軟件投標(biāo)書模板

項(xiàng)目名稱處理方案目前版本擬制日期審核日期批準(zhǔn)日期公布日期生效日期 陜西xx信息技術(shù)有限企業(yè)

修訂歷史記錄 A-增長M-修訂D-刪除變更版本號(hào)日期變更類型

（A*M*D）修改人摘要備注-10-5初版建立【模板使用必讀：模板內(nèi)容和頁眉中【】包括內(nèi)容為指導(dǎo)性的待替代文字，請(qǐng)?jiān)谑褂弥刑娲鸀樵敿?xì)內(nèi)容，或刪除。文獻(xiàn)提交時(shí)不得再具有這些內(nèi)容?！?/p>

目錄1 企業(yè)簡介 51.1 企業(yè)簡介 51.2 企業(yè)資質(zhì) 61.3 重要客戶及產(chǎn)品 72 項(xiàng)目處理方案 82.1 系統(tǒng)方案概述 82.2 建設(shè)原則 82.3 總體設(shè)計(jì)方案 82.3.1 設(shè)計(jì)根據(jù) 92.3.2 總體架構(gòu) 92.3.3 技術(shù)路線 102.3.4 系統(tǒng)環(huán)境 102.3.5 性能指標(biāo) 112.4 系統(tǒng)安全性 122.4.1 總體規(guī)劃 122.4.2 安全體系架構(gòu) 122.4.3 軟件安全體系設(shè)計(jì) 152.5 系統(tǒng)功能簡介 152.5.1 分類1 153 項(xiàng)目實(shí)行方案 163.1 成立項(xiàng)目小組 163.2 項(xiàng)目需求分析 163.3 應(yīng)用系統(tǒng)測試方案 163.4 實(shí)行方案 173.5 驗(yàn)收方案 173.5.1 驗(yàn)收原則 173.5.2 驗(yàn)收項(xiàng)目 173.5.3 交付件 173.5.4 驗(yàn)收原則 173.6 服務(wù)承諾書 19企業(yè)簡介企業(yè)簡介

企業(yè)資質(zhì)

重要客戶及產(chǎn)品

項(xiàng)目處理方案系統(tǒng)方案概述【從宏觀上對(duì)平臺(tái)背景、目的及實(shí)現(xiàn)意義進(jìn)行論述】建設(shè)原則【對(duì)系統(tǒng)建設(shè)原則進(jìn)行設(shè)定。例：按照“整體規(guī)劃、分步實(shí)行、突出亮點(diǎn)、逐漸完善”的原則逐漸全面推進(jìn)XXX系統(tǒng)建設(shè)工作?？傮w設(shè)計(jì)方案【根據(jù)建設(shè)原則方針論述系統(tǒng)的總體設(shè)計(jì)方案;包括系統(tǒng)設(shè)計(jì)思緒及包括的各子系統(tǒng)或模塊的列舉及關(guān)系等?！?/p>

設(shè)計(jì)根據(jù)【列出和系統(tǒng)建設(shè)有關(guān)的遵照的原則】例：中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)行措施中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定〔GB/T22080-〕信息技術(shù)安全技術(shù)信息安全管理體系規(guī)定〔ISO/IEC27001:〕中華人民共和國公安部令（第33號(hào)）公安部有關(guān)對(duì)與國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行立案工作的告知電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范〔GB50174-93〕遵照《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《互聯(lián)網(wǎng)信息服務(wù)管理措施》、《消費(fèi)者權(quán)益保護(hù)法》及《中華人民共和國廣告法》等有關(guān)法律法規(guī)及有關(guān)部門規(guī)章遵照安全電子交易(SET)協(xié)議原則進(jìn)行支付按照《食品安全法》的規(guī)定，食用農(nóng)產(chǎn)品質(zhì)量安全原則國家環(huán)境保護(hù)局有機(jī)食品發(fā)展中心(OFDC)認(rèn)證原則國標(biāo)(GB17859-1999)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則，系統(tǒng)按第三級(jí)規(guī)定進(jìn)行設(shè)計(jì)總體架構(gòu)【給出系統(tǒng)功能構(gòu)造和系統(tǒng)架構(gòu)的設(shè)計(jì)圖，可用下圖進(jìn)行擴(kuò)展】技術(shù)路線【闡明系統(tǒng)實(shí)現(xiàn)的技術(shù)路線】系統(tǒng)環(huán)境開發(fā)環(huán)境【列舉出系統(tǒng)開發(fā)所需要的環(huán)境及資源】軟件開發(fā)環(huán)境如下表所示：類別軟件開發(fā)操作系統(tǒng)Windows7Web服務(wù)IIS6源代碼管理TFS，SVN數(shù)據(jù)庫服務(wù)SQLSERVER重要開發(fā)語言C#、、Object-C瀏覽器IE8重要開發(fā)工具M(jìn)icrosoftVisualStudio、XCode運(yùn)行環(huán)境【列舉出系統(tǒng)開發(fā)所需要的環(huán)境及資源】軟件運(yùn)行環(huán)境如下表所示：類別軟件服務(wù)器操作系統(tǒng)WindowsServer,LinuxWeb服務(wù)IIS6數(shù)據(jù)庫服務(wù)SQLSERVER,MySQL瀏覽器IE8性能指標(biāo)【對(duì)系統(tǒng)性能的設(shè)計(jì)方案進(jìn)行闡明，列舉出系統(tǒng)各操作性能指標(biāo)】例：XXX電子商務(wù)平臺(tái)數(shù)據(jù)量大，并發(fā)性高，在業(yè)務(wù)應(yīng)用層面上，整體方略采用動(dòng)態(tài)擴(kuò)容、分流機(jī)制、緩存機(jī)制和高速數(shù)據(jù)庫來實(shí)現(xiàn)系統(tǒng)的大數(shù)據(jù)量和高并發(fā)能力。整體方略如下圖所示。大數(shù)據(jù)流量并發(fā)處理架構(gòu)圖

系統(tǒng)安全性總體規(guī)劃安全體系架構(gòu)實(shí)體安全【對(duì)于已經(jīng)有自建實(shí)體或托管實(shí)體的針對(duì)其現(xiàn)實(shí)狀況進(jìn)行描述】例：實(shí)體安全是信息系統(tǒng)安全的基礎(chǔ)。長安信托數(shù)年來建立并逐漸完善了一套安全的實(shí)體環(huán)境，且已經(jīng)有多種系統(tǒng)在此環(huán)境中運(yùn)行，安全可以保障的?！緦?duì)于無實(shí)體的客戶推薦阿里云等著名平臺(tái)，描述推薦平臺(tái)的實(shí)體安全】例：實(shí)體安全是信息系統(tǒng)安全的基礎(chǔ)。采用阿里云等著名云服務(wù)提供商數(shù)年來建立并逐漸完善了一套安全的實(shí)體環(huán)境，且已經(jīng)有多種系統(tǒng)在此環(huán)境中運(yùn)行，安全可以保障的。平臺(tái)安全數(shù)據(jù)安全為防止數(shù)據(jù)丟失、瓦解和被非法訪問，系統(tǒng)以顧客需求和數(shù)據(jù)安全實(shí)際威脅為根據(jù)，為保障數(shù)據(jù)安全提供如下實(shí)行內(nèi)容：介質(zhì)與載體安全保護(hù)、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標(biāo)識(shí)與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計(jì)、數(shù)據(jù)存儲(chǔ)與備份安全。通信安全【對(duì)所使用的網(wǎng)絡(luò)環(huán)境進(jìn)行描述】例：為防止系統(tǒng)之間通信的安全脆弱性威脅，系統(tǒng)以網(wǎng)絡(luò)通信面臨的實(shí)際威脅為根據(jù)，為保障系統(tǒng)之間通信的安全采用的措施有：通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測試與優(yōu)化、安裝網(wǎng)絡(luò)加密設(shè)施、設(shè)置通信加密軟件、設(shè)置身份鑒別機(jī)制、設(shè)置并測試安全通道、測試各項(xiàng)網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞。運(yùn)用VPN技術(shù)在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，提供安全的端到端的數(shù)據(jù)通信。應(yīng)用安全應(yīng)用安全可保障有關(guān)業(yè)務(wù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行，它的脆弱性也許給客戶服務(wù)系統(tǒng)帶來致命威脅。系統(tǒng)以業(yè)務(wù)運(yùn)行實(shí)際面臨的威脅為根據(jù)，為應(yīng)用安全提供的評(píng)估措施有：業(yè)務(wù)軟件的程序安全性測試(Bug分析)、業(yè)務(wù)交往的防抵賴測試、業(yè)務(wù)資源的訪問控制驗(yàn)證測試、業(yè)務(wù)實(shí)體的身份鑒別檢測、業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機(jī)制檢查、業(yè)務(wù)數(shù)據(jù)的惟一性/一致性/防沖突檢測、業(yè)務(wù)數(shù)據(jù)的保密性測試、業(yè)務(wù)系統(tǒng)的可靠性測試、業(yè)務(wù)系統(tǒng)的可用性測試。測試實(shí)行后，可有針對(duì)性地為業(yè)務(wù)系統(tǒng)提供安全提議、修復(fù)措施、安全方略和安全管理規(guī)范?！踞槍?duì)系統(tǒng)的類型給出常見襲擊的防御手段】ARP欺騙防御ARP欺騙襲擊，是一種襲擊成本很低但影響范圍很大的襲擊手段。為了防御ARP欺騙，我們在網(wǎng)絡(luò)出口設(shè)置了ARP防火墻，只有使用平臺(tái)統(tǒng)一分派的MAC才可以正常通訊，將非法流量阻隔在襲擊者的ECS實(shí)例之內(nèi)。未知協(xié)議襲擊防御為了防止異常協(xié)議通訊包流出ECS實(shí)例，對(duì)其他ECS實(shí)例或者網(wǎng)絡(luò)設(shè)備進(jìn)行襲擊，我們通過專門的防火墻，對(duì)協(xié)議包進(jìn)行了過濾，只容許TCP/IP協(xié)議棧的合法通訊包進(jìn)出。DDOS襲擊防御會(huì)對(duì)ECS實(shí)例的網(wǎng)絡(luò)流量，并發(fā)連接數(shù)，數(shù)據(jù)包數(shù)量進(jìn)行監(jiān)控，來識(shí)別和應(yīng)對(duì)DDOS襲擊。運(yùn)行安全運(yùn)行安全可保障系統(tǒng)的穩(wěn)定性，較長時(shí)間內(nèi)將網(wǎng)絡(luò)系統(tǒng)的安全控制在一定范圍內(nèi)。系統(tǒng)為運(yùn)行安全提供的實(shí)行措施有：應(yīng)急處置機(jī)制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測、定期檢查和評(píng)估、系統(tǒng)升級(jí)和補(bǔ)丁提供、跟蹤最新安全漏洞、劫難恢復(fù)機(jī)制與防止、系統(tǒng)改造管理、網(wǎng)絡(luò)安全專業(yè)技術(shù)征詢服務(wù)。運(yùn)行安全是一項(xiàng)長期的服務(wù)，包括在網(wǎng)絡(luò)安全系統(tǒng)工程的售后服務(wù)內(nèi)。管理安全管理安全對(duì)以上各個(gè)層次的安全性提供管理機(jī)制，以網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)、實(shí)際條件和管理規(guī)定為根據(jù)，運(yùn)用多種安全管理機(jī)制，為顧客綜合控制風(fēng)險(xiǎn)、減少損失和消耗，增進(jìn)安全生產(chǎn)效益。系統(tǒng)為管理安全設(shè)置的機(jī)制有：人員管理、培訓(xùn)管理、應(yīng)用系統(tǒng)管理、軟件管理、設(shè)備管理、文檔管理、數(shù)據(jù)管理、操作管理、運(yùn)行管理、機(jī)房管理。軟件安全體系設(shè)計(jì)風(fēng)險(xiǎn)性分析系統(tǒng)應(yīng)使用一套與服務(wù)器數(shù)據(jù)庫不一樣的顧客權(quán)限管理系統(tǒng)，能在顧客管理、權(quán)限分級(jí)、程序資源等方面提供嚴(yán)密的安全保障機(jī)制。軟件安全性規(guī)劃及實(shí)行系統(tǒng)功能簡介【根據(jù)系統(tǒng)設(shè)計(jì)按照子系統(tǒng)或模塊進(jìn)行分類】分類1【對(duì)子系統(tǒng)或模塊進(jìn)行功能闡明，假如是子系統(tǒng)需給出子系統(tǒng)功能構(gòu)造圖】分類1【假如無子系統(tǒng)，不要包括此級(jí)分類，對(duì)模塊的闡明在上級(jí)分類中描述明確；假如有子系統(tǒng)就在此分類中描述子系統(tǒng)的功能】

項(xiàng)目實(shí)行方案項(xiàng)目后，成立新項(xiàng)目小組，根據(jù)客戶項(xiàng)目規(guī)定配置人員（需求分析人員、架構(gòu)師、開發(fā)人員和項(xiàng)目經(jīng)理）、設(shè)備，制定項(xiàng)目計(jì)劃、溝通計(jì)劃、開發(fā)計(jì)劃等，保證新項(xiàng)目有計(jì)劃準(zhǔn)時(shí)上線。成立項(xiàng)目小組【對(duì)項(xiàng)目參與的崗位和人員進(jìn)行描述，重要崗位描述到人，其他描述到人數(shù)即可】項(xiàng)目需求分析在項(xiàng)目組組長制定項(xiàng)目計(jì)劃，需求分析師和系統(tǒng)架構(gòu)師閱讀客戶提供的項(xiàng)目資料，與客戶有關(guān)人員進(jìn)行需求溝通，弄清晰客戶的規(guī)定，重要工作如圖2-1所示。在明確客戶業(yè)務(wù)需求和IT需求的狀況下，編寫需求分析闡明書，其內(nèi)容需要得到客戶確實(shí)認(rèn)；對(duì)項(xiàng)目開發(fā)以及實(shí)行過程中的需求變更進(jìn)行分析、確認(rèn)和管理；在項(xiàng)目組內(nèi)部以需求分析闡明書為基礎(chǔ)到達(dá)對(duì)客戶需求認(rèn)識(shí)的基本一致性，并以此作為項(xiàng)目開發(fā)、實(shí)行、培訓(xùn)和人員配置的基礎(chǔ)資料。應(yīng)用系統(tǒng)測試方案系統(tǒng)在上線運(yùn)行之前需要對(duì)軟件功能、生產(chǎn)環(huán)節(jié)進(jìn)行階段測試，測試方案如下表。實(shí)行方案【對(duì)項(xiàng)目開發(fā)及實(shí)行的階段進(jìn)行描述，需明確描述出系統(tǒng)的開發(fā)階段及各階段的時(shí)間節(jié)點(diǎn)及內(nèi)容】在以上各階段假如客戶提出需求變更，項(xiàng)目組進(jìn)行需求變更分析和確認(rèn)，之后，在變更波及到的應(yīng)用系統(tǒng)、生產(chǎn)環(huán)節(jié)和培訓(xùn)環(huán)節(jié)做出對(duì)應(yīng)的更改。驗(yàn)收方案驗(yàn)收原則驗(yàn)收項(xiàng)目交付件【描述系統(tǒng)的交付件】例：顧客手冊安裝布署闡明書驗(yàn)收匯報(bào)軟件接口規(guī)范安裝盤驗(yàn)收原則根據(jù)系統(tǒng)開發(fā)協(xié)議中對(duì)應(yīng)的功能列表對(duì)系統(tǒng)進(jìn)行驗(yàn)收。軟件錯(cuò)誤的嚴(yán)重性等級(jí)不能執(zhí)行正常功能或重要功能,或者危及人身安全；嚴(yán)重地影響系統(tǒng)規(guī)定或基本功能的實(shí)現(xiàn),且沒有措施處理；嚴(yán)重地影響系統(tǒng)規(guī)定或基本功能的實(shí)現(xiàn),但存在合理的處理措施；使操作者不以便或碰到麻煩,但不影響執(zhí)行正常功能或重要功能；其他錯(cuò)誤；

錯(cuò)誤與嚴(yán)重性等級(jí)對(duì)應(yīng)表1級(jí)錯(cuò)誤的描述這一級(jí)別的錯(cuò)誤一般包括如下內(nèi)容:沒有實(shí)現(xiàn)或錯(cuò)誤地實(shí)現(xiàn)重要的功能；業(yè)務(wù)流程存在重大隱患；軟件在操作過程中由于軟件自身的原因自動(dòng)退出系統(tǒng)或出現(xiàn)死機(jī)的狀況；軟件在操作過程中由于軟件自身的原因?qū)ο到y(tǒng)或數(shù)據(jù)導(dǎo)致破壞；在既有的軟、硬建設(shè)環(huán)境下不能實(shí)現(xiàn)應(yīng)有的功能；特殊軟件在操作過程中也許危及系統(tǒng)和人身安全等。2級(jí)錯(cuò)誤的描述這一級(jí)別的錯(cuò)誤一般包括:沒有實(shí)現(xiàn)基本功能，并且不存在替代措施；沒有實(shí)現(xiàn)重要功能中的部分功能，并且不存在替代措施；業(yè)務(wù)流程銜接錯(cuò)誤；密鑰以明文方式存儲(chǔ)；沒有留痕功能；顧客的權(quán)限分派不合理；在既有的環(huán)境下，不能實(shí)現(xiàn)部分功能且沒有替代方案；沒有滿足系統(tǒng)的性能規(guī)定。驗(yàn)收原則測試用例不通過數(shù)的比例<

%；不存在錯(cuò)誤等級(jí)為1

的錯(cuò)誤；不存在錯(cuò)誤等級(jí)為2

的錯(cuò)誤；錯(cuò)誤等級(jí)為3

的錯(cuò)誤數(shù)量≤

5；所有提交的錯(cuò)誤都已得到改正；服務(wù)承諾書為保證我企業(yè)負(fù)責(zé)的長安信托客戶服務(wù)系統(tǒng)的正常運(yùn)行和實(shí)用，我方將在維護(hù)期內(nèi)，按照協(xié)議規(guī)定提供技術(shù)支持服務(wù)，保障系統(tǒng)的正常運(yùn)行。技術(shù)部記錄跟蹤項(xiàng)目實(shí)行中和實(shí)行后客戶提出的多種技術(shù)問題，并根據(jù)狀況劃分嚴(yán)重級(jí)別，從而根據(jù)嚴(yán)重級(jí)別作出對(duì)應(yīng)的服務(wù)響應(yīng)。負(fù)責(zé)提供對(duì)系統(tǒng)進(jìn)行平常的維護(hù)、緊急事件的處理、系統(tǒng)功能的調(diào)整、客戶問題及提議的搜集等服務(wù)。服務(wù)內(nèi)容及服務(wù)原則平常系統(tǒng)維護(hù)對(duì)系統(tǒng)平常的報(bào)錯(cuò)、異常進(jìn)行迅速處理服務(wù)；提供優(yōu)質(zhì)、快捷的現(xiàn)場及遠(yuǎn)程技術(shù)支持服務(wù)；假如異常和報(bào)錯(cuò)，屬于數(shù)據(jù)錯(cuò)誤或顧客誤操作，不需要修改程序，保證1個(gè)工作日內(nèi)處理問題，并給客戶進(jìn)行反饋；假如異常和報(bào)錯(cuò)，屬于系統(tǒng)bug，需要修改程序，視工作量2-4個(gè)工作日內(nèi)處理問題，并給客戶進(jìn)行反饋。數(shù)據(jù)備份服務(wù)平常運(yùn)行期間，5-7天進(jìn)行一