xx項(xiàng)目---技術(shù)需求說明書

1、項(xiàng)目編號 ：KF2016001XX項(xiàng)目- 業(yè)務(wù)需求說明書V1.0XX銀行 XX分行XX項(xiàng)目組2016年 5月修訂文檔歷史記錄編號版本號修訂內(nèi)容簡述修訂日期作者審核本文檔中所包含的信息屬于機(jī)密信息， 如無 XX公司的書面許可， 任何人都無權(quán)復(fù)制或利用。目錄1 引言1.1 目的本文檔用于描述系統(tǒng)的各項(xiàng)功能優(yōu)化需求， 旨在為項(xiàng)目成員詳細(xì)說明項(xiàng)目需要完成的功能，為后續(xù)的設(shè)計和開發(fā)提供基礎(chǔ)和依據(jù)。1.2 項(xiàng)目背景及目標(biāo)項(xiàng)目名稱：項(xiàng)目提出部門：使用部門：項(xiàng)目背景及目標(biāo)概述1.3 業(yè)務(wù)術(shù)語本文中用到的專門術(shù)語的定義。1.4 參考資料本文中引用的參考資料和文件。2 業(yè)務(wù)系統(tǒng)的總體描述2.1 系統(tǒng)描述描述項(xiàng)目的

2、功能，使用范圍等2.2 與其它業(yè)務(wù)系統(tǒng)關(guān)系描述與其它系統(tǒng)業(yè)務(wù)、數(shù)據(jù)、調(diào)用等方面的關(guān)系，及其影響等3 性能需求 如系統(tǒng)容量，響應(yīng)速度，處理能力，如交易高峰時系統(tǒng)吞吐量、聯(lián)機(jī)交易處理時間、日終處理時間、批處理時間、數(shù)據(jù)備份和恢復(fù)時間、前后臺文件傳輸處理時間等 4 安全需求（參照如下內(nèi)容裁剪后進(jìn)行相應(yīng)說明）4.1 訪問控制訪問控制部分說明軟件自身在用戶識別和授權(quán)方面的具體要求， 明確軟件訪問控制應(yīng)具備的基本要素。用戶管理用戶必須按類型和角色分類管理，至少分成系統(tǒng)維護(hù)人員、業(yè)務(wù)操作員以及軟件服務(wù)對象三類。用戶身份管理要求，軟件應(yīng)提供相應(yīng)的用戶身份帳戶管理機(jī)制，包括提供用戶身份帳戶的創(chuàng)建、注銷、凍結(jié) /

3、 解凍、修改、查詢等功能。用戶認(rèn)證口令管理軟件必須對用戶的口令屬性（口令長度、試探次數(shù)、口令生命期）有基本要求；軟件應(yīng)該提供強(qiáng)制用戶定期更新口令機(jī)制；軟件應(yīng)具備口令保護(hù)機(jī)制。認(rèn)證限制提供限制用戶的登錄時間和IP 地址的機(jī)制；軟件應(yīng)該提供弱口令檢測和警示機(jī)制。用戶授權(quán)應(yīng)定義用戶訪問數(shù)據(jù)授權(quán)關(guān)系，針對不同類型用戶或角色分別建立最小數(shù)據(jù)訪問列表，對用戶訪問何種數(shù)據(jù)進(jìn)行明確定義和控制。會話控制對有關(guān)用戶管理、認(rèn)證和授權(quán)數(shù)據(jù)的會話進(jìn)行加密保護(hù)。 對于會話殘留信息，必須及時清理。4.2數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)部分說明如何在對數(shù)據(jù)分類的基礎(chǔ)上， 選擇適當(dāng)?shù)募夹g(shù)措施進(jìn)行數(shù)據(jù)安全保護(hù)。重點(diǎn)保護(hù)數(shù)據(jù)根據(jù)業(yè)務(wù)安全規(guī)定， 重

4、要數(shù)據(jù)要求特別保護(hù)， 該類數(shù)據(jù)的傳輸、存取和存儲，必需采取加密措施保護(hù)，僅能通過內(nèi)置的軟硬件加解密模塊進(jìn)行管制。需要加密保護(hù)的數(shù)據(jù)可根據(jù)數(shù)據(jù)的作用、傳輸?shù)沫h(huán)境以及外泄可能性等方面進(jìn)行考慮。需要保護(hù)第三方維護(hù)時可能接觸到的數(shù)據(jù)。數(shù)據(jù)完整性對于互聯(lián)網(wǎng)和外聯(lián)環(huán)境， 軟件應(yīng)考慮對傳輸?shù)臄?shù)據(jù)采用必要的技術(shù)來驗(yàn)證數(shù)據(jù)包是否被篡改。加密技術(shù)及服務(wù)各軟件使用的加密服務(wù)應(yīng)優(yōu)先采用中國建設(shè)銀行安全加密平臺，各軟件不應(yīng)重復(fù)開發(fā)已有的加密算法。需要重點(diǎn)加密保護(hù)的數(shù)據(jù)在應(yīng)用層面進(jìn)行傳輸時，應(yīng)實(shí)現(xiàn)點(diǎn)到點(diǎn)的加密數(shù)據(jù)傳輸。用于兩點(diǎn)之間信息傳輸加 / 解密的密鑰，不應(yīng)被非可信的第三方獲悉。密鑰管理用于數(shù)據(jù)、信息傳輸加 / 解密

5、的密鑰，必須設(shè)定有效期，不應(yīng)采用固定密鑰。密鑰采用強(qiáng)口令標(biāo)準(zhǔn)。對含有私鑰信息的數(shù)字證書應(yīng)存放在加密機(jī)、 加密 IC 卡或者 USBKey等硬件設(shè)備中，在能夠保障主機(jī)系統(tǒng)安全的情況下， 數(shù)字證書可以 PKCS#12文件方式保存，并應(yīng)有強(qiáng)口令保護(hù)。4.3編碼安全編碼安全強(qiáng)調(diào)何種編碼行為是要嚴(yán)格遵守，何種編碼方式具有高隱患應(yīng)予禁止，進(jìn)而說明如何建立一種安全的軟件編碼機(jī)制。 使代碼簡單、 最小化和易于修改，避免高危的服務(wù)、協(xié)議，數(shù)據(jù)和代碼分離。設(shè)計和編碼要求統(tǒng)一的安全規(guī)范每個軟件項(xiàng)目在設(shè)計階段都應(yīng)明確， 在項(xiàng)目實(shí)施過程中項(xiàng)目組應(yīng)該遵循的統(tǒng)一規(guī)范：具體包括命名規(guī)則、 API 引用、錯誤處理、避免使用全局

6、變量等。模塊劃分軟件應(yīng)該按照安全性劃分模塊， 審計和訪問控制模塊為安全可信模塊， 其它模塊為不可信任模塊。 只有安全可信模塊， 才能以高安全等級訪問系統(tǒng)的敏感信息，對于其他模塊限制其訪問敏感信息。最小功能性根據(jù)“沒有明確允許的就默認(rèn)禁止” 的原則，軟件應(yīng)只包含那些為達(dá)到某個目標(biāo)而確實(shí)需要的功能， 不應(yīng)包含只是在將來某個時間需要但需求說明書中沒有包括的功能。對多任務(wù)、多進(jìn)程加以關(guān)注軟件開發(fā)應(yīng)盡量使用單任務(wù)的程序。 如果軟件需要使用多任務(wù)和多進(jìn)程， 應(yīng)該認(rèn)真分析研究多任務(wù)和多進(jìn)程不會發(fā)生沖突， 同步所有的進(jìn)程和任務(wù)以避免沖突。同時作為結(jié)構(gòu)化的編程，每個原子化組件都要保證一個入口和一個出口。界面輸出

7、最小化軟件必須保持用戶界面只提供必須的功能， 沒有旁路，確保用戶不能通過用戶界面直接訪問數(shù)據(jù)或者直接訪問被保護(hù)對象。使代碼簡單、最小化和易于修改開發(fā)時應(yīng)盡量使代碼簡單、 最小化和易于修改。 使用結(jié)構(gòu)化的編程語言， 避免使用遞歸和 Go to 聲明。使用簡單的代碼，清除不必要的功能，防止采用信息隱藏方式進(jìn)行數(shù)據(jù)保護(hù)。避免高危的服務(wù)、協(xié)議軟件應(yīng)禁止使用 FTP， SMTP等高危方式傳輸文件。數(shù)據(jù)和代碼分離軟件應(yīng)該把數(shù)據(jù)與程序放置在不同的目錄中，這里的數(shù)據(jù)包括遠(yuǎn)程下載文件重點(diǎn)數(shù)據(jù)傳輸軟件在傳輸重點(diǎn)保護(hù)數(shù)據(jù)時， 應(yīng)該對重點(diǎn)保護(hù)數(shù)據(jù)進(jìn)行加密后再傳輸， 也可使用 SSL/TLS等安全、可信任協(xié)議進(jìn)行加密傳

8、輸。同時可以應(yīng)用 HASH值等來確保數(shù)據(jù)完整性，使用數(shù)字簽名來保證不可否認(rèn)性。禁止賦予用戶進(jìn)程特權(quán)對于軟件的普通用戶進(jìn)程， 禁止賦予該類進(jìn)程特權(quán)用戶權(quán)限。 特權(quán)用戶類型包括：超級用戶、直接操作數(shù)據(jù)庫用戶、安全管理用戶。使用適當(dāng)?shù)臄?shù)據(jù)類型應(yīng)該小心使用數(shù)據(jù)類型， 特別是在程序接口部分。 例如，在一些編程語言中 signed 和 unsigned 的數(shù)據(jù)類型是視為不同的（如 C或者 C+語言）。使用經(jīng)過驗(yàn)證的安全代碼使用經(jīng)過驗(yàn)證的安全代碼模塊和外部源程序，防止?jié)撛诘陌踩L(fēng)險。使用應(yīng)用中間件中間件作為一種應(yīng)用層架構(gòu)， 軟件設(shè)計應(yīng)盡可能使用中間件， 要在總行選型的產(chǎn)品目錄中選擇所需的中間件。設(shè)計錯誤、異

9、常處理機(jī)制軟件設(shè)計開發(fā)時應(yīng)建立防止系統(tǒng)死鎖的機(jī)制，異常情況的處理和恢復(fù)機(jī)制：具體包括錯誤和異常檢測、交易回滾、安全錯誤通知、錯誤和異常記錄、斷點(diǎn)保護(hù)等。提供備份機(jī)制為保證運(yùn)行數(shù)據(jù)的完整性和可用性， 軟件開發(fā)必須設(shè)計有效的備份策略， 根據(jù)業(yè)務(wù)和系統(tǒng)維護(hù)需要提供定期或不定期、自動或者手動方式的備份機(jī)制。保護(hù)機(jī)密性要求關(guān)注應(yīng)用的對象重用對于底層系統(tǒng)的對象可重用性來說， 應(yīng)用軟件需要提供對敏感的數(shù)據(jù)使用后馬上覆蓋的能力， 這些敏感數(shù)據(jù)包括口令、 安全密鑰、會話密鑰或者其它的高度敏感的數(shù)據(jù)。用戶訪問控制信息的機(jī)密性禁止在程序代碼中直接寫用戶名和口令等用戶訪問控制信息。不要在客戶端存放重點(diǎn)保護(hù)數(shù)據(jù)由于客戶

10、端是不可信任的， 軟件不要在客戶端存放重點(diǎn)保護(hù)數(shù)據(jù)。 特別注意在使用 Cookie 時不要把客戶重要信息儲存在客戶端。避免內(nèi)存溢出在對緩存區(qū)填充數(shù)據(jù)時必須進(jìn)行邊界檢查，判斷是否超出分配的空間；對于數(shù)據(jù)庫查詢操作，如果查詢返回的結(jié)果較多時，必須設(shè)計成分次提??；應(yīng)保證系統(tǒng)資源及時釋放和服務(wù)連接的及時關(guān)閉；軟件程序必須檢查每次內(nèi)存分配是否失?。惠斎氡Ｗo(hù)軟件必須對每次用戶輸入的信息長度進(jìn)行檢查，判斷是否超出范圍。軟件必須檢查用戶輸入的內(nèi)容是一個有效的數(shù)據(jù)串，而不是其它類型的對象。檢驗(yàn)輸入數(shù)據(jù)串是否與預(yù)先定義的格式和語法一致，并完成適當(dāng)?shù)囊?guī)范性檢查。軟件必須對輸入信息中的特殊字符（如“>”、“&l

11、t;”等）進(jìn)行檢查、處理。軟件應(yīng)該采取措施保護(hù)會話，防止會話超時和會話劫持等漏洞。應(yīng)該采取措施對HTTP 報文頭進(jìn)行檢查，防止瀏覽器到服務(wù)端被惡意修改。對輸入的數(shù)據(jù)串進(jìn)行檢查，避免在輸入中直接注入SQL語句。對 URL 和路徑名稱進(jìn)行檢查，確定當(dāng)中沒有包含指向惡意代碼的內(nèi)容，防止攻擊者利用 URL的擴(kuò)展進(jìn)行復(fù)位向，注入等攻擊。輸出保護(hù)軟件應(yīng)該限制返回給客戶與業(yè)務(wù)辦理無關(guān)的信息， 防止把重點(diǎn)保護(hù)數(shù)據(jù)返回給不信任的用戶，避免信息外泄。檢查輸出是否含有非必要的信息。檢查輸出是否含有不符合業(yè)務(wù)管理規(guī)定的信息。軟件還應(yīng)該有錯誤信息保護(hù)機(jī)制， 禁止將供軟件維護(hù)人員使用的系統(tǒng)錯誤診斷信息提交給軟件服務(wù)對象。

12、可配置數(shù)據(jù)保護(hù)限制非應(yīng)用軟件用戶訪問可配置數(shù)據(jù)。4.4安全日志日志管理部分主要從可審計角度來考慮， 明確軟件應(yīng)記錄的行為內(nèi)容、 記錄格式以及對日志的管理辦法。安全日志的內(nèi)容安全日志禁止記錄的內(nèi)容安全日志的格式規(guī)范安安全日志的保存與歸檔4.5 部署準(zhǔn)備清理調(diào)試信息上線部署前必須將代碼中的調(diào)試信息進(jìn)行清理。 不能將帶有調(diào)試選項(xiàng)的代碼部署到生產(chǎn)系統(tǒng)中。清理 WEB源代碼注釋上線部署前必須清理 html 等 web 程序源代碼中出現(xiàn)的與軟件設(shè)計、 Web 服務(wù)器環(huán)境、文件系統(tǒng)結(jié)構(gòu)相關(guān)的所有的參考和注釋；這些信息包括但不限于：（ 1）目錄結(jié)構(gòu)；（ 2） Web 根目錄的位置；（ 3）調(diào)試信息；（ 4）

13、Cookie 結(jié)構(gòu)；（ 5）開發(fā)中涉及到的問題；（ 6）開發(fā)者的姓名、 email 地址、電話號碼等；清理不需要的代碼上線部署前必須清理軟件程序代碼中不需要的代碼和那些不能完成任何功能的代碼。網(wǎng)絡(luò)服務(wù)管理服務(wù)器必須對提供的服務(wù)端口進(jìn)行控制。 要求在需求分析中明確說明本系統(tǒng)必須開放的網(wǎng)絡(luò)服務(wù)。在實(shí)際運(yùn)行環(huán)境中必須嚴(yán)格按照需求中的要求實(shí)施、 部署。4.6開發(fā)環(huán)境管理開發(fā)環(huán)境的軟件版本控制及變更開發(fā)環(huán)境中使用的軟件工具必須有版本控制：（ 1）在安全需求中要求考慮開發(fā)環(huán)境變更對軟件開發(fā)的影響。開發(fā)環(huán)境變更后視變更情況對已發(fā)布的軟件版本重新測試。（ 2）軟件開發(fā)所使用的操作系統(tǒng)、通信軟件、數(shù)據(jù)庫等必須是

14、正式版本軟件。開發(fā)環(huán)境安全管理軟件防護(hù)開發(fā)環(huán)境中的開發(fā)用機(jī)必須安裝中國建設(shè)銀行要求的相關(guān)安全管理軟件。 Windows 平臺的開發(fā)用機(jī)要求及時進(jìn)行系統(tǒng)及中間件補(bǔ)丁升級和漏洞修復(fù)。 開發(fā)用機(jī)必須安裝中國建設(shè)銀行規(guī)定的防病毒軟件，并保持升級至最新的病毒定義碼，及時增補(bǔ)安全補(bǔ)丁程序。第三方交付物的安全使用第三方交付物使用前必須進(jìn)行安全掃描， 利用軟件安全測試工具等方法檢查第三方交付物是否存在安全隱患。 在確認(rèn)不存在病毒、 安全漏洞、 可疑源碼等安全問題后，方可投入使用。開發(fā)環(huán)境用戶權(quán)限管理應(yīng)該加強(qiáng)對開發(fā)環(huán)境用戶權(quán)限的限制， 禁止在開發(fā)環(huán)境使用超級用戶或者其它特權(quán)用戶進(jìn)行軟件開發(fā)。運(yùn)行環(huán)境的完整性保護(hù)

15、軟件必須對運(yùn)行環(huán)境進(jìn)行完整性保護(hù)。 軟件程序不能篡改或被利用來改變軟件所運(yùn)行的環(huán)境或平臺中任何安全配置、 安全文件和安全程序。 具體包括但不限于：安全審計日志、監(jiān)控記錄、安全程序、訪問控制策略、地址或服務(wù)列表、中間件等。其它軟件資源的完整性軟件必須對其它軟件資源進(jìn)行完整性保護(hù)。 要求軟件程序在未經(jīng)授權(quán)的條件下，不能修改任何其它系統(tǒng)的文件、程序、數(shù)據(jù)。5 運(yùn)行維護(hù)需求（參照如下內(nèi)容裁剪后進(jìn)行相應(yīng)說明）5.1 可操作性系統(tǒng)須具有可維護(hù)性，提供系統(tǒng)維護(hù)的功能界面，系統(tǒng)應(yīng)該具有運(yùn)行狀態(tài)監(jiān)控（系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)）功能。應(yīng)包括應(yīng)用軟件參數(shù)配置維護(hù)、應(yīng)用通訊系統(tǒng)參數(shù)配置維護(hù)、應(yīng)用系統(tǒng)的啟 /停操作、非正常數(shù)據(jù)修改、運(yùn)行環(huán)境完整性檢查和應(yīng)用日志的管理等。系統(tǒng)需提供終止問題交易等故障隔離的手段和功能，有效防止故障范圍擴(kuò)大。數(shù)據(jù)維護(hù)功能應(yīng)具有清晰、簡單的人機(jī)交互界面，并能對數(shù)據(jù)維護(hù)過程進(jìn)行安全審計。5.2 數(shù)據(jù)備份與清理數(shù)據(jù)備份內(nèi)容包括：數(shù)據(jù)庫、邏輯日志、運(yùn)行日志、錯誤日志、應(yīng)用系統(tǒng)技術(shù)參數(shù)、應(yīng)用數(shù)據(jù)文本等。有日常備份，日終備份或定期備份功能數(shù)據(jù)清理：提供對數(shù)據(jù)（包括數(shù)據(jù)庫歷史表、臨時表、日志文件等）的清理功能，根據(jù)不同的數(shù)據(jù)清理原則設(shè)計相應(yīng)合理的清理策