xx項目-技術需求說明書

1、項目編號：KF2016001XX項目業(yè)務需求說明書V1.0XX銀行XX分行XX項目組2016年5月XX項目業(yè)務需求說明書 修訂文檔歷史記錄本文檔中所包含的信息屬于機密信息，如無XX公司的書面許可，任何人都無權復制或利用。目錄TOC o 1-5 h z HYPERLINK l bookmark8 引言5 HYPERLINK l bookmark10 目的5 HYPERLINK l bookmark12 項目背景及目標5 HYPERLINK l bookmark14 業(yè)務術語5 HYPERLINK l bookmark16 參考資料5 HYPERLINK l bookmark18 業(yè)務系統(tǒng)的總體描

2、述5 HYPERLINK l bookmark20 系統(tǒng)描述5 HYPERLINK l bookmark22 與其它業(yè)務系統(tǒng)關系5 HYPERLINK l bookmark24 性能需求5 HYPERLINK l bookmark26 安全需求6 HYPERLINK l bookmark28 訪問控制6 HYPERLINK l bookmark30 用戶管理6 HYPERLINK l bookmark32 用戶認證6用戶授權6會話控制6 HYPERLINK l bookmark34 4.2數(shù)據(jù)保護7重點保護數(shù)據(jù)7數(shù)據(jù)完整性7加密技術及服務7密鑰管理7 HYPERLINK l bookmark3

3、6 編碼安全7設計和編碼要求8保護機密性要求9 HYPERLINK l bookmark80 安全日志11 HYPERLINK l bookmark82 安全日志的內(nèi)容11 HYPERLINK l bookmark84 安全日志禁止記錄的內(nèi)容11 HYPERLINK l bookmark86 安全日志的格式規(guī)范11 HYPERLINK l bookmark88 安安全日志的保存與歸檔114.5部署準備11 HYPERLINK l bookmark90 清理調試信息11 HYPERLINK l bookmark92 清理WEB源代碼注釋11 HYPERLINK l bookmark94 清理不需

4、要的代碼12 HYPERLINK l bookmark96 網(wǎng)絡服務管理124.6開發(fā)環(huán)境管理12 HYPERLINK l bookmark98 開發(fā)環(huán)境的軟件版本控制及變更12 HYPERLINK l bookmark100 開發(fā)環(huán)境安全管理軟件防護12 HYPERLINK l bookmark102 第三方交付物的安全使用12 HYPERLINK l bookmark104 開發(fā)環(huán)境用戶權限管理12 HYPERLINK l bookmark106 運行環(huán)境的完整性保護12 HYPERLINK l bookmark108 其它軟件資源的完整性13 HYPERLINK l bookmark11

5、0 運行維護需求13 HYPERLINK l bookmark112 可操作性13 HYPERLINK l bookmark114 數(shù)據(jù)備份與清理13 HYPERLINK l bookmark116 日志管理13引言目的本文檔用于描述系統(tǒng)的各項功能優(yōu)化需求，旨在為項目成員詳細說明項目需要完成的功能，為后續(xù)的設計和開發(fā)提供基礎和依據(jù)。項目背景及目標項目名稱：項目提出部門：使用部門：項目背景及目標概述業(yè)務術語本文中用到的專門術語的定義。參考資料本文中引用的參考資料和文。業(yè)務系統(tǒng)的總體描述系統(tǒng)描述描述項目的功能，使用范圍等與其它業(yè)務系統(tǒng)關系描述與其它系統(tǒng)業(yè)務、數(shù)據(jù)、調用等方面的關系，及其影響等性能需

6、求如系統(tǒng)容量，響應速度，處理能力，如交易高峰時系統(tǒng)吞吐量、聯(lián)機交易處理時間、日終處理時間、批處理時間、數(shù)據(jù)備份和恢復時間、前后臺文件傳輸處理時間等安全需求（參照如下內(nèi)容裁剪后進行相應說明）訪問控制訪問控制部分說明軟件自身在用戶識別和授權方面的具體要求，明確軟件訪問控制應具備的基本要素。4.1.1用戶管理用戶必須按類型和角色分類管理，至少分成系統(tǒng)維護人員、業(yè)務操作員以及軟件服務對象三類。用戶身份管理要求，軟件應提供相應的用戶身份帳戶管理機制，包括提供用戶身份帳戶的創(chuàng)建、注銷、凍結/解凍、修改、查詢等功能。4.1.2用戶認證口令管理軟件必須對用戶的口令屬性（口令長度、試探次數(shù)、口令生命期）有基本要

7、求；軟件應該提供強制用戶定期更新口令機制；軟件應具備口令保護機制。認證限制提供限制用戶的登錄時間和IP地址的機制軟件應該提供弱口令檢測和警示機制。4.1.3用戶授權應定義用戶訪問數(shù)據(jù)授權關系，針對不同類型用戶或角色分別建立最小數(shù)據(jù)訪問列表，對用戶訪問何種數(shù)據(jù)進行明確定義和控制。4.1.4會話控制對有關用戶管理、認證和授權數(shù)據(jù)的會話進行加密保護。對于會話殘留信息必須及時清理。數(shù)據(jù)保護數(shù)據(jù)保護部分說明如何在對數(shù)據(jù)分類的基礎上，選擇適當?shù)募夹g措施進行數(shù)據(jù)安全保護。4.2.1重點保護數(shù)據(jù)根據(jù)業(yè)務安全規(guī)定，重要數(shù)據(jù)要求特別保護，該類數(shù)據(jù)的傳輸、存取和存儲，必需采取加密措施保護，僅能通過內(nèi)置的軟硬件加解密

8、模塊進行管制。需要加密保護的數(shù)據(jù)可根據(jù)數(shù)據(jù)的作用、傳輸?shù)沫h(huán)境以及外泄可能性等方面進行考慮。需要保護第三方維護時可能接觸到的數(shù)據(jù)。4.2.2數(shù)據(jù)完整性對于互聯(lián)網(wǎng)和外聯(lián)環(huán)境，軟件應考慮對傳輸?shù)臄?shù)據(jù)采用必要的技術來驗證數(shù)據(jù)包是否被篡改。4.2.3加密技術及服務各軟件使用的加密服務應優(yōu)先采用中國建設銀行安全加密平臺，各軟件不應重復開發(fā)已有的加密算法。需要重點加密保護的數(shù)據(jù)在應用層面進行傳輸時，應實現(xiàn)點到點的加密數(shù)據(jù)傳輸。用于兩點之間信息傳輸加/解密的密鑰，不應被非可信的第三方獲悉。4.2.4密鑰管理用于數(shù)據(jù)、信息傳輸加/解密的密鑰，必須設定有效期，不應采用固定密鑰密鑰采用強口令標準。對含有私鑰信息的數(shù)

9、字證書應存放在加密機、加密IC卡或者USBKey等硬件設備中，在能夠保障主機系統(tǒng)安全的情況下，數(shù)字證書可以PKCS#12文件方式保存，并應有強口令保護。編碼安全編碼安全強調何種編碼行為是要嚴格遵守，何種編碼方式具有高隱患應予禁止，進而說明如何建立一種安全的軟件編碼機制。使代碼簡單、最小化和易于修改，避免高危的服務、協(xié)議，數(shù)據(jù)和代碼分離。4.3.1設計和編碼要求統(tǒng)一的安全規(guī)范每個軟件項目在設計階段都應明確，在項目實施過程中項目組應該遵循的統(tǒng)一規(guī)范：具體包括命名規(guī)則、API引用、錯誤處理、避免使用全局變量等。模塊劃分軟件應該按照安全性劃分模塊，審計和訪問控制模塊為安全可信模塊，其它模塊為不可信任模

10、塊。只有安全可信模塊，才能以高安全等級訪問系統(tǒng)的敏感信息，對于其他模塊限制其訪問敏感信息。最小功能性根據(jù)“沒有明確允許的就默認禁止”的原則，軟件應只包含那些為達到某個目標而確實需要的功能，不應包含只是在將來某個時間需要但需求說明書中沒有包括的功能。對多任務、多進程加以關注軟件開發(fā)應盡量使用單任務的程序。如果軟件需要使用多任務和多進程，應該認真分析研究多任務和多進程不會發(fā)生沖突，同步所有的進程和任務以避免沖突。同時作為結構化的編程，每個原子化組件都要保證一個入口和一個出口。界面輸出最小化軟件必須保持用戶界面只提供必須的功能，沒有旁路，確保用戶不能通過用戶界面直接訪問數(shù)據(jù)或者直接訪問被保護對象。使

11、代碼簡單、最小化和易于修改開發(fā)時應盡量使代碼簡單、最小化和易于修改。使用結構化的編程語言，避免使用遞歸和Goto聲明。使用簡單的代碼，清除不必要的功能，防止采用信息隱藏方式進行數(shù)據(jù)保護。避免高危的服務、協(xié)議軟件應禁止使用FTP，SMTP等高危方式傳輸文件。數(shù)據(jù)和代碼分離軟件應該把數(shù)據(jù)與程序放置在不同的目錄中，這里的數(shù)據(jù)包括遠程下載文件重點數(shù)據(jù)傳輸軟件在傳輸重點保護數(shù)據(jù)時，應該對重點保護數(shù)據(jù)進行加密后再傳輸，也可使用SSL/TLS等安全、可信任協(xié)議進行加密傳輸。同時可以應用HASH值等來確保數(shù)據(jù)完整性，使用數(shù)字簽名來保證不可否認性。禁止賦予用戶進程特權對于軟件的普通用戶進程，禁止賦予該類進程特權

12、用戶權限。特權用戶類型包括：超級用戶、直接操作數(shù)據(jù)庫用戶、安全管理用戶。使用適當?shù)臄?shù)據(jù)類型應該小心使用數(shù)據(jù)類型，特別是在程序接口部分。例如，在一些編程語言中signed和unsigned的數(shù)據(jù)類型是視為不同的（如C或者C+語言）。使用經(jīng)過驗證的安全代碼使用經(jīng)過驗證的安全代碼模塊和外部源程序，防止?jié)撛诘陌踩L險。使用應用中間件中間件作為一種應用層架構，軟件設計應盡可能使用中間件，要在總行選型的產(chǎn)品目錄中選擇所需的中間件。設計錯誤、異常處理機制軟件設計開發(fā)時應建立防止系統(tǒng)死鎖的機制，異常情況的處理和恢復機制：具體包括錯誤和異常檢測、交易回滾、安全錯誤通知、錯誤和異常記錄、斷點保護等。提供備份機制為

13、保證運行數(shù)據(jù)的完整性和可用性，軟件開發(fā)必須設計有效的備份策略，根據(jù)業(yè)務和系統(tǒng)維護需要提供定期或不定期、自動或者手動方式的備份機制。4.3.2保護機密性要求關注應用的對象重用對于底層系統(tǒng)的對象可重用性來說，應用軟件需要提供對敏感的數(shù)據(jù)使用后馬上覆蓋的能力，這些敏感數(shù)據(jù)包括口令、安全密鑰、會話密鑰或者其它的高度敏感的數(shù)據(jù)。XX項目一業(yè)務需求說明書 4322用戶訪問控制信息的機密性禁止在程序代碼中直接寫用戶名和口令等用戶訪問控制信息。4323不要在客戶端存放重點保護數(shù)據(jù)由于客戶端是不可信任的，軟件不要在客戶端存放重點保護數(shù)據(jù)。特別注意在使用Cookie時不要把客戶重要信息儲存在客戶端。4324避免內(nèi)

14、存溢出在對緩存區(qū)填充數(shù)據(jù)時必須進行邊界檢查，判斷是否超出分配的空間；對于數(shù)據(jù)庫查詢操作，如果查詢返回的結果較多時，必須設計成分次提取應保證系統(tǒng)資源及時釋放和服務連接的及時關閉；軟件程序必須檢查每次內(nèi)存分配是否失??；4325輸入保護軟件必須對每次用戶輸入的信息長度進行檢查，判斷是否超出范圍。軟件必須檢查用戶輸入的內(nèi)容是一個有效的數(shù)據(jù)串，而不是其它類型的對象。檢驗輸入數(shù)據(jù)串是否與預先定義的格式和語法一致，并完成適當?shù)囊?guī)范性檢查。軟件必須對輸入信息中的特殊字符（如“”、“”等）進行檢查、處理。軟件應該采取措施保護會話，防止會話超時和會話劫持等漏洞。應該采取措施對HTTP報文頭進行檢查，防止瀏覽器到服

15、務端被惡意修改。對輸入的數(shù)據(jù)串進行檢查，避免在輸入中直接注入SQL語句。對URL和路徑名稱進行檢查，確定當中沒有包含指向惡意代碼的內(nèi)容，防止攻擊者利用URL的擴展進行重定向，注入等攻擊。4326輸出保護軟件應該限制返回給客戶與業(yè)務辦理無關的信息，防止把重點保護數(shù)據(jù)返回給不信任的用戶，避免信息外泄。檢查輸出是否含有非必要的信息。檢查輸出是否含有不符合業(yè)務管理規(guī)定的信息。軟件還應該有錯誤信息保護機制，禁止將供軟件維護人員使用的系統(tǒng)錯誤診斷信息提交給軟件服務對象。4327可配置數(shù)據(jù)保護限制非應用軟件用戶訪問可配置數(shù)據(jù)。44安全日志日志管理部分主要從可審計角度來考慮，明確軟件應記錄的行為內(nèi)容、記錄格式

16、以及對日志的管理辦法。441安全日志的內(nèi)容442安全日志禁止記錄的內(nèi)容443安全日志的格式規(guī)范444安安全日志的保存與歸檔4.5部署準備清理調試信息上線部署前必須將代碼中的調試信息進行清理。不能將帶有調試選項的代碼部署到生產(chǎn)系統(tǒng)中。4.5.2清理WEB源代碼注釋上線部署前必須清理html等web程序源代碼中出現(xiàn)的與軟件設計、Web服務器環(huán)境、文件系統(tǒng)結構相關的所有的參考和注釋；這些信息包括但不限于：（1）目錄結構；（2）Web根目錄的位置；（3）調試信息；（4）Cookie結構；（5）開發(fā)中涉及到的問題；（6）開發(fā)者的姓名、email地址、電話號碼等；清理不需要的代碼上線部署前必須清理軟件程序

17、代碼中不需要的代碼和那些不能完成任何功能的代碼。網(wǎng)絡服務管理服務器必須對提供的服務端口進行控制。要求在需求分析中明確說明本系統(tǒng)必須開放的網(wǎng)絡服務。在實際運行環(huán)境中必須嚴格按照需求中的要求實施、部署。4.6開發(fā)環(huán)境管理開發(fā)環(huán)境的軟件版本控制及變更開發(fā)環(huán)境中使用的軟件工具必須有版本控制：（1）在安全需求中要求考慮開發(fā)環(huán)境變更對軟件開發(fā)的影響。開發(fā)環(huán)境變更后視變更情況對已發(fā)布的軟件版本重新測試。（2）軟件開發(fā)所使用的操作系統(tǒng)、通信軟件、數(shù)據(jù)庫等必須是正式版本軟件。開發(fā)環(huán)境安全管理軟件防護開發(fā)環(huán)境中的開發(fā)用機必須安裝中國建設銀行要求的相關安全管理軟件。Windows平臺的開發(fā)用機要求及時進行系統(tǒng)及中間

18、件補丁升級和漏洞修復。開發(fā)用機必須安裝中國建設銀行規(guī)定的防病毒軟件，并保持升級至最新的病毒定義碼，及時增補安全補丁程序。第三方交付物的安全使用第三方交付物使用前必須進行安全掃描，利用軟件安全測試工具等方法檢查第三方交付物是否存在安全隱患。在確認不存在病毒、安全漏洞、可疑源碼等安全問題后，方可投入使用。開發(fā)環(huán)境用戶權限管理應該加強對開發(fā)環(huán)境用戶權限的限制，禁止在開發(fā)環(huán)境使用超級用戶或者其它特權用戶進行軟件開發(fā)。運行環(huán)境的完整性保護軟件必須對運行環(huán)境進行完整性保護。軟件程序不能篡改或被利用來改變軟件所運行的環(huán)境或平臺中任何安全配置、安全文件和安全程序。具體包括但不限XX項目業(yè)務需求說明書 于：安全審計日志、監(jiān)控記錄、安全程序、訪問控制策略、地址或服務列表、中間件等。其它軟件資源的完整性軟件必須對其它軟件資源進行完整性保護。要求軟件程序在未經(jīng)授權