xx項(xiàng)目---技術(shù)需求說(shuō)明書

1、項(xiàng)目編號(hào) ：KF2016001XX項(xiàng)目- 業(yè)務(wù)需求說(shuō)明書V1.0XX銀行 XX分行XX項(xiàng)目組2016年 5月修訂文檔歷史記錄編號(hào)版本號(hào)修訂內(nèi)容簡(jiǎn)述修訂日期作者審核本文檔中所包含的信息屬于機(jī)密信息， 如無(wú) XX公司的書面許可， 任何人都無(wú)權(quán)復(fù)制或利用。目錄1 引言1.1 目的本文檔用于描述系統(tǒng)的各項(xiàng)功能優(yōu)化需求， 旨在為項(xiàng)目成員詳細(xì)說(shuō)明項(xiàng)目需要完成的功能，為后續(xù)的設(shè)計(jì)和開(kāi)發(fā)提供基礎(chǔ)和依據(jù)。1.2 項(xiàng)目背景及目標(biāo)項(xiàng)目名稱：項(xiàng)目提出部門：使用部門：項(xiàng)目背景及目標(biāo)概述1.3 業(yè)務(wù)術(shù)語(yǔ)本文中用到的專門術(shù)語(yǔ)的定義。1.4 參考資料本文中引用的參考資料和文件。2 業(yè)務(wù)系統(tǒng)的總體描述2.1 系統(tǒng)描述描述項(xiàng)目的

2、功能，使用范圍等2.2 與其它業(yè)務(wù)系統(tǒng)關(guān)系描述與其它系統(tǒng)業(yè)務(wù)、數(shù)據(jù)、調(diào)用等方面的關(guān)系，及其影響等3 性能需求 如系統(tǒng)容量，響應(yīng)速度，處理能力，如交易高峰時(shí)系統(tǒng)吞吐量、聯(lián)機(jī)交易處理時(shí)間、日終處理時(shí)間、批處理時(shí)間、數(shù)據(jù)備份和恢復(fù)時(shí)間、前后臺(tái)文件傳輸處理時(shí)間等 4 安全需求（參照如下內(nèi)容裁剪后進(jìn)行相應(yīng)說(shuō)明）4.1 訪問(wèn)控制訪問(wèn)控制部分說(shuō)明軟件自身在用戶識(shí)別和授權(quán)方面的具體要求， 明確軟件訪問(wèn)控制應(yīng)具備的基本要素。用戶管理用戶必須按類型和角色分類管理，至少分成系統(tǒng)維護(hù)人員、業(yè)務(wù)操作員以及軟件服務(wù)對(duì)象三類。用戶身份管理要求，軟件應(yīng)提供相應(yīng)的用戶身份帳戶管理機(jī)制，包括提供用戶身份帳戶的創(chuàng)建、注銷、凍結(jié) /

3、 解凍、修改、查詢等功能。用戶認(rèn)證口令管理軟件必須對(duì)用戶的口令屬性（口令長(zhǎng)度、試探次數(shù)、口令生命期）有基本要求；軟件應(yīng)該提供強(qiáng)制用戶定期更新口令機(jī)制；軟件應(yīng)具備口令保護(hù)機(jī)制。認(rèn)證限制提供限制用戶的登錄時(shí)間和IP 地址的機(jī)制；軟件應(yīng)該提供弱口令檢測(cè)和警示機(jī)制。用戶授權(quán)應(yīng)定義用戶訪問(wèn)數(shù)據(jù)授權(quán)關(guān)系，針對(duì)不同類型用戶或角色分別建立最小數(shù)據(jù)訪問(wèn)列表，對(duì)用戶訪問(wèn)何種數(shù)據(jù)進(jìn)行明確定義和控制。會(huì)話控制對(duì)有關(guān)用戶管理、認(rèn)證和授權(quán)數(shù)據(jù)的會(huì)話進(jìn)行加密保護(hù)。 對(duì)于會(huì)話殘留信息，必須及時(shí)清理。4.2數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)部分說(shuō)明如何在對(duì)數(shù)據(jù)分類的基礎(chǔ)上， 選擇適當(dāng)?shù)募夹g(shù)措施進(jìn)行數(shù)據(jù)安全保護(hù)。重點(diǎn)保護(hù)數(shù)據(jù)根據(jù)業(yè)務(wù)安全規(guī)定， 重

4、要數(shù)據(jù)要求特別保護(hù)， 該類數(shù)據(jù)的傳輸、存取和存儲(chǔ)，必需采取加密措施保護(hù)，僅能通過(guò)內(nèi)置的軟硬件加解密模塊進(jìn)行管制。需要加密保護(hù)的數(shù)據(jù)可根據(jù)數(shù)據(jù)的作用、傳輸?shù)沫h(huán)境以及外泄可能性等方面進(jìn)行考慮。需要保護(hù)第三方維護(hù)時(shí)可能接觸到的數(shù)據(jù)。數(shù)據(jù)完整性對(duì)于互聯(lián)網(wǎng)和外聯(lián)環(huán)境， 軟件應(yīng)考慮對(duì)傳輸?shù)臄?shù)據(jù)采用必要的技術(shù)來(lái)驗(yàn)證數(shù)據(jù)包是否被篡改。加密技術(shù)及服務(wù)各軟件使用的加密服務(wù)應(yīng)優(yōu)先采用中國(guó)建設(shè)銀行安全加密平臺(tái)，各軟件不應(yīng)重復(fù)開(kāi)發(fā)已有的加密算法。需要重點(diǎn)加密保護(hù)的數(shù)據(jù)在應(yīng)用層面進(jìn)行傳輸時(shí)，應(yīng)實(shí)現(xiàn)點(diǎn)到點(diǎn)的加密數(shù)據(jù)傳輸。用于兩點(diǎn)之間信息傳輸加 / 解密的密鑰，不應(yīng)被非可信的第三方獲悉。密鑰管理用于數(shù)據(jù)、信息傳輸加 / 解密

5、的密鑰，必須設(shè)定有效期，不應(yīng)采用固定密鑰。密鑰采用強(qiáng)口令標(biāo)準(zhǔn)。對(duì)含有私鑰信息的數(shù)字證書應(yīng)存放在加密機(jī)、 加密 IC 卡或者 USBKey等硬件設(shè)備中，在能夠保障主機(jī)系統(tǒng)安全的情況下， 數(shù)字證書可以 PKCS#12文件方式保存，并應(yīng)有強(qiáng)口令保護(hù)。4.3編碼安全編碼安全強(qiáng)調(diào)何種編碼行為是要嚴(yán)格遵守，何種編碼方式具有高隱患應(yīng)予禁止，進(jìn)而說(shuō)明如何建立一種安全的軟件編碼機(jī)制。 使代碼簡(jiǎn)單、 最小化和易于修改，避免高危的服務(wù)、協(xié)議，數(shù)據(jù)和代碼分離。設(shè)計(jì)和編碼要求統(tǒng)一的安全規(guī)范每個(gè)軟件項(xiàng)目在設(shè)計(jì)階段都應(yīng)明確， 在項(xiàng)目實(shí)施過(guò)程中項(xiàng)目組應(yīng)該遵循的統(tǒng)一規(guī)范：具體包括命名規(guī)則、 API 引用、錯(cuò)誤處理、避免使用全局

6、變量等。模塊劃分軟件應(yīng)該按照安全性劃分模塊， 審計(jì)和訪問(wèn)控制模塊為安全可信模塊， 其它模塊為不可信任模塊。 只有安全可信模塊， 才能以高安全等級(jí)訪問(wèn)系統(tǒng)的敏感信息，對(duì)于其他模塊限制其訪問(wèn)敏感信息。最小功能性根據(jù)“沒(méi)有明確允許的就默認(rèn)禁止” 的原則，軟件應(yīng)只包含那些為達(dá)到某個(gè)目標(biāo)而確實(shí)需要的功能， 不應(yīng)包含只是在將來(lái)某個(gè)時(shí)間需要但需求說(shuō)明書中沒(méi)有包括的功能。對(duì)多任務(wù)、多進(jìn)程加以關(guān)注軟件開(kāi)發(fā)應(yīng)盡量使用單任務(wù)的程序。 如果軟件需要使用多任務(wù)和多進(jìn)程， 應(yīng)該認(rèn)真分析研究多任務(wù)和多進(jìn)程不會(huì)發(fā)生沖突， 同步所有的進(jìn)程和任務(wù)以避免沖突。同時(shí)作為結(jié)構(gòu)化的編程，每個(gè)原子化組件都要保證一個(gè)入口和一個(gè)出口。界面輸出

7、最小化軟件必須保持用戶界面只提供必須的功能， 沒(méi)有旁路，確保用戶不能通過(guò)用戶界面直接訪問(wèn)數(shù)據(jù)或者直接訪問(wèn)被保護(hù)對(duì)象。使代碼簡(jiǎn)單、最小化和易于修改開(kāi)發(fā)時(shí)應(yīng)盡量使代碼簡(jiǎn)單、 最小化和易于修改。 使用結(jié)構(gòu)化的編程語(yǔ)言， 避免使用遞歸和 Go to 聲明。使用簡(jiǎn)單的代碼，清除不必要的功能，防止采用信息隱藏方式進(jìn)行數(shù)據(jù)保護(hù)。避免高危的服務(wù)、協(xié)議軟件應(yīng)禁止使用 FTP， SMTP等高危方式傳輸文件。數(shù)據(jù)和代碼分離軟件應(yīng)該把數(shù)據(jù)與程序放置在不同的目錄中，這里的數(shù)據(jù)包括遠(yuǎn)程下載文件重點(diǎn)數(shù)據(jù)傳輸軟件在傳輸重點(diǎn)保護(hù)數(shù)據(jù)時(shí)， 應(yīng)該對(duì)重點(diǎn)保護(hù)數(shù)據(jù)進(jìn)行加密后再傳輸， 也可使用 SSL/TLS等安全、可信任協(xié)議進(jìn)行加密傳

8、輸。同時(shí)可以應(yīng)用 HASH值等來(lái)確保數(shù)據(jù)完整性，使用數(shù)字簽名來(lái)保證不可否認(rèn)性。禁止賦予用戶進(jìn)程特權(quán)對(duì)于軟件的普通用戶進(jìn)程， 禁止賦予該類進(jìn)程特權(quán)用戶權(quán)限。 特權(quán)用戶類型包括：超級(jí)用戶、直接操作數(shù)據(jù)庫(kù)用戶、安全管理用戶。使用適當(dāng)?shù)臄?shù)據(jù)類型應(yīng)該小心使用數(shù)據(jù)類型， 特別是在程序接口部分。 例如，在一些編程語(yǔ)言中 signed 和 unsigned 的數(shù)據(jù)類型是視為不同的（如 C或者 C+語(yǔ)言）。使用經(jīng)過(guò)驗(yàn)證的安全代碼使用經(jīng)過(guò)驗(yàn)證的安全代碼模塊和外部源程序，防止?jié)撛诘陌踩L(fēng)險(xiǎn)。使用應(yīng)用中間件中間件作為一種應(yīng)用層架構(gòu)， 軟件設(shè)計(jì)應(yīng)盡可能使用中間件， 要在總行選型的產(chǎn)品目錄中選擇所需的中間件。設(shè)計(jì)錯(cuò)誤、異

9、常處理機(jī)制軟件設(shè)計(jì)開(kāi)發(fā)時(shí)應(yīng)建立防止系統(tǒng)死鎖的機(jī)制，異常情況的處理和恢復(fù)機(jī)制：具體包括錯(cuò)誤和異常檢測(cè)、交易回滾、安全錯(cuò)誤通知、錯(cuò)誤和異常記錄、斷點(diǎn)保護(hù)等。提供備份機(jī)制為保證運(yùn)行數(shù)據(jù)的完整性和可用性， 軟件開(kāi)發(fā)必須設(shè)計(jì)有效的備份策略， 根據(jù)業(yè)務(wù)和系統(tǒng)維護(hù)需要提供定期或不定期、自動(dòng)或者手動(dòng)方式的備份機(jī)制。保護(hù)機(jī)密性要求關(guān)注應(yīng)用的對(duì)象重用對(duì)于底層系統(tǒng)的對(duì)象可重用性來(lái)說(shuō)， 應(yīng)用軟件需要提供對(duì)敏感的數(shù)據(jù)使用后馬上覆蓋的能力， 這些敏感數(shù)據(jù)包括口令、 安全密鑰、會(huì)話密鑰或者其它的高度敏感的數(shù)據(jù)。用戶訪問(wèn)控制信息的機(jī)密性禁止在程序代碼中直接寫用戶名和口令等用戶訪問(wèn)控制信息。不要在客戶端存放重點(diǎn)保護(hù)數(shù)據(jù)由于客戶

10、端是不可信任的， 軟件不要在客戶端存放重點(diǎn)保護(hù)數(shù)據(jù)。 特別注意在使用 Cookie 時(shí)不要把客戶重要信息儲(chǔ)存在客戶端。避免內(nèi)存溢出在對(duì)緩存區(qū)填充數(shù)據(jù)時(shí)必須進(jìn)行邊界檢查，判斷是否超出分配的空間；對(duì)于數(shù)據(jù)庫(kù)查詢操作，如果查詢返回的結(jié)果較多時(shí)，必須設(shè)計(jì)成分次提?。粦?yīng)保證系統(tǒng)資源及時(shí)釋放和服務(wù)連接的及時(shí)關(guān)閉；軟件程序必須檢查每次內(nèi)存分配是否失??；輸入保護(hù)軟件必須對(duì)每次用戶輸入的信息長(zhǎng)度進(jìn)行檢查，判斷是否超出范圍。軟件必須檢查用戶輸入的內(nèi)容是一個(gè)有效的數(shù)據(jù)串，而不是其它類型的對(duì)象。檢驗(yàn)輸入數(shù)據(jù)串是否與預(yù)先定義的格式和語(yǔ)法一致，并完成適當(dāng)?shù)囊?guī)范性檢查。軟件必須對(duì)輸入信息中的特殊字符（如“>”、“&l

11、t;”等）進(jìn)行檢查、處理。軟件應(yīng)該采取措施保護(hù)會(huì)話，防止會(huì)話超時(shí)和會(huì)話劫持等漏洞。應(yīng)該采取措施對(duì)HTTP 報(bào)文頭進(jìn)行檢查，防止瀏覽器到服務(wù)端被惡意修改。對(duì)輸入的數(shù)據(jù)串進(jìn)行檢查，避免在輸入中直接注入SQL語(yǔ)句。對(duì) URL 和路徑名稱進(jìn)行檢查，確定當(dāng)中沒(méi)有包含指向惡意代碼的內(nèi)容，防止攻擊者利用 URL的擴(kuò)展進(jìn)行復(fù)位向，注入等攻擊。輸出保護(hù)軟件應(yīng)該限制返回給客戶與業(yè)務(wù)辦理無(wú)關(guān)的信息， 防止把重點(diǎn)保護(hù)數(shù)據(jù)返回給不信任的用戶，避免信息外泄。檢查輸出是否含有非必要的信息。檢查輸出是否含有不符合業(yè)務(wù)管理規(guī)定的信息。軟件還應(yīng)該有錯(cuò)誤信息保護(hù)機(jī)制， 禁止將供軟件維護(hù)人員使用的系統(tǒng)錯(cuò)誤診斷信息提交給軟件服務(wù)對(duì)象。

12、可配置數(shù)據(jù)保護(hù)限制非應(yīng)用軟件用戶訪問(wèn)可配置數(shù)據(jù)。4.4安全日志日志管理部分主要從可審計(jì)角度來(lái)考慮， 明確軟件應(yīng)記錄的行為內(nèi)容、 記錄格式以及對(duì)日志的管理辦法。安全日志的內(nèi)容安全日志禁止記錄的內(nèi)容安全日志的格式規(guī)范安安全日志的保存與歸檔4.5 部署準(zhǔn)備清理調(diào)試信息上線部署前必須將代碼中的調(diào)試信息進(jìn)行清理。 不能將帶有調(diào)試選項(xiàng)的代碼部署到生產(chǎn)系統(tǒng)中。清理 WEB源代碼注釋上線部署前必須清理 html 等 web 程序源代碼中出現(xiàn)的與軟件設(shè)計(jì)、 Web 服務(wù)器環(huán)境、文件系統(tǒng)結(jié)構(gòu)相關(guān)的所有的參考和注釋；這些信息包括但不限于：（ 1）目錄結(jié)構(gòu)；（ 2） Web 根目錄的位置；（ 3）調(diào)試信息；（ 4）

13、Cookie 結(jié)構(gòu)；（ 5）開(kāi)發(fā)中涉及到的問(wèn)題；（ 6）開(kāi)發(fā)者的姓名、 email 地址、電話號(hào)碼等；清理不需要的代碼上線部署前必須清理軟件程序代碼中不需要的代碼和那些不能完成任何功能的代碼。網(wǎng)絡(luò)服務(wù)管理服務(wù)器必須對(duì)提供的服務(wù)端口進(jìn)行控制。 要求在需求分析中明確說(shuō)明本系統(tǒng)必須開(kāi)放的網(wǎng)絡(luò)服務(wù)。在實(shí)際運(yùn)行環(huán)境中必須嚴(yán)格按照需求中的要求實(shí)施、 部署。4.6開(kāi)發(fā)環(huán)境管理開(kāi)發(fā)環(huán)境的軟件版本控制及變更開(kāi)發(fā)環(huán)境中使用的軟件工具必須有版本控制：（ 1）在安全需求中要求考慮開(kāi)發(fā)環(huán)境變更對(duì)軟件開(kāi)發(fā)的影響。開(kāi)發(fā)環(huán)境變更后視變更情況對(duì)已發(fā)布的軟件版本重新測(cè)試。（ 2）軟件開(kāi)發(fā)所使用的操作系統(tǒng)、通信軟件、數(shù)據(jù)庫(kù)等必須是

14、正式版本軟件。開(kāi)發(fā)環(huán)境安全管理軟件防護(hù)開(kāi)發(fā)環(huán)境中的開(kāi)發(fā)用機(jī)必須安裝中國(guó)建設(shè)銀行要求的相關(guān)安全管理軟件。 Windows 平臺(tái)的開(kāi)發(fā)用機(jī)要求及時(shí)進(jìn)行系統(tǒng)及中間件補(bǔ)丁升級(jí)和漏洞修復(fù)。 開(kāi)發(fā)用機(jī)必須安裝中國(guó)建設(shè)銀行規(guī)定的防病毒軟件，并保持升級(jí)至最新的病毒定義碼，及時(shí)增補(bǔ)安全補(bǔ)丁程序。第三方交付物的安全使用第三方交付物使用前必須進(jìn)行安全掃描， 利用軟件安全測(cè)試工具等方法檢查第三方交付物是否存在安全隱患。 在確認(rèn)不存在病毒、 安全漏洞、 可疑源碼等安全問(wèn)題后，方可投入使用。開(kāi)發(fā)環(huán)境用戶權(quán)限管理應(yīng)該加強(qiáng)對(duì)開(kāi)發(fā)環(huán)境用戶權(quán)限的限制， 禁止在開(kāi)發(fā)環(huán)境使用超級(jí)用戶或者其它特權(quán)用戶進(jìn)行軟件開(kāi)發(fā)。運(yùn)行環(huán)境的完整性保護(hù)

15、軟件必須對(duì)運(yùn)行環(huán)境進(jìn)行完整性保護(hù)。 軟件程序不能篡改或被利用來(lái)改變軟件所運(yùn)行的環(huán)境或平臺(tái)中任何安全配置、 安全文件和安全程序。 具體包括但不限于：安全審計(jì)日志、監(jiān)控記錄、安全程序、訪問(wèn)控制策略、地址或服務(wù)列表、中間件等。其它軟件資源的完整性軟件必須對(duì)其它軟件資源進(jìn)行完整性保護(hù)。 要求軟件程序在未經(jīng)授權(quán)的條件下，不能修改任何其它系統(tǒng)的文件、程序、數(shù)據(jù)。5 運(yùn)行維護(hù)需求（參照如下內(nèi)容裁剪后進(jìn)行相應(yīng)說(shuō)明）5.1 可操作性系統(tǒng)須具有可維護(hù)性，提供系統(tǒng)維護(hù)的功能界面，系統(tǒng)應(yīng)該具有運(yùn)行狀態(tài)監(jiān)控（系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)）功能。應(yīng)包括應(yīng)用軟件參數(shù)配置維護(hù)、應(yīng)用通訊系統(tǒng)參數(shù)配置維護(hù)、應(yīng)用系統(tǒng)的啟 /停操作、非正常數(shù)據(jù)修改、運(yùn)行環(huán)境完整性檢查和應(yīng)用日志的管理等。系統(tǒng)需提供終止問(wèn)題交易等故障隔離的手段和功能，有效防止故障范圍擴(kuò)大。數(shù)據(jù)維護(hù)功能應(yīng)具有清晰、簡(jiǎn)單的人機(jī)交互界面，并能對(duì)數(shù)據(jù)維護(hù)過(guò)程進(jìn)行安全審計(jì)。5.2 數(shù)據(jù)備份與清理數(shù)據(jù)備份內(nèi)容包括：數(shù)據(jù)庫(kù)、邏輯日志、運(yùn)行日志、錯(cuò)誤日志、應(yīng)用系統(tǒng)技術(shù)參數(shù)、應(yīng)用數(shù)據(jù)文本等。有日常備份，日終備份或定期備份功能數(shù)據(jù)清理：提供對(duì)數(shù)據(jù)（包括數(shù)據(jù)庫(kù)歷史表、臨時(shí)表、日志文件等）的清理功能，根據(jù)不同的數(shù)據(jù)清理原則設(shè)計(jì)相應(yīng)合理的清理策