软件项目工作组织及质量保障方案.docx
《软件项目工作组织及质量保障方案.docx》由会员分享,可在线阅读,更多相关《软件项目工作组织及质量保障方案.docx(33页珍藏版)》请在冰豆网上搜索。
软件项目工作组织及质量保障方案
1-软件项目工作组织及质量保障方案
1.1安全保障体系
本项目作为政务信息化支撑平台,信息的安全尤为重要,必须建立一套统一的安全策略、防御体系、监察体系和响应体系,在安全策略的指导下,防御、监察和响应组成一个完整的、动态的安全循环,保证信息资源的安全风险最小。
1.1.1建设目标
安全系统的建设目标是运用系统工程的观点、方法,对平台进行整体、系统的安全性设计,并严格遵循信息安全等级保护三级标准的原则和国家的各种法律法规的要求,为其系统安全、可靠运行提供技术保障支撑.既使系统具备抵御各种攻击的能力,又不能因为安全系统的建立而严重影响系统的整体运行效率,同时还要考虑到系统的投资,根据实际工作需要•设计严谨、合理的安全技术方案。
1.1.2安全体系组成
信息资源安全框架体系一般包括物理安全、网络安全、主机安全、应用安全、数据安全五个安全层次,同时遵循一定的安全策略.并由安全管理和安全服务做支撑,如下图所示:
安全策略
安全标准
1.1.2.1物理安全设计
物理安全主要指系统的周边环境和物理特性,它是整个系统安全的前提。
通常物理安全的隐患多数是由人为因素或自然灾害造成的,对于该层次的安全问题,可通过对网络设施及周边环境进行合理的规划和科学的管理来有效解决。
1.1.2.2网络安全设计
网络安全主要分为设备的安全保护和网络链路的安全防护,主要从网络设备安全、路由安全、接入安全、访问控制和监测、日志记录、业务隔离等方面进行考虑。
配置防火墙,实现安全代理、信息包过滤、内外地址绑定等,防止非授权用户非法访问。
1.1.2.3主机安全设计
主机系统除服务器外还应包括存储系统等应选择安全级别高、可控的操作系统;并且都应该具有身份识别功能,可以对登陆操作系统的用户身份进行识别和区别,对于管理员用户应具有复杂的口令要求和定期更换的制度保证。
1.1.2.4应用安全设计
应用安全主要是对网络应用系统的有效性进行控制,管理和控制什么用户对应用系统功能具有什么权限,其主要功能是防止用户身份假冒、非授权的访问和数据的非法窃取与篁改,所以需要通过必要的应用安全审计,来进行基本的访问行为控制和管理。
1.1.2.5数据安全设计
对业务数据、统计数据等重要信息在传输过程中的完整性建立检查和校验机制(如CRC等),对数据存储的安全性和完整性建立必要的数据备份和归档流程。
对于重要数据的存储将采用加密技术进行,保证数据安全。
对于重要数据的备份还将采用多次冗余备份的方式进行。
1.1.3安全保障实施
1.1.3.1用户身份认证
平台须结合安全体系,对用户实现统一的管理,实现用户信息的身份识别、权限控制。
要求授权用户只有提供密码’进行验证通过后方可进入平台系统。
用户可以进行的操作也是受到权限控制的,保证信息在适当范围内的流动。
(1)用户统一管理
本项目平台包含多个应用系统,由于需要处理业务的工作性质,决定了它们都具备用户管理功能。
从系统运行维护角度来看,如果不同应用系统的身份管理部分均相互独立,则对于一个相同用户的管理,需要管理员对多套系统进行类似的输入、编辑及配置,不仅工作重复复杂,而且一旦岀错就可能导致各个系统中相同用户信息不一致,加大系统管理与维护难度。
(2)身份认证
传统形式下办公,办事双方要经过现实中的实际接触,双方的身份比较容易得到保证;而通过网络办公,双方互不见面.信息通过网络进行传递,真实性难以保证。
因此平台的首要需求就是要解决身份认证的可靠性问题,必须能够对登录系统的各类用户的真实性进行有效鉴别。
本项目主要对登录用户进行身份认证和密码保护,防止未授权用户登录系统进行非法操作,防止账户、密码的信息安全威胁,防止信息外泄。
主要安全措施包含:
密码在后台数据库库中采用加密方式存储,即使拿到加密密码和加密逻辑也无法进行破解,保证账户密码存储的安全性;
账户登录时每次生成随机码,并限制错误登录次数,防止暴力破解;
登录验证时,输入的密码在传输过程中采用非对称加密,保证密码从输入端到服务端传输的安全性;
通过启用httpOnly.有效防止XSS攻击,防止cookie信息泄露时导致密码外泄。
(3)单点登录
在可信身份认证的前提下,实现单点登录功能,即用户完成一次系统登录认证后,即可以访问许可范围之内的应用系统,从而减少用户的操作复杂,提高办公效率。
在实现单点登录的过程中,必须要满足安全性要求,需要确保用户状态信息在不同应用系统之间的安全转移,防止在此过程中用户认证信息被非法篡改,从而导致信息资源被非法访问。
(4)授权管理
本项目平台涉及到人、账号、工伤信息等的重要、敏感资源,必须避免出现越权访问而导致信息泄露或非法访问,因此需要统一身份认证的基础上,实行严格授权管理与访问控制,为不同的部门和用户精确定义各自的资源访问权限,从而提供责权分明的资源保护机制,真正实现“各职其责,杜绝越权”。
(5)账号安全管理(安全方面)
账号安全:
根据系统用户范围包含内部业务人员和外部专家用户两大类,对于内部用户,凡是需要使用应用系统的用户都需要'实名制”方式申请一个账号仅限本人使用,不得随意借用.因某账号操作引起的系统安全方面的影响,由该账号负责,当因某种原因不再使用系统时应及时注销账号;针对专家账号,对于已采集专家,通过发放账号方式,确保账号的真实有效性,对于非采集专家需要通过申请方式,需要经过审批后才能注册成功。
密码安全:
用户密码长度不少于6位数,需包含大小写及数字组合,并及时更新密码。
数字证书:
可通过数字证书(CA)认证机制,确保用户身份验证、防篡改等(具体以协会要求为准)。
1.1.3.2数据传输加密
本系统的数据在一定的范围内具有极高的安全保密性要求,对于系统中极为严格的安全数据,诸如重点用户信息和业务机密信息需要在系统的数据库中进行加密保存,即使通过数据库客户端也不能访问,更不能在互联网上直接访问到。
为了保证数据传输的机密性和完整性,我们需要考虑在数据传输中保护数据防窃取和防篡改的手段。
我们需要考虑用户访问的数据传输安全性和接口服务访问的数据传输的安全性。
针对用户访问,可以通过用户口令来保证用户的正确身份;同时,数据传输可以采用HTTPS进行加密传输。
1.1.3.3日志安全
系统提供完备的曰志记录功能,曰志将记录自某用户登录时起,到其退出系统时止,这期间所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用等。
曰志能记录任何非法操作,通过后续分析找出可能存在的不安全因素,结合相关安全控制,达到账号安全控制的目的,类似场景如下:
潜在非法攻击检查:
针对同一账号的多次尝试登录,多次失败后冻结此账号;
单帐号多用户检查:
在同一时刻中,不允许以同一帐号不同IP登录系统的用户出现;
非工作时间操作检查:
非工作时间内的登录尝试与操作检查。
平台提供完备的日志审计信息,可分为最低级、通常级、警告级、错误级、致命错误级等五个级别。
用户可查询最新日志,也可按时间段查询历史日志。
1.1.3.4数据备份
系统建设完成以后,需要不间断提供服务,需要解决由于系统硬件故障、应用程序及操作系统出错,人为错误、电脑病毒、黑客入侵、自然灾害等原因导致的业务系统中断的问题,同时我们将面临大量数据需要及时备份并有效管理的问题,如果仅凭人工对这些系统进行备份,将导致巨大的工作量及混乱的存储管理,因此我们需要建设行之有效的备份系统,建立集中的数据存储备份机制,对应用系统及数据进行系统备份。
对于备份系统我们需要满足以下要求:
1)自动的存储管理:
大量过程处理数据和系统文件需要存储备份,如果及时有效的将这些备份转移至近线或者离线存储.转移的过程必须自动完成。
2)自动调度功能:
自动调度功能同时包含了对备份窗口的管理,由于需要备份的系统均为生产系统.如果备份时间选择不正确,将会给管理员带来巨大的工作量,同时也会影响生产系统效率’因此通过自动调度将能有效的解决备份窗口管理功能。
3)灵活的备份策略支持:
对数据进行备份时,每一次完整的备份,都会产生大量的备份数据,因此零活的备份策略支持,如全备份结合增量备份,能大大降低总的存储占用,有效节约成本。
4)自动的备份版本管理:
大量的服务器的备份,将占用大量的存储空间,而每次有新的备份产生时,我们需要及时的清除之前的版本,因此备份系统需要对备份版本进行自动管理。
1、备份内容
1)应用系统备份
由于应用系统运行与虚拟服务器之上,如果运行虚拟系统的服务器发生硬件故障,只需要将备份好的虚拟服务器的配置文件和虚拟硬盘镜像文件还原到新的服务器上,并恢复最近一次数据备份,就可以恢复业务系统的正常使用。
2)重要数据备份
对于重要数据备份,出于更多安全的考虑,需要对系统中的重点数据进行备份,主要针对数据库服务器。
2、备份策略
备份策略的选择主要根据以下几方面来确定:
备份窗口、备份保留周期、备份方式及备份策略。
备份策略类型分三种:
1)全备份:
每次备份定义的所有数据,优点是恢复快,缺点是备份数据量大,数据多时可能做一次全备份需很长时间;
2)増量备份:
备份自上一次备份以来更新的所有数据,其优点是每次备份的数据量少,缺点是恢复时需要全备份及多份增量备份;
3)差分备份:
备份自上一次全备份以来更新的所有数据,其优缺点介于上两者之间。
在备份类型选择时,一般的规则是:
1)对于操作系统和应用程序’可在每次系统更新或安装新软件和做一次全备份;对于一些曰常数据更新量大,但总体数据量不是非常大的关键应用数据,可每天在用户使用量较小的时候安排全备份。
2)对于日常更新量相对于总体数据量较小,而总体数据量非常大的关键应用数据,可每隔一个月或一周安排一次全备份’在此基础上,每隔一个较短的时间间隔做增量备份。
3、备份模式
在应用系统中,拥有不同类型的服务器,但系统重复度较高,分别运行着不同的业务系统。
以下我们从数据备份的角度出发,指出重点关注的几类备份模式建立及数据管理策略的设定。
1)快照备份策略
我们需要考虑这类数据的可用性在线数据备份,为了安全起见,
备份系统应在备份完成之后自动将备份文件。
克隆”一份,做离线保存。
备份策略设定如下:
以周为备份周期,每周进行一次全备份;备份文件保留3个月。
备份增量数据备份启动时间可设定在每天白天系统空闲时间进行。
2)数据库备份策略
应用系统中所包含数据库实时性和关键性相对较高,建议采用如下备份策略:
以天为备份周期,每天进行一次对数据库的全备份。
由于数据库较小并且每天备份,因此不再产生“克隆”盘。
库内保留3个月用于用户数据的归档。
数据备份启动时间可设定在每天白天的闲时,当交互应用系统数据处理完成后进行备份。
建议数据库的备份在用户数最少的时候进行。
3)应用系统备份策略
当应用软件的配置等发生改变时,就对该应用进行备份,备份介质为磁盘阵列和磁带库。
建议每2个月做一次全备,每周做一次增量备份,磁盘阵列上保留最新一次的完整备份,磁盘阵列上保留最近2年的备份。
4)操作系统备份策略
当操作系统有改变时,就对操作系统进行备份,备份介质为磁盘阵列和磁带库。
建议每2个月做一次全备,每周做一次増量备份,磁盘阵列上保留最新一次的完整备份。
5)备份恢复
恢复数据时,首先恢复最近的一次数据全备份,数据全备份会在每个月和每个星期的末尾进行。
然后,依次恢复之后的增量备份,直至故障发生时为止。
系统管理员不必使用任何其它历史资料,就可以对系统进行完全恢复,简单便捷。
另外,在执行一段时间的增量备份后,可考虑定期执行差分备份。
1.1.3.5数据库安全
本项目建设在,客户端通过应用服务器访问数据库服务器,应用服务器与访问数据库服务器之间采用数据库连接池机制。
把应用服务器和数据库服务器部署在一个受保护的安全区域中,使客户端只能通过应用服务器上运行的应用程序访问系统的数据,业务终端禁止绕过应用软件直接对数据库进行访问。
采用数据库服务器资源使用管理策略,防止某些用户的特定业务操作对服务器资源过度使用,系统的多个业务模块应分别对应多个数据库用户,以实现上述资源管理功能,通过数据库软件的安全功能特性为各个模块的数据库用户授予访问业务数据表、视图、存储过程等数据库对象的权限。
加强对数据库账号的管理:
1)建立只读账户,供开发人员使用;
2)严格控制DBA权限,只允许数据库管理人员/系统巡检人员(不超过两人)和项目经理掌握。
其他人员临时申请DBA权限需走委托授权流程;
3)建立用户档案,定期审计;
4)针对不同的数据库系统,对照安全检查表进行对应的安全加固。
1.1.3.6应用安全
根据授权和访问控制策略,实现应用系统对信息资源的访问控制,确保信息资源受控、安全、合法使用;
通过应用安全支撑平台的接口向安全管理平台提交安全审计信息,实现应用系统安全事件的安全审计,如曰志信息、曰志管理、系统信息分析、日志权限等;
通过代码签名和验证技术,确保安全控件、应用软件的完整性和真实性;
对用户的输入进行校验,通过正则表达式、或限制长度、对单引号和双■'等安全检查和校验的手段,测试过程中采取辅助软件进行检测,防止SQL注入等风险。
1.2项目实施方案
我公司在项目实施过程中,严格按照IS09001标准,认真规划,严密组织,严格监管,以确保项目高质量按期完成。
我公司将成立专门的项目组,项目组成员均具有丰富的需求分析、系统设计、开发、实施、培训和项目管理能力,并在项目实施过程中保持稳定。
本章节对本项目系统建设内容的实施进行阐述,从实施策略、实施范围与内容、项目组织机构与职责、项目进度计划、项目实施过程、系统测试方案、系统试运行方案、系统验收方案、项目成果与交付物等方面进行详细阐述。
1.2.1项目实施策略
本次项目建设周期短且涉及多个系统。
为了能按时且高质量地完成项目实施任务,我公司将根据以往实施大型信息系统的开发集成经验,将在本项目中采取“统一领导、分工协作;统一规划、阶段控制;统一流程、统一标准;充分调研、充分培训;分步实施、齐头并进;及时沟通、及时总结、协作互助、资源共享”的方法来进行实施。
详细说明如下:
1、统一领导、分工协作:
项目管理由项目领导组宏观指导,采用项目经理负责制,并且根据工作职责分工,成立多个职能组。
项目经理通过调度管理组对各职能组进行调度、控制,各职能组采用组长负责制,形成分级垂直性管理体系,实现统一领导、分工协作。
2、统一规划、阶段控制:
对于本项目的技术设计、进度规划、质量控制等关键内容,我公司将调动公司优势资源,在项目经理的协调下,进行整体的规划,保证项目实施的成果。
同时,为了进一步确保实施进度和质量.我们会对项目进行分解.采用阶段控制的方法,定义相应的阶段里程碑及其考核标准,细化控制粒度,便于提前发现问题、解决问题。
3、统一流程、统一标准:
我公司凭借多年从事系统开发、集成工作的经验,总结实际工作的切身体会与正反两方面的经验教训,逐步形成了一套以IS09001质量体系标准为基础的工程管理流程、标准与规范。
在项目实施的全过程中,包括实施前期、中期和后期,我公司将严格按照IS09001质量体系标准进行管理和控制,以实现各项工作都有标准可依据,有标准可考评。
4、充分调研:
实施前期的调研工作要细致、充分。
任何细微的遗漏都有可能在实施的过程中造成严重的不良后果,甚至影响整个实施队伍的实施进程和质量。
我公司的管理队伍和技术队伍不但具有仔细、严谨的态度,而且经过长期的优质的工作积攒了大量调研、实施经验,完全可以保证本项目的调研工作细致、充分。
5、充分培训:
培训工作包括我公司实施前期的内部技术培训和用户培训。
培训工作充分与否直接关系到实施工作是否能按时、保质地完成。
而且,客户培训也是技术移交的重要手段。
它直接影响客户在实施后期对系统的维护、管理和充分发挥系统功能的能力。
我公司具有多年大型项目培训计划的制定、培训教材的编写、培训组织安排和培训授课的经验,我们将最大限度保证地项目培训工作高质量完成。
6、及时沟通、及时总结、协作互助、资源共享:
大型实施项目的圆满完成,绝不是单兵作战可以做到的。
参与到本次项目实施工作中的单位很多,有业主方、监理单位等。
各单位组织相对独立,运作流程和方式自成一体。
这些往往是影响协同工作的不利因素。
但是,这些单位各自又拥有独特的资源和优势。
如果能把这些资源和优势加以融合并使其互为支撑,那么聚合在一起的能量将成倍増长,保证了实施工作的高质高效完成。
我公司深刻理解资源共享、优势互补的重要作用。
在以往的实施工作中积攒了大量与合作单位及时沟通、及时总结、协作互助、资源共享的方法和技巧。
根据本项目的具体情况,我公司将充分协调实施中的相关单位,把分散的能量聚合起来,给客户最有力的支持。
我公司会利用实施前期大量深入、严谨、全面、扎实的准备工作,厚积薄发,集中优势技术力量攻克重、大、繁等实施难题,保证工程任务一次实施完毕,一次测试通过,节省项目单位加入到项目实施中的人力、物力和时间等宝贵资源。
1.2.2项目人员配置
为了保障本项目的顺利实施,我公司将成立专门的高效的组织机构。
从组织结构构成上保障项目实施的各个环节都有专门的专业人员进行实施。
从人员配备上,我公司将保障无论是项目领导小组还是项目实施人员,都具备丰富的理论知识及实际的相关工作经验,并且在项目实施过程中至始至终都有专门的管理机制和规章制度保障项目的实施,通过遵循公司在软件实施过程中颁布的IS09001质量管理体系的要求,确保项目实施的每一个过程都必须按照严格的标准规范执行。
1.2.2.1项目组织机构与职责
本项目组织机构采用项目建设方与项目承建方紧密合作的一种组织结构关系,项目承建方接受项目业主方指导,按项目设计要求完成本项目开发工作。
并且,项目在建设方项目领导组和承建方领导组的共同领导下对整个项目进行管理.做出重大决策。
为了让业主方对项目更好地把控。
项目实施过程中,项目承建方按照专业化和规范化的目标分别组织了分工明确的实施团队,项目实施的各个阶段将分别由各专业化团队承当相关工作。
同时,整个项目的实施要在建设方项目实施组的监督和指导下进行,使得整个项目实施始终按照建设方的要求循序渐进地开展。
整个组织结构明确规范了所属实施人员的职责协调关系。
这种组织结构是我公司在多个大型工程项目采用,且被验证为行之有效的工程组织方案。
本项目组织机构中,各层组织的职责和工作范围如下:
•项目领导组
由项目建设方和我公司的有关领导组成。
负责对该项目实施统一领导,在实施过程中对整个项目进行管理,做出重大决策。
•项目开发组
项目开发组负责对项目的应用需求进行详细调研和系统需求分析,并负责进行详细设计,然后将系统进行开发实现;负责对所有具体实施人员进行培训,设计组的一部分人员需要参加实施小组,在实施工程中负责解决系统中的技术问题;负责系统开发完成后,对软件进行集成、调试和维护。
项目开发组由需求分析组、系统设计组和软件开发组组成。
•质量保证组
质量保证组的首要职责是系统的测试工作;其次对项目过程的指导、监督、评审,对项目过程产品的审计、组织和监督检查;同时,也要接受客户、质量保证专家和公司质量保证经理的检查。
另外负责项目的配置管理策划、基线建立、变更管理和配置审计。
质量保证组下设项目测试组、配置管理组以及质量保证小组。
•项目实施组
负责项目培训工作、以及系统上线、试运行等过程中的安装部署、系统初始化、等实施过程中的支持工作。
项目实施组下培训组及实施服务小组。
•售后服务组
主要由专门的运维技术服务小组构成。
负责各系统的维护和日常巡检工作,以确保系统能够稳定运行。
售后服务组由热线中心、现场支持组、后台支持组、专家组组成。
1.2.2.2项目人员配置
我公司承诺为本项目配备足够人员,其中项目经理、技术负责人都具有同类型项目的经验。
服务于本项目的核心人员及主要人员稳定,业主方有权要求更换投标人项目团队成员。
参与此项目的技术人员具有相关项目软件设计、开发和集成经验,能够与用户进行良好的沟通。
在项目实施阶段,我公司将配备专职的人员负责分项目实施、培训、验收等工作。
我公司会指派统一QA团队对本项目进行全过程的质量控制。
1.2.3项目实施进度管理
1.2.3.1项目进度计划
根据招标文件要求,本项目的工期要求在3个月内完成。
根据这—要求,安排项目实施进度计划如下,项目启动时间假定2029年6月25曰开始(以实际合同签订时间为准类推):
1、第一阶段:
项目启动和需求分析(2029年6月25S-2019年7月02S)
项目签订后一周内,完成项目启动和需求层面的工作。
项目启动包括成立项目组,指定项目经理,技术负责人,人员安排到位,项目开项目启动会,项目经理编制项目工作计划,并提交业主方审批。
制定项目相关的规章制度等。
在功能需求层面,基于公司现有的成熟系统和业务积累,对系统工作进行整体性分析,快速梳理出初步方案和需求调研点’协调用户—起完成需求调研、分析、确认工作,从而确定整个项目功能边界,确定应用系统部署方案、与其他系统的接口集成方案以及初步的数据迁移方案和数据迁移计划。
2、第二阶段:
主体工作开展(2029年7月03S-2019年8月20H)
进入地图建模数据整理阶段。
本阶段完成对原珠江道所辖所有小区和原黄河道天成佳境、钳悦山小区进行地图建模,建模内容包括住宅楼宇、底商建筑、道路、摄像头、绿化等所有地表建筑和固定物品;针对需要采集的人口信息、建筑信息、房屋信息、单位信息、党员信息、志愿者信息分别根据系统要求创建标准电子版采集模板。
将标准电子版采集模板下发到各社区、小区服务中心,由专人负责将以上基本信息采集集中,初步整理后导入数据清洗库。
清洗库仅用于数据清洗使用,而不会作为正式数据用于正式系统。
3、第三阶段:
业务系统配置、调试(2019年8月21S-2019年8月31日)
本阶段按小区、社区、街道层级,设置对应层级系统配置、用户账户、权限分配等,并对每个复制点的系统进行调试。
保证复制点的系统稳定运行,工作可以正常开展。
4、第四阶段:
人员培训(2019年9月1S-2019年9月11日)
本阶段配合街道、社区工作人员进行集中系统使用培训,包括街道、社区管理人员、工作人员、网格长、物业管理人员、物业工作人员。
保障其能熟练操作系统,并运用系统中各项功能开展社区相关工作。
5、第五阶段:
系统试运行及终验(2029年9月22曰-2029年9月24曰)
完成系统试运行及终验工作。
试运行结束后,配合业主完成项目整体竣工验收,保证项目整体
系统完成所有建设目标并且能够保证系统稳定运行,并且将项目建设过程中形成的方案、技术文件、电子材料等一并进行提交。
7、售后服务与技术支持阶段
通过项目整体竣工验收后,进入免费售后服务与技术支持服务期,公司提供软件系统一年免费维护期。
1.2.3.2进度跟踪与控制管理
在项目的实施过程中,还要对项目的实施情况进行跟踪,确保项目的实施符合计划的要求。
跟踪的方法可分为正规跟踪和非正规跟踪,正规跟踪就是定期召开项目进展情况汇报会、提交进展报告等,从而使项目利益相关者了解项目的执行情况。
根据进展报告,与会者讨论项目遇到的问题,分析并找出问题的原因,研究、确定应对方案和预防措施,为控制项目提供
升级会员 