第一篇:软件安全防护措施
软件项目实施保障措施
项目实施保证
为确保项目的顺利开展和实施,我们分别制定了项目组人员保证方案和软件开发质量保证方案以及项目进度保证方案。
1项目组人员保证方案
为确保项目的顺利开展和实施,项目组的人员配备既有高层次的技术带头人(专家、教授等),也有中坚力量(博士、工程师、研发经理等),还有一般工作人员(具体开发设计工作的人员、试验人员、管理人员等),并实行项目经理、技术负责人质量负责制,加强技术管理的有效性和研发过程的科学性、准确性。
2软件开发质量保证方案
2.1质量管理内容
2.1.1 编制和评审质量计划
制定质量保证计划:依据项目计划及项目质量目标确定需要检查的主要过程和工作产品,识别项目过程中的干系人及其活动,估计检查时间和人员,并制定出本项目的质量保证计划。
质量保证计划的主要内容包括:例行审计和里程碑评审,需要监督的重要活动和工作产品,确定审计方式,根据项目计划中的评审计划确定质量保证人员需要参加的评审计划。明确质量审计报告的报送范围。
质量保证计划的评审:质量保证计划需要经过评审方能生效,以确保质量保证计划和项目计划的一致性。经过批准的质量保证计划需要纳入配置管理。当项目计划变更时,需要及时更改和复审质量保证计划。
2.1.2 “过程和工作产品”的质量检查
根据质量保证计划进行质量的审计工作,并发布质量审计报告。
审计的主要内容包括:是否按照过程要求执行了相应的活动,是否按照过程要求产生了相应的工作产品。本项目中对质量的控制主要体现在不同阶段的审计当中。
2.1.3 不符合项的跟踪处理
对审计中发现的不符合项,要求项目组及时处理,质量保证人员需要确认不符合项的状态,直到最终的不符合项状态为“完成”为止。 2.2质量管理责任分配
我公司在开发项目上按照规范化软件的生产方式进行生产。每个项目除配备了项目开发所需角色外,还专门配备了质量保证小组、配置管理小组、测试小组来确保质量管理的实施,下面针对这三种角色进行说明:
2.2.1 质量保证小组职责
质量保证小组作为质量保证的实施小组,在项目开发的过程中几乎所有的部门都与质量保证小组有关。质量保证小组的主要职责是:以独立审查方式,从第三方的角度监控软件开发任务的执行,分析项目内存在的质量问题,审查项目的质量活动,给出质量审计报告。就项目是否遵循已制定的计划、标准和规程,给开发人员和管理层提供反映产品和过程质量的信息和数据,使他们能了解整个项目生存周期中工作产品和过程的情况,提高项目透明度,从而支持其交付高质量的软件产品。
质量保证人员依据质量保证计划,通过质量审计报告向项目经理及有关人员提出已经识别出的不符合项,并跟踪不符合项的解决过程,通过审计周报或者审计月报向项目经理提供过程和产品质量数据,并与项目组协商不符合项的解决办法。
质量保证小组的检测范围主要包括:项目的进度是否按照项目计划执行,用户需求是否得到了用户的签字确认,软件需求是否正确的反映了用户的需求,是否将每一项用户需求都映射到软件需求;系统设计是否完全反映了软件需求;实现的软件是否正确的体现了系统设计;测试人员是否进行了较为彻底的和全面的测试;客户验收和交接清单是否完备;对于系统运行中出现的问题,维护人员是否记录了详细的维护记录;配置管理员是否按照配置管理计划建立了基线,是否严格控制变更过程,是否对配置库进行了维护。
2.2.2 配置管理小组职责
配置管理活动的目的是通过执行版本控制、变更控制、基线管理等规程,借助配置管理工具的使用,来保证整个生命周期过程产生的所有配置项的完整性、一致性和可追溯性。配置管理是对工作成果(阶段工作成果和产品成果、进展状态成果)的一种有效保护形式,是反映项目及其工作产品的过去、现在、动态的资料和数据集中管理体现。
配置管理小组的主要职责包括:根据项目计划制定配置管理计划,建立配置库,为项目组人员分配配置库权限,创建需求、设计、开发、测试、交付阶段的基线。当纳入基线库的工作产品发生变更时,严格按照配置项变更控制过程执行变更,变更后建立新的基线。
2.2.3 测试小组职责 作为质量控制的主要手段,如同软件开发一样,测试在执行之前,测试小组制定软件测试计划、测试用例的编写和执行工作。
本项目中,测试可以分为如下几种类型:代码走查、单元测试、集成测试、系统测试。为了保证程序的质量,开发人员需要对同伴的代码进行代码走查,同时对自己编写的程序进行单元测试,确保程序编译、运行正确。
测试人员根据软件需求分析报告进行软件集成测试用例和系统测试用例的编写。对编写完成的测试用例提交项目组进行评审,同时质量保证人员对评审过程和工作产品进行监测。
测试人员根据测试计划和测试用例执行测试用例,并对发现的缺陷进行记录,只有这样才能确保项目组开发的软件产品满足用户需求。在完成集成测试之后,可以进行软件系统测试,系统测试包括对软件进行功能测试、性能测试、安全测试、压力测试。只有进行了系统测试软件测试才是完整的。系统测试在本项目中占有重要的地位,性能要求有可能改变软件的设计,为避免造成软件的后期返工,测试在性能上需要较大的侧重。
2.3质量保证措施
通过质量管理责任的分配,通过如下几个方面来进行质量保证的实施过程:
2.3.1 项目进度
项目计划的制定为工程项目实施、管理和支持工作、项目进度、成本、质量及过程产品的有效控制打下了良好的基础,以便所有相关人员能够按照该计划有条不紊地开展工作;制定《项目计划》,必须获得相关干系人的认可,并以此作为项目跟踪的基础。
项目进度是项目进行是否顺利的最直观表现。制定合理的项目计划首要前提是选择从事类似规模和类似业务项目的有经验的项目负责人参加制定项目进度计划。
项目计划由项目负责人制定,由项目各小组组长、项目成员、干系人、质量保证人员参加一起进行评审。评审过程主要讨论项目计划的可行性,对其中不合理的地方提出修改意见,对计划中不合理的地方进行修改完善,并由质量保证人员对其结果进行跟踪处理,以确保项目计划完整性、可行性,项目计划评审通过后,交由配置管理人员进行配置管理。
在计划实施过程中,按项目计划中里程碑为界限,将整个开发周期划分为若干阶段。根据里程碑的完成情况,适当的调整每一个较小的阶段的任务量和完成的任务时间,动态跟踪和动态调整,以利于项目质量保证的实施。
实际运作中,质量保证人员在对项目执行过程进行检查时,对于发现的项目偏差,以质量审计报告的形式提交项目负责人。由项目负责人组织人员对计划进行维护,对于已经变动的项目计划,由配置管理进行配置管理。
2.3.2 需求分析
需求分析是开发人员对系统需要做什么和如何做的定义过程。从系统分析的经验来看,这个过程往往是个循序渐进的过程,一次性对系统形成完整的认识是困难的。只有不断地和客户领域专家进行交流确认,方能逐步明了用户的需求。从系统开发的过程得知,系统分析时犯下的错误,会在接下来的阶段被成倍的放大,越是在开发的后期,纠正分析时犯下的错误所花费的代价越是昂贵,也越发影响系统的工期和系统的质量。
本项目中,将邀请招标方技术负责人参与需求调研,以便保证需求调研质量,同时形成用户需求说明书。需求评审时会同双方管理层、项目实施层共同进行,对于通过用户确认的需求,交由配置管理员形成需求基线。
用户需求在招标方确认后,由系统分析人员形成软件需求分析报告,同时对软件需求分析报告进行评审,对于评审通过的软件需求分析报告可以交由测试人员进行测试计划和测试用例的编写。
对于开发过程存在的需求变动,招标方填写变更申请单发给项目经理,在质量保证人员参加的情况下,对这个变更进行评审,由项目经理组织项目组成员一起讨论实施变更的可行性及实施后所带来的影响,对于影响小的变更直接记录,大的变更则需要形成正式的变更报告,无论那种变更都需要对相应的文档实施同步变更(包括需求分析报告、系统设计、安装手册、操作手册等)。但是对于无法实现或是变更会带来巨大的影响而将导致进度的延期,这时,我们将变更报告提交给招标方并召开协调会议,讨论变更取舍问题或是项目进度变更问题。
决定变更之后,由项目负责人组织实施变更,测试人员检测变更结果,而质量保证人员监督变更实施过程,并协助配置管理员对变更后的成果进行配置管理。变更实施完后,运行前还需要协助用户一同测试并由招标方签字后同意方可上线。
2.3.3 系统设计
优良的体系结构应当具备可扩展性和可配置性,而好的体系结构则需要好的设计方法,需要针对项目的结构、项目的特征和用户的需求来分析。本项目中将安排我公司高级系统架构师担当项目总体设计师,汇同总体设计组完成系统设计。
另外对公共类模块的开发。由总体设计组通过对用户需求的仔细研究,尽可能的识别出公共类,并进行定义和设计,以减少重复工作。对于项目组提供的设计文档,由项目经理组织,质保小组成员参与,对其设计文档进行评审,及时发现设计中可能存在的错误,降低项目开发风险,同时确保设计文档能为开发人员、
测试人员提供切实的指导。对于可复用的设计进行提取作为公共库设计和开发,提供项目组。最后交由配置管理员进行设计文档的版本控制。
2.3.4 系统实现
系统实现的目的是依据系统设计文档,由程序员进行程序编写,以便实现设计要求,系统实现过程中,开发人员需要对模块进行代码走查和交叉单元测试,以保证模块代码质量。软件实现也就是代码的生产过程。根据上一阶段形成的设计文档,程序员在完成代码之后,可以开始编码并且进行代码走查和单元测试。对于测试完成的程序可以交由配置管理人员进行配置管理。
2.3.5 系统测试
系统开发涉及到一系列的过程,每一个过程都有可能引入缺陷(Bug),本系统质量的好坏直接关系到正常使用和日后的维护。在开发过程中,我们将质量控制贯穿于所有阶段和所有参与系统的人员中,包括系统分析、设计和编码。分阶段的评审和测试是软件质量的有力保障。 系统存在平台测试和应用系统的测试以及最终的测试。由于测试也存在协调的问题,如错误具体定位,在应用系统发现一个错误,到底是应用系统的自身的错误还是中间件存在的错误,需要测试人员进行准确的判断。
为了达到良好的测试目的,本系统测试工作由测试组来完成,主要采用下列方法进行系统的测试:
从测试方法上来说,分为黑盒测试和白盒测试:
黑盒测试:着重于测试软件系统的外部特性;根据系统的设计要求,每一项功能都要进行逐个测试,检查其是否达到了预期的要求,是否能正确地接受输入,是否能正确地输出结果。
白盒测试:由于软件的所有源代码都要由项目组成员编写,对其内部的逻辑规则和数据流程,都要进行测试,以检查其代码编写是否符合设计要求。
从测试策略上来说分为集成测试和系统测试:
集成测试:在所有模块都通过了单元测试后,将各个模块组装在一起,进行组装测试,用于发现与接口相联系的问题。在通过组装测试后,将经过单元测试的模块组装成一个符合设计要求的软件结构。
系统测试:在本项目通过了以上的测试步骤后,与其它系统元素(如硬件服务器、网络系统等)进行集成测试和系统级的确认测试,将各种可能的缺陷完全排除掉,从根本上保证系统的长期稳定运行。
2.3.6 系统维护
本项目中,技术支持小组的任务一方面是保证对项目客户的跟踪服务,另一方面是确保该项目的技术咨询工作。
系统维护期,对于一般性的错误,如操作不当等引起的问题,全部由技术支持小组执行完成,但需要用户测试确认上线。如果较大的修改则需要走变更控制流程,填写变更申请,经项目组讨论分析可行方案在由技术支持小组实施,通过测试后方可提交用户。在这个过程中质量人员需要对维护过程和维护记录单进行检查。
3项目进度保证方案
3.1加强项目进度管理
为保证项目按期完成,通过制定项目里程碑管理运行表、定期举行项目状态会议、比较各项任务的实际开始日期与计划开始日期是否吻合、确定正式的项目里程碑是否在预期完成等方式加强项目进度管理。 3.2控制项目进度措施
(1) 项目经理一定对整个项目的开发周期有一个清楚的了解,把任务的划分一定要一天为单位,不要一模块为单位,而每天无论是开发人 员还是测试人员,都要对自己的工作有一个大致的估计。即每天下午,有项目经理组织开发人员进行系统的了解,并且作好相应的记录。对已经解决的问题一定要一 个详细的记录。而对没有解决的问题一定要重视起来。不要向后退。找到根本的原因所在。
(2) 加强沟通和交流,项目经理一定要多多与开发人员进行交流,要调动其的积极性,让他们学会问题该如何解决,不要让他等待问题的解决。了解其实际的进展以及对开发工具的熟练程度,这对以后的任务的重新安排有重要的借鉴意义。
(3) 把一些难点提出,让大家共同克服,或者有一些技术比较精通的人来解决。解决完以后一定,让大家都熟悉其编程思路。而对经常用的知识点,一定有详细的说明。这样实现资源的共享。
(4) 做好项目的总结,无论是难点还是不难,只要有问题,一定要提出,并且解决完以后一定让大家都熟悉,这样有助于大家的技术水平的提高。
(5) 做到日清日结,是保证项目进度的关键所在。
第二篇:计算机软件企业商业秘密保护-------对内保密措施
(2012-08-14 16:18:20)
转载▼ 标签: 分类: 计算机软件
商业秘密 竞业限制 保密义务 专有技术 保护措施 it
1、建立健全切实可行的保密制度,编制保密手册。
建立健全技术秘密保护制度,保护本单位的技术秘密。职工应当遵守本单位的技术秘密保护制度。
合理完善的保密制度可以使员工对保密义务明晰化,使员工有相应行为准则,有利于实际遵照执行及在诉讼中举证。企业制订保密规章制度一般应至少考虑以下几个方面:商业秘密的范围;商业秘密的管理者及责任;商业秘密档案管理;商业秘密的申报与审查;商业秘密的保密义务;相应处罚等等。
需要注意的是,保密制度、保密手册都应向保密义务人公开,以使其了解到相关的规定。
2、构建商业秘密的系统保护
企业可以设立知识产权管理委员会(或类似组织)来统一管理商业秘密,企业的知识产权委员会可以由总经理任主任,由法律、技术、经营、生产、财务、人事教育等部门的负责人组成,有该等组织负责制定公司商业秘密保护制度,建立和完善保护组织,确定和修改商业秘密范围,日常工作中对商业秘密的管理与维护。
3、划定商业秘密的范围
技术秘密的范围包括但不限于设计图纸(含草图)、试验结果和试验记录、工艺、配方、样品、数据、计算机程序等等。技术信息可以是有特定的,完整的技术内容,构成一项产品、工艺、材料及其改进的技术方案,也可以是某一产品、工艺、材料等技术或产品中的部分技术要素。
关于商业秘密范围的划定一般从以下几方面考虑:
(1)该信息是否具有保密的必要性
(2)该信息是否具有保密的可能性
(3)以商业秘密方式进行保护,是否具有更好的效果
4、根据国家,行业和企事业单位的要求,市场和利益等划定商业秘密级别(绝密/机密/秘密); 密级的划分将非常有利于商业秘密的分级管理,有利于突出重点、确保企业核心秘密的安全。企业可设立特殊保护区等,设置门卫,未经知识产权管理委员会批准,企业内无关人员一律不得进入;或设置标语,严禁非操作人员进入。
5、建立秘密资料标签、存档管理及复制、查看、外借制度 企业应当对其所拥有的合法技术秘密加以明示确认,确认方式包括: (1)加盖保密标识;
(2)不能加盖保密标识的,用专门的企业文件加以确认,并将文件送达负有保密义务的有关人员;
(3)保密义务人能理解的其他确认方式。
未经知识产权管理委员会事前许可和非为业务上必要,不得对商业秘密资料进行复印或复制。得到许可复印或复制后,复印或复制件与原件的密级、保密期限相同。因工作需要使用商业秘密资料,应向商业秘密管理责任人提出申请,服从其指示。商业秘密管理责任人对使用情况应进行登记、记录。
商业秘密资料的销毁由知识产权管理委员会决定,以烧毁、粉碎和其他合适方法进行。
6、建立反泄密机制
(1)建立宣传、论文发表审查制度
同处于相同领域具有深厚专业背景的竞争对手会从宣传和论文等有关信息中找到一些对手企业经营和拥有技术的关键信息。所以对企业员工发表专业性文章、出版著作以及相关讲演等做相应教育,必要时,应进行适当监督及控制。
(2)建立工业展览审查制度
工业展览等类似可能失密的活动应进行相应的检查与控制,以防止失密。
(3)建立参观访问团接待制度
一切参观应避开敏感区域,勿做详细解释,勿对生产制造工艺进行演示。必要时要求来访者参观商业秘密设备时签订保密协议。
(4)建立门卫保安、电子报警及计算机信息系统安全体系
企业应根据商业秘密信息产生、使用和保管的实际,把最集中、最核心的部门或者部位确定下来,在企业内部通报,然后进行必要的监控措施。如:重点部位“红线区”管制,电子监控报警,使用人员身份识别系统,制订人员进出特别许可批准制度,进出特许身分牌标识,对外接待中禁止参观区域和禁止行为以标识明示,列明进出携带物品的禁止目录或采取检查措施,建立涉密人员离开工作地点前清理工作台面和计算机制度等。
(5)建立废品、办公及工业垃圾的处理制度
7、对员工进行培训、管理
(1)防止无关人员接触秘密信息,划定可接触人员名单。 对涉及技术秘密的研究、开发、生产等场所,单位应当采取防范措施,防止技术秘密的泄露。建立内部监控设施、防盗系统,不让无关人员随便进出保密区域
(2)与可能接触商业秘密的员工签订《保密协议》等一系列合同。
A、与本单位的科技人员、行政管理人员,以及因业务上可能知悉技术秘密的人员或业务相关人员,签订技术保密协议。该保密协议可以与劳动聘用合同订为一个合同,也可以与有关知识产权权利归属协议合订为一个合同,也可以单独签订。
B、用人单位与掌握商业秘密的职工在劳动合同中约定保守商业秘密有关事项时,可以约定在劳动合同终止前或该职工提出解除劳动合同后的一定时间内(一般不超过六个月),调整其工作岗位,变更劳动合同中相关内容;用人单位也可规定掌握商业秘密的职工在终止或解除劳动合同后的一定期限内(一般不超过二年),不得到生产同类产品或经营同类业务且有竞争关系的其他用人单位任职,也不得自己生产与原单位有竞争关系的同类产品或经营同类业务,但用人单位应当给予该职工一定数额的经济补偿。
C、可以与参加科技成果转化的有关人员签订在职期间或者离职、离休、退休后一定期限内保守本单位技术秘密的协议;有关人员不得违反协议约定,泄露本单位的技术秘密和从事与原单位相同的科技成果转化活动。职工不得将职务科技成果擅自转让或者变相转让。
D、技术秘密转让合同的让与人应当按照约定提供技术资料,进行技术指导,保证技术的实用性、可靠性,承担保密义务。这里技术秘密转让合同让与人承担的“保密义务”,不限制其申请专利,但当事人约定让与人不得申请专利的除外。
E、技术秘密转让合同的受让人应当按照约定使用技术,支付使用费,承担保密义务。技术转让合同的受让人应当按照约定的范围和期限,对让与人提供的技术中尚未公开的秘密部分,承担保密义务。
(3)要求参与涉及商业秘密项目的相关人员出具《保密承诺书》。
(4)对承担保密义务的职工实行奖励措施。承担保密义务的科技人员享有因从事技术开发活动而获取相应报酬和奖励的权利。单位无正当理由,拒不支付奖励和报酬的,科技人员或者有关人员有权要求变更或者终止技术保密协议。 (5)对离职员工进行“离职调查”,了解离职员工去向、在职时拥有的秘密资料移交情况并要求离职员工出具《保密承诺书》,或对离职员工采取离职前的脱密隔离措施等。
企事业单位应当在科技人员或者有关人员离开本单位时,以书面形式向该人员重申其保密义务和竞业限制义务,并可以告知其新任职的单位该人员在原单位所承担的保密义务和竞业限制义务。
(6)与可能接触较高级别商业秘密的员工签订《在职(或离职)竞业禁止协议》。
A、竞业禁止协议是指约定有关职工在离职以后一定期限内不得到生产同类产品或经营同类业务且具有竞争关系或其他利害关系的单位内任职,或不得自己生产经营与原单位有竞争关系的类似产品或业务的协议。竞业禁止包括在职竞业禁止和离职竞业禁止,在职竞业禁止无需特别约定,即为职工应负的义务,而离职竞业禁止则需要特别的约定,并且用人单位必须为此而向职工支付一定的补偿。
B、对负有保密义务的劳动者,用人单位可以在劳动合同或者保密协议中与劳动者约定竞业限制条款,并约定在解除或者终止劳动合同后,在竞业限制期限内按月给予劳动者经济补偿。劳动者违反竞业限制约定的,应当按照约定向用人单位支付违约金。
C、竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。竞业限制的范围、地域、期限由用人单位与劳动者共同约定,竞业限制的约定不得违反法律、法规的规定。
在解除或者终止劳动合同后,前款规定的人员到与本单位生产或者经营同类产品、从事同类业务有竞争关系的其他用人单位,或者自己开业生产或者经营同类产品、从事同类业务的竞业限制期限,不得超过二年。
D、竞业限制协议应当具备以下主要条款: ——竞业限制的具体范围; ——竞业限制的期限; ——补偿费的数额及支付方法; ——违约责任;
——其他需要约定的事项。
E、相关人员应当严格按照竞业限制协议约定履行义务。竞业限制协议约定的部分内容不明确的,相关人员只对约定明确的内容承担保密义务。
f、发生下列情况之一的,竞业限制协议自动终止: ——技术秘密已经公开的;
——负有竞业限制义务的员工实际上没有接触到技术秘密的; ——企业违反劳动合同,解雇员工的;
——企业违反竞业限制协议,不支付或无正当理由拖欠补偿费的; ——单位未执行国家有关科技人员的政策; ——员工受到显失公平待遇。
要提醒当事人注意,竞业限制协议的自动终止状况,可能影响到当事人各方商业秘密保密义务,必须在合同中充分考虑。
G、单位与有关人员就竞业限制条款发生争议的,任何一方有权依法向有关仲裁机构申请仲裁或向人民法院起诉。
H、签订《保密协议》、《保密保证书》的意义只在于可作为“已经采取保密措施”的证据而不是保密义务产生的必需前提,因为,“接触他人商业秘密的人均应保密”这是一项法定的义务,无需特别约定。
(7)加强员工保密教育 进行保密教育使员工了解到企业文化、保密的范围、工作规则、违约的后果、商业秘密法律培训等,使员工认识到保密工作的重要性,防止在外来参观、咨询或洽谈业务中泄露。教育阶段制作培训记录,要求参加人员签名。
(8)健全员工人事资料
企业应当建立健全员工人事资料,如员工的学历、专长及有无发明等资料,一方面企业可用来参考以决定分派员工担任适当的职位,另一方面,当未来和员工有商业秘密相关的争议时,也可供执法机关据以认定员工究竟有无创作能力及是否窃取公司机密等问题。
另外,企业还应具体告知并详细记载员工的职务范围,以避免将来在是否构成职务技术成果上造成不必要的争议。
8、指导客户确定商业秘密的保密期限
由于商业秘密的价值周期难易确定和保密安排多又不易把握,因此商业秘密的保密期限一般不宜明确确定,应当由权利人根据情况变化随机掌握。但在特殊情况下,对于特定信息预先设定一个保密期限是必要的。如正在申请产品专利的属于商业秘密的技术或经营信息、一旦产品进入市场就可能被破解和仿制的信息、或者一旦实施就无异于公开的信息,就应当具有明确的保密期限。另外,我们亦要注意,有目的的公开、转让和激活一些闲置或者过时的商业秘密对企业有利而无害。
9、对专有技术的审查
商业秘密中的技术信息一般称之为专有技术,专有技术开发、合作、转让或者许可时,应注意以下几点:
(1)确定专有技术的范围和特征
专有技术通常表现为技术文档、图纸等载体形式,客户通常要求将整套技术文档或图纸全部作为商业秘密来进行保护,而这些技术中可能包括了公知非专利技术、专利技术及专有技术。遇到这类情况,专业技术人员应提供专业技术背景资料,确定专有技术的范围及技术特征,为专有技术的审查做好前期准备。 (2)专有技术的范围及技术特征一旦被确定,应根据商业秘密构成要件对该专有技术进行审查。
对专有技术进行“非公知性”审查,其实质是在排除被审查的专有技术不属于公知非专利技术、专利技术的过程,一般需要委托专业检索或咨询机构就该专有技术是否为“不为公众所知悉”出具报告。
即便该专有技术经审查被确认属于商业秘密,由于专有技术可能因专利及非专利技术进入公共领域而丧失新颖性,对此,应有一定的预警机制。
第三篇:网站安全监测系统软件平台分享
软件产品网最近收到不少咨询关于网站安全检测相关的信息。网站安全检测也称网站安全评估、网站漏洞测试、Web安全检测等,通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等,提醒网站管理员及时修复和加固,保障web网站的安全运行。对此,软件产品网在平台整理了几份关于网站安全检测的软件,分享给大家。
一、杭州安恒信息技术有限公司网站安全监测平台
网站安全监测平台是一套软硬件一体化监测平台,采用远程监测技术对WEB应用提供7*24小时实时安全监测服务。该产品通过对网站安全风险(漏洞)与安全事件(网页木马、关键字、篡改、可用性等)的全方位监测,形成集检测、安全考核、通告报表为一体的监管平台,为监管单位、网站负责单位提供了可行的技术手段,切实提高网站安全水平。
事前安全风险扫描:未雨绸缪:可扫描网站存在的安全风险,即各类漏洞,有助于漏洞被利用前进行整改加固,降低发生安全事件的概率。
事后安全事件监测:亡羊补牢:在网站发生了安全事件后,即被挂入网页木马、暗链、后门程序、被篡改、发布敏感言论等情况,第一时间发现问题,进行应急处理,降低影响。
安全监管工作落地
采用实时告警、网站安全评分、网站安全趋势、负责人处理问题情况统计、通告报表等方法,促进安全监管工作落地,提高网站安全水平。
二、西安交大捷普网络科技有限公司捷普网站安全监测系统
网站可用性监测:捷普网站安全监控系统可对网站的可用性进行实时的监控,包括HTTP、DS、PIG等。通过对网站从不同线路来访问得速度情况、网站响应时间,从而判断是否能达到最优、最安全的服务质量,一旦发现网站无法访问,第一时间通知用户。
WEB漏洞监测:捷普网站安全监控系统为用户提供WEB漏洞监测功能,依托捷普积累多年的WEB漏洞扫描技术,对常见的SQL注入、跨站脚本XSS、跨站请求伪造(CSRF)、敏感关键字、信息泄漏等漏洞进行深度监测。
网站挂马监测:捷普网站安全监控系统能够对用户网站上的页面进行爬取,使用捷普木马特征库中的特征在页面中匹配,确认网页木马传播的病毒、木马程序所在位置,从而解决网络木马的准确定位,为管理者清除有害程序,上网用户提供安全的网络环境。
DS劫持监测:捷普网站安全监控系统可以预先让管理员在添加站点时对站点域名对应的IP进行配置,平时实时与域名解析出的IP进行比对,比对不上则判定域名被篡改,记录事件发送告警,预防DS劫持。
三、北京中嘉华诚网络安全技术有限公司网站安全监测遥控管理系统
“政务公开”、“网上办事”和“公众参与”是政务网站信息内容三大定位。除此之外,网站系统的安全性和稳定性是必不可少的支撑功能。网站信息安全和信息保障的管理工作是网站运维的核心。
为了避免计算机病毒和黑客攻击的风险,各党政机关网站管理者需提高安全意识,加强安全监管措施,以保障政务网站的严肃性和权威性,使得政务网站更好地为社会服务。网站安全监测遥控管理系统是您工作的“好帮手”。
国家重大会议和活动期间;七天放长假;夜间机房无人值班;高考、中考期间……出现各种紧急情况,这些都是工作中长期困扰的实际问题,是否能够快速、准确、负责地进行处理?“好帮手”能帮您排忧解难。
网站安全监测遥控管理系统能提供GKR安全控制防止黑客篡改、WEB服务器启动、信道换路、动态停机、故障语音报警、切断电源等操作命令,随时可对网站重要情况进行应急处理。
关于网站安全监测系统软件就简单分享到这里,了解跟多的网站安全监测软件欢迎访问软件产品网平台,还有更多类目软件及软件求购信息等你来发现。
第四篇:内网安全管理系统软件技术要求大全
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、 公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、 产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》; ISO9000质量管理体系认证。
3、 产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、 *至少有五家500点客户的安装实施经验。
5、 有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。 *必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。 管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。 *支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。 *支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。 支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。 计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。 其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。 USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。 支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。 支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。 能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,
附件二
设备管理,系统服务,共享文件夹,计划任务的控制。 支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。 必须支持经过客户端允许或密码设定才能远程控制。 支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。 ▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像, 支持对终端用户登录的屏幕分屏查看。 支持同时对多屏进行监视。 支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。 支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。 支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。 系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。 附注:三年免费质保,三年免费服务。产品支持570个工作站。
第五篇:全国中小学校舍安全工程月报软件快速操作指南
“全国中小学校舍安全工程” 信息管理系统月报快速操作指南
操作步骤:
1. 启动软件。
2. 选择月报项目县:执行“6 → 1”
3. 县级月报录入:执行“6 → 2”,“添加年月”后录入、校验、
修改、打印、上报月报数据。
省级月报接收:执行“6 → 2”,“添加年月”,执行“6 → 7
→ 1”接收县级数据,校验、汇总、打印、上报月报数据。
4. 结束:完成本县或本省“校舍安全工程”月报编制上报工作。