安全监督管理系统的一般性功能需求
第二部分功能需求
一、国投交通控股有限公司功能需求
(一)安健环数据分析模块
汇总各成员企业安健环管理数据,形成安健环图形报表,为管理决策提供依据。
1.安全管理概况
在首页以看板形式展示安全生产管理概况,通过信息看板,直接查看成员企业安健环管理关键信息和数据,包括实现及时了解国投交通所有企业的安全管理工作最新状况、查看各企业的分布及安全达标情况、查看某个企业安全生产概况、进入该企业的安健环信息系统,查看详细安健环管理数据等功能。
2.安健环管理数据统计
设置各类安健环数据报表,要求各成员企业定期报送信息,报送数据可向国投总部经营管理系统自动推送;根据成员企业各功能模块产生的基础数据及报表数据,进行关键数值型指标的统计以及各类报表的汇总。统计指标或报表应提供各种条件或属性查询。
3.安健环动态图表
根据安健环数据统计结果以直观的图形化和表格化方式对关键指标数据进行展示。
4.安全预警
国投交通可随时查看各成员企业的安健环管理指数和汇总后的指数集成图,预警信息系统须包含预警指标管理、预警数据采集、预警信息发布、问题整改等必要功能,可自动生成安健环管理预警指数图和安健环管理预警报告,并可通过多种形式(电子邮件、微信、短信等)进行预警发布。
(二)安全综合信息模块
1.安全理念
通过图片或文字等形式在首页展示国投交通的安健环管理理念。
2.通知公告
通过该模块下发安健环工作相关的通知公告,成员企业可查看下载,对于需要成员企业回复的通知或指示,可以要求回执。
3.重要文件
发布与安健环相关的重要文件。可根据来文单位、文号、标题等进行文件查询,成员企业可查看下载。
4.安全动态
发布与安健环相关的各项动态信息。
5.安全组织机构
5.1 安委会信息
发布安委会框架信息及成员信息,并可定期更新。
5.2安全会议
发布各项安全会议的会议纪要信息。成员企业可查看下载,可对成员企业上传的企业安全会议纪要信息进行汇总整理,并实现与国投总部经营管理系统的数据交互。
5.3安全管理人员
查看安健环管理机构设置情况、安全管理人员状态、职称、证书情况、专业类型、单位类型等。
6.安健环简报
发布安健环简报,按年月进行排序,成员企业可浏览下载。简报可搭载多种宣传媒体(图片、视频、音频等)。
7.亮点分享
展示、分享各成员企业安健环管理工作亮点,通过对亮点的分类和整理,形成安健环管理经验库。
8.荣誉展示
展示各成员企业在安健环管理领域获得的集体或个人荣誉与表彰等内容。(三)安全知识管理模块
构建统一的安全管理各类知识的共享资料库,便于各成员企业的交流和分享。
1.法律法规
留有系统接口,可与相关法律系统进行链接。
2.标准规范
将国家标准(国家、地方)、行业标准及国投交通各项安健环管理标准整理分类入库,供各成员企业查询和下载。
3.安健环管理制度
留有系统接口,可与管理制度系统进行链接。
4.安健环检查标准库
建立和维护交通板块的安健环检查表的标准库,能够对检查标准进行分类管理,对成员企业上报的检查标准进行入库审核和分享发布,各成员企业从该标准库中选择适合企业自身的检查表和检查标准,在隐患排查工作中进行利用。
5.安健环事故案例
通过数据自动采集各行业安健环事故案例信息,同时汇总各企业上传的事故案例,形成交通板块事故案例库,供各成员企业查询和下载。
6.安健环培训资料
通过自身编制和外部搜集建立培训资料库,各成员企业可将自己编制或搜集的资料经复核和修订后入库共享,供各成员企业查询和下载。
7.隐患标准库
建立和维护交通板块的隐患标准库,可根据用户要求灵活设置,所有隐患可根据隐患类型、风险等级等进行划分,对成员企业上报的隐患进行入库审核和分享发布,该库供国投交通和各成员企业共同使用。
8.危险源库
建立和维护交通板块的危险源库,该库供国投交通和各成员企业共同使用。国投交通可对各成员企业的危险源信息进行查阅和统计分析。
(四)日常安全管理模块
1.方针与目标指标
可制定总体目标、指标,进行指标分配,各指标项可与成员企业相应的功能模块关联,实时统计目标指标完成情况。可实现企业所制定的各项目标指标的督察与考核。
2.计划与总结
包括计划的录入和审批。可添加临时性工作计划,有计划提醒功能。能够统计并以图表形式显示计划的执行率情况,可跟踪计划执行情况,可以通过自动生成和人工录入等形式生成总结报告,并进行考核。
3.安全生产投入
包括费用预算、费用的投入,费用分析等模块。每月自动生成安全投入报表
和台账,对发生的相关安全生产费用进行管理。自动汇总年度安全生产实际投入,实现安全生产实际投入与年度预算的对比分析。并可与财务系统进行数据对接。
4. 隐患填报及分配
安健环检查的隐患问题可导入系统,并按照不同企业进行隐患分配,实现批量选择隐患发送至相关成员企业进行整改并提醒至相应负责人,同时可跟踪所有隐患的整改情况。
5.安全生产考核
依据公司《安全生产考核办法》和《港口企业安健环管理评价标准》形成考评标准库,实现按季度对成员企业进行在线安全生产考核功能,可分析输出季度评审报告和年度汇总结果。检查的问题可与隐患填报及分配模块对接,按照隐患整改的方式实行闭环管理。
二、各成员企业基本功能需求
(一)安全基础管理模块
1. 方针与目标指标
通过该模块可制定总体目标、指标,进行指标分配,各指标项可与相应的功能模块关联,实时统计目标指标完成情况。可实现企业所制定的各项目标指标的督察与考核。
2. 计划与总结
包括企业和部门等多个层级的计划可以用表格等条理化形式录入和审批。可添加临时性工作计划,有计划提醒功能。能够统计并以图表形式显示计划的执行率情况,可跟踪计划执行情况,可以通过自动生成和人工录入等形式生成总结报告,并进行考核。
3. 法律法规与标准规范
数据与国投交通系统交互,实现各成员企业的共享。
4.安健环管理制度
留有系统接口,可与管理制度系统进行链接。
5.安全组织机构
5.1 安委会信息
发布安委会框架信息及成员信息。
5.2 责任书
上传所有员工的安全责任书文件,记录各部门应签、实签和未签人数。
5.3 承诺书
上传所有员工的安全承诺书文件,记录各部门应签、实签和未签人数。
5.4 安全会议
建立安全会议纪要模板,发布各项安全会议的会议纪要信息。
5.5 安全管理人员
查看安健环管理机构设置情况、安全管理人员状态、职称、证书情况、专业类型、单位类型等。
5.6员工安全档案
查看全体员工岗位、持证上岗、教育培训、隐患排查、体检、职业健康检查、劳保用品领用、安全积分等统计信息,可与人力资源管理系统进行数据同步更新。
6. 安全生产投入
包括费用提取、预算、费用的投入,费用分析等模块。每月自动生成安全投入报表和台账,对发生的相关安全生产费用进行管理。自动汇总年度安全生产实际投入,实现安全生产实际投入与年度预算的对比分析。并可与财务系统进行数据对接。
7. 绩效评定
7.1 系统评审
依据《港口企业安健环管理评价标准》形成自评标准库,实现在线系统评审功能,可分析输出评审报告。
7.2 安全考核管理
分为员工考核和部门考核、分、子公司等层级,考核结果分月度、年度进行统计,并生成表格和报表。
(二)风险管理模块
1.风险评估
通过系统实现基准风险评估、专项风险评估、持续风险评估及风险控制措施的管理等内容。系统应集成评估标准提醒功能,并便于进行评估数据提报、审核、发布及评估信息的分类分项统计工作,能输出企业、各部门、各专业高风险的统计及明细报表。
2. 危险源管理
对企业的生产设施或场所进行危险源辨识和评估,并对危险源进行评级,最终形成危险源档案,并上传至危险源库。定期对危险源发起检查,若发现隐患发起隐患整改流程。对危险源定期发起复评,根据最新的变化情况确定其危险等级是否发生了变化。
3. 现场管理
与手持终端相结合,对高危风险作业进行作业许可管理和控制。实现对企业内警示标志设置分布的统计管理。
(三)文化建设与教育培训模块
1. 事故案例
上传企业内部、国内和当地与本企业生产特点相类似的安健环事故案例,查询和下载交通板块事故案例库中案例信息。
2. 安全积分
结合涉及个人工作的管理模块,实行对员工的积分考核,记入员工个人档案,并在年终进行积分兑换。
3. 安全教育培训
3.1 培训资料
应包括培训资料库的创建、资料分类、上传、下载、查看等功能。
3.2 培训类别
培训类别应包括三级安全教育培训、操作岗位人员教育培训、特种作业(含煤气作业)人员教育培训、对外来参观、学习等人员进行有关安全规定、可能接触到的危害及应急知识等内容的安全教育、转岗培训、复岗培训、取证培训、日常培训等,同时企业内部也可根据自身要求增加培训类型。
3.3 培训计划
应针对企业不同部门岗位的具体情况,制定相应的安全培训计划(包括企业总体安全计划、部门安全培训计划、班组安全培训计划等)
3.4 人员培训
应针对企业不同的人员,制定不同的安全教育培训模板并带有提醒功能,实现培训签到表自动生成和打印功能,包括入厂培训、转岗培训、复岗培训、取证培训、日常培训以及外来人员培训等。
3.4.1 入厂培训
主要面向新近入厂的员工。新员工进来,人力资源部门录入人员信息后,系统自动提醒培训管理人员对该人员进行公司级培训,根据该人员的部门和岗位,系统会对相应部门人员发起提醒对新进人员进行部门级安全培训和班组级安全培训。
3.4.2 转岗培训
人员发生转岗后,人力资源部门更新岗位后,选择是否进行转岗培训,如果选择需要进行培训,系统自动提醒进行转岗培训。
3.4.3 复岗培训
如果人员长时间不在岗位再复岗时,由人力资源部门确定是否需要进行复岗培训,如需复岗培训,系统自动提醒需进行复岗培训。
3.4.4 换证培训
对将到期的证件,系统提前对证件管理人员及证件所有人进行证件到期换证培训提醒,提前时间可自行设定。
3.4.5 取证培训
两种情况下需取证培训,一是证书过期,二是人员分配至必须持证上岗的岗位时,而该人员没有取得所必须的证书,系统自动提醒。
3.4.6 日常培训
根据需要发起日常培训管理。
3.4.7 外来人员培训
外来人员的培训,应包括参观人员、检查人员、业务相关人员、临时承包商人员等。
4. 在线安全考试
实现网上考试、出卷、练习、成绩排名等,并能够进行答卷保存、自动判分、成绩查询和分析等功能。
4.1账户管理
对考试人员信息进行综合管理,可选择参加考试人员,只有被选择的用户才能登陆进行考试。可设置初始化密码,用户登陆后可修改个人信息和密码。
4.2题库管理
由公共题库和个性化题库构成,实现题库分类和题型管理。题库支持单选,多选,问答,判断等类型;支持科目类型分类建立题库;题库可以设置权限,指
定人员进行管理。
4.3考试设置
根据知识点、难度、题型等条件自动出卷,定义考试名称、自动生成考生范围,或根据培训内容自动生成考试试卷。
4.4在线考试
考生可以自定义模拟试卷进行模拟考试。管理员也可以定义模拟试卷,同时支持关闭考生自定义模拟试卷功能,考试结束后系统自动得分,同时可查看答案。
4.5试卷打印
管理员从试题库中选择试题定义试卷,定义的试卷可以导出生成Word版,满足传统的考试和作业模式。生成Word试卷时,自动生成两份试卷,一份不包含答案,一份包含答案,而且Word试卷加盖密封线,直接可用。
4.6统计分析
对考生分数、参考人数、及格率等进行分析,也可以按照单位、部门、年龄、学历、职务和工作类型进行各种统计分析,另外管理员可以将成绩导出到Excel 文件中,以对成绩进行更多的统计分析。
(四)生产设备设施模块
1. 设备安全装置管理
通过系统实现对设备安全装置的日常管理功能,包括安全装置台账、检查记录、安全状态等,并可结合设备生命周期管理,进行更换预警,若企业已有设备管理系统,应可与设备管理系统交互数据。
2.设备短封管理
通过系统实现对设备关键信号或装置的短封情况的日常管理,并可跟踪相关短封设备的处理结果,定期统计分析设备短封数据,提出设备维修保养的预警信息。
3.特种设备管理
通过系统实现特种设备的登记建档、定期检验、按期维保、日常检查等工作的在线管理。相关信息应可与设备管理系统交互数据。
4. 设备动态管理
与隐患排查模块相结合,实现设备类安全隐患及问题的过程管控;实现设备安全状态的动态管理,定期统计各类设备设施的异常状态参数、维修率等数据,
提出安全预警信息,明确需重点关注的设备。若企业已有设备管理系统,应可与设备管理系统交互数据。
(五)隐患排查与治理模块
应提供对隐患按照上报、整改与复查的闭环管理,在流程中对“整改措施、责任、时限、和预案”进行严格控制管理,管理人员可以在平台中即时查询隐患的发现和治理情况,组织人员对发现的问题进行复查;系统可以输出符合要求的隐患报告单和统计报表,帮助企业对隐患排查治理的相关要求。具体需求:
1.应实现隐患分级,采取对不同等级的隐患的区别管理。对一般事故采用登记存档,重大隐患采用申报、审批和专家意见反馈以及复查的重大隐患排查治理业务流程。实现对全公司所有隐患的闭环管理;
2.应实现各分、子公司、部门、相关方单位、承包商对隐患原因、事故隐患的危害程度和整改难易分析结果,事故隐患的治理方案、隐患整改作证资料等信息的准确填报和及时上报;
3.应实现整改批复意见和整改建议的及时下达,加速信息周转效率;
4.应在整改流程中对“整改措施、责任、时限、预防措施”进行严格控制管理;
5.应建立隐患排查全企业一本动态帐,管理人中可以在平台中即时查询各种类型隐患的发现和治理工作进程情况;
6.应规范的隐患通知单打印功能。
1. 隐患标准库
与国投交通的隐患标准库对接,成员企业可根据自身实际需要定义隐患标准,需上报国投交通审核确认后入库,该库供成员企业使用和维护管理。所有隐患可根据成员企业的要求进行统计,并具有输出功能,能够生成企业所需要的Excel 或word报表。
2. 隐患填报
支持员工使用手持终端直接发起隐患填报,同时还可以在日常检查和风险评估等模块中直接发起并进行归类,且计入员工奖励积分。方便用户归类以及相关数据查询。
3. 隐患分配
可接收国投交通隐患整改信息,并对隐患进行分配。可根据隐患类型、隐患
等级、所在部门、关键字等条件,进行隐患分配,实现批量选择隐患发送至相关部门进行整改并提醒至相应负责人,同时可跟踪所有隐患的整改情况。
4. 检查标准库
与国投交通的检查标准库对接,成员企业可根据自身实际需要定义检查标准,需上报国投交通审核确认后入库,该库供成员企业使用和维护管理。并具有输出功能,能够生成企业所需要的Excel或word报表。
5. 检查发起与记录
发起检查应从检查标准库中进行选择,使检查工作标准化;应可根据组织结构和岗位设置各级检查人员的检查内容和频次,使职责明确;并建立检查模板,更好的执行检查任务;实现检查单自动生成,方便操作。检查人员可根据标准库生成检查单,现场检查后,把检查结果记录反馈至系统。发现的隐患按照危害大小,系统提供两种方式进行整改,分别为:立即整改、隐患整改通知单。
6. 整改跟踪
针对检查过程中发现需要整改的问题,可在检查单上直接发起整改通知,进行整改。问题发现者可对整改的整个过程进行跟踪,另外应有限期整改隐患预警跟踪预警功能并能随时导出的隐患整改通知单。
7. 统计分析
系统应提供安全生产管理中日常使用的分析模型,如海因里希法则、综合论、多米诺骨牌、缺陷塔模型等,也可根据用户日常使用的分析模型建模、分析。同时统计数据可上传至国投交通系统。
8. 纠正预防
根据统计结果,对可能造成事故隐患的因素发起纠正预防,及时消除隐患,各企业可共享纠正预防信息。
(六)职业健康管理模块
1. 职业卫生监测
该功能应实现系统提供检测项检测频次,自动计算出应检次数,避免出现遗漏检测某个应检监测点;系统可自动判断出检测结果,避免人为计算出错;对出现检测项目出现超标情况,提供闭环式的整改措施。
1.1 监测项目设置
应可以将企业所有职业卫生监测点对应的检测项目录入系统,并设置检测频
次和指标值。
1.2 监测登记
应定期对监测仪表上的相关数据进行抄表,形成监测记录。
1.3 超标提醒
对监测抄表中发现的超标数据应可进行提醒,以便采取相应的防护或治理措施。
2. 健康体检
可登记某批次职工体检的体检日期、体检岗位、人次、项目,体检结论,职业病处理情况,不记录具体的某个员工的体检报告,具体见纸质体检报告。
3. 劳动防护用品管理
应可定义劳动防护用品的类型;可为每个组织机构下的岗位配置发放劳动防护用品类型和发放周期;系统可自动根据发放周期和上一次发放记录给出提醒;应可根据发放标准提醒出应发放人员和发放物品,进行发放;对于小件没有发放周期的,系统可提供批量发放功能,对于缺少的劳动防护用品做出采购提醒。4. 职业健康档案
提供与职业健康管理工作相关的各种资料的上传,应包括:
企业档案:作业场所职业病危害申报档案,职业健康管理制度档案,职业健康管理实施档案,职业健康教育档案,职业健康监测档案,职业卫生三同时档案等。
个人档案:职工健康监护档案等。其中职工健康监护档案需要对员工个人进行逐个登记,具体详见当地安监局所提供的职业健康监护档案范本。
(七)相关方管理模块
1. 承包商管理
实现对承包商的信息、备案、作业风险控制、考核评估(包括对所属承包商的安全信用评价,国投交通可获取相关考核结果)等管理功能。承包商基本信息,可区分承包商风险等级和类别。
2. 项目安全
2.1 项目三同时
对建设项目安全设备设施、职业卫生“三同时”每个阶段材料以及进度进行管理,实现对项目的跟踪。
2.2 项目安全
实现对项目建议书、可行性研究、初步设计、总体开工方案、开工前安全条件确认和竣工验收等阶段进行规范管理。
(八)消防管理模块
消防重点区域场所的识别统计;现场消防器材的配备情况;消防器材设施发放、维护和检查管理,并具备提示功能;消防档案的管理;动火作业许可及监护管理。
(九)应急管理模块
1. 应急机构和队伍
企业专兼职应急救援队伍及具体成员信息登记,以便发生紧急情况时进行联系。
2. 应急预案与演练
应急预案管理包括应急预案的编制、演练计划、预案的演练、演练的评价等过程的管理。
2.1 应急预案
实现应急预案与危险源、预案类型等相关信息的对应。定期发起预案评审提示功能。
2.2 演练计划
每年制定演练计划,系统根据演练日期提前提醒,发起演练的计划。
2.3 演练评价
演练过程信息的登记和管理部门对此次演练的评价与总结。
3. 应急设施物资
根据应急预案要求对配备的应急设施、装备与物资进行登记,包括名称、存放位置、数量、使用期限。实现对物资、装备的定期检查维护功能。
(十)事故管理模块
1. 事故快报
发生事故(包含未遂事故)时,第一时间进行事故进行简要描述,并报告给相关主管人员。实现与国投总部经营管理系统的信息交互和推送功能。
2. 事故处理
完成事故快报后,将发起事故调查,原因分析以及整改措施。
3. 事故统计
针对企业发生的各类事故,按照事故类型、原因、时间等登记项目进行统计。
4.事故回顾
事故回顾记录的上传和留存功能。
(十一)环境保护模块
1.环保监测
通过系统实现环保危害因素日常监测工作,可分类、分项进行监测数据的录入、统计、分析及预警,可输出分析结果,并可通过导入数据功能,简化录入工作量。
2. 废弃物管理
通过系统实现生活、生产等类型废弃物的分类管理及检查,通过系统实现特殊废弃物的整个处理流程的在线管理。
3. 环保设施管理
通过系统实现环保设施器材的专项管理,包括设备参数性能、安全现状、日常使用及维修保养情况,若企业有相应设备管理系统,应可实现数据的交互及应用。
(十二)沟通与交流模块
1. 上级文件
实现上级文件的自动获取,管理企业内部安全动态信息。安全业务线条的文件管理,包括上级单位来文,国家相关政府机构的文件登记与传阅。能对文件的处理情况进行跟踪记录。
2. 通知公告
国投交通和企业内部发布的安全工作相关的通知公告。
3. 宣传教育
宣教材料的发布和管理。
4. 合理化建议
实现员工合理化建议提报、评审、反馈和分级管理,并对采纳的合理化建议落实过程进行跟踪。
(十三)安保系统模块
发布港口设施保安组织机构及持证人员(证书到期提醒);可上传并查看港口设
施保安评估报告、评审情况及年度核验结果;可上传港口设施保安计划(只有授权人员方可查看);可实现港口设施保安训练计划及计划执行情况;可实时显示港口设施保安级别(可按时间段查询港口设施保安级别);可实现对港口治安事件及港口保安设施检查情况的整改跟踪,可记录巡查人员巡
软件系统安全规范
一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。 2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。 2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
系统的功能性需求与非功能性需求
1. 文档介绍 1.1 文档目的 为了明确客户的基本需求,更好地完成对客户需求的了解,并量化和明晰本系统的工作量和工作进度,特编写此说明书。 1.2 文档范围 该文档包括产品售后服务系统项目的介绍、面向的用户群体、系统的功能性需求及非功能性需求。 1.3 读者对象 本手册适用于与客户进行需求的沟通与确认,及所有《产品售后服务跟踪系统》的设计开发人员。 2 系统介绍 2.1 背景 随着信息技术的日益发展,产品售后服务的信息化已成为产品售后服务跟踪系统的必然趋势。产品售后服务系统的核心部分是对客户进行回访问卷调查,以确定客户对产品的评价,服务的满意度。为了更详细的了解产品售后服务过程中各项管理业务,调研人员和最终用户进行了多次讨论,并提出了双方认可的解决方案。 2.2 系统说明 产品售后服务跟踪系统主要为公司解决售后服务管理的需求,协助回访工作人员对客户进行日常回访调查和客户管理,提高管理效率,降低运作成本,增强 企业长期竞争力
通过该系统,公司系统管理人员能实现对回访用户、客户的动态管理;系统管理人员能随时了解回访用户的回访情况;回访用户能记录客户的回访记录;3. 系统面向的用户群体 系统面向产品公司的售后服务管理员,回访用户。 3.1 用户的特征 用户大都具备以下特征: ? 有IE 使用经验 ? 了解网络 ? 了解办公自动化 3.2 用户环境 用户的计算机环境大致如下: ? Microsoft Windows XP ?Microsoft Internet Explorer 6 或更高版本 ? MS Office 办公软件 ? Outlook 或Foxmail 邮件管理 ? Microsoft Windows .NET Framework 2.0 4. 系统的功能性需求 系统包含的功能概括如下表:
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
需求分析中需求规格SRS的非功能性需求的考虑因素
需求分析中需求规格SRS的非功能性需求的考虑因素 * 功能性质量因素:正确性,健壮性,可靠性 * 非功能性质量因素:性能,易用性,清晰性,安全性,可扩展性,兼容性,可移植性正确性 * 正确性是指软件按照需求正确执行任务的能力。“正确性”的语义涵盖了“精确性”。 * 正确性无疑是第一重要的软件质量属性。 * 技术评审和测试的第一关都是检查工作成果的正确性。 * 机器不会主动欺骗人,软件运行出错通常都是人造成的,所以不要找借口埋怨机器有毛病。 健壮性 * 健壮性是指在异常情况下,软件能够正常运行的能力。 * 正确性描述软件在需求范围之内的行为,而健壮性描述软件在需求范围之外的行为。 * 开发者往往把异常情况错当成正常情况而不作处理,结果降低了健壮性。 * 用户才不管正确性与健壮性的区别,反正软件出了差错都是开发方的错。所以提高软件的健壮性也是开发者的义务。 * 健壮性有两层含义:一是容错能力,二是恢复能力。 可靠性 * 可靠性是指在一定的环境下,在给定的时间内,系统不发生故障的概率。 * 可靠性本来是硬件领域的术语。比如某个电子设备在刚开始工作时挺好的,但由于器件在工作中其物理性质会发生变化(如发热),慢慢地系统的功能或性能就会失常。所以一个从设计到生产完全正确的硬件系统,在工作中未必就是可靠的。 * 软件在运行时不会发生物理性质的变化,人们常以为如果软件的某个功能是正确的,那么它一辈子都是正确的。可是我们无法对软件进行彻底地测试,无法根除软件中潜在的错误。平时软件运行得好好的,说不准哪一天就不正常了,如有千年等一回的“千年虫”问题,司空见惯的“内存泄露”问题、“误差累积”问题等等。 * 时隐时现的错误一般都属于可靠性问题,纠错的代价很高。 性能 * 性能通常是指软件的“时间-空间”效率,而不仅是指软件的运行速度。人们总希望软件的运行速度高些,并且占用资源少些。 * 性能优化的关键工作是找出限制性能的“瓶颈”
系统需求规范模板
系统需求规范
编制:审核:批准:
目录 1.简介 (5) 1.1.系统简介 (5) 1.2.文档目的 (5) 1.3.文档范围 (5) 1.4.与其它开发任务/文档的关系 (5) 1.5.需求来源 (5) 1.6.需求编号原则 (5) 1.7.术语和缩写词 (6) 2.参考文档 (7) 3.系统定义 (8) 4.系统结构 (9) 5.功能需求规范 (10) 6.性能需求规范 (11) 7.RAM需求规范 (12) 8.系统安全目标 (13) 9.接口需求规范 (14) 10.系统应用环境 (15) 10.1.气候环境 (15) 10.2.海拔要求 (15) 10.3.防雷要求 (15) 10.4.机械环境 (15) 10.5.电气环境 (15) 10.6.非法访问的保护 (16) 10.7.更严酷的环境 (16) 11.假设及限制条件 (17)
1.简介 1.1.系统简介 提示:对系统进行简要介绍,包括系统的安全目标,安全评估的类型等。 1.2.文档目的 提示:阐明此文档的目的 系统需求规范将用户需求用规范的形式条目化列举出来,每个需求清晰、准确、具体并具备可验证性,是系统后续开发测试的基础。系统需求规范作为用户需求与项目人员沟通的文件,针对的对象主要是项目开发人员、测试人员。 这里的系统需求规范和系统定义阶段产生的系统定义文档比较类似,只是在定义阶段,需求可能是以描述形式体现用户的需求,而不是规范的形式。 1.3.文档范围 1.4.与其它开发任务/文档的关系 提示:如安全计划和设计文档的关系 1.5.需求来源 提示:说明需求规范的来源/产生方式(标准、规范、Subsets、环境、其他相关系统、接口、平台等)及相关证据,可以用图来说明。 1.6.需求编号原则 提示:给出需求编号的原则和定义。文档下面描述的所有需求都要按照这个原则给出编号。 {需求标识方法,如序列化编号、层次化编号、层次化文本标签等方法。应确
信息化系统安全运行管理制度
信息化系统安全运行管理制度 撰写人:___________ 部门:___________
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。 第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第 2 页共 2 页
第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第 2 页共 2 页
关于非功能性需求说明书
非功能性需求 ) 什么是非功能性需求 非功能性需求是这样一种需求,它解决“如何使这个系统能在实际环境中运行”。 ) 重要吗? 在设计解决方案的过程中满足功能性需求当然是很重要的。但是,如果没有考虑非功能性需求,那么这个解决方案则很难取得实效,因为用户可能难以甚至无法使用系统的功能。 很多非功能需求一般会在底层的基础技术平台去仔细设计和实现。 ) 非功能性需求要考虑那些方面 非功能性的特性一般有这些: 可靠性 只显示系统可以做某些事情是不够的。如果一个系统不能可靠地运行(例如,在加载时,或者在系统故障时,等等),则它就不能满足客户的需要。 有一些问题应该自问一下: * 即使硬件出现故障,系统也可以可靠运行吗? * 复制和故障转移方案是什么? * 需要手动干预,还是系统可以自动进行故障转移? * 实现可靠性会对性能造成负面影响吗? * 实现可靠性的成本有多高? 可靠性需要考虑的一些具体方面是: 安全性:假设攻击者就在外面。如何知道系统用户就是他们所声称的,并只让他们访问经过授权的功能?如何保护我的系统不受攻击?考虑到网络攻击、机器攻击,甚至从您自己的系统内部发起的攻击。 事务性:如何设计系统来保存工作单元的属性?如果在设计中涉及多个独立的子系统(服务和就是这种情况),则这一点就显得特别重要。不要假设始终可以进行两阶段提交 ( )。 可用性 如果用户不能够从他们可用的渠道(例如)方便地访问您的产品,那么它的好处何在呢?这有时是作为功能性的一部分一起考虑(或者应该在理想的环境下)的,但是常常被忽视,以致于整个项目处于危险之中。这里需要考虑的一些问题是: * 您是否为用户带来不适当的负担(例如,需要特殊的浏览器版本)? * 系统是否根据模型视图控制器 () 体系结构设计以使多用户界面成为可能?如果是这样,如何将它们绑定在一起? * 是否界面本来就有状态而功能无状态(反之亦然)? 有效性 如果没有有效地使用资源(例如处理器、内存和磁盘空间),功能性、可靠性和可用性再好的系统最后都会失败。我们经常发现将有效性划分成两个子范围是很有用的,这两个子范围都应该加
绩效管理信息化需求分析实现说明书
绩效管理信息化需求分析实现说明书 一、前言 就公司目前绩效考核实际情况而言,人力行政部改变了之前的360度考核需求,仅要求绩效目标的考核方式,同时要求减少人力行政部相关操作人员以及领导下达的工作量,通过对HR系统多种方法测试尝试,暂已能满足需求。 二、需求描述 提交人: 绩效管理流程 绩效指标库的建立:建立面向全员的统一指标库。 指标类型具体指标权重 职业素养组织纪律、工作态度、 团队合作 20 工作绩效岗位重点工作目标80 重大缺陷安全事故、外部投诉、 违纪违章能否用公式设计成一 票否决 考核周期:月度考核,以自然月进行周期设置(29日——次月4日)。 评估方式:目标评估。要统一控制绩效目标类型,不在考核方案统一下下达绩效目标。考核流程: 28日前人力专员统一建立下月度考核方 案 29-次月3日全体员工根据上月提交目 标进行打分并按照工作计划填写提交下 月度目标至直接上级 次月5日人力专员手动启动考核周期, 直接上级给定下级上月绩效得分并审核 下达下月目标
三、系统实施 实施方案 1)设置绩效指标库 根据绩效指标库的建立需求:公式“一票否决” 系统设置需要开发公式,并在后台写死逻辑。经沟通了解,重大事故一票否决情况很少, 同时考虑到考核方案执行的时间性及扩展 性,与人力协商后决定:小概率事件不计入系统实现。进入绩效管理页签: 创建指标类型: 创建指标(可在各个部门指标类型下建立对应指标) 表:绩效指标库 2)设置考核周期 考核周期由人力专员自行设置,进入考核周期页签 创建考核周期 备注:考核周期被方案引用后不可新建,删除,修改。 3)设置考核方案进入绩效考核方案页签 创建方案 设定考核评估期 创建完成后进入新建的考核方案做详细设置 设置评估对象: 在此建议添加职员评估对象 目标评估方式设置点击创建 创建考核周期 评估方式可多选,按需求分配权重,在考核结束完成,会根据该权重得到周期总分。目前仅 仅需勾选目标评估 组织单元如果选定部门,即评价自定义评价人职能为部门内部人员。若为公司则可选择公司所有员工。 绩效评估表可根据需 求配置 添加职员评估
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
信息化系统安全运行管理制度.doc
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
信息化系统安全运维服务方案设计
信息化系统安全运维服务 方案设计 The pony was revised in January 2021
信息化系统 安全运维服务方案
目录 1概述......................................... 错误!未定义书签。 服务范围和服务内容......................... 错误!未定义书签。 服务目标................................... 错误!未定义书签。2系统现状..................................... 错误!未定义书签。 网络系统................................... 错误!未定义书签。 设备清单................................... 错误!未定义书签。 应用系统................................... 错误!未定义书签。3服务方案..................................... 错误!未定义书签。 系统日常维护............................... 错误!未定义书签。 信息系统安全服务........................... 错误!未定义书签。 系统设备维修及保养服务..................... 错误!未定义书签。 软件系统升级及维保服务..................... 错误!未定义书签。4服务要求..................................... 错误!未定义书签。 基本要求................................... 错误!未定义书签。
【推荐】软件系统安全规范
软件系统安全规范 一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。
2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机
信息化系统安全运行管理制度(精编版)
信息化系统安全运行管理制度 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
信息化系统安全运行管理制度 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 第一章:总则 第一条为确保公司信息化系统的正常运行, 有效地保护信息资源, 最大程度地防范风险, 保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规, 结合公司实际, 制订本规定。 第二条本规定所称公司信息化系统, 是指公司所使用的集团管理软件所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。 第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统 管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理;
4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源, 及时处理对系统运行过程中的出现的各种异常情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询, 处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统, 能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表, 并定期上报给公司系统管理员, 由公司系统管理员汇编成册, 定期下发给所有操作人员, 以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密, 定期更换密码;
软件开发-非功能性需求——性能需求-嘉为科技
释放办公激情,效能触手可及嘉为IT咨询培训0 非功能性需求——性能需求分析 软件的非功能性需求是衡量软件质量很重要的一个因素,同时也决定了功能相似的条件下不同软件的价格。比如,一个同时能处理一万用户请求的网站的技术要求和一个没考虑过这方面问题的网站相比就有天壤之别。然而实际工作中,非功能性需求却常常被忽略,或者制定得非常随意。那么非功能性需求应该怎么制定,又如何验收呢? 下面我们以常见的非功能性需求——性能需求为例,介绍一下非功能性需求应该怎么制定和验证。 在许多网站开发项目中我们都会在合同或者招标说明中看到“本网站必须能同时满足多少用户的使用”,这就是一个针对性能的非功能性需求,不过这个需求定义的非常不专业。 首先,对于一个服务器系统来说同时在线的用户,或者并发用户数并不是一个清晰的概念。在线用户或者更具体的——和服务器保持连接的用户,如果不进行操作,那么除了占用一点服务器内存外没有任何开销。用户只有执行了向服务器发起请求在操作,服务器才需要消耗CPU、硬盘、网络和更多的内存资源来响应这些请求。因此性能指标应该使用每秒请求数来标定。虽然每秒请求数通常和并发用户数成正比,但由于应用不同、用户使用方式不同等原因。即使是同类型网站并发用户数和每秒请求数的比例也有很大的差别。具体的数字是多少就需要进一步的需求分析才能确定。 其次,这个需求没有限定系统响应时间。响应时间是性能需求中另一个重要指标。正确的性能需求是通常以一定平均响应时间条件下服务器的极限指标来描述的。 好了,我们知道制定性能需求需要每秒请求数和响应时间两个数值。那么这两个数值如何制定才合理呢?需要注意的是性能指标不是越高越好,高性能通常需要复杂的实现技术、更高的部署成本和更多的维护工时。因此制定性能需求绝对不能拍脑袋。 做性能需求分析通常有这么几个步骤: 1、确定参照系统 2、测量参照系统的性能指标 3、预测目标系统 4、计算目标系统性能指标 参照系统是一个和目标系统类似并且已经存在的系统。通常将要被目标系统替换的老系统就是一个很好的参照系统。需要注意的是如果新系统的业务或者技术基础变化很大,那么旧系统未必是一个好的参照系统。 测量参照系统的性能指标通常比较容易,比如对于IIS网站来说,打开日志记录至少一个业务周期(比如一周)或者几个典型时段的数据,然后可以使用各种专业工具进行分析。从这些日志我们很容易得到所谓的用户数和每秒请求数的关系,以及系统响应时间等参数。简单的统计有时甚至通过自行编写的程序来完成。 有了基本的参照数据,那么接下来拍脑袋决定的目标系统预测也会相对靠谱。最后计算目标系统的指标就是一些普通的算术问题了。
网上银行系统信息安全通用规范word版
附件 网上银行系统信息安全通用规范 (试行) 中国人民银行
目录 1使用范围和要求 (4) 2规范性引用文件 (4) 3术语和定义 (5) 4符号和缩略语 (6) 5网上银行系统概述 (6) 5.1系统标识 (6) 5.2系统定义 (7) 5.3系统描述 (7) 5.4安全域 (8) 6安全规范 (9) 6.1安全技术规范 (9) 6.2安全管理规范 (22) 6.3业务运作安全规范 (26) 附1 基本的网络防护架构参考图 (30) 附2 增强的网络防护架构参考图 (31)
前言 1 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范 GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求 GB/T 22080-2008 信息技术安全技术信息安全管理体系要求 GB/T 22081-2008 信息技术安全技术信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号) 《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)
《信息化安全保密管理制度》
信息安全管理制度 一、信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;
2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告; 5、涉及国家秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行; 6、涉及国家秘密信息,未经信息安全分管领导批准不得在网络上发布和明码传输; 7、涉密文件不可放置个人计算机中,非涉密电子邮件的收发也要实行病毒查杀。 第四条信息加密 1、涉及国家秘密的信息,其电子文档资料应当在涉密介质中加密单独存储; 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储; 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储;; 4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路
软件功能需求和非功能需求
*功能需求和非功能需求* 软件产品的需求可以分为功能性需求和非功能性需求,其中非功能性需求是常常被轻视,甚至被忽视的一个重要方面。其实,软件产品非功能性定义不仅决定产品的质量,还在很大程度上影响产品的功能需求定义。如果事先缺乏很好的非功能性需求定义,结果往往是使产品在非功能性需求面前捉襟见肘,甚至淹没功能性需求给用户带来的价值。 所谓非功能性需求,是指软件产品为满足用户业务需求而必须具有且除功能需求以外的特性。软件产品的非功能性需求包括系统的性能、可靠性、可维护性、可扩充性和对技术和对业务的适应性等。下面对其中的某些指标加以说明。 1.系统的完整性 系统的完整性指为完成业务需求和系统正常运行本身要求而必须具有的功能,这些功能往往是用户不能提出的,典型的功能包括联机帮助、数据管理、用户管理、软件发布管理和在线升级等。 并不是所有的系统都必须包括以上所有的功能,而是可以根据产品的使用环境和企业的产品发展决策进行挑选。例如,在线升级、软件发布管理适用于具有Internet或内网环境的软件产品;数据管理对于产生数据存储的产品则是必须的,设计人员不应假设用户同时是一个合格的DBA。而且系统所产生信息的分布和关系,也不是DBA所应该了解的内容。因此完整的系统应该包括数据备份、恢复、日志管理及垃圾数据清除等基本功能,哪怕这些功能的核心只是一条语句或命令;用户管理功能是另一项必不可少的功能,它定义哪些用户可以以什么样的功能使用系统。好的用户管理功能不仅可以有效控制用户对系统的使用,使系统处于一个安全且负载合理的运行状况,还能提高系统的应用适应性。 2.系统的可扩充性与可维护性 指系统对技术和业务需求变化的支持能力。当技术变化或业务变化时,不可避免将带来系统的改变。不仅要进行设计实现的修改,甚至要进行产品定义的修改。好的软件设计应在系统架构上考虑能以尽量少的代价适应这种变化,常用的技术有面向对象的分析与设计及设计模式。 3.技术适应性与应用适应性 系统的适应性与系统的可扩充性和可维护性的概念相似,也表现产品的一种应变能力,但适应性强调的是在不进行系统设计修改的前提下对技术与应用需求的适应能力,软件产品的适应性通常表现为产品的可配置能力。好的产品设计可能要考虑到运行条件的变化,包括技术条件(网络条件、硬件条件和软件系统平台条件等)的变化和应用方式的变化,如在具体应用中界面的变化、功能的剪裁、不同用户的职责分配和组合等。 对以上重要的非功能性需求进行逐一分析后,即可开始进行产品功能设计。实际上,非功能性需求定义将反映到系统的功能设计中,表现为系统的架构。
信息化系统安全运维服务方案设计
信息化系统 安全运维服务方案
目录 1概述 (2) 1.1服务范围和服务内容 (2) 1.2服务目标 (2) 2系统现状 (2) 2.1网络系统 (2) 2.2设备清单 (3) 2.3应用系统 (5) 3服务方案 (6) 3.1系统日常维护 (6) 3.2信息系统安全服务 (11) 3.3系统设备维修及保养服务 (13) 3.4软件系统升级及维保服务 (14) 4服务要求 (14) 4.1基本要求 (15) 4.2服务队伍要求 (16) 4.3服务流程要求 (16) 4.4服务响应要求 (17) 4.5服务报告要求 (18) 4.6运维保障资源库建设要求 (18) 4.7项目管理要求 (19) 4.8质量管理要求 (19) 4.9技术交流及培训 (19) 5经费预算 (19)
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
校园信息化建设项目现状及需求分析
校园信息化建设项目现状及需求分析信息化现状分析 1.1 中职学院是校园信息化的先行者和开拓者,很早就开始注重信息化基础设施建设和信息化人文素养的提升。在过去几年里,学校投入相当的经费进行了校园信息通信网络、计算机等基础硬件设备建设,到目前为止已经形成了较为完善的硬件基础支撑体系。同时,为了实现部分业务的信息化和精细化管理,引进部分学校应用软件和平台。总体来说,中职学院信息化建设已初显成效。1.2信息化现存问题分析 中职学院信息化建设已有成果能够满足学校过去日常办公、管理的需要。但随着时间的推移,逐渐凸显出一些问题,主要表现在以下几个方面: 1.缺乏整体规划 学院早期信息化建设都是立足于解决本部门业务管理需求,没有从学校层面进行整体规划,业务全景模糊,信息化体系残缺,缺乏一套科学、健全、可持续化的智慧校园应用建设指导体系。 2.缺乏统一技术标准,信息孤岛严重 学校现有应用系统来源较多,有自行开发、外购、上级单位下发,每个应用系统采用的编码规范、开发语言、技术架构、运行环境、数据库等都不尽相同,导致了各应用系统之间信.
息交互较弱,形成一个个信息孤岛,数据无法联动和更新,阻碍了各部门之间业务协同。 3.原有应用陈旧、单一,应用效果不佳 原有应用系统在一定程度都存在着技术架构的落后,造成系统运行效率不高,性能不稳定等现象。另一方面,原系统在搭建时未充分考虑学校实际业务的需要,致使原系统在与当前的业务开展的模式有很大的不匹配和不吻合,既有原系统中的功能缺失,也有原系统一些功能的浪费。 4.多重身份和密码体系,多重登陆界面,师生使用方便性不够 现有的校园网上面向全校师生访问的系统,各自维护和管理自己的用户信息,用户在访问不同的系统时,不仅需要输入不同的访问网址,而且还需要记忆不同的用户名/密码。同时,多个系统存在多套访问页面,且界面风格各异,用户无法通过终端界面统一获取已有的各类信息及服务,当各类应用新增和更新时也无法获知,这些给用户的使用带来了极大的不便。 5.业务系统的开发和维护模式不统一,更新维护困难 学校各应用系统的开发平台、数据库和运行环境千差万别,没有形成一个统一的考虑。随着校园网上应用和资源越来越多,应用缺乏有效的组织和管理,技术升级存在风险,从而也带来业务系统维护成本不断增加的问题。.