項目名稱處理方案目前版本擬制日期審核日期批準日期公布日期生效日期 陜西xx信息技術有限企業(yè)

修訂歷史記錄 A-增長M-修訂D-刪除變更版本號日期變更類型

（A*M*D）修改人摘要備注-10-5初版建立【模板使用必讀：模板內(nèi)容和頁眉中【】包括內(nèi)容為指導性的待替代文字，請在使用中替代為詳細內(nèi)容，或刪除。文獻提交時不得再具有這些內(nèi)容?！?/p>

目錄第一部分投標商簡介 11 投標函 22 企業(yè)簡介 3 企業(yè)簡介 3 企業(yè)資質(zhì) 4 重要客戶及產(chǎn)品 12 無重大違法狀況申明 13 法人代表授權書 14第二部分項目處理方案 153 項目處理方案書 16 系統(tǒng)方案概述 16 建設原則 16 總體設計方案 18 總體技術設計 19 技術路線 19 總體架構 21 系統(tǒng)運行環(huán)境 25 性能指標 25 系統(tǒng)功能簡介 27 客戶服務系統(tǒng) 28 終端信息展示系統(tǒng) 31 統(tǒng)一管理平臺 33 系統(tǒng)安全性設計與實現(xiàn) 42 總體規(guī)劃 42 設計根據(jù) 42 安全體系架構 43 軟件安全體系設計 454 項目實行方案書 46 成立項目小組 46 項目需求分析 47 應用系統(tǒng)測試方案 47 實行方案 48 驗收方案 48 驗收原則 48 驗收項目 48 交付件 49 驗收原則 49 驗收匯報樣本 51 服務承諾書 535 成功案例 55第三部分設備報價清單 56企業(yè)簡介企業(yè)簡介

企業(yè)資質(zhì)

重要客戶及產(chǎn)品

項目處理方案系統(tǒng)方案概述【從宏觀上對平臺背景、目的及實現(xiàn)意義進行論述】建設原則【對系統(tǒng)建設原則進行設定。例：按照“整體規(guī)劃、分步實行、突出亮點、逐漸完善”的原則逐漸全面推進XXX系統(tǒng)建設工作?？傮w設計方案【根據(jù)建設原則方針論述系統(tǒng)的總體設計方案;包括系統(tǒng)設計思緒及包括的各子系統(tǒng)或模塊的列舉及關系等。】

設計根據(jù)【列出和系統(tǒng)建設有關的遵照的原則】例：中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實行措施中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定計算機信息系統(tǒng)保密管理暫行規(guī)定〔GB/T22080-〕信息技術安全技術信息安全管理體系規(guī)定〔ISO/IEC27001:〕中華人民共和國公安部令（第33號）公安部有關對與國際聯(lián)網(wǎng)的計算機信息系統(tǒng)進行立案工作的告知電子計算機機房設計規(guī)范〔GB50174-93〕遵照《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》、《互聯(lián)網(wǎng)信息服務管理措施》、《消費者權益保護法》及《中華人民共和國廣告法》等有關法律法規(guī)及有關部門規(guī)章遵照安全電子交易(SET)協(xié)議原則進行支付按照《食品安全法》的規(guī)定，食用農(nóng)產(chǎn)品質(zhì)量安全原則國家環(huán)境保護局有機食品發(fā)展中心(OFDC)認證原則國標(GB17859-1999)計算機信息系統(tǒng)安全保護等級劃分準則，系統(tǒng)按第三級規(guī)定進行設計總體架構【給出系統(tǒng)功能構造和系統(tǒng)架構的設計圖，可用下圖進行擴展】技術路線【闡明系統(tǒng)實現(xiàn)的技術路線】系統(tǒng)環(huán)境開發(fā)環(huán)境【列舉出系統(tǒng)開發(fā)所需要的環(huán)境及資源】軟件開發(fā)環(huán)境如下表所示：類別軟件開發(fā)操作系統(tǒng)Windows7Web服務IIS6源代碼管理TFS，SVN數(shù)據(jù)庫服務SQLSERVER重要開發(fā)語言C#、、Object-C瀏覽器IE8重要開發(fā)工具MicrosoftVisualStudio、XCode運行環(huán)境【列舉出系統(tǒng)開發(fā)所需要的環(huán)境及資源】軟件運行環(huán)境如下表所示：類別軟件服務器操作系統(tǒng)WindowsServer,LinuxWeb服務IIS6數(shù)據(jù)庫服務SQLSERVER,MySQL瀏覽器IE8性能指標【對系統(tǒng)性能的設計方案進行闡明，列舉出系統(tǒng)各操作性能指標】例：XXX電子商務平臺數(shù)據(jù)量大，并發(fā)性高，在業(yè)務應用層面上，整體方略采用動態(tài)擴容、分流機制、緩存機制和高速數(shù)據(jù)庫來實現(xiàn)系統(tǒng)的大數(shù)據(jù)量和高并發(fā)能力。整體方略如下圖所示。大數(shù)據(jù)流量并發(fā)處理架構圖

系統(tǒng)安全性總體規(guī)劃安全體系架構實體安全【對于已經(jīng)有自建實體或托管實體的針對其現(xiàn)實狀況進行描述】例：實體安全是信息系統(tǒng)安全的基礎。長安信托數(shù)年來建立并逐漸完善了一套安全的實體環(huán)境，且已經(jīng)有多種系統(tǒng)在此環(huán)境中運行，安全可以保障的?！緦τ跓o實體的客戶推薦阿里云等著名平臺，描述推薦平臺的實體安全】例：實體安全是信息系統(tǒng)安全的基礎。采用阿里云等著名云服務提供商數(shù)年來建立并逐漸完善了一套安全的實體環(huán)境，且已經(jīng)有多種系統(tǒng)在此環(huán)境中運行，安全可以保障的。平臺安全數(shù)據(jù)安全為防止數(shù)據(jù)丟失、瓦解和被非法訪問，系統(tǒng)以顧客需求和數(shù)據(jù)安全實際威脅為根據(jù)，為保障數(shù)據(jù)安全提供如下實行內(nèi)容：介質(zhì)與載體安全保護、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計、數(shù)據(jù)存儲與備份安全。通信安全【對所使用的網(wǎng)絡環(huán)境進行描述】例：為防止系統(tǒng)之間通信的安全脆弱性威脅，系統(tǒng)以網(wǎng)絡通信面臨的實際威脅為根據(jù)，為保障系統(tǒng)之間通信的安全采用的措施有：通信線路和網(wǎng)絡基礎設施安全性測試與優(yōu)化、安裝網(wǎng)絡加密設施、設置通信加密軟件、設置身份鑒別機制、設置并測試安全通道、測試各項網(wǎng)絡協(xié)議運行漏洞。運用VPN技術在公用網(wǎng)絡上建立專用網(wǎng)絡，提供安全的端到端的數(shù)據(jù)通信。應用安全應用安全可保障有關業(yè)務在計算機網(wǎng)絡系統(tǒng)上安全運行，它的脆弱性也許給客戶服務系統(tǒng)帶來致命威脅。系統(tǒng)以業(yè)務運行實際面臨的威脅為根據(jù)，為應用安全提供的評估措施有：業(yè)務軟件的程序安全性測試(Bug分析)、業(yè)務交往的防抵賴測試、業(yè)務資源的訪問控制驗證測試、業(yè)務實體的身份鑒別檢測、業(yè)務現(xiàn)場的備份與恢復機制檢查、業(yè)務數(shù)據(jù)的惟一性/一致性/防沖突檢測、業(yè)務數(shù)據(jù)的保密性測試、業(yè)務系統(tǒng)的可靠性測試、業(yè)務系統(tǒng)的可用性測試。測試實行后，可有針對性地為業(yè)務系統(tǒng)提供安全提議、修復措施、安全方略和安全管理規(guī)范。【針對系統(tǒng)的類型給出常見襲擊的防御手段】ARP欺騙防御ARP欺騙襲擊，是一種襲擊成本很低但影響范圍很大的襲擊手段。為了防御ARP欺騙，我們在網(wǎng)絡出口設置了ARP防火墻，只有使用平臺統(tǒng)一分派的MAC才可以正常通訊，將非法流量阻隔在襲擊者的ECS實例之內(nèi)。未知協(xié)議襲擊防御為了防止異常協(xié)議通訊包流出ECS實例，對其他ECS實例或者網(wǎng)絡設備進行襲擊，我們通過專門的防火墻，對協(xié)議包進行了過濾，只容許TCP/IP協(xié)議棧的合法通訊包進出。DDOS襲擊防御會對ECS實例的網(wǎng)絡流量，并發(fā)連接數(shù)，數(shù)據(jù)包數(shù)量進行監(jiān)控，來識別和應對DDOS襲擊。運行安全運行安全可保障系統(tǒng)的穩(wěn)定性，較長時間內(nèi)將網(wǎng)絡系統(tǒng)的安全控制在一定范圍內(nèi)。系統(tǒng)為運行安全提供的實行措施有：應急處置機制和配套服務、網(wǎng)絡系統(tǒng)安全性監(jiān)測、網(wǎng)絡安全產(chǎn)品運行監(jiān)測、定期檢查和評估、系統(tǒng)升級和補丁提供、跟蹤最新安全漏洞、劫難恢復機制與防止、系統(tǒng)改造管理、網(wǎng)絡安全專業(yè)技術征詢服務。運行安全是一項長期的服務，包括在網(wǎng)絡安全系統(tǒng)工程的售后服務內(nèi)。管理安全管理安全對以上各個層次的安全性提供管理機制，以網(wǎng)絡系統(tǒng)的特點、實際條件和管理規(guī)定為根據(jù)，運用多種安全管理機制，為顧客綜合控制風險、減少損失和消耗，增進安全生產(chǎn)效益。系統(tǒng)為管理安全設置的機制有：人員管理、培訓管理、應用系統(tǒng)管理、軟件管理、設備管理、文檔管理、數(shù)據(jù)管理、操作管理、運行管理、機房管理。軟件安全體系設計風險性分析系統(tǒng)應使用一套與服務器數(shù)據(jù)庫不一樣的顧客權限管理系統(tǒng)，能在顧客管理、權限分級、程序資源等方面提供嚴密的安全保障機制。軟件安全性規(guī)劃及實行系統(tǒng)功能簡介【根據(jù)系統(tǒng)設計按照子系統(tǒng)或模塊進行分類】分類1【對子系統(tǒng)或模塊進行功能闡明，假如是子系統(tǒng)需給出子系統(tǒng)功能構造圖】分類1【假如無子系統(tǒng)，不要包括此級分類，對模塊的闡明在上級分類中描述明確；假如有子系統(tǒng)就在此分類中描述子系統(tǒng)的功能】

項目實行方案項目后，成立新項目小組，根據(jù)客戶項目規(guī)定配置人員（需求分析人員、架構師、開發(fā)人員和項目經(jīng)理）、設備，制定項目計劃、溝通計劃、開發(fā)計劃等，保證新項目有計劃準時上線。成立項目小組【對項目參與的崗位和人員進行描述，重要崗位描述到人，其他描述到人數(shù)即可】項目需求分析在項目組組長制定項目計劃，需求分析師和系統(tǒng)架構師閱讀客戶提供的項目資料，與客戶有關人員進行需求溝通，弄清晰客戶的規(guī)定，重要工作如圖2-1所示。在明確客戶業(yè)務需求和IT需求的狀況下，編寫需求分析闡明書，其內(nèi)容需要得到客戶確實認；對項目開發(fā)以及實行過程中的需求變更進行分析、確認和管理；在項目組內(nèi)部以需求分析闡明書為基礎到達對客戶需求認識的基本一致性，并以此作為項目開發(fā)、實行、培訓和人員配置的基礎資料。應用系統(tǒng)測試方案系統(tǒng)在上線運行之前需要對軟件功能、生產(chǎn)環(huán)節(jié)進行階段測試，測試方案如下表。實行方案【對項目開發(fā)及實行的階段進行描述，需明確描述出系統(tǒng)的開發(fā)階段及各階段的時間節(jié)點及內(nèi)容】在以上各階段假如客戶提出需求變更，項目組進行需求變更分析和確認，之后，在變更波及到的應用系統(tǒng)、生產(chǎn)環(huán)節(jié)和培訓環(huán)節(jié)做出對應的更改。驗收方案驗收原則驗收項目交付件【描述系統(tǒng)的交付件】例：顧客手冊安裝布署闡明書驗收匯報軟件接口規(guī)范安裝盤驗收原則根據(jù)系統(tǒng)開發(fā)協(xié)議中對應的功能列表對系統(tǒng)進行驗收。軟件錯誤的嚴重性等級不能執(zhí)行正常功能或重要功能,或者危及人身安全；嚴重地影響系統(tǒng)規(guī)定或基本功能的實現(xiàn),且沒有措施處理；嚴重地影響系統(tǒng)規(guī)定或基本功能的實現(xiàn),但存在合理的處理措施；使操作者不以便或碰到麻煩,但不影響執(zhí)行正常功能或重要功能；其他錯誤；

錯誤與嚴重性等級對應表1級錯誤的描述這一級別的錯誤一般包括如下內(nèi)容:沒有實現(xiàn)或錯誤地實現(xiàn)重要的功能；業(yè)務流程存在重大隱患；軟件在操作過程中由于軟件自身的原因自動退出系統(tǒng)或出現(xiàn)死機的狀況；軟件在操作過程中由于軟件自身的原因?qū)ο到y(tǒng)或數(shù)據(jù)導致破壞；在既有的軟、硬建設環(huán)境下不能實現(xiàn)應有的功能；特殊軟件在操作過程中也許危及系統(tǒng)和人身安全等。2級錯誤的描述這一級別的錯誤一般包括:沒有實現(xiàn)基本功能，并且不存在替代措施；沒有實現(xiàn)重要功能中的部分功能，并且不存在替代措施；業(yè)務流程銜接錯誤；密鑰以明文方式存儲；沒有留痕功能；顧客的權限分派不合理；在既有的環(huán)境下，不能實現(xiàn)部分功能且沒有替代方案；沒有滿足系統(tǒng)的性能規(guī)定。驗收原則測試用例不通過數(shù)的比例<

%；不存在錯誤等級為1

的錯誤；不存在錯誤等級為2

的錯誤；錯誤等級為3

的錯誤數(shù)量≤

5；所有提交的錯誤都已得到改正；服務承諾書為保證我企業(yè)負責的長安信托客戶服務系統(tǒng)的正常運行和實用，我方將在維護期內(nèi)，按照協(xié)議規(guī)定提供技術支持服務，保障系統(tǒng)的正常運行。技術部記錄跟蹤項目實行中和實行后客戶提出的多種技術問題，并根據(jù)狀況劃分嚴重級別，從而根據(jù)嚴重級別作出對應的服務響應。負責提供對系統(tǒng)進行平常的維護、緊急事件的處理、系統(tǒng)功能的調(diào)整、客戶問題及提議的搜集等服務。服務內(nèi)容及服務原則平常系統(tǒng)維護對系統(tǒng)平常的報錯、異常進行迅速處理服務；提供優(yōu)質(zhì)、快捷的現(xiàn)場及遠程技術支持服務；假如異常和報錯，屬于數(shù)據(jù)錯誤或顧客誤操作，不需要修改程序，保證1個工作日內(nèi)處理問題，并給客戶進行反饋；假如異常和報錯，屬于系統(tǒng)bug，需要修改程序，視工作量2-4個工作日內(nèi)處理問題，并給客戶進行反饋。數(shù)據(jù)備份服務平常運行期間，5-7天