1、软件投标书模板项目名称解决方案当前版本1.0拟 制日期审 核日期批 准日期发布日期生效日期 陕西xx信息技术有限公司修订历史记录 A - 增加 M - 修订 D - 删除变更版本号日期变更类型(A*M*D)修改人摘 要备注1.02015-10-5初版建立【模板使用必读:模板内容和页眉中【】包含内容为指导性的待替换文字,请在使用中替换为具体内容,或删除。文件提交时不得再含有这些内容。】1 公司介绍1.1 公司简介1.2 公司资质1.3 主要客户及产品2 项目解决方案2.1 系统方案概述【从宏观上对平台背景、目标及实现意义进行阐述】2.2 建设原则【对系统建设原则进行设定。例:按照 “整体规划、分
2、步实施、突出亮点、逐步完善”的原则逐步全面推进XXX系统建设工作。2.3 总体设计方案【依据建设原则方针阐述系统的总体设计方案; 包括系统设计思路及包含的各子系统或模块的列举及关系等。】2.3.1 设计依据【列出和系统建设相关的遵循的标准】例:1) 中华人民共和国计算机信息系统安全保护条例 2) 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 3) 中华人民共和国计算机信息网络国际联网管理暂行规定 4) 计算机信息系统保密管理暂行规定GB/T 22080-20085) 信息技术安全技术信息安全管理体系要求ISO/IEC 27001:2005 6) 中华人民共和国公安部令(第33号)
3、7) 公安部关于对与国际联网的计算机信息系统进行备案工作的通知8) 电子计算机机房设计规范GB50174-939) 遵循互联网安全保护技术措施规定、互联网信息服务管理办法、消费者权益保护法及中华人民共和国广告法等相关法律法规及相关部门规章10) 遵循安全电子交易(SET)协议标准进行支付11) 按照食品安全法的规定,食用农产品质量安全标准12) 国家环保局有机食品发展中心(OFDC)认证标准国家标准(GB 17859-1999)计算机信息系统安全保护等级划分准则,系统按第三级要求进行设计2.3.2 总体架构【给出系统功能结构和系统架构的设计图,可用下图进行扩展】2.3.3 技术路线【阐明系统实
4、现的技术路线】2.3.4 系统环境 2.3.4.1 开发环境【列举出系统开发所需要的环境及资源】软件开发环境如下表所示:类别软件开发操作系统Windows 7Web服务IIS6源代码管理TFS2008,SVN数据库服务SQL SERVER2008主要开发语言C#、Asp.Net、Object-C浏览器IE8主要开发工具Microsoft Visual Studio、XCode2.3.4.2 运行环境【列举出系统开发所需要的环境及资源】软件运行环境如下表所示:类别软件服务器操作系统Windows Server 2003, LinuxWeb服务IIS6数据库服务SQL SERVER2008, My
5、SQL 5.0浏览器IE82.3.5 性能指标 【对系统性能的设计方案进行说明,列举出系统各操作性能指标】例:XXX电子商务平台数据量大,并发性高,在业务应用层面上,整体策略采用动态扩容、分流机制、缓存机制和高速数据库来实现系统的大数据量和高并发能力。整体策略如下图所示。大数据流量并发处理架构图2.4 系统安全性2.4.1 总体规划2.4.2 安全体系架构2.4.2.1 实体安全【对于已经有自建实体或托管实体的针对其现状进行描述】例:实体安全是信息系统安全的基础。长安信托多年来建立并逐步完善了一套安全的实体环境,且已有多个系统在此环境中运行,安全能够保障的。【对于无实体的客户推荐阿里云等知名平
6、台,描述推荐平台的实体安全】例:实体安全是信息系统安全的基础。采用阿里云等知名云服务提供商多年来建立并逐步完善了一套安全的实体环境,且已有多个系统在此环境中运行,安全能够保障的。2.4.2.2 平台安全2.4.2.3 数据安全为防止数据丢失、崩溃和被非法访问,系统以用户需求和数据安全实际威胁为依据,为保障数据安全提供如下实施内容:介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。2.4.2.4 通信安全【对所使用的网络环境进行描述】例:为防止系统之间通信的安全脆弱性威胁,系统以网络通信面临的实际威胁为依据,为保障系统
7、之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。利用VPN技术在公用网络上建立专用网络,提供安全的端到端的数据通信。2.4.2.5 应用安全应用安全可保障相关业务在计算机网络系统上安全运行,它的脆弱性可能给客户服务系统带来致命威胁。系统以业务运行实际面临的威胁为依据,为应用安全提供的评估措施有:业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业
8、务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。 测试实施后,可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。【针对系统的类型给出常见攻击的防御手段】 ARP欺骗防御ARP欺骗攻击,是一种攻击成本很低但影响范围很大的攻击手段。为了防御ARP欺骗,我们在网络出口设置了ARP防火墙,只有使用平台统一分配的MAC才能够正常通讯,将非法流量阻隔在攻击者的ECS实例之内。 未知协议攻击防御为了防止异常协议通讯包流出ECS实例,对其他ECS实例或者网络设备进行攻击,我们通过专门的防火墙,对协议包进行了过滤,只允许TCP/IP协议栈的合法通讯包进出。 DDOS攻击防御会
9、对ECS实例的网络流量,并发连接数,数据包数量进行监控,来识别和应对DDOS攻击。2.4.2.6 运行安全运行安全可保障系统的稳定性,较长时间内将网络系统的安全控制在一定范围内。系统为运行安全提供的实施措施有:应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务,包含在网络安全系统工程的售后服务内。2.4.2.7 管理安全管理安全对以上各个层次的安全性提供管理机制,以网络系统的特点、实际条件和管理要求为依据,利用各种安全管理机制,为用户综合控制
10、风险、降低损失和消耗,促进安全生产效益。系统为管理安全设置的机制有:人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理。2.4.3 软件安全体系设计2.4.3.1 风险性分析系统应使用一套与服务器数据库不同的用户权限管理系统,能在用户管理、权限分级、程序资源等方面提供严密的安全保障机制。2.4.3.2 软件安全性规划及实施2.5 系统功能介绍【根据系统设计按照子系统或模块进行分类】2.5.1 分类1【对子系统或模块进行功能说明,如果是子系统需给出子系统功能结构图】2.5.1.1 分类1【如果无子系统,不要包含此级分类,对模块的说明在上级分类中
11、描述明确;如果有子系统就在此分类中描述子系统的功能】3 项目实施方案项目后,成立新项目小组,根据客户项目要求配备人员(需求分析人员、架构师、开发人员和项目经理)、设备,制定项目计划、沟通计划、开发计划等,保证新项目有计划按时上线。 3.1 成立项目小组【对项目参与的岗位和人员进行描述,重要岗位描述到人,其余描述到人数即可】3.2 项目需求分析在项目组组长制定项目计划,需求分析师和系统架构师阅读客户提供的项目资料,与客户相关人员进行需求沟通,弄清楚客户的要求,主要工作如图2-1所示。在明确客户业务需求和IT需求的情况下,编写需求分析说明书,其内容需要得到客户的确认;对项目开发以及实施过程中的需求
12、变更进行分析、确认和管理;在项目组内部以需求分析说明书为基础达成对客户需求认识的基本一致性,并以此作为项目开发、实施、培训和人员配置的基础资料。3.3 应用系统测试方案系统在上线运营之前需要对软件功能、生产环节进行阶段测试,测试方案如下表。3.4 实施方案【对项目开发及实施的阶段进行描述,需明确描述出系统的开发阶段及各阶段的时间节点及内容】在以上各阶段如果客户提出需求变更,项目组进行需求变更分析和确认,之后,在变更涉及到的应用系统、生产环节和培训环节做出相应的更改。3.5 验收方案3.5.1 验收原则3.5.2 验收项目3.5.3 交付件【描述系统的交付件】例:1) 用户手册2) 安装部署说明
13、书3) 验收报告4) 软件接口规范5) 安装盘3.5.4 验收标准依据系统开发合同中对应的功能列表对系统进行验收。软件错误的严重性等级1) 不能执行正常功能或重要功能,或者危及人身安全;2) 严重地影响系统要求或基本功能的实现,且没有办法解决;3) 严重地影响系统要求或基本功能的实现,但存在合理的解决办法;4) 使操作者不方便或遇到麻烦,但不影响执行正常功能或重要功能;5) 其它错误;错误与严重性等级对应表1) 1级错误的描述这一级别的错误一般包括以下内容:没有实现或错误地实现重要的功能;业务流程存在重大隐患;软件在操作过程中由于软件自身的原因自动退出系统或出现死机的情况;软件在操作过程中由于
14、软件自身的原因对系统或数据造成破坏;在现有的软、硬建设环境下不能实现应有的功能;特殊软件在操作过程中可能危及系统和人身安全等。2) 2级错误的描述这一级别的错误一般包括:没有实现基本功能,并且不存在替代办法;没有实现重要功能中的部分功能,并且不存在替代办法;业务流程衔接错误;密钥以明文方式存储;没有留痕功能;用户的权限分配不合理;在现有的环境下,不能实现部分功能且没有替代方案;没有满足系统的性能要求。验收标准1) 测试用例不通过数的比例1.5%;2) 不存在错误等级为1的错误;3) 不存在错误等级为2的错误;4) 错误等级为3的错误数量5;所有提交的错误都已得到更正;3.6 服务承诺书为确保我
15、公司负责的长安信托客户服务系统的正常运行和实用,我方将在维护期内,按照合同要求提供技术支持服务,保障系统的正常运营。技术部记录跟踪项目实施中和实施后客户提出的各种技术问题,并根据情况划分严重级别,从而根据严重级别作出相应的服务响应。负责提供对系统进行日常的维护、紧急事件的处理、系统功能的调整、客户问题及建议的收集等服务。一、 服务内容及服务标准1、 日常系统维护a) 对系统日常的报错、异常进行快速处理服务; 提供优质、快捷的现场及远程技术支持服务; 如果异常和报错,属于数据错误或用户误操作,不需要修改程序,保证1个工作日内解决问题,并给客户进行反馈; 如果异常和报错,属于系统bug,需要修改程序,视工作量2-4个工作日内解决问题,并给客户进行反馈。b) 数据备份服务日常运行期间,5-7天进行一次数据备份。2、 紧急事件处理a) 系统崩溃,负责对系统和数据进行恢复 负责在1-2个工作日内,对客户服务系统和数据进行恢复; 分析崩溃原因,给客户进行反馈 给出系统持续改进方案并对系统进行持续优化改进二、 服务流程技术支持响应:系统在技术支持提供期内如发生故障,我公司在接到技术服务请求电话后两小时内应予以响应,并及时协助对故障进行排除。三、 技术服务联系方式电话:邮箱:
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1