您的位置:360文档中心› xx项目---技术需求说明书资料

xx项目---技术需求说明书资料

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

项目编号:KF2016001

XX项目

业务需求说明书

V1.0

XX银行XX分行

XX项目组

2016年5月

修订文档历史记录

权复制或利用。

目录

1引言 (5)

1.1目的 (5)

1.2项目背景及目标 (5)

1.3业务术语 (5)

1.4参考资料 (5)

2业务系统的总体描述 (5)

2.1系统描述 (5)

2.2与其它业务系统关系 (5)

3性能需求 (5)

4安全需求 (6)

4.1访问控制 (6)

4.1.1用户管理 (6)

4.1.2用户认证 (6)

4.1.3用户授权 (6)

4.1.4会话控制 (6)

4.2数据保护 (7)

4.2.1重点保护数据 (7)

4.2.2数据完整性 (7)

4.2.3加密技术及服务 (7)

4.2.4密钥管理 (7)

4.3编码安全 (7)

4.3.1设计和编码要求 (8)

4.3.2保护机密性要求 (9)

4.4安全日志 (11)

4.4.1安全日志的内容 (11)

4.4.2安全日志禁止记录的内容 (11)

4.4.3安全日志的格式规范 (11)

4.4.4安安全日志的保存与归档 (11)

4.5部署准备 (11)

4.5.1清理调试信息 (11)

4.5.2清理WEB源代码注释 (11)

4.5.3清理不需要的代码 (12)

4.5.4网络服务管理 (12)

4.6开发环境管理 (12)

4.6.1开发环境的软件版本控制及变更 (12)

4.6.2开发环境安全管理软件防护 (12)

4.6.3第三方交付物的安全使用 (12)

4.6.4开发环境用户权限管理 (12)

4.6.5运行环境的完整性保护 (12)

4.6.6其它软件资源的完整性 (13)

5运行维护需求 (13)

5.1可操作性 (13)

5.2数据备份与清理 (13)

5.3日志管理 (13)

1引言

1.1目的

本文档用于描述系统的各项功能优化需求,旨在为项目成员详细说明项目需要完成的功能,为后续的设计和开发提供基础和依据。

1.2项目背景及目标

●项目名称:

●项目提出部门:

●使用部门:

●项目背景及目标概述

1.3业务术语

本文中用到的专门术语的定义。

1.4参考资料

本文中引用的参考资料和文件。

2业务系统的总体描述

2.1系统描述

描述项目的功能,使用范围等

2.2与其它业务系统关系

描述与其它系统业务、数据、调用等方面的关系,及其影响等

3性能需求

{如系统容量,响应速度,处理能力,如交易高峰时系统吞吐量、联机交易处理时间、日终处理时间、批处理时间、数据备份和恢复时间、前后台文件传输处理时间等}

4安全需求

(参照如下内容裁剪后进行相应说明)

4.1访问控制

访问控制部分说明软件自身在用户识别和授权方面的具体要求,明确软件访问控制应具备的基本要素。

4.1.1用户管理

用户必须按类型和角色分类管理,至少分成系统维护人员、业务操作员以及软件服务对象三类。

用户身份管理要求,软件应提供相应的用户身份帐户管理机制,包括提供用户身份帐户的创建、注销、冻结/解冻、修改、查询等功能。

4.1.2用户认证

4.1.2.1 口令管理

软件必须对用户的口令属性(口令长度、试探次数、口令生命期)有基本要求;

软件应该提供强制用户定期更新口令机制;

软件应具备口令保护机制。

4.1.2.2 认证限制

提供限制用户的登录时间和IP地址的机制;

软件应该提供弱口令检测和警示机制。

4.1.3用户授权

应定义用户访问数据授权关系,针对不同类型用户或角色分别建立最小数据访问列表,对用户访问何种数据进行明确定义和控制。

4.1.4会话控制

对有关用户管理、认证和授权数据的会话进行加密保护。对于会话残留信息,必须及时清理。

4.2数据保护

数据保护部分说明如何在对数据分类的基础上,选择适当的技术措施进行数据安全保护。

4.2.1重点保护数据

根据业务安全规定,重要数据要求特别保护,该类数据的传输、存取和存储,必需采取加密措施保护,仅能通过内置的软硬件加解密模块进行管制。

需要加密保护的数据可根据数据的作用、传输的环境以及外泄可能性等方面进行考虑。需要保护第三方维护时可能接触到的数据。

4.2.2数据完整性

对于互联网和外联环境,软件应考虑对传输的数据采用必要的技术来验证数据包是否被篡改。

4.2.3加密技术及服务

各软件使用的加密服务应优先采用中国建设银行安全加密平台,各软件不应重复开发已有的加密算法。

需要重点加密保护的数据在应用层面进行传输时,应实现点到点的加密数据传输。用于两点之间信息传输加/解密的密钥,不应被非可信的第三方获悉。

4.2.4密钥管理

用于数据、信息传输加/解密的密钥,必须设定有效期,不应采用固定密钥。密钥采用强口令标准。

对含有私钥信息的数字证书应存放在加密机、加密IC卡或者USBKey等硬件设备中,在能够保障主机系统安全的情况下,数字证书可以PKCS#12文件方式保存,并应有强口令保护。

4.3编码安全

编码安全强调何种编码行为是要严格遵守,何种编码方式具有高隐患应予禁止,进而说明如何建立一种安全的软件编码机制。使代码简单、最小化和易于修改,避免高危的服务、协议,数据和代码分离。

相关文档
最新文档