T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu BaĢkanlığı DAMACANA TAKĠP SĠSTEMĠ PROJESĠ DAMACANA ĠMHA TAKĠP YAZILIMI GEREKLER DOKÜMANI Yayın No : 0.2 Yayın Tarihi : 27.10.2014 THSK Çevre Sağlığı Daire Bşk. Sağlık Mahallesi Hıfzıssıhha Kampüsü E Blok Kat 3 Sıhhıye/Çankaya, Ankara 06100 Tel: (0312) 565 53 37, Faks: (0312) 565 52 28 www.cevresagligi.thsk.saglik.gov.tr [email protected] T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 Bu sayfa bilerek boş bırakılmıştır. 2 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 DeğiĢiklik Kayıtları Yayın No Yayın Tarihi Bölüm 0.1 24.09.2014 Genel İlk Taslak 0.2 27.10.2014 Genel Düzeltilmiş Taslak Yapılan DeğiĢiklik 3 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 Bu sayfa bilerek boş bırakılmıştır. 4 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 Ġçindekiler DeğiĢiklik Kayıtları ................................................................................................. 3 ġEKĠLLER ............................................................................................................. 5 1. GiriĢ ............................................................................................................. 7 1.1 Kapsam ......................................................................................................... 7 1.2 Tanımlar ....................................................................................................... 7 1.3 Kısaltmalar .................................................................................................... 7 2. Referans Dokümanlar .................................................................................. 7 2.1 Uyulması Zorunlu Referanslar ......................................................................... 7 2.2 Bilgilendirme Amaçlı Referanslar .................................................................... 8 3. Gerekler ....................................................................................................... 9 3.1 İşlevsel Gerekler ............................................................................................ 9 3.2 Güvenlik Gerekleri ....................................................................................... 11 3.3 Donanım Kaynak Gerekleri ........................................................................... 13 3.4 Çevresel Gerekler......................................................................................... 13 3.5 Dokümantasyon Gerekleri ............................................................................. 13 3.6 Eğitimle İlgili Gerekler ................................................................................. 14 3.7 Kontrol ve Muayene Kuralları ....................................................................... 14 ġEKĠLLER Şekil 1: Tek Okuyuculu İmha Takip İstasyonu ........................................................................ 9 Şekil 2: Çok Okuyuculu İmha Takip İstasyonu ...................................................................... 10 5 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 Bu sayfa bilerek boş bırakılmıştır. 6 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı 1. Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 GiriĢ 1.1 Kapsam Bu şartname, Damacana Kontrol Sistemi [DTSITD] Projesi kapsamında kullanılacak Damacana İmha Takip Yazılım’ına ait gerekleri tanımlamaktadır. 1.2 Tanımlar YÜKLENĠCĠ DTS Merkezi Okuma Cihazı DTS Merkezi Yazılım Tanımlanan gerekleri yerine getirmek ile yükümlü firma/firmalar. Damacana Takip Sistemine ait tüm yönetim gerçekleştiği ve verilerin güvenli olarak saklandığı yer. Yönetimi ve koruması THSK ait olan merkezdir. 2D kare kod, RFID okuma cihazı DTS Merkezinden bulunan tüm veri akışlarının yapılıp depolandığı yazılımdır. 1.3 Kısaltmalar BĠLGEM D-Kimlik DSB DTS DTSM RFID 2D THSK 2. Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi Damacana Kimlik Daha Sonra Belirlenecek Damacana Takip Sistemi Damacana Takip Sistemi Merkezi Radyo Frekanslı Kimlik Tanımlama (ing. Radio Frequency Identification) ing. Two Dimension T.C. Sağlık Bakanlığı Türkiye Halk Sağlığı Kurumu Referans Dokümanlar 2.1 Uyulması Zorunlu Referanslar [İmhaTakipHabServ] [ÜreTaYazHabServ] [DataMatrix] Damacana İmha Takip Yazılımı Haberleşme Servisi Tanım Dokümanı Damacana Üretim Takip Yazılımı Haberleşme Servisi Tanım Dokümanı ISO/IEC 16022:2006 Information Technology Automatic Identification and Data Capture Techniques-Data Matrix, http://www.iso.org/iso/catalogue_detail.htm?csnumber=44230 [RFC 5246] The Transport Layer Security (TLS) Protocol Version, http://tools.ietf.org/html/rfc5246 [RFC 5746] Transport Layer Security (TLS) Renegotiation Indication Extension, http://tools.ietf.org/html/rfc5746 Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS), http://tools.ietf.org/html/rfc4492 [RFC 4492] 7 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı [RFC 5289] Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM), http://tools.ietf.org/html/rfc5289 [RFIDStandart] ISO/IEC 18000 6C (EPCglobal's UHF Gen 2 air-interface protocol), http://www.iso.org/iso/catalogue_detail.htm?csnumber=46149 [LLRP] Low Level Reader Protocol (LLRP) Standard, www.gs1.org/gsmp/kc/epcglobal/llrp [ISO/IEC 25051] Systems and software Quality Requirements and Evaluation (SQuaRE) http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=61579 [OWASP] Open Web Application Security Project, www.owasp.org [CWE/SANS] CWE - Common Weakness Enumeration , http://cwe.mitre.org/top25/ 2.2 Bilgilendirme Amaçlı Referanslar [DTSITD] Damacana Takip Sistemi İhtiyaç Tanımlama Dokümanı 8 / 14 Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı 3. Gerekler 3.1 ĠĢlevsel Gerekler 3.1.1 Genel Gerekler 3.1.1.1 Yazılım, damacana imha takip istasyonu okuma cihazından gelen d_kimlik bilgisini okuyacak, bu damacanaya ait imha bilgilerini DTSM yazılımına gönderecektir. 3.1.1.2 D-kimlik_no, damacana üzerinde bulunan RFID yada 2D kare kod üzerinden okunacaktır.1 3.1.1.3 Yazılım tek okuyuculu imha takip istasyonu için kullanılabilecektir. USB / RS-232/ kablosuz Okuma Sensörü İmha Takip Yazılımı İmha Takip Yazılımı Haberleşme Servisi DTS Merkezi Yazılımı İmha Takip İstasyonu Şekil 1: Tek Okuyuculu İmha Takip İstasyonu 1 Pilot uygulama sonunda RFID kullanımı ön görülmez ise bu gerekler dokümanındaki RFID ile ilgili maddeler geçersiz olacaktır. 9 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 3.1.1.4 Yazılım birden fazla okuyuculu imha takip istasyonu için kullanılabilecektir. TCP/IPEthernet Okuma Sensörü İmha Takip Yazılımı Haberleşme Servisi İmha Takip Yazılımı DTS Merkezi Yazılımı Okuma Sensörü İmha Takip İstasyonu Şekil 2: Çok Okuyuculu İmha Takip İstasyonu 10 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 3.1.1.5 Yazılım, iletişim kesintilerine karşı en az son altı aylık verileri saklama kapasitesinde olacaktır. 3.1.1.6 Yazılım, gerçek zaman saati ve tarih bilgisine sahip olacaktır. 3.1.1.6.1 3.1.2 Yazılım, DTSM zamanı ile eşzamanlı olacaktır. . Ġmha Takibi 3.1.2.1 İmha takip istasyonu okuma cihazından d-kimlik_no alındığında, imha güncelleme mesajı oluşturularak DTS Merkezi yazılıma yollanacaktır. 3.1.2.2 İmha takip güncelleme mesajı, d-kimlik_no bilgisinin 2D/RFID okuyucudan alınmasının ardından DTS Merkezi yazılımına geciktirilmeden yollanacaktır. 3.1.2.3 İmha güncelleme mesajı, damacana kimlik bilgisini ve imha zamanı bilgisini içerecektir. 3.1.2.4 Yazılım, DTS Merkezi Yazılımı ile Damacana İmha Yazılımı Haberleşme Servisi Tanımlama Dokümanında anlatıldığı gibi haberleşecektir [İmhaTakipHabServ]. 3.1.3 Yönetim ĠĢlevi 3.1.3.1 Yazılım konfigurasyon bilgilerinin girilmesini, ilklendirilmelerin yapılmasını, tutulan kayıtlara erişimi sağlayacaktır. 3.1.3.1.1 DTS Merkezi yazılımından 4xx mesajları alındığında sesli uyarı üretilecek, mesajlar kaydedilecektir. Bu kayıtlara erişim ve istenilen kayıtların yazdırılması sağlanacaktır. 3.1.3.2 Yönetim işlevine erişim kullanıcı adı/ şifre korumalı olacaktır. 3.1.3.3 Yönetim işlevi için yönetici ve kullanıcıdan oluşan iki rol tanımlanacaktır. 3.1.3.3.1 Yönetici, kullanıcı haklarına ek olarak kullanıcı adı ve şifresini yönetecektir. 3.2 Güvenlik Gerekleri 3.2.1 İmha takip yazılımı ile DTSM arasındaki haberleşmede aşağıda özellikleri belirtilen TLS protokolü kullanılacaktır. 3.2.1.1 Yazılım, TLS v1.2’yi (veya daha sonraki güncel sürümleri) kapsayacaktır. Farklılıklar özellikle belirtilmedikçe [RFC 5246]’ da tanımlanan ve bazı iyileştirmeleri içeren [RFC 5746]’ da anlatılan yapı kullanılacaktır. Kısıtlamalar aşağıda verilmiştir. 3.2.1.1.1 TLS el sıkışma protokolünde, “çift taraflı sertifika tabanlı kimlik doğrulama” yapısı kullanılacaktır. Hem DTSM’de hem de İmha Takip Yazılımında sertifikalar olacak ve bu sertifikalar vasıtası ile el sıkışma protokolündeki kimlik doğrulama işlemi yapılacaktır. 3.2.1.1.2 gömülecektir. 3.2.1.1.3 DTSM’nin TLS sertifikasını yayımlayan kurumun sertifikası İmha takip yazılımına Aşağıdaki şifre takımı (ciphersuit) desteklenecektir: CipherSuite TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 ={ 0x00,0x6B }. 11 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 Not: Eliptik eğri tabanlı sertifika kullanımlarında [RFC 4492] ve [RFC 5289]’da belirtilen aşağıdaki algoritma takımları da desteklenebilecektir. CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ={0xC0,0x2B}; CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ={0xC0,0x2C}. 12 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı 3.2.1.1.4 Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 “Session Resumption” olmayacaktır. 3.2.2 Yazılım, [ISO/IEC 25051] standardına uygun olarak gerçekleştirilecektir. 3.2.3 Yazılım, [OWASP] top ten ve [CWE/SANS] top 25 kriterlerine uygun olarak geliştirilmiş olacaktır. 3.3 Donanım Kaynak Gerekleri 3.3.1 Yazılım, rafta hazır ürün donanım platformu üzerinde koşacaktır. 3.3.2 Yazılımın, üzerinde koşacağı donanım aracılığı ile bağlanacağı okuma cihazı, 2D okuyucu olacaktır. 3.3.3 Yazılım, Data Matrix ECC 200 [DataMatrix] standardında 2D okuyucuyu ile kullanılacaktır. 3.3.4 Yazılım, sabit 2D okuyucular ile kullanılabilecektir. 3.3.5 Yazılım, taşınabilir (handheld) 2D okuyucular ile kullanılabilecektir. 3.3.6 Yazılım, kablosuz 2D okuyucular ile birlikte kullanılabilecektir. 3.3.7 Yazılımın, üzerinde koşacağı donanım aracılığı ile bağlanacağı okuma cihazı, [RFIDStandart] okuyucu olacaktır. 3.3.8 RFID okuyucu ile [LLRP v1.0.1 ] ile haberleşecektir. 3.4 Çevresel Gerekler 3.4.1 Donanım Platformu 3.4.1.1 0°C +60°C sıcaklık aralığında çalışabilir olacaktır. 3.4.1.2 220 ± %10 (ikiyüzyirmi taksim yüzon artı eksi yüzde on ) VAC gerilim ve 47-63 Hz (kırkyedi ile altmışüç Hertz) frekans aralığında tek fazlı şebeke gerilimi ile çalışacaktır. 3.4.1.3 Bağıl nem oranı 3.4.1.3.1 DSB 3.4.1.4 Titreşim 3.4.1.4.1 IEC 60068-2-6 [60068-2-6] ile uyumlu olacaktır. 3.5 Dokümantasyon Gerekleri 3.5.1 Kullanıcı el kitabı yazılımla birlikte teslim edilecektir. 3.5.2 Yazılımın üzerinde koşacağı donanım özellikleri yazılım ile birlikte teslim edilecektir. 13 / 14 T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı Damacana Takip Sistemi Projesi Damacana Ġmha Takip Yazılımı Gerekler Dokümanı V.0.2 3.6 Eğitimle Ġlgili Gerekler 3.6.1 DSB 3.7 Kontrol ve Muayene Kuralları 3.7.1 3.7.1.1 Genel Kabul testleri THSK tarafından belirlenecek bir heyet tarafından yapılacaktır. 3.7.1.2 Kabul test dokümanı, yapılacak ilk kabul testinden önce THSK’ya sunulacak, gerekli görülen ilave ve değişikliklerden sonra kabul testleri için referans doküman olarak kullanılacaktır. 3.7.1.3 Yazılım güvenlik testleri bağımsız bir test merkezine yaptırılıp test sonuçları kabul test dokümanları ile birlikte TÜBİTAK BİLGEM’e teslim edilecektir. 3.7.1.4 Kabul testleri için gerekli test ve ölçü aletleri ve gerekli tüm harcamalar üretici tarafından karşılanacaktır. 3.7.1.5 Kabul testleri esnasındaki tüm masraflar üretici tarafından karşılanacaktır. 14 / 14