≥90%；关键静态资源失效刷新（Purge）≤2分钟生效。
  • 多源回源（两地三中心）健康检查周期≤30秒；异常源剔除在≤60秒内完成。
  • 源站异常时的降级页可用性≥99.9%，并提供关键事项指引与占位提交入口。

• 验收标准：

  • CDN回源故障演练中，边缘可用性与剔除时效符合指标；Purge时延抽测通过。
  • 合成监控从至少3个地区、3家ISP观测，一致性偏差≤2%。

• 约束条件：

  • 已接入政务云CDN；需与WAF/防篡改策略兼容。

• 优先级评估：Should

9. 需求标题：可用性监控、告警与恢复效率

• 需求描述：

  • 建立覆盖基础设施、应用、业务的端到端可用性监控与告警，缩短发现与恢复时间。

• 量化指标：

  • 监控覆盖率：≥95%关键组件（网关、应用、数据库、队列、外链、CDN、DNS、GSLB）。
  • MTTD（平均发现时间）≤2分钟；MTTR（平均修复时间）≤30分钟（P1事件）。
  • 告警去噪：误报率≤5%；同类告警聚合率≥80%。
  • 合成探针：≥1分钟/次频率、≥5个地理点；业务探针覆盖≥5条关键链路。

• 验收标准：

  • 两次以上实战/演练事件的MTTD、MTTR统计达标；告警与工单闭环率=100%。
  • 仪表板展示业务级SLO与误差范围，连续两月达标。

• 约束条件：

  • 需对接现有运维与监控平台；7x24值守能力到位。

• 优先级评估：Must

10. 需求标题：用户沟通与体验保障（可用性相关）

• 需求描述：

  • 在排队、降级、维护、容灾切换等场景中，向用户清晰告知状态与预期，降低感知不可用。

• 量化指标：

  • 排队页面：预计等待时间与队列位置实时刷新≤5秒/次；取消后可保留占位权≤2分钟（可配置）。
  • 维护公告：覆盖门户首页、办事入口、短信/公众号/站内信≥2种以上渠道；触达率≥95%（对订阅用户）。
  • 办结通知：异步办结后≤5分钟内发送回执/结果通知。

• 验收标准：

  • A/B压测用户端指标（跳出率、投诉率）在启用排队/降级时较基线无显著劣化（差异≤5%）。
  • 抽样校验公告与通知投递日志，触达率达标。

• 约束条件：

  • 需与消息网关/短信服务打通；尊重通知频率与合规要求。

• 优先级评估：Should

风险评估（可用性相关的主要技术风险与缓解）

• 跨城复制延迟超出目标：与专线与链路SLA对齐，启用复制延迟告警与流量保护（读落只读、写降级）。
• 外链不可用时间过长导致积压扩大：分级优先级队列与弹性扩容消费者，必要时与主管部门触发应急通道。
• IE模式兼容导致前端异常：建立IE专项用例集，提供服务端渲染回退与Polyfill白名单管理。
• 变更风险：严格金丝雀与自动回滚，冻结窗口内禁做高风险变更。
• 高峰预测偏差：按月底申报期进行容量预留≥30%安全冗余，并在前一周完成压测与调参。

文档整合与总体说明

• 质量标准：以“客户要求”为准，上述目标值在基线评估与联合压测后固化为合同SLO/SLA。
• 验证方法总览：合成监控、业务探针、故障注入演练、容量压测、发布演练、日志与审计报表。
• 依赖与前置：两地三中心网络与GSLB/DNS策略、数据库复制拓扑、CDN多源配置、下游系统联调与契约、监控与告警平台对接。

本说明书的各项指标均为可测量、可验证目标，未引用未经证实的行业标准。后续根据基准测试结果与客户确认清单（关键事项、可降级范围、外链清单）进行版本冻结。