xx项目---技术需求说明书.doc

项目编号:KF2016001
XX项目
业务需求说明书

XX银行XX分行
XX项目组
2016年5月
修订文档历史记录
编号
版本号
修订内容简述
修订日期
作者
审核
本文档中所包含的信息属于机密信息,如无XX公司的书面许可,任何人都无权复制或利用。
目录
1 引言 5
目的 5
项目背景及目标 5
业务术语 5
参考资料 5
2 业务系统的总体描述 5
系统描述 5
与其它业务系统关系 5
3 性能需求 5
4 安全需求 6
访问控制 6
用户管理 6
用户认证 6
用户授权 6
会话控制 6
数据保护 7
重点保护数据 7
数据完整性 7
加密技术及服务 7
密钥管理 7
编码安全 7
设计和编码要求 8
保护机密性要求 9
安全日志 11
安全日志的内容 11
安全日志禁止记录的内容 11
安全日志的格式规范 11
安安全日志的保存与归档 11
部署准备 11
清理调试信息 11
清理WEB源代码注释 11
清理不需要的代码 12
网络服务管理 12
开发环境管理 12
开发环境的软件版本控制及变更 12
开发环境安全管理软件防护 12
第三方交付物的安全使用 12
开发环境用户权限管理 12
运行环境的完整性保护 12
其它软件资源的完整性 13
5 运行维护需求 13
可操作性 13
数据备份与清理 13
日志管理 13
引言
目的
本文档用于描述系统的各项功能优化需求,旨在为项目成员详细说明项目需要完成的功能,为后续的设计和开发提供基础和依据。
项目背景及目标
项目名称:
项目提出部门:
使用部门:
项目背景及目标概述
业务术语
本文中用到的专门术语的定义。
参考资料
本文中引用的参考资料和文件。
业务系统的总体描述
系统描述
描述项目的功能,使用范围等
与其它业务系统关系
描述与其它系统业务、数据、调用等方面的关系,及其影响等
性能需求
{如系统容量,响应速度,处理能力,如交易高峰时系统吞吐量、联机交易处理时间、日终处理时间、批处理时间、数据备份和恢复时间、前后台文件传输处理时间等}
安全需求
(参照如下内容裁剪后进行相应说明)
访问控制
访问控制部分说明软件自身在用户识别和授权方面的具体要求,明确软件访问控制应具备的基本要素。
用户管理
用户必须按类型和角色分类管理,至少分成系统维护人员、业务操作员以及软件服务对象三类。
用户身份管理要求,软件应提供相应的用户身份帐户管理机制,包括提供用户身份帐户的创建、注销、冻结/解冻、修改、查询等功能。
用户认证
口令管理
软件必须对用户的口令属性(口令长度、试探次数、口令生命期)有基本要求;
软件应该提供强制用户定期更新口令机制;
软件应具备口令保护机制。
认证限制
提供限制用户的登录时间和IP地址的机制;
软件应该提供弱口令检测和警示机制。
用户授权
应定义用户访问数据授权关系,针对不同类型用户或角色分别建立最小数据访问列表,对用户访问何种数据进行明确定义和控制。
会话控制
对有关用户管理、认证和授权数据的会话进行加密保护。对于会话残留信息,必须及时清理。
数据保护
数据保护部分说明如何在对数据分类的基础上,选择适当的技术措施进行数据安全保护。
重点保护数据
根据业务安全规定,重要数据要求特别保护,该类数据的传输、存取和存储,必需采取加密措施保护,仅能通过内置的软硬件加解密模块进行管制。
需要加密保护的数据可根据数据的作用、传输的环境以及外泄可能性等方面进行考虑。需要保护第三方维护时可能接触到的数据。
数据完整性
对于互联网和外联环境,软件应考虑对传输的数据采用必要的技术来验证数据包是否被篡改。
加密技术及服务
各软件使用的加密服务应优先采用中台,各软件不应重复开发已有的加密算法。
需要重点加密保护的数据在应用层面进行传输时,应实现点到点的加密数据传输。用于两点之间信息传输加/解密的密钥,不应被非可信的第三方获悉。
密钥管理
用于数据、信息传输加/解密的密钥,必须设定有效期,不应采用固定密钥。密钥采用强口令标准。