Damacana Dağıtım Takip Yazılımı Gerekler Dokümanı

T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu BaĢkanlığı
DAMACANA TAKĠP SĠSTEMĠ PROJESĠ
DAMACANA DAĞITIM TAKĠP YAZILIMI
GEREKLER DOKÜMANI
Yayın No : 0.2
Yayın Tarihi : 27.10.2014
THSK Çevre Sağlığı Daire Bşk.
Sağlık Mahallesi Hıfzıssıhha Kampüsü E Blok Kat 3
Sıhhıye/Çankaya, Ankara 06100
Tel: (0312) 565 53 37, Faks: (0312) 565 52 28
www.cevresagligi.thsk.saglik.gov.tr
[email protected]
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
Bu sayfa bilerek boş bırakılmıştır.
2 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
DeğiĢiklik Kayıtları
Yayın
No
Yayın
Tarihi
Bölüm
0.1
24.09.2014
Genel
İlk Taslak
0.2
27.10.2014
Genel
Düzeltilmiş Taslak
Yapılan DeğiĢiklik
3 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
Bu sayfa bilerek boş bırakılmıştır.
4 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
ĠÇERĠK
DeğiĢiklik Kayıtları ............................................................................................................. 3
ġEKĠLLER .......................................................................................................................... 5
1.
GiriĢ .......................................................................................................................... 6
1.1
Kapsam ..................................................................................................................... 6
1.2
Tanımlar .................................................................................................................... 6
1.3
Kısaltmalar ................................................................................................................ 6
2.
Referans Dokümanlar ............................................................................................ 6
2.1
Uyulması Zorunlu Referanslar .................................................................................. 6
2.2
Bilgilendirme Amaçlı Referanslar ............................................................................ 7
3.
Gerekler ................................................................................................................... 7
3.1
İşlevsel Gerekler ....................................................................................................... 7
3.2
Güvenlik Gerekleri .................................................................................................... 9
3.3
Donanım Kaynak Gerekleri .................................................................................... 11
3.4
Çevresel Gerekler .................................................................................................... 12
3.5
Dokümantasyon Gerekleri ...................................................................................... 12
3.6
Eğitimle İlgili Gerekler ........................................................................................... 12
3.7
Kontrol ve Muayene Kuralları ................................................................................ 12
ġEKĠLLER
Şekil 1: Tek Okuyuculu Dağıtım Takip İstasyonu ............................................................................ 7
Şekil 2: Çok Okuyuculu Dağıtım Takip İstasyonu............................................................................. 8
5 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
1.
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
GiriĢ
1.1 Kapsam
Bu doküman, Damacana Takip Sistemi [DTSITD] Projesi kapsamında kullanılacak Damacana Dağıtım
Takip Yazılımı ait gerekleri tanımlamaktadır.
1.2 Tanımlar
Damacana Takip Sistemine ait tüm yönetim gerçekleştiği ve verilerin
güvenli olarak saklandığı yer. Yönetimi ve koruması THSK ait olan
merkezdir.
DTS Merkezi
Okuma Cihazı
DTS Merkezi Yazılım
RFID
2D barkod, RFID okuyucu.
DTS Merkezinden bulunan tüm veri akışlarının yapılıp depolandığı
yazılımdır.
Radyo Frekanslı Kimlik Tanımlama (ing. Radio Frequency Identification)
1.3 Kısaltmalar
Bkz.
D-Kimlik
DSB
DTS
DTSM
THSK
2.
Bakınız
Damacana Kimlik
Daha Sonra Belirlenecek
Damacana Takip Sistemi
Damacana Takip Sistemi Merkezi
T.C. Sağlık Bakanlığı Türkiye Halk Sağlığı Kurumu
Referans Dokümanlar
2.1 Uyulması Zorunlu Referanslar
[DamDagTaYazHabServ]
Damacana Dağıtım Takip Yazılımı Haberleşme Servisi
Tanım Dokümanı
[DataMatrix]
ISO/IEC 16022:2006 Information Technology Automatic
Identification and Data Capture Techniques-Data Matrix
[Sertifika]
Internet X.509 Public Key Infrastructure Certificate and CRL
Profile, http://www.ietf.org/rfc/rfc2459
[RFC 5246]
The Transport Layer Security (TLS) Protocol Version 1.2,
http://tools.ietf.org/html/rfc5246
[RFC 5054]
Using the Secure Remote Password (SRP) Protocol for TLS
Authentication, http://tools.ietf.org/html/rfc5054
[RFC 5746]
Transport Layer Security (TLS) Renegotiation Indication
Extension http://tools.ietf.org/html/rfc5746
[LLRP]
Low Level Reader Protocol v.1.0.1
www.gs1.org.gsmp/kc/epcglobal/llrp
6 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
[RFIDStandart]
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
ISO/IEC 18000 6C (EPCglobal's UHF Gen 2 air-interface protocol),
http://www.iso.org/iso/catalogue_detail.htm?csnumber=46149
2.2 Bilgilendirme Amaçlı Referanslar
DTS İhtiyaç Tanımlama Dokümanı
[DTSITD]
3.
Gerekler
3.1 ĠĢlevsel Gerekler
3.1.1 Genel Gerekler
3.1.1.1 Yazılım, damacana dağıtım takip istasyonu okuma cihazından gelen d-kimlik bilgisini
okuyacaktır. D-kimlik_no’lu (damacana kimlik numaralı) damacanaya ait damacana dağıtım bilgilerini
DTS Merkezi yazılımına gönderecektir.
3.1.1.2 D-kimlik_no, damacana üzerinde bulunan RFID ya da 2D kare kod üzerinden okunacaktır1.
3.1.1.3 Yazılım, tek okuyuculu dağıtım takip istasyonu için kullanılabilecektir.
USB /
TCP/IP_Ethernet/
kablosuz
Okuma
Cihazı
Dağıtım Takip Yazılımı
Haberleşme Servisi
Dağıtım
Takip
Yazılımı
DTS
Merkezi
Yazılımı
Dağıtım Takip İstasyonu
Şekil 1: Tek Okuyuculu Dağıtım Takip İstasyonu
1
Pilot uygulama sonunda RFID kullanımı ön görülmez ise bu gerekler dokümanındaki RFID ile ilgili maddeler geçersiz
olacaktır.
7 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
3.1.1.4 Yazılım, birden fazla okuyuculu dağıtım takip istasyonu için kullanılabilecektir.
TCP/IPEthernet
Okuma
Cihazı
Dağıtım Takip Yazılımı
Haberleşme Servisi
Dağıtım
Takip
Yazılımı
DTS
Merkezi
Yazılımı
Okuma
Cihazı
Dağıtım Takip İstasyonu
Şekil 2: Çok Okuyuculu Dağıtım Takip İstasyonu
3.1.1.5 Yazılım, iletişim kesintilerine karşı en az son altı aylık verileri saklama kapasitesinde olacaktır.
3.1.1.6 Yazılım, gerçek zaman saati ve tarih bilgisine sahip olacaktır.
3.1.1.7 Yazılım, DTSM zamanı ile eşzamanlı olacaktır.
3.1.2 Dağıtım Takibi
3.1.2.1 Dağıtım takip istasyonu okuma cihazından, d-kimlik_no alındığında dağıtım güncelleme mesajı
oluşturularak DTS Merkezi yazılıma yollanacaktır.
3.1.2.1.1 Dağıtım güncelleme mesajı, d-kimlik_no bilgisinin 2D /RFID okuyucudan alınması ardından
DTS Merkezi yazılımına geciktirilmeden yollanacaktır.
3.1.2.1.2 Dağıtım güncelleme mesajı, damacana kimlik bilgisini, RFID kimlik bilgisini, dağıtım
istasyonunun giriş ya da çıkış istasyonundan hangisi olduğunu, dağıtım noktası bilgisini, nakliye
durumunda (dağıtım çıkış) nakliyenin yapıldığı araç plaka bilgisini ve dağıtım zamanı bilgisini
içerecektir.
3.1.2.1.2.1
Plaka araç bilgisi ana dağıtımda kullanılacaktır. Ara dağıtımlarda isteğe bağlı olarak
kullanılacaktır.
3.1.2.1.3 Dağıtım Güncelleme mesajı, Damacana Dağıtım Takip Yazılımı Haberleşme Servisi
[DamDagTaYazHabServ] ile uyumlu olacaktır.
8 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
3.1.3 Yönetim iĢlevi
3.1.3.1
Yazılım konfigürasyon bilgilerinin girilmesini, ilklendirilmelerin yapılmasını, tutulan kayıtlara
erişimi sağlayacaktır.
3.1.3.1.1 DTS Merkezi yazılımından 4xx mesajları alındığında sesli uyarı üretilecek, mesajlar
kaydedilecektir. Bu kayıtlara erişim ve istenilen kayıtların yazdırılması sağlanacaktır.
3.1.3.2
Yönetim işlevine erişim kullanıcı adı/ şifre korumalı olacaktır.
3.1.3.3
Yönetim işlevi için yönetici ve kullanıcıdan oluşan iki rol tanımlanacaktır.
3.1.3.3.1
Yönetici, kullanıcı haklarına ek olarak kullanıcı adı ve şifresini yönetecektir.
3.2 Güvenlik Gerekleri
3.2.1 Dağıtım takip yazılımı ile DTSM arasındaki haberleşmede aşağıda özellikleri belirtilen TLS
protokolü kullanılacaktır.
3.2.1.1 Yazılım, TLS v1.2’yi (veya daha sonraki güncel versiyonları) kapsayacaktır. [RFC 5246]’ da
tanımlanan TLS v1.2 yapısı üzerine [RFC 5054]’te tanımlanan SRP-TLS (Secure Remote
Password) yapısı kullanılacaktır. TLS v1.2 protokolü [RFC 5746]’ da anlatılan iyileştirmelere
uygun olacaktır. Kısıtlamalar aşağıda verilmiştir.
3.2.1.1.1
TLS el sıkışma protokolünde, “server” tarafında bulunacak sertifika ve “client” tarafında
“kullanıcı adı ve parola” ile kimlik doğrulama işlemi yapılacaktır. Burada “server” rolünü DTSM “client”
rolünü ise Dağıtım Takip sistemi üstlenecektir.
3.2.1.2 DTSM’nin TLS sertifikasını yayımlayan kurumun sertifikası Dağıtım Takip yazılımına
gömülecektir.
3.2.1.2.1
Aşağıdaki şifre takımı (ciphersuit) desteklenecektir:
CipherSuite TLS_SRP_SHA_DSS_WITH_AES_256_CBC_SHA
9 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
3.2.1.2.2
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
“Session Resumption” olmayacaktır.
3.2.2 TLS sertifikaları X-509 standardı ile uyumlu olacaktır [Sertifika].
3.2.2.1 Her bir kullanıcıya farklı ve tekil olmak üzere bir adet kullanıcı adı idare tarafından atanacaktır.
3.2.2.2 Kullanıcı adı ve ilk giriş parolası kullanıcıya güvenli bir yoldan DTSM tarafından iletilecektir.
3.2.2.3 Kullanıcı adı olarak DTSM’deki kayıtlı ID kullanılabilecektir.
3.2.2.3.1 Sisteme bağlantı sırasında girilen Kullanıcı Adı ve Parolanın üç kez üst üste tutmaması
durumunda sistem 20 saniye bekleme süresi verecektir.
3.2.2.3.2
Parola değişimi için öncelikle TLS bağlantısı kurulumu sağlanması gerekecektir. TLS
bağlantısından sonra eski parola girilmesi daha sonra yeni parolanın iki kere girilmesi istenecektir.
3.2.2.3.2.1
Eski parolanın tutmaması veya yeni iki parolanın birbirini tutmaması durumunda parola
değişimi kabul edilmeyecektir.
3.2.2.3.2.2
verecektir.
Üç kez üst üste eski parolanın tutmaması durumunda sistem 20 saniye bekleme süresi
3.2.2.4 Parola değiştirme politikası aşağıdaki gibi olacaktır
3.2.2.4.1
Kullanıcı parolası en az 8 karakterden oluşacaktır.
3.2.2.4.2
Parola, aşağıdaki karakterler türlerinden en az üç türü içermelidir:
 Büyük harf, (örn. ABCDEF...)
 Küçük harf, (örn, abcdef ...)
 Rakam, (örn: 1234567890)
 Özel karakterler (Örn: @#$%^&*()_+|~-=\`{}[]:";'<>/.,! vb.)
10 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
3.2.2.4.3
Her yeni parola kullanılan son üç paroladan farklı olacaktır.
3.2.2.4.4
Kullanıcı parolası asgari her 6 ayda bir değiştirilmesi sağlanacaktır.
3.2.2.5 Yazılan parolanın ekranda görünmemesi veya sadece maskesi görünmesi sağlanacaktır.
3.2.2.6 Aynı parola ile birden fazla cihaz üzerinden sisteme giriş yapılmasına izin verilmeyecektir.
3.2.2.7 Kullanıcı parolaları, DTSM’deki saklandıkları ortamlarda, Özet (hash) ve Salt değerleri ile
korunacaktır. Açık halde parola bulunmayacaktır.
3.2.2.8 Bilgi kaynaklarına başarılı ve başarısız erişimlerin tarih, zaman ve erişilen kaynağın detayı ile
ilgili bilgilerinin kaydı tutulacaktır.
3.2.2.9 Kullanıcıların kimlik doğrulaması yaparak oturum açtıkları sistemlerin başından ayrıldıklarında
(sisteme parola ile giriş yapıldıktan sonra herhangi bir işlem yapılmadan sistem açık bırakılması
halinde) en geç 10 dakika sonra otomatik olarak kapanması (sistemin kilitlenmesi) sağlanacaktır.
3.2.3 Yazılım, ISO/IEC 25051 standardına [ISO/IEC 25051] uygun olarak gerçekleştirilecektir.
3.2.4 Yazılım, OWASP top ten [OWASP] ve CWE/SANS top 25 [CWE/SANS] kriterlerine uygun
olarak geliştirilmiş olacaktır.
3.3
Donanım Kaynak Gerekleri
3.3.1 Yazılım, rafta hazır ürün donanım platformu üzerinde koşacaktır.
3.3.2 Yazılımın,
olacaktır.
üzerinde koşacağı donanım aracılığı ile bağlanacağı okuma cihazı, 2D okuyucu
3.3.2.1 Yazılım, Data Matrix ECC 200 [DataMatrix] standardında 2D okuyucuyu ile kullanılacaktır.
3.3.2.2 Yazılım, sabit 2D okuyucular ile kullanılabilecektir.
3.3.2.3 Yazılım, taşınabilir (handheld) 2D okuyucular ile kullanılabilecektir.
3.3.2.4 Yazılım, kablosuz 2D okuyucular ile birlikte kullanılabilecektir.
3.3.3 Yazılımın, üzerinde koşacağı donanım aracılığı ile bağlanacağı okuma cihazı, [RFID] okuyucu
olacaktır.
3.3.3.1 Yazılım, RFID okuyucu ile LLRP v1.0.1 [LLRP] ile haberleşecektir.
11 / 12
T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
Damacana Takip Sistemi
Projesi
Damacana Dağıtım Takip
Yazılımı Gerekler Dokümanı
V.0.2
3.4 Çevresel Gerekler
3.4.1 Donanım Platformu
3.4.1.1 0°C +60°C sıcaklık aralığında çalışabilir olacaktır.
3.4.1.2 220 ± %10 (ikiyüzyirmi artı eksi yüzde on ) VAC gerilim ve 47-63 Hz (kırkyedi ile altmışüç
Hertz) frekans aralığında tek fazlı şebeke gerilimi ile çalışacaktır.
3.4.1.3 Bağıl nem oranı
3.4.1.3.1
DSB
3.4.1.4 Titreşim
3.4.1.4.1
IEC 60068-2-6 [60068-2-6] ile uyumlu olacaktır.
3.5 Dokümantasyon Gerekleri
3.5.1 Kullanıcı el kitabı sistemle birlikte teslim edilecektir.
3.5.2 Yazılımın üzerinde koşacağı donanım spesifikasyonu yazılım ile birlikte teslim edilecektir.
3.6 Eğitimle Ġlgili Gerekler
3.6.1 DSB
3.7 Kontrol ve Muayene Kuralları
3.7.1 Genel
3.7.1.1 Kabul testleri THSK tarafından belirlenecek bir heyet tarafından yapılacaktır.
3.7.1.2 Kabul test dokümanı, yapılacak ilk kabul testinden önce THSK’ya sunulacak, gerekli görülen
ilave ve değişikliklerden sonra kabul testleri için referans doküman olarak kullanılacaktır.
3.7.1.3
Yazılım güvenlik testleri bağımsız bir test merkezine yaptırılıp test sonuçları kabul test
dokümanları ile birlikte TÜBİTAK BİLGEM’e teslim edilecektir.
3.7.1.4 Kabul testleri için gerekli test ve ölçü aletleri ve gerekli tüm harcamalar üretici firma tarafından
karşılanacaktır.
3.7.1.5 Kabul testleri esnasındaki tüm masraflar üretici firmaya tarafından karşılanacaktır.
12 / 12