安全可靠办公信息系统软硬件集成适配关键技术研发及应用规范书(附件一)

信息系统运维及技术支持服务项目国网**市电力公司**供电分公司***信息系统运维及技术支持服务项目技术规书项目单位（部门）：国网**市电力公司**供电分公司201*年**月**日一、技术规应答须知本文为***服务项目的技术规文件。

应答人须认真阅读以下容，准确理解项目单位的服务要求。

1.1对于本技术规1.应答人应该提供在本规书中要求的完整的服务, 并必须提供基于本技术规书的整体的服务方案，方案应按本规书的顺序对各章的每一项详细解答。

2.应答人的服务方案必须清楚地指明和响应技术规书中各章每一项要求的实际指标值，如简单地回答“满足”或“符合”视为“不满足”。

如果应答人认为本规书所描述需求与目标要求有所不一致或部分要求不合理，可在响应原要求后给出建议方案，此建议在评价服务方案时将作为重要容加以考虑。

3.应答人提供的服务方案将作为项目合同的重要附件，与合同具有同样的法律效力。

4.应答人必须提供满足项目单位服务目标的详细整体服务方案，容包括但不限于以下容：服务目标、服务容、服务方式、服务团队及管理体系、具体服务人员安排、技术人员技术水平经验证明资质材料、进度计划、阶段工作容及成果等。

5.文字或表部分凡标有“*”的地方均被视为重要的响应要求。

应答人必须对此实质回答并完全满足这些要求，否则作为废标处理。

6.服务方案要以简体中文书写，所提供的所有说明材料及相应资料以简体中文书写。

7.应答人应保证对本技术说明文件的，不得向其他单位公布项目单位的有关材料。

1.2技术响应要求应答人响应本技术规书时应重点对以下容做专题描述：1.详细说明整体服务方案。

2.应答人认为应该描述的其他方案或建议。

二、报价说明与合同结算2.1报价方式请按项目实际情况填写。

【示例】折扣比例或总价金额报价2.2报价依据请按项目实际情况填写。

【示例】1.工作量根据技术规要求的服务工作容及服务级别指标（驻场服务级别、现场服务级别、服务响应级别、服务响应时限、故障恢复时限、巡检频次等），结合本项目特点进行核定计提。

网络安全和信息化项目管理办法第一章总则第一条为规范某集团有限公司（以下简称集团公司）网络安全和信息化项目（以下简称网信项目）管理工作，围绕“建设世界一流能源企业”总目标和“干就干一流的事、干就干成一流”总要求，实现集团公司信息化规划、计划与项目建设的有序开展，不断提升信息化建设水平，推动高质量发展，根据国家有关规定，结合集团公司实际情况，制定本办法。

第二条本办法所指网信项目是指企业在规划、基建、生产运营等各阶段为提高作业效率、增强管理效能，推动企业高质量发展所开展的网信系统建设项目，包括信息基础设施、应用系统等软硬件系统建设，及其所涉及的咨询、设计、实施、监理、评审、验收等内容，不包括信息系统运维、办公用计算机、配套办公软件、计算机周边设备及耗材采购。

第三条本办法适用于集团公司总部，分子公司、基层企业。

第四条各分子公司依据本办法制定本单位的网信项目建设管理办法实施细则。

第二章项目管理原则第五条项目管理应坚持“归口管理、业务推动”，实现信息化主管部门与业务部门各司其职、各负其责，加强协同配合，确保按计划完成项目建设任务。

第六条项目建设应坚持“统一规划、统一标准、统一设计、统一投资、统一建设、统一管理”的六统一原则，并按照集团公司信息化规划和标准规范的要求，采用有利于集团公司信息资源共享和应用集成的技术来建设实施与运行。

第七条业务应用系统项目的建设，在满足业务需求的基础上,充分考虑与已有系统的有效整合和扩展，统一建设标准,保持系统平台的一致性与业务数据的共享性。

第三章组织与职责第八条集团公司信息中心是集团公司网信项目的归口管理部门，对集团公司统建项目、总部项目进行总体组织协调和全过程管理；监督、指导、协调各分子公司网信项目的管理。

第九条总部各部门（含直属中心、销售事业部）对主管业务范围内集团统建项目和总部项目，负责业务调研、需求提出与确认，流程梳理和优化，组织项目实施、数据收集与整理，项目应用与推广等工作。

智能制造工程实施指南(2016—2020）为贯彻落实《中国制造2025》，组织实施好智能制造工程（以下简称“工程”）,特编制本指南。

一、背景自国际金融危机发生以来,随着新一代信息通信技术的快速发展及与先进制造技术不断深度融合，全球兴起了以智能制造为代表的新一轮产业变革，数字化、网络化、智能化日益成为未来制造业发展的主要趋势.世界主要工业发达国家加紧谋篇布局，纷纷推出新的重振制造业国家战略，支持和推动智能制造发展，以重塑制造业竞争新优势.为加速我国制造业转型升级、提质增效，国务院发布实施《中国制造2025》,并将智能制造作为主攻方向，加速培育我国新的经济增长动力，抢占新一轮产业竞争制高点。

当前,我国制造业尚处于机械化、电气化、自动化、信息化并存，不同地区、不同行业、不同企业发展不平衡的阶段。

发展智能制造面临关键技术装备受制于人、智能制造标准/软件/网络/信息安全基础薄弱、智能制造新模式推广尚未起步、智能化集成应用缓慢等突出问题。

相对工业发达国家，推动我国制造业智能转型，环境更为复杂，形势更为严峻,任务更加艰巨.《中国制造2025》明确将智能制造工程作为政府引导推动的五个工程之一，目的是更好地整合全社会资源，统筹兼顾智能制造各个关键环节，突破发展瓶颈,系统推进技术与装备开发、标准制定、新模式培育和集成应用。

加快组织实施智能制造工程，对于推动《中国制造2025》十大重点领域率先突破，促进传统制造业转型升级，实现制造强国目标具有重大意义。

二、总体要求加快贯彻落实《中国制造2025》总体战略部署,牢固树立创新、协调、绿色、开放、共享的新发展理念,以构建新型制造体系为目标，以推动制造业数字化、网络化、智能化发展为主线,坚持“统筹规划、分类施策、需求牵引、问题导向、企业主体、协同创新、远近结合、重点突破"的原则，将制造业智能转型作为必须长期坚持的战略任务，分步骤持续推进。

“十三五"期间同步实施数字化制造普及、智能化制造示范,重点聚焦“五三五十”重点任务，即：攻克五类关键技术装备,夯实智能制造三大基础，培育推广五种智能制造新模式，推进十大重点领域智能制造成套装备集成应用，持续推动传统制造业智能转型,为构建我国制造业竞争新优势、建设制造强国奠定扎实的基础。

自主可控信息系统及信息安全技术研究与应用2015年10月一、概述二、自主可控信息系统示范应用工程建设三、自主可控信息安全技术研究与应用自主可控信息系统及与信息安全技术研究与应用四、后续工作展望一、概述自主可控信息系统的建设事关国家及国防安全，影响深远，势在必行。

国产基础软硬件保证了系统的自主可控，有效解决了预置木马、预设后门等问题；但是，安全漏洞是客观存在的，自主可控并不能消除系统存在的安全漏洞。

因此，亟需开展自主可控信息安全技术的研究，以有效保证自主可控信息系统的安全。

一、概述二、自主可控信息系统示范应用工程建设四、后续工作展望三、自主可控信息安全技术研究与应用自主可控信息系统及与信息安全技术研究与应用航天科工集团秉承“国家利益高于一切”的核心价值观，牢记责任、坚持以国为重、为国家铸造安全基石，在航天科工“一主两翼”产业发展布局下，一方面积极构建国家领土、领海和领空的安全防御体系，另一方面致力于筑造信息安全防护体系，积极推进自主可控计算机产业。

打造集团自主可控计算机及信息系统示范工程⏹示范形成标准规范、突破难点积淀关键技术、提升能力⏹示范引领产业发展，掌握打开市场大门的钥匙建设集团自主可控试验基地⏹攻关平台、测试平台、验证平台、培训平台构建集团自主可控产业联盟⏹为产业发展支撑，形成集群优势国产化存储设备国产网络设备国产化服务器国产化终端基础设施国产外设国产操作系统基础软件国产数据库国产中间件标准规范体系信息安全体系应用软件党建系统网站系统安全邮件档案系统门户系统纸质公文交换打印系统办公系统接入控制文档管理系统示范应用工程建设—总体方案应用系统迁移、适配优化、测试总体工作25341计算机硬件设备国产化替代⏹终端、服务器、存储设备基础软件国产化替代⏹数据库、中间件、开发环境网络系统重构安全体系建设（五）示范应用工程建设—主要工作操作系统实施前实施后Windows 中标麒麟终端Oracle、Mysql 等神通数据库数据库中间件Tomcat ，Weblogic 等东方通应用软件基于Wintel 架构基于国产平台IBM 、HP 、DELL 等基于国产CPU天玥终端服务器IBM 、HP 、DELL 等基于国产CPU天玥服务器示范应用工程建设—实施前后对比•快速迁移重构技术，实现了应用系统在自主可控平台下的快速迁移•异构平台的数据迁移技术，解决了不同格式数据从非国产化平台向国产化平台迁移的问题•面向应用的软硬件深度适配优化技术，从底层解决应用系统运行效率问题•自主可控信息系统测试评价技术，实现了对自主可控信息系统的全面、系统测试和评估示范应用工程建设—突破的关键技术⏹自主可控计算机及信息系统整体方案规划与设计⏹硬件系统：基于国产CPU的终端、服务器、磁盘阵列、安全设备等系列化产品经历了一年实际应用考验，产品可靠性、易用性得到验证⏹软件系统：形成了能够基于国产化平台下运行的门户、邮件等应用软件系统⏹迁移、适配：形成了迁移适配方法，构建了迁移、适配方法库⏹测试、验证：构建了测试标准，形成了测试用例库、测试方法库、测试问题库完成了经营管理类共18个应用系统的迁移、适配、优化，在航天科工总部、航天二院、七〇六所三级试点单位的部署、实施，7月1日开始试运行（五）示范应用工程建设—取得的成果实现了从处理器、整机（终端、服务器、存储、网络设备）、操作完全按照国家权威部门对网络信息系统的安全保密要求进行设计，⏹系统、数据库、中间件、应用系统的全国产系统性替换⏹并进行了增强设计，可满足更高等级的安全防护要求⏹通过独有的迁移适配优化技术，确保系统运行稳定，运行速度快，用户体验好。

兖矿菏泽赵楼综合利用电厂工程管理信息系统（MIS）硬件系统基建期招标文件技术规范书招标编号：XXXX兖煤菏泽赵楼综合利用工程信息管理系统（MIS）技术规格书工程设计综合甲级资质A1370027472012年4月北京兖煤菏泽赵楼综合利用电厂工程信息管理系统（MIS）技术规格书编制（设计院）：张洪伟电厂安技科：电厂副总：电厂总工：菏泽能化公司专业技术负责人：煤业公司专业部门：煤业公司专业技术负责人：集团公司机电部：集团公司机电技术负责人：2012年 4月 23日兖矿菏泽赵楼综合利用电厂工程管理信息系统（MIS）硬件系统基建期招标文件技术规范书目录1 技术规范 (5)1.1 总则 (5)1.2 规范和标准 (8)1.3 项目概况 (9)1.3.1总体介绍 (9)1.3.2MIS主要系统配置情况 (9)1.4 供货范围和工作范围 (9)1.4.1投标方的供货范围 (9)1.4.2投标方的工作范围 (10)1.4.3招标方的工作范围 (12)1.5 技术要求 (12)1.5.1整体设计 (12)1.5.2硬件平台 (13)1.5.2.1一般要求 (13)1.5.2.2网络系统 (13)1.5.2.3服务器系统 (16)1.5.2.4电源及接地 (17)1.5.3系统软件 (18)1.5.3.1操作系统 (18)1.5.3.2防病毒软件 (18)1.6 备品备件和专用工具 (25)1.6.1备品备件 (25)1.6.1.1一年备品备件 (25)1.6.1.2三年备品备件 (26)1.6.2专用工具 (26)1.7 设计联络会（DLM） (27)1.8 技术服务和培训 (30)1.8.1工程服务 (30)1.8.1.1项目管理 (30)1.8.1.2质量保证 (30)1.8.1.3工程设计 (31)1.8.1.4项目计划和进度 (31)1.8.2现场服务 (31)1.8.3售后服务 (33)1.8.4培训 (34)1.8.4.1总则 (34)1.8.4.2现场培训 (34)1.9 技术资料和文件 (35)1.9.1总则 (35)1.9.2硬件资料 (36)1.9.3软件资料 (37)1.10 试验、演示和验收 (38)1.10.1总则 (38)1.10.2工厂验收试验和要求 (38)1.10.2.1试验步骤 (38)1.10.2.2初步检查 (39)1.10.2.3现场可利用率试验(SAT) (40)1.10.3保证期 (40)2 供货范围 (40)3 技术资料和交付进度 (41)4 交付进度 (41)5 差异表 (42)6 罚款条件 (44)兖矿菏泽赵楼综合利用电厂工程管理信息系统（MIS）硬件系统基建期招标文件技术规范书1 技术规范1.1 总则(1)本技术规范书对兖矿菏泽赵楼综合利用电厂基建期工程管理信息系统（以下简称MIS系统）的硬件、网络、系统软件提出技术及相关要求。

国产基础软硬件集成适配优化技术探析【摘要】本文旨在探讨国产基础软硬件集成适配优化技术的发展现状、关键技术、应用案例及未来趋势。

在将介绍该技术研究的背景、目的和意义。

在将深入分析国产基础软硬件集成适配优化技术的综述及现状，探讨其关键技术，并通过应用案例分析展示其在实践中的应用。

通过总结国产基础软硬件集成适配优化技术的价值，探讨其推广应用及未来发展方向。

通过本文的研究，可以更全面地了解国产基础软硬件集成适配优化技术的重要性和潜力，为相关领域的研究和实践提供参考和指导。

【关键词】国产基础软硬件集成适配优化技术、研究背景、研究目的、研究意义、综述、现状分析、关键技术、应用案例分析、发展趋势展望、结论、价值、推广应用、未来发展。

1. 引言1.1 研究背景在当前信息化时代，软件和硬件的快速发展与融合已经成为各行各业的必然趋势。

国产基础软硬件集成适配优化技术的研究与探索，旨在提升我国软硬件产业的整体技术水平，促进产业的快速发展与壮大。

研究背景包括国内外软硬件集成领域的研究现状、行业发展需求、技术创新方向等内容。

当前，国外先进技术在软硬件集成领域的领先地位已经成为国内企业在全球市场竞争中的一大瓶颈，国内软硬件集成适配优化技术的研究与推广显得尤为迫切。

本研究旨在探讨国产软硬件集成适配优化技术的发展现状、关键技术、应用案例及未来发展趋势，为我国软硬件产业的进一步发展提供参考和支持。

1.2 研究目的国产基础软硬件集成适配优化技术的研究目的主要包括以下几个方面：1. 深入了解国产基础软硬件集成适配优化技术的发展历程和现状，探索其中存在的问题和挑战。

通过对当前技术进行全面的梳理和总结，可以更好地把握技术发展的脉络，为今后的研究提供重要的参考依据。

2. 分析国产基础软硬件集成适配优化技术在不同领域的应用情况，探讨其在实际工程项目中的效果和影响。

通过应用案例的深入剖析，可以揭示技术在实际应用中存在的优势和不足之处，为技术的进一步完善提供指导。

软硬件系统质量控制方案1.1设备质量保证对于包含硬件设备和系统软件的系统设备的质量保证，保证系统设备购货渠道正当有效，同时提供设备制造厂商的质量保证书、技术说明书、用户手册等资料。

1.2应用软件系统质量保证应用软件系统是本次工程的重点之一，软件开发将严格遵循软件工程标准规范进行开发，并实施全程质量控制。

1.3质量保证体系和质量保证计划软件的质量保证活动，是涉及各个部门之间的活动，必须建立质量保证体系，以明确部门之间的质量保证业务，保证各项活动的顺利开展。

同时制定质量保证计划，确定质量目标，确定在每个阶段为达到总目标所应达到的要求，对进度做出安排，确定所需的人力、资源和成本等等。

软件质量保证体系如下两图所示：图 1：质量保证体系图——程序检查以上计划组由双方项目经理和各小组组长组成。

项目经理制定项目总体计划，各小组组长在总体计划框架内，细化本小组工作计划。

图 2：质量保证体系图——文档检查1.4贯彻软件工程标准和规范在软件的设计和开发过程中，贯彻实施软件工程标准是保证软件质量重要的措施。

在开发机构中严格推行软件工程国家标准，并制定了符合自身特点的企业内部软件工程规范。

采用的相应软件工程国家标准，如下表所示：表 1：主要软件工程国家标准1.5软件文档及其管理维护软件文档起到多种桥梁的作用，它有助于程序员编制程序，有助于管理人员监督和管理软件的开发，有助于用户了解软件的工作和应做的操作，有助于维护人员进行有效的修改和扩充。

所以，软件文档的质量是整个软件质量不可缺少的部分。

文档的管理与维护也是整个应用软件质量保证的重要环节，将有专门的文档保管员负责，并对文档进行跟踪和控制。

下表所示为本系统应用软件开发生存期各阶段的文档提供情况。

表 2：文档阶段性提交列表。

文件制修订记录1、总则为了规范本部门的信息系统安全集成管理工作，使得相关工作具有持续改善性及相互协作性，能够支撑公司系统的健康可靠的运行，由此制定本规范。

本规范适用于产品中心所有岗位人员。

2、部门职能产品中心：（1）负责信息化基础设施安装、调试、维护，包括网络、机房、服务器系统、数据安全等技术支持；（2）负责所有服务器系统的技术服务工作（3）负责核心数据库的性能调优及技术服务工作（4）负责各种网络设施、线路的技术运维保障工作（5）负责其他设施的运维保障工作，如机房设施、一卡通、考勤机等智能化设施。

（6）负责信息化安全的建设与执行；3、岗位职责（1）部门经理：负责信息化基础设施的技术保障，包括，电脑终端、网络、机房、服务器系统、数据安全等技术支持；负责信息化安全的建设与执行；负责本部门的组织管理，包括，修订组织职责、架构编制、岗位职级、分工授权等；负责本部业务制度流程规范的制定和监督执行；负责本部团队建设，包括，新员工入职、员工培训、绩效考核、员工心政、团队活动等；负责本部门工作管理，包括，预算编制与管控、计划管理、汇报管理、会议管理等；（2）系统技术师：负责所有服务器系统的技术服务工作负责核心数据库的性能调优及技术服务工作（3）网络技术师：负责各种网络设施、线路的技术运维保障工作负责其他设施的运维保障工作，如机房设施、一卡通、考勤机等智能化设施。

（4）安全技术师：负责信息化安全的建设与执行；（5）其他说明事项：系统技术师、DBA、网络技术师、安全技术师，以下统称运维技术师；权限控制：除负责基础设施的网络技术师，其余技术师不得拥有进入数据中心机房的权限。

网络技术师不得拥有系统技术师的管理权限。

4、服务操作规范4.1 行为规范(1)遵守用户的各项规章制度，严格按照用户相应的规章制度办事。

(2)与用户运行维护体系其他部门和环节协同工作，密切配合，共同开展技术支持工作。

(3)出现疑难技术、业务问题和重大紧急情况时，及时向负责人报告。

国产办公信息系统若干关键问题研究郭长国;谢劲松;韩鹏;徐志亮【摘要】近年来,随着国产基础软硬件在性能和稳定性方面的快速发展,出现了许多基于国产基础软硬件平台的办公信息系统,但是大部分系统在办公性能、可靠性、稳定性、用户体验等诸多方面存在问题,在一定程度上影响了国产化信息系统的应用和发展.对中软信息系统工程有限公司(以下简称"中软")多年来的成功实践和经验教训进行总结和梳理,对研发和部署基于安全可靠技术的办公服务平台,分别从个性化设计、集成优化方法、国产化推进策略等维度总结出若干经验和体会,为科学发展安全可靠办公信息系统的相关产业和技术提供有益的参考和借鉴.【期刊名称】《微型机与应用》【年(卷),期】2018(037)009【总页数】5页(P17-21)【关键词】办公信息系统;个性化;性能优化;国产化推进策略【作者】郭长国;谢劲松;韩鹏;徐志亮【作者单位】中软信息系统工程有限公司,北京102209;中软信息系统工程有限公司,北京102209;中软信息系统工程有限公司,北京102209;中软信息系统工程有限公司,北京102209【正文语种】中文【中图分类】TP3170 引言办公信息系统是采用先进的计算机及网络技术，基于“工作流”的概念，将机关日常办公涉及的办文、办会、办事等事务纳入统一的网络化信息平台进行管理，促进机关部门的管理科学化和决策信息化，提高工作效率和质量。

狭义地看，办公信息系统为机关部门办公业务提供信息化支持，主要功能包括：公文流转、个人办公、电子公告、通信协作、系统管理等；广义地看，办公信息系统是对机关组织行为进行形式化抽象描述，并基于软件系统进行仿真实现，是机关部门对生产控制之外的一切信息处理和管理行为的统一管理平台。

办公信息系统可形成工作人员之间最基本的联系、沟通、协调和控制，内容包括办公信息管理、领导决策支持、办公自动化三个方面，是综合了办公、分析、管理的一体化集成系统[1]。

信息系统安全集成服务流程目录第一章总则 (2)第二章定义 (2)第一条适用范围 (2)第二条名词解释 (2)第三章项目准备 (2)第三条安全集成项目售前阶段 (2)第四条任务 (2)第五条需求调研分析的内容包括 (2)第六条项目投标 (3)第七条项目签约 (3)第四章项目初期 (3)第八条深层勘察施工现场 (3)第九条确定项目知悉人员和范围 (3)第十条制定项目实施方案和计划 (3)第十一条评审项目实施方案和计划 (3)第五章项目准备阶段 (3)第十二条采购计划、设备采购到货 (3)第六章项目实施 (3)第十三条项目实施要求 (3)第十四条项目实施的任务 (3)第十五条设备安装调试 (3)第十六条客户沟通 (4)第十七条执行项目变更 (4)第十八条技术交底 (4)第七章项目售后阶段 (4)第十九条售后服务阶段 (4)第八章项目收尾阶段 (4)第二十条项目测试 (4)第二十一条项目初步验收 (4)第二十二条项目试运行 (4)第二十三条组织竣工验收 (4)第二十四条提交竣工文档 (4)第二十五条项目内部评审 (4)第九章风险管理 (4)第二十六条风险管理 (4)第二十七条风险识别 (5)第二十八条风险防范 (5)第十章项目变更及确认 (5)第二十九条项目设计变更 (5)第三十条项目合同变更 (5)第一章总则为适应现代生活中网络化的工作环境，在从事网络系统，应用系统、安防系统、建筑智能化系统的集成过程中，明确工作责任，保障安全设计、施工，遵照国家有关法律法规和公司其他有关规定，特制定本制度。

第二章定义第一条适用范围1、硬件工程：除纯硬件销售之外的硬件项目，包括网络安全设备安装工程、综合布线工程、监控产品的安装工程等。

2、软件工程：公司自行开发的软件项目及代理软件，包括案件查询、门户网站、网络管理、准入控制、补丁分发等。

3、综合性工程：划分为硬件分项工程、软件分项工程实施管理。

第二条名词解释1、业务经理：在项目施工前的项目经理，主要负责完成项目的前期安全及建设需求调研分析，从项目的前期公关、跟踪，直至项目的签约。

信息安全工程师考试大纲一、考试说明1．考试目标通过本考试的合格人员能掌握信息安全的知识体系；能够根据应用单位的信息安全需求和信息基础设施结构，规划设计信息安全方案，并负责单位信息系统安全设施的运行维护和配置管理；能够对信息系统运行安全风险和信息设备的安全风险进行监测和分析，并处理一般的安全风险问题，对于重大安全风险问题能够提出整改建议；能够协助相关部门对单位的信息系统进行安全审计和安全事件调查；能够对信息系统和网络安全事件进行关联分析、应急处理，并撰写处理报告；具有工程师的实际工作能力和业务水平。

2．考试要求（1）熟悉信息安全的基本知识；（2）熟悉计算机网络、操作系统、数据库管理系统的基本知识；（3）熟悉密码学的基本知识与应用技术；（4）掌握计算机安全防护与检测技术；（5）掌握网络安全防护与处理技术；（6）熟悉数字水印在版权保护中的应用技术；（7）了解信息安全相关的法律法规、管理规定；（8）了解信息安全标准化知识；（9）了解安全可靠的软硬件平台的基础知识、集成技术和基础应用；（10）了解云计算、物联网、互联网、工业控制、大数据等领域的安全管理、安全技术集成及应用解决方案；（11）熟练阅读和正确理解相关领域的英文资料。

3．考试科目设置（1）信息安全基础知识，考试时间为150 分钟，笔试，选择题；（2）信息安全应用技术，考试时间为150 分钟，笔试，问答题。

二、考试范围考试科目1：信息安全基础知识1．信息安全基本知识1.1 信息安全概念了解网络空间的概念、网络空间安全学科的内涵、网络空间安全学科的主要研究方向与研究内容1.2 信息安全法律法规1.2.1 我国立法与司法现状了解中华人民共和国国家安全法、保密法、网络安全法熟悉中华人民共和国计算机信息系统安全保护条例1.2.2 计算机和网络安全的法规规章熟悉我国《刑法》对计算机犯罪的规定熟悉我国网络与信息安全相关的法律责任1.3 信息安全管理基础1.3.1 信息安全管理制度与政策熟悉我国计算机信息系统等级保护制度了解我国涉及国家秘密的信息系统分级保护制度了解我国密码管理政策了解我国信息安全产品管理政策了解我国互联网信息服务管理政策1.3.2 信息安全风险评估与管理了解风险分析、评估和风险管理的基本知识1.4 信息安全标准化知识1.4.1 熟悉信息安全技术标准的基本知识1.4.2 了解标准化组织1.4.3 信息安全系列标准了解信息安全管理体系标准了解信息安全技术与工程标准1.5 信息安全专业英语阅读信息安全有关英文资料掌握本领域的基本英语词汇2．计算机网络基础知识2.1 计算机网络的体系结构2.2 Internet 协议2.2.1 网络层协议掌握IP、ICMP、OSPF、RIP、ARP 和IGMP协议熟悉BGP 协议2.2.2 传输层协议掌握TCP 和UDP 协议2.2.3 应用层协议掌握DNS、SMTP、POP3、PGP、FTP、HTTP和DHCP 协议3．密码学3.1 密码学的基本概念3.1.1 密码学定义掌握密码的安全目标3.1.2 密码体制掌握密码技术的基本思想掌握基本的密码体制了解密码分析3.1.3 古典密码熟悉古典密码的主要编制方法3.2 分组密码3.2.1 分组密码的概念3.2.2 DES熟悉DES 和3DES 密码算法了解DES 和3DES 的应用3.2.3 AES熟悉AES 密码算法了解AES 密码的应用3.2.4 SM4熟悉SM4 密码算法了解SM4 密码的应用3.2.5 分组密码工作模式熟悉分组密码工作的ECB/CBC/CFB/OFB/CTR模式3.3 序列密码3.3.1 序列密码的概念3.3.2 线性移位寄存器序列熟悉线性移位寄存器序列的概念了解线性移位寄存器序列的应用3.3.3 RC4熟悉RC4 密码算法了解RC4 密码的应用3.3.4 ZUC熟悉ZUC 密码了解ZUC 密码的应用3.4 Hash 函数3.4.1 Hash 函数的概念掌握Hash 函数的概念熟悉Hash 函数的应用3.4.2 SHA 算法了解SHA 算法系列了解SHA 算法的安全性3.4.3 SM3 算法熟悉SM3 算法了解SM3 算法的应用3.4.4 HMAC熟悉消息认证码的概念及应用熟悉使用HMAC 的消息认证码熟悉基于SM3 的HMAC3.5 公钥密码体制3.5.1 公钥密码的概念3.5.2 RSA 密码熟悉RSA 密码算法了解RSA 密码的特点与应用3.5.3 ElGamal 密码熟悉ElGamal 密码算法了解ElGamal 密码的特点与应用3.5.4 椭圆曲线密码了解椭圆曲线的概念了解椭圆曲线上的ElGamal 密码体制3.5.5 SM2 椭圆曲线公钥加密算法了解SM2 椭圆曲线公钥加密算法、特点和应用3.6 数字签名3.6.1 数字签名的概念掌握数字签名的概念和应用3.6.2 典型数字签名体制熟悉RSA 签名算法熟悉ElGamal 签名算法了解椭圆曲线密码数字签名3.6.3 SM2 椭圆曲线数字签名算法了解SM2 椭圆曲线数字签名算法和应用3.7 认证3.7.1 认证的概念3.7.2 身份认证熟悉口令和指纹识别3.7.3 报文认证熟悉报文源和报文宿的认证熟悉报文内容的认证3.8 密钥管理3.8.1 密钥管理的概念3.8.2 对称密码的密钥管理熟悉对称密钥的生成、分发和存储3.8.3 非对称密码的密钥管理熟悉非对称密钥的生成熟悉公钥基础设施（PKI）熟悉公钥证书4．网络安全4.1 网络安全的基本概念熟悉基本安全属性了解网络安全事件了解影响网络安全的因素4.2 网络安全威胁4.2.1 威胁来源和种类了解网络安全威胁的来源了解网络安全的基本攻击面熟悉网络监听熟悉口令破解熟悉网络钓鱼熟悉网络欺骗了解社会工程熟悉漏洞攻击熟悉恶意代码攻击（僵尸网络）了解供应链攻击4.2.2 网站安全威胁熟悉SQL 注入攻击熟悉XSS熟悉CSRF熟悉目录遍历威胁了解文件上传威胁4.2.3 无线网络安全威胁了解无线网络安全威胁的来源熟悉无线网络安全的基本攻击面4.3 网络安全防御4.3.1 网络安全防御原则了解最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则等4.3.2 基本防御技术熟悉防火墙技术熟悉入侵检测技术熟悉VPN 技术熟悉网络容错技术熟悉安全漏洞扫描技术了解网络蜜罐技术了解匿名网络4.3.3 安全协议熟悉IPSec 协议、SSL 协议、PGP 协议、TLS 协议、IEEE802.1x 协议、RADIUS 协议、Kerberos协议、X.509 协议、S/MIME 协议、SSH 协议等4.4 无线网络安全4.4.1 无线网络基本知识了解无线广域网、无线城域网、无线局域网和无线个域网概念了解无线传感器网络概念了解无线网状网概念4.4.2 无线网络安全威胁及分析了解无线网络安全威胁熟悉无线网络安全需求分析熟悉无线网络安全方案设计策略4.4.3 无线网络安全机制熟悉无线公开密钥体系（WPKI）熟悉有线等效保密协议（WEP）熟悉Wi-Fi 网络安全接入协议（WPA/WPA2）熟悉无线局域网鉴别与保密体系（WAPI）熟悉802.11i 协议了解移动通信系统安全机制了解无线传感器网络安全机制了解无线个域网安全机制5．计算机安全5.1 计算机设备安全5.1.1 计算机安全的定义熟悉计算机安全的属性了解可靠性度量方法5.1.2 计算机系统安全模型与安全方法熟悉系统安全的概念熟悉系统安全策略的基本模型了解系统安全的实现方法5.1.3 电磁泄露和干扰了解电磁泄露检测方法和安全防护了解电磁泄露的处理方法5.1.4 物理安全了解场地安全、设备安全和介质安全5.1.5 计算机的可靠性技术熟悉容错的基本概念了解硬件容错、软件容错和数据容错5.2 操作系统安全5.2.1 操作系统安全基本知识熟悉安全操作系统概念熟悉操作系统安全概念熟悉操作系统的安全性概念5.2.2 操作系统面临的安全威胁5.2.3 安全模型掌握BLP 模型熟悉Biba 模型、Clark-Wilson 模型、RBAC 模型、DTE 模型、BN 模型5.2.4 操作系统的安全机制熟悉标识与鉴别机制熟悉访问控制机制熟悉最小特权管理机制熟悉可信通路机制熟悉安全审计机制熟悉存储保护、运行保护和I/O 保护机制5.2.5 操作系统安全增强的实现方法了解安全操作系统的设计原则、实现方法和一般开发过程了解操作系统的安全增强技术5.3 数据库系统的安全5.3.1 数据库安全的概念5.3.2 数据库安全的发展历程5.3.3 数据库访问控制技术熟悉数据库安全模型熟悉数据库安全策略的实施5.3.4 数据库加密熟悉数据库加密概念熟悉数据库加密技术的基本要求掌握数据库加密技术与访问控制技术的关系5.3.5 多级安全数据库了解安全数据库标准了解多级安全数据库的体系结构5.3.6 数据库的推理控制问题了解推理通道分类、产生的原因和解决手段5.3.7 数据库的备份与恢复熟悉数据库备份了解数据库恢复5.4 恶意代码5.4.1 恶意代码定义与分类掌握恶意代码的定义和特征5.4.2 恶意代码的命名规则了解常用恶意代码前缀解释了解CARO 命名规则5.4.3 计算机病毒掌握计算机病毒的定义和特点熟悉计算机病毒的生命周期和传播途径5.4.4 网络蠕虫掌握网络蠕虫的定义5.4.5 特洛伊木马掌握特洛伊木马的定义熟悉远程控制型木马的连接方式及其特点熟悉远程控制型木马的常见控制功能、具体用途及其自我隐藏方式5.4.6 后门掌握后门的定义5.4.7 其他恶意代码熟悉DDos、Bot、Rootkit、Exploit 黑客攻击程序、简单软件、广告软件的定义5.4.8 恶意代码的清除方法熟悉恶意代码对主机的篡改行为熟悉恶意代码的清除步骤5.4.9 典型反病毒技术熟悉特征值查毒法熟悉校验和技术熟悉启发式扫描、虚拟机技术、行为监控技术、主动防御技术5.5 计算机取证5.5.1 计算机取证的基本概念熟悉计算机取证的定义、作用与目的5.5.2 电子证据及特点熟悉电子证据的定义和特征5.5.3 计算机取证技术熟悉计算机取证步骤熟悉计算机取证分析技术5.6 嵌入式系统安全5.6.1 智能卡安全基础知识掌握智能卡的基本概念了解智能卡相关标准掌握智能卡安全问题与应对策略5.6.2 USB Key 技术掌握USB Key 身份认证原理熟悉USB Key 身份认证的特点掌握USB Key 的安全问题与应对策略5.6.3 移动智能终端了解移动智能终端软硬件系统熟悉移动智能终端面临的安全问题及解决途径5.6.4 熟悉工控系统安全问题及解决途径5.7 云计算安全5.7.1 云计算安全基础知识掌握云计算的基本概念了解云计算的SPI 模型了解云计算面临的信息安全威胁掌握云计算安全的基本概念熟悉云计算安全的相关标准5.7.2 IaaS 层安全技术掌握虚拟机监控器的概念了解虚拟机监控器和虚拟机实例的安全风险及相关安全技术熟悉虚拟网络的安全熟悉数据存储的安全5.7.3 PaaS 层安全技术掌握容器的概念了解容器安全技术5.7.4 SaaS 层安全技术掌握多租户的概念了解应用安全隔离技术6．应用系统安全6.1 Web 安全6.1.1 Web 安全威胁掌握Web 安全概念熟悉Web 安全分类6.1.2 Web 安全威胁防护技术熟悉Web 访问安全和Web 内容安全熟悉网页防篡改技术6.2 电子商务安全6.2.1 电子商务安全基础知识熟悉电子商务安全概念、特点和需求6.2.2 电子商务的安全认证体系熟悉身份认证技术和数字证书技术6.2.3 电子商务的安全服务协议了解SET 协议熟悉SSL 协议6.3 信息隐藏6.3.1 信息隐藏基础知识掌握信息隐藏定义、分类和特点熟悉信息隐藏模型了解信息隐藏常用算法（空域算法、Patchwork算法、频域算法、压缩域算法、NEC 算法、生理模型算法）了解信息隐藏技术的发展和应用领域6.3.2 数字水印技术掌握数字水印概念熟悉数字水印的基本原理、分类及模型了解数字水印常用实现方法与算法了解视频水印概念了解数字水印攻击方法和对抗策略6.4 网络舆情6.4.1 网络舆情的基本概念掌握网络舆情的定义和意义熟悉网络舆情的表现方式和特点6.4.2 网络舆情的基本技术熟悉网络舆情的诱发因素、监测技术和预警措施6.5 隐私保护6.5.1 隐私保护基础知识掌握隐私保护的基本概念了解隐私保护目标熟悉隐私泄露方式6.5.2 数据挖掘和隐私保护了解数据挖掘与隐私保护的关系6.5.3 隐私度量与评估标准了解隐私的度量方法了解隐私保护算法的评估标准考试科目2：信息安全应用技术1．密码学应用1.1 密码算法的实现了解DES/3DES 密码算法的软件实现了解AES 密码算法的软件实现了解SM4 密码算法的软件实现了解RC4 密码算法的软件实现了解SM3 算法的软件实现了解HMAC 算法的软件实现1.2 密码算法的应用1.2.1 典型密码算法的应用熟悉数据加密的基本方法熟悉文件加密的基本方法熟悉通信加密的基本方法1.2.2 分组密码工作模式熟悉分组密码工作的ECB/CBC/CFB/OFB/CTR模式熟悉填充法1.2.3 公钥密码应用熟悉公钥密码的加密应用了解SM2 公钥密码在加密和数字签名方面的应用熟悉数字签名的应用1.3 认证协议的应用1.3.1 身份认证掌握安全口令技术1.3.2 典型认证协议的应用熟悉站点认证技术熟悉报文源和报文宿的认证技术熟悉报文内容的认证技术熟悉消息认证码的应用1.4 密钥管理技术熟悉对称密码会话密钥的产生和分发掌握公钥基础设施和数字证书的应用2．网络安全工程2.1 网络安全需求分析与基本设计熟悉网络安全需求分析熟悉网络安全设计原则2.2 网络安全产品的配置与使用2.2.1 网络流量监控和协议分析熟悉网络流量监控的工作原理掌握网络协议分析工具的基本配置2.2.2 网闸的配置与使用熟悉安全网闸的工作原理掌握安全网闸的基本配置掌握安全网闸的功能配置与使用2.2.3 防火墙的配置与使用熟悉防火墙的工作原理掌握防火墙的基本配置熟悉防火墙的策略配置2.2.4 入侵检测系统的配置与使用熟悉入侵检测系统的工作原理掌握入侵检测系统的基本配置熟悉入侵检测系统的签名库配置与管理2.3 网络安全风险评估实施2.3.1 基本原则与流程熟悉基本原则和基本流程2.3.2 识别阶段工作熟悉资产识别熟悉威胁识别熟悉脆弱性识别2.3.3 风险分析阶段工作熟悉风险分析模型熟悉风险计算方法熟悉风险分析与评价熟悉风险评估报告2.3.4 风险处置熟悉风险处置原则熟悉风险整改建议2.4 网络安全防护技术的应用2.4.1 网络安全漏洞扫描技术及应用熟悉网络安全漏洞扫描的工作原理熟悉网络安全漏洞扫描器分类掌握网络安全漏洞扫描器的应用熟悉网络安全漏洞的防御2.4.2 VPN 技术及应用熟悉基于虚拟电路的VPN熟悉应用层VPN熟悉基于隧道协议的VPN熟悉基于MPLS 的VPN2.4.3 网络容灾备份技术及应用熟悉网络容灾备份系统的工作原理熟悉网络容灾备份系统的分类掌握网络容灾备份系统的应用2.4.4 日志分析熟悉日志分析的基本原理掌握日志分析方法掌握日志分析应用3．系统安全工程3.1 访问控制3.1.1 访问控制技术掌握基于角色的访问控制技术熟悉Kerberos 协议3.1.2 身份认证技术熟悉口令猜测技术了解常用网站口令强度分析技术3.2 信息系统安全的需求分析与设计3.2.1 信息系统安全需求分析熟悉信息系统安全需求熟悉安全信息系统的构建过程3.2.2 信息系统安全的设计熟悉信息系统安全体系掌握信息系统安全的开发构建过程和设计方法3.3 信息系统安全产品的配置与使用3.3.1 Windows 系统安全配置熟悉用户管理配置、系统管理配置和网络管理配置3.3.2 Linux 系统安全配置熟悉用户管理配置、系统管理配置和网络管理配置3.3.3 数据库的安全配置熟悉用户管理配置熟悉数据库管理配置3.4 信息系统安全测评3.4.1 信息系统安全测评的基础与原则熟悉信息系统安全测评的内容熟悉信息系统安全测评的基本原则熟悉信息系统安全的分级原则3.4.2 信息系统安全测评方法熟悉模糊测试熟悉代码审计3.4.3 信息系统安全测评过程熟悉测评流程熟悉安全评估阶段、安全认证阶段和认证监督阶段的工作内容4．应用安全工程4.1 Web 安全的需求分析与基本设计4.1.1 Web 安全威胁熟悉OWASP Top 10 Web 安全分类4.1.2 Web 安全威胁防护技术掌握注入漏洞防护技术掌握失效的身份认证和会话管理防护技术掌握跨站脚本（XSS）防护技术熟悉其余常见Web 安全威胁防护技术4.2 电子商务安全的需求分析与基本设计熟悉电子商务系统的体系架构熟悉电子商务系统的需求分析熟悉电子商务系统的常用安全架构掌握电子商务系统的常用安全技术4.3 嵌入式系统的安全应用4.3.1 嵌入式系统的软件开发熟悉嵌入式的交叉编译环境配置方法了解嵌入式C 语言的编程方法和编译方法熟悉IC 卡的安全配置和应用4.3.2 移动智能终端掌握移动智能终端的主流OS 的安全防护和配置方法掌握移动智能终端应用安全4.4 数字水印在版权保护中的应用熟悉数字版权保护系统的需求分析熟悉基于数字水印的数字版权保护系统体系架构掌握数字版权保护系统的常用数字水印技术了解数字版权保护系统的技术标准4.5 位置隐私保护技术的应用4.5.1 位置隐私安全威胁熟悉位置隐私保护的需求分析了解位置隐私保护的体系架构掌握位置隐私保护的常用方法4.5.2 位置隐私k-匿名模型的算法和应用了解基于空间划分的匿名算法了解基于Hilbert 值的k-匿名算法了解基于用户位置的动态匿名算法三、题型举例（一）选择题BLP 模型的设计目标是解决信息系统资源的_（1）__保护。

需求规格说明书XXX公司1引言1.1编写目的本规格说明书的目的在于阐明上海市技交所《联合国中小企业技术网—中国门户》的各项需求。

本规格说明书为编制如下文档提供基本依据：⏹“软件概要设计说明书”；⏹“软件开发计划”；⏹“软件详细设计说明书”；⏹“软件测试计划”；⏹“软件测试说明书”；⏹“软件操作手册”；⏹“系统安装手册”；⏹“系统运行维护手册”；本规格说明书与“软件详细设计规格说明书”一起，为编程、单元测试、组件测试、软件集成测试以及日后系统维护工作提供基本依据；本规格说明书为编制其它有关文件提供基本依据；本规格说明书为软件质量保证人员提供工作依据；本规格说明书将作为日后软件确认测试和系统验收之准则；本需求规格说明书作为项目合同的附件之一，是双方组成的项目组进行工作的基础性文件；本需求规格说明书由甲乙双方签字并加盖公章后方可生效,协议内容如需修改，应由合作双方协商一致，并签字盖章。

任何一方不可单独修改。

1.2项目背景在经济全球化和国际技术合作的大背景下，上海技术交易网与联合国亚太技术转化中心开展了深入的合作。

联合国中小企业技术网—中国门户网站作为面向中小企业、创业团队、技术投资等客户服务的专业门户，在服务模式、客户资源、经营理念方面有较强的优势。

上海技术交易所拥有得天独厚的门户网站资源。

由于联合国中小企业技术网—中国门户网站在科学技术创新体系中的重要作用，完全可以建设成为一个面向中小企业的技术创新服务门户。

1.3适用对象及范围本规格说明书的内容涵盖了多媒体导读系统的硬件需求、软件需求和网络需求。

本规格说明书的使用者包括：♦项目管理人员；♦软件设计人员；♦软件编程人员；♦软件测试人员；♦软件质量控制人员；♦软件维护人员。

1.4关键词上海技术交易所门户网站1.5参考标准[1]GB8566-88计算机软件开发规范，中国标准出版社出版。

[2]GB8567-88计算机软件产品开发文件编制指南,中国标准出版社。

河南理工大学办公软件正版化政府采购合同书合同备案编号：HPU政采-2018-A- 003政府采购编号：豫财单一采购-2017-643供方：北京金智华教科技有限公司签约时间：2018年1月16日需方：河南理工大学签约地点：焦作供、需双方依据国泰信华工程咨询有限公司签发的豫财单一采购[采购编中标通知书，根据《中华人民共和国合同法》等有关规定以及需方采购文件和供方投标文件的内容，供需双方经友好协商，现达成以下条款：一、合同标的与价款本合同所指货物为办公软件正版化（主要技术参数及配置见附件一、附件二），合同总价款为人民币）（含税）。

二、货物质量要求与售后服务要求供方应保证货物是全新、未使用过的，并完全符合强制性的国家技术质量规范和本合同附件一与附件二规定的质量、规格、性能及技术规范等要求。

售后服务要求按采购文件及投标文件相应条款执行（详见附件三）。

三、合同履行的地点及进度合同签字盖章生效后，供方应于2018年1 月17日前将合同条款中的全部货物运送到河南理工大学现教中心指定地点，并于2018年1月20日前按需方要求完成货物的安装、调试和人员培训，所发生的费用由供方负责。

需方应在货物到达指定地点后，提供符合安装条件的场地、电源、环境等。

四、技术资料合同生效后7天之内，供方应将每套货物的中文技术资料一套（如目录索引、操作手册、使用指南、维修指南（或）服务手册）寄给需方。

另外一套完整的上述资料供方应包装好随同每批货物装箱发运。

五、使用合同文件和资料事先未经需方书面同意，供方不得将由需方或代表需方提供的有关合同或任何合同条文、规格、计划、模型等提供给与履行本合同无关的任何其他人。

即使向与履行本合同有关的人员提供，也应注意保密并限于履行合同所必需的范围。

六、检验和测试货物抵达目的地后，由需方对货物的质量、规格、数量和重量进行检验，如果发现规格、数量或两者有与合同规定不一致的地方；或对成套货物安装调试、人员培训有异议的；或证实货物是有缺陷的，包括潜在的缺陷或使用不符合要求的材料等，需方应尽快以书面形式通知供方。