【正文】 系統(tǒng)軟件、應用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源，需要對系統(tǒng)軟件和應用軟件進行入侵行為的防范，并進行實時的監(jiān)控管理，同時，對系統(tǒng)使用的資源進行管理控制來解決過度使用帶來的安全問題；216。 攻擊者否認自己的操作行為，需要采取抗抵賴性措施，以及通過加強網(wǎng)絡安全審計以及軟件應用系統(tǒng)的自身的安全審計來解決抵賴行為帶來的安全問題；216。 攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡、操作系統(tǒng)或應用系統(tǒng)進行攻擊，需通過惡意代碼防護、網(wǎng)絡入侵檢測、身份鑒別、訪問控制、控制臺審計等技術(shù)手段解決。需通過安全審計、數(shù)據(jù)備份和恢復等技術(shù)手段解決；216。需通過惡意代碼防范技術(shù)手段解決；216。 攻擊者利用網(wǎng)絡擴散病毒，需通過惡意代碼方法、控制臺審計等技術(shù)手段解決；216。l 系統(tǒng)威脅及需求，包括但不限于以下方面：216。 攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性，需要通過控制臺審計、惡意代碼防范、國密辦認證的算法及協(xié)議產(chǎn)品；216。 攻擊者利用網(wǎng)絡協(xié)議存在的漏洞進行可躲避檢測的攻擊（如碎片重組，協(xié)議端口重定位等），需通過網(wǎng)絡入侵檢測、防病毒系統(tǒng)、控制臺審計、訪問控制等技術(shù)手段解決；216。 攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具，惡意地消耗網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源，導致拒絕服務，需要通過主機資源優(yōu)化、網(wǎng)絡入侵檢測與防范、網(wǎng)絡結(jié)構(gòu)調(diào)整與優(yōu)化等技術(shù)手段解決；216。 網(wǎng)絡設計不合理，需要通過優(yōu)化設計、安全域改造完成；216。l 網(wǎng)絡威脅及需求，包括但不限于以下方面：216。216。 攻擊者采用在通信線纜上搭接或切斷等導致線路不可用，需要通過采取物理訪問控制策略、實施防盜竊和防破壞等控制措施，建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理來解決在通信線纜上搭接或切斷等導致線路不可用帶來的安全問題；216。 網(wǎng)絡設備、系統(tǒng)設備及其他設備使用時間過長或質(zhì)量問題等導致硬件故障，需要通過對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗收進行管理，網(wǎng)絡設備、系統(tǒng)設備存放的環(huán)境進行管理，對存儲介質(zhì)進行管理，對網(wǎng)絡和系統(tǒng)設備以及其他設備進行管理，建立一套監(jiān)控管理體系，建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理，通過上述措施來解決網(wǎng)絡設備、系統(tǒng)設備及其他設備使用時間過長或質(zhì)量問題等導致硬件故障帶來的安全問題；216。 線路老化等原因?qū)е峦ㄐ啪€路損壞或傳輸質(zhì)量下降，需要通過采取對網(wǎng)絡進行安全管理，對網(wǎng)絡通信線路的傳輸能力進行必要的監(jiān)控，以及建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理來解決因線路老化等原因?qū)е峦ㄐ啪€路損壞或傳輸質(zhì)量下降帶來的安全問題；216。 靜電、設備寄生耦合干擾和外界電磁干擾，需要采取防靜電和電磁防護措施來解決靜電、設備寄生耦合干擾和外界電磁干擾帶來的安全威脅；216。 電壓波動，需要合理設計電力供應系統(tǒng)，同時，建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理來解決因電壓波動帶來的安全威脅；216。 水患和火災等災害，需要采取防水、防潮、防火措施、建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理，來解決水患和火災等威脅帶來的安全威脅；216。 硬件系統(tǒng)基本安全需求l 物理威脅及需求，包括但不限于以下方面：216。 應對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；216。 應限制單個用戶的多重并發(fā)會話；216。 有自動保護能力，當故障發(fā)生時，自動保護當前所有狀態(tài)。 對通過人機接口方式進行的操作提供“回退”功能，即允許按照操作的序列進行回退；216。l 軟件容錯層面需求，包括但不限于以下方面：216。 為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具（如對審計記錄進行分類、排序、查詢、統(tǒng)計、分析和組合查詢等），并能根據(jù)需要生成審計報表；216。 安全審計應記錄應用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；216。 應實現(xiàn)應用系統(tǒng)特權(quán)用戶的權(quán)限分離（如將系統(tǒng)管理員、安全員和審計員的權(quán)限分離），權(quán)限之間確保相互制約（如系統(tǒng)管理員、安全管理員等不能對審計日志進行管理，安全審計員不能管理審計功能的開啟、關(guān)閉、刪除等重要事件的審計日志等）。 系統(tǒng)應能夠提供訪問控制機制，實現(xiàn)依據(jù)安全策略控制用戶對客體（如文件和數(shù)據(jù)庫中的數(shù)據(jù)）的訪問；216。 具有抵抗?jié)B透性測試的能力，如通過暴力破解或其他手段進入系統(tǒng)，或?qū)EB系統(tǒng)采用SQL注入等繞過身份鑒別的方法。 具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；216。 安全設計需求分析及評估 應用系統(tǒng)基本安全需求l 身份鑒別層面需求，包括但不限于以下方面：216。系統(tǒng)服務安全等級的確定依據(jù)AAAAA公司的BBBBB系統(tǒng)受到破壞時所侵害的客體以及侵害程度，確定系統(tǒng)服務安全等級為二級。系統(tǒng)服務受到破壞時所侵害客體的確定AAAAA公司的BBBBB系統(tǒng)受到破壞侵害后，所侵害的客體是社會秩序和公民利益。業(yè)務信息安全等級的確定依據(jù)信息受到破壞時所侵害的客體以及侵害程度，AAAAA公司的BBBBB系統(tǒng)信息安全等級定為二級。業(yè)務信息受到破壞時所侵害客體的確定AAAAA公司的BBBBB系統(tǒng)受到破壞后，所侵害的客體是社會秩序和公民的合法權(quán)益。建設全市出租汽車電子準營證系統(tǒng)。l 在使用應用系統(tǒng)時，必須遵守應用系統(tǒng)的權(quán)限管理，不得企圖獲取別人的口令或其它認證方式，不得攻擊內(nèi)部網(wǎng)絡或企圖侵入無權(quán)限的應用系統(tǒng)；l 未經(jīng)授權(quán)，不得向外部網(wǎng)絡傳輸涉密信息及重要信息；第十五章 信息系統(tǒng)建設安全管理制度 系統(tǒng)總體規(guī)劃設計信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者決定，具體如下：（一）業(yè)務信息安全保護等級的確定業(yè)務信息描述建設覆蓋業(yè)戶、從業(yè)人員、營運車輛、營業(yè)場所、線路、額度、維保場、運價、設施、票據(jù)等的上海市城市交通運輸管理數(shù)據(jù)庫，包括軌道交通行業(yè)數(shù)據(jù)庫、公交行業(yè)數(shù)據(jù)庫、出租行業(yè)數(shù)據(jù)庫、省際客運行業(yè)數(shù)據(jù)庫、道路貨運行業(yè)數(shù)據(jù)庫、汽修行業(yè)數(shù)據(jù)庫、駕培行業(yè)數(shù)據(jù)庫、公共停車行業(yè)數(shù)據(jù)庫和道路清障救援牽引行業(yè)數(shù)據(jù)庫等，為綜合管理、公共服務和行業(yè)發(fā)展的決策支持提供數(shù)據(jù)支撐。同時，電子郵件系統(tǒng)不是被用來存儲重要信息的，管理員保留對電子郵件服務器中儲存的信息定期維護的權(quán)利；l 對涉及重要信息的電子文件，應當設置口令；l 不得共享或透露個人用戶名和口令，不得將內(nèi)部用戶名和口令借與外單位人員登錄AAAAA公司應用系統(tǒng)；l 不得傳播任何非法的、騷擾性的、中傷他人的、辱罵性的、恐嚇性的、傷害性的、淫穢的等信息數(shù)據(jù)；l 不準傳播任何教唆他人構(gòu)成犯罪行為的信息數(shù)據(jù)；l 不得傳輸助長國家不利因素、涉及國家安全，以及任何不符合國家法律、法規(guī)、規(guī)章的信息數(shù)據(jù)；l 未經(jīng)許可不得非法進入其他的郵件系統(tǒng)；l 不得盜用他人的郵件帳號；l 不得隨意在自己的計算機內(nèi)設置共享目錄，如確有必要，必須設置口令保護，并在共享完畢后立即取消共享功能；l 工作人員不得隨意安全軟件，所有相關(guān)軟件都必須由XXXXX人員安裝，并由信息安全中心人員確認無安全危害；l 非XXXXX人員不得隨意拆卸計算機設備，更改計算機系統(tǒng)配置。對于不能確定是否為涉密信息或重要信息的，在對外披露時，必須征得安全責任人的同意；l 工作人員必須遵守“AAAAA公司”制定并下發(fā)的安全保密管理體系；l 工作人員必須了解安全事件處理流程，并能遵守和使用；l XXXXX有權(quán)對工作人員的計算機設備定期審查；l 工作人員登錄或使用AAAAA公司核心網(wǎng)絡和系統(tǒng)的所有操作，都將被記錄形成日志備查；l 對于自己的計算機必須設置開機口令（所有計算機在使用之前必須修改由廠商所設置的原始口令）；若懷疑口令泄露或經(jīng)過廠商維修后必須修改口令；l 當離開計算機時，必須激活帶口令的屏幕保護程序，或?qū)⑾到y(tǒng)鎖定，或返回登錄狀態(tài)，或關(guān)機；l 設置的任何口令，必須是字母、數(shù)字和符號組合，且不少于8位。 外來人員信息安全管理l 外來人員來本單位訪問、參觀時，應對其進行信息安全意識教育，確保其理解和遵守訪問、參觀時應注意的信息安全規(guī)定；l 外來人員訪問受控區(qū)域時應提交書面申請，并在批準后由機房管理員陪同并登記備案；（見附39）l 各單位（部門）應要求外部方根據(jù)制度要求，對其人員進行安全職責的宣傳和教育，確保外來人員理解其應擔負的安全責任和義務；l 各單位（部門）應按照有關(guān)信息安全管理規(guī)定以及制度要求，對所有外來人員進行監(jiān)督和檢查，并就安全違規(guī)情況按管理制度條款中的要求進行處理；第十四章 工作人員安全守則 工作人員安全守則l 保護信息資產(chǎn)的安全是每位工作人員的責任。 離職后信息安全職責的追蹤和管理l 離職人員應明確其離職后仍需擔負的安全責任和義務，以及違反安全責任和義務所引發(fā)的后果；l 如發(fā)生有離職人員違反其應負的安全責任，按照有關(guān)規(guī)定和離職保密承諾書（見附37）追究其法律責任；第十三章 外來人員管理制度 第三方人員安全管理第三方人員主要為與我委有業(yè)務往來的外單位人員，如項目相關(guān)單位、服務商單位等相關(guān)人員。相關(guān)單位（部門）應與離崗人員進行離崗交接，并做好記錄（見附36）；l 離崗人員應就其涉及到的專利、技術(shù)文檔等及時向所在單位（部門）上交；l 人員在離崗時，應對正在實施的項目中的相關(guān)信息形成文檔并提交給相關(guān)單位（部門），進行項目交接。職責一般包括：l 歸還資產(chǎn)方面各相關(guān)單位（部門）的職責；l 撤銷訪問權(quán)方面各相關(guān)單位（部門）的職責；l 崗位人員變動方面各相關(guān)單位（部門）的職責；l 離開崗位后還應承擔的責任，如保密限制等。并對培訓內(nèi)容進行考核（見附33）并記錄（見附34）；第十二章 人員離崗管理制度 人員離崗離職安全管理離職人員應當提出辭職書面申請，并填寫《人員離崗/職審批表》（見附36）一式二份，經(jīng)其所在部門、信息安全小組逐級審核通過方可辦理離職手續(xù)。不斷的提高信息安全防范意識；l 年初由組織統(tǒng)一制定全年的安全意識教育和培訓計劃；統(tǒng)一發(fā)布至各部門，并在組織年內(nèi)具體落實；（見附32）l 每半年舉行一次信息安全培訓，培訓對象包括AAAAA公司所有員工；l 培訓內(nèi)容包括信息安全基礎、信息安全崗位操作流程等；對于新錄用的員工，需要單獨進行安全培訓；l 培訓手段多樣化，包括講座、觀看影視資料、學習信息安全材料等。l 對于考核不合格人員進行補充安全教育，如超過兩次不合格者將采用一定程度處罰措施，情節(jié)嚴重者將嚴肅處理。 信息安全違規(guī)紀律處理l 對于信息安全事故和在信息安全檢查中發(fā)現(xiàn)的違規(guī)行為，由根據(jù)有關(guān)考核規(guī)定對該人員進行處罰；l 對于情節(jié)特別嚴重的違規(guī)行為，需向全體人員進行通報和宣傳，避免同類問題再次發(fā)生。 人員錄用和上崗安全管理l 指定或授權(quán)專門的部門或人員負責人員錄用，每位入崗人員都必須如實填寫個人相關(guān)情況（見附23）；l 嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行審核（見附24）；l 崗位人員在任用之前應簽署保密協(xié)議（見附22）；l 從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議；（見附25）l 各單位（部門）應通過教育和培訓活動，確保本單位（部門）員工、外來人員在上崗前，理解其崗位信息安全角色和職責；l 各單位（部門）應確保在針對本單位員工的崗前培訓中，包括信息安全管理體系和相關(guān)管理制度、崗位信息安全職責等信息安全相關(guān)的內(nèi)容。 保密協(xié)議根據(jù)崗位安全職責，對重要崗位制定相應的保密協(xié)議。如交流與合作內(nèi)容比較正式，且有正式的會議形式，則需要由XXXXX做好會議記錄工作（詳見附20），會議記錄的模板可用信息安全例會的模板代替，但會議主題需注明為“合作溝通”。如交流與合作內(nèi)容比較正式，且有正式的會議形式，則需要由XXXXX做好會議記錄工作，會議記錄的模板可用信息安全例會的模板代替，但會議主題需注明為“合作溝通”。高層信息安全例會的另一重要內(nèi)容是就信息安全管理體系的各項管理制度，根據(jù)運行中發(fā)現(xiàn)的問題，及時進行調(diào)整和部署，不斷完善信息安全管理體系。在發(fā)生大范圍的信息安全事件、有重大信息安全事件發(fā)生、或者有重大信息系統(tǒng)建設項目時，如有必要，由信息安全領(lǐng)導小組發(fā)起，或者由信息安全工作小組提議，由信息安全領(lǐng)導小組發(fā)起高層信息安全領(lǐng)導小組會議，通知相關(guān)人員參加，及時協(xié)調(diào)各方資源，共同協(xié)作，解決相關(guān)問題，或完成各項部署。(三) 遇有工程或項目時，可根據(jù)工程和項目進度情況或者工程和項目的需要隨時召開信息安全例會，且可不拘泥于信息安全工作小組范圍，可召集相關(guān)的合作單位、合作方、內(nèi)部相關(guān)部門的相關(guān)人員一起參加信息安全例會，并由XXXXX做好例會的記錄工作。在發(fā)生小范圍內(nèi)信息安全事件時如需要，信息安全工作小組可隨時召集發(fā)起信息安全工作會議，通知相關(guān)人員參加，就信息安全管理各項制度和執(zhí)行情況做出及時調(diào)整和部署。5） 辦公設備管理a) 辦公設備屬公司國家財產(chǎn)，主要包括辦公桌椅、電腦及電腦的各種組件、電腦軟件、網(wǎng)絡設備、打印機、復印機、掃描儀、存儲柜等；b) 辦公設備分配到個人后，使用人須自覺妥善放置和保管，并愛護使用；c) 愛護公共設備設施，不浪費或故意損壞；d) 使用人未能合理使用而造成設備損壞的則需照價賠償；e) 借用公用辦公設備須及時歸還，如有丟失或損壞，由借用人負責照價賠償。f) 離開辦公室應注意關(guān)閉電腦、電燈、空調(diào)、飲水機、打印機、復印機等設備設施電源，并檢查門窗是否關(guān)閉上鎖。4） 辦公行為a) 上班著裝整潔得體。g) 工作人員調(diào)離辦公室應立即交還該辦公室鑰匙h) 不在辦公區(qū)接待來訪人員等2） 個人辦公區(qū)域標準a) 辦公桌椅排放整齊，椅子不得放在走道內(nèi)阻礙通行；b) 桌面上允許擺放的物品包括：電腦、茶杯、常用辦公用品、小飾物（1－2件）及1個月內(nèi)常用資料和工作文件。d) 員工應嚴格遵行《崗位行為規(guī)范》要求。b) 所有區(qū)域應保持清潔衛(wèi)生。對不合適的地方進行修訂，必要時更換新版；l 外來文件由相應的責任部門負責接收和管理。需授權(quán)的審批事項如下：事項類型事項名稱負責人硬件運維