信息化应用系统功能测评记录(一)

EHR 操作标准目录总则 (5)第一章组织架构维护标准 (6)一、部门性质划分标准 (6)二、部门所属子公司划分标准 (7)三、部门编码标准 (7)四、维护时效 (8)第二章岗位信息维护标准 (8)一、基准岗位标准 (8)二、引用岗位标准 (9)三、岗位职等选择标准 (9)四、维护时效 (10)第三章招聘模块录入标准 (10)一、招聘模块重要说明 (10)二、应聘人员录入标准 (11)三、录用管理和报到管理 (11)四、维护时效 (12)第四章调配/离职模块操作标准 (12)一、人员调配模块操作标准 (12)二、调配模块维护时效 (13)三、人员离职模块操作标准 (13)四、离职模块维护时效 (14)第五章返聘的原则和标准 (14)一、符合返聘资格的人员 (14)二、返聘前资料准备 (14)三、返聘操作标准 (14)四、维护时效 (15)第六章合同管理模块标准 (15)一、劳动合同签订 (15)二、劳动合同续签 (15)三、劳动合同变更、解除、终止 (16)四、劳动合同修正 (16)五、维护时效及其他 (16)第七章薪酬管理模块标准 (16)一、薪资部门维护标准 (16)二、定调资管理标准 (16)1.定调资申请节点 (16)2.定调资审批节点 (17)三、薪资档案维护要求 (18)四、薪资相关员工自助操作要求 (18)第七章培训模块的操作标准 (18)一、讲师管理模块的操作标准 (18)二、培训课程和培训资料维护标准 (18)三、培训活动维护标准 (19)1.培训活动申请维护标准 (19)2.培训活动档案维护标准 (19)第八章工伤管理模块的维护 (20)一.工伤管理模块的维护 (20)第九章人员信息维护标准 (20)一.人员信息维护标准 (20)总则一、本操作标准手册是根据德邦物流股份有限公司及其所属子公司的人事相关操作规范，结合EHR 系统本身特性，所制定的各个模块的详细标准。

二、本操作标准手册自发布之日起生效，在此之前所有与本操作标准手册不相符的相关规范和标准均以本手册为准。

1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现； 2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。

1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性；3)应用系统不存在密码为空的用户。

b)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）；手工检查：1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。

用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。

c)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处访谈： 1）访谈应用系统管理员，询问应用系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）；手工检查： 1）以弱口令用户注册，验证其用1)应用系统配备身份标识（如建立帐号）和鉴别（如口令等）功能；其身份鉴别信息具有不易被冒用的特点，规定字符混有大、小写字母、数字和特殊字符）；2)以不符合复杂度要求和不符合长度要求理，如登录失败处理、登录连接超时等。

户是否注册成功。

的口令创建用户时均提示失败。

d)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

一、单选题（20分）1、下列不属于网络安全测试范畴的是？（）A、结构安全B、边界完整性检查C、剩余信息保护D、网络设备防护2、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个？（）A、exec-timeout 10 0B、exec-timeout 0 10C、idle-timeout 10 0D、idle-timeout 0 103、如下两条访问控制列表：access-list 1 permit 10、110、10、1 0、0、255、255access-list 2 permit 10、110、100、100 0、0、255、255这两条控制列表所控制的地址范围关系是？（）A、1 和2 的范围相同B、1 的范围在2 的范围内C、2 的范围在1的范围内D、1 和2 的范围没有关系4、下列关于安全审计的内容说法中错误的是？（）A、应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。

B、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

C、应能根据记录数据进行分析，并生成报表。

D、为了节约存储空间，审计记录可以随意删除、修改或覆盖。

5、渗透测试（工具测试中）那种方式用于发现测试目标？（）A、网络扫描B、操作系统扫描C、端口扫描D、漏洞扫描6、Oracle数据库中，以下哪条命令可以删除整个表中的数据，并且无法回滚？（）A、DropB、DeleteC、TruncateD、Cascade7、下面哪个不是生成树的优点？（）A、生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接B、生成树可以防止环路的产生C、生成树可以防止广播风暴D、生成树能够节省网络带宽8、关于防火墙的功能，以下哪个描述描述是错误的？（）A、防火墙可以检查进出内部网的通信量B、防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能C、防火墙可以使用过滤技术在网络层对数据包进行选择D、防火墙可以阻止来自内部的威胁和攻击9、拒绝服务攻击的后果是？（）A.服务不可用B.应用程序及信息不可用C.系统宕机、正常通信被阻止D.上面几项都是10、以下哪种方式为非法用户利用合法用户的身份，访问系统资源？（）A、身份假冒B、信息窃取C、数据篡改D、越权访问11、linux主机系统中以下说法不正确的是？（）A.PASS_MAX_DAYS 90 是指登陆密码有效期为90天。

信息化应用系统功能测评记录综合评价结论/备注
施工单位检测调试负责人
监理（建设）单位施工单位
本工程的信息化应用系统共计个；实际检测系统共计个，其分别为：
与检测(调试)、验收相关
的设计文件(图)/产品技
术文件(图)的名称及编号
测试计量器具（仪表、仪器）及其附属设备（器具）的名称/型号、规格/量程/分辨精度/出厂编号/制造 厂商/其他要素：测试内容（项目）及方法、规范（或设计）要求
检测调试说明：
质量验收依据
文件名称及编号
检测日期
年 月 日至 年 月 日分部/子分部/分项
（系统/子系统）
施工部位新验收部位1施工依据文件名称及编号
最小/实际抽样数量GD-C4-6525
001
单位（子单位）工程名称
工程1施工单位
检验批编号
专业工长专业质检员施工班组长 项目专业监理工程师
（建设单位项目专业负责人）：。