項目名稱解決方案現在版本1.0擬制日期審核日期批準日期公布日期生效日期 陜西xx信息技術有限公司

修訂歷史統計 A-增加M-修訂D-刪除變更版本號日期變更類型

（A*M*D）修改人摘要備注1.0-10-5初版建立【模板使用必讀：模板內容和頁眉中【】包含內容為指導性的待替代文字，請在使用中替代為具體內容，或刪除。文獻提交時不得再含有這些內容。】

目錄1 公司介紹 41.1 公司介紹 41.2 公司資質 51.3 重要客戶及產品 62 項目解決方案 72.1 系統方案概述 72.2 建設原則 72.3 總體設計方案 72.3.1 設計根據 82.3.2 總體架構 82.3.3 技術路線 82.3.4 系統環境 92.3.5 性能指標 102.4 系統安全性 112.4.1 總體規劃 112.4.2 安全體系架構 112.4.3 軟件安全體系設計 142.5 系統功效介紹 142.5.1 分類1 143 項目實施方案 153.1 成立項目小組 153.2 項目需求分析 153.3 應用系統測試方案 153.4 實施方案 163.5 驗收方案 163.5.1 驗收原則 163.5.2 驗收項目 163.5.3 交付件 163.5.4 驗收原則 163.6 服務承諾書 17公司介紹公司介紹

公司資質

重要客戶及產品

項目解決方案系統方案概述【從宏觀上對平臺背景、目的及實現意義進行敘述】建設原則【對系統建設原則進行設定。例：按照“整體規劃、分步實施、突出亮點、逐步完善”的原則逐步全方面推動XXX系統建設工作。總體設計方案【根據建設原則方針敘述系統的總體設計方案;涉及系統設計思路及包含的各子系統或模塊的列舉及關系等。】

設計根據【列出和系統建設有關的遵照的原則】例：中華人民共和國計算機信息系統安全保護條例中華人民共和國計算機信息網絡國際聯網管理暫行規定實施方法中華人民共和國計算機信息網絡國際聯網管理暫行規定計算機信息系統保密管理暫行規定〔GB/T22080-〕信息技術安全技術信息安全管理體系規定〔ISO/IEC27001:〕中華人民共和國公安部令（第33號）公安部有關對與國際聯網的計算機信息系統進行備案工作的告知電子計算機機房設計規范〔GB50174-93〕遵照《互聯網安全保護技術方法規定》、《互聯網信息服務管理方法》、《消費者權益保護法》及《中華人民共和國廣告法》等有關法律法規及有關部門規章遵照安全電子交易(SET)合同原則進行支付按照《食品安全法》的規定，食用農產品質量安全原則國家環保局有機食品發展中心(OFDC)認證原則國標(GB17859-1999)計算機信息系統安全保護等級劃分準則，系統按第三級規定進行設計總體架構【給出系統功效構造和系統架構的設計圖，可用下圖進行擴展】技術路線【闡明系統實現的技術路線】系統環境開發環境【列舉出系統開發所需要的環境及資源】軟件開發環境以下表所示：類別軟件開發操作系統Windows7Web服務IIS6源代碼管理TFS，SVN數據庫服務SQLSERVER重要開發語言C#、Asp.Net、Object-C瀏覽器IE8重要開發工具MicrosoftVisualStudio、XCode運行環境【列舉出系統開發所需要的環境及資源】軟件運行環境以下表所示：類別軟件服務器操作系統WindowsServer,LinuxWeb服務IIS6數據庫服務SQLSERVER,MySQL5.0瀏覽器IE8性能指標【對系統性能的設計方案進行闡明，列舉出系統各操作性能指標】例：XXX電子商務平臺數據量大，并發性高，在業務應用層面上，整體方略采用動態擴容、分流機制、緩存機制和高速數據庫來實現系統的大數據量和高并發能力。整體方略以下圖所示。大數據流量并發解決架構圖

系統安全性總體規劃安全體系架構實體安全【對于已有自建實體或托管實體的針對其現狀進行描述】例：實體安全是信息系統安全的基礎。長安信托數年來建立并逐步完善了一套安全的實體環境，且已有多個系統在此環境中運行，安全能夠保障的。【對于無實體的客戶推薦阿里云等出名平臺，描述推薦平臺的實體安全】例：實體安全是信息系統安全的基礎。采用阿里云等出名云服務提供商數年來建立并逐步完善了一套安全的實體環境，且已有多個系統在此環境中運行，安全能夠保障的。平臺安全數據安全為避免數據丟失、崩潰和被非法訪問，系統以顧客需求和數據安全實際威脅為根據，為保障數據安全提供以下實施內容：介質與載體安全保護、數據訪問控制、系統數據訪問控制檢查、標記與鑒別、數據完整性、數據可用性、數據監控和審計、數據存儲與備份安全。通信安全【對所使用的網絡環境進行描述】例：為避免系統之間通信的安全脆弱性威脅，系統以網絡通信面臨的實際威脅為根據，為保障系統之間通信的安全采用的方法有：通信線路和網絡基礎設施安全性測試與優化、安裝網絡加密設施、設立通信加密軟件、設立身份鑒別機制、設立并測試安全通道、測試各項網絡合同運行漏洞。運用VPN技術在公用網絡上建立專用網絡，提供安全的端到端的數據通信。應用安全應用安全可保障有關業務在計算機網絡系統上安全運行，它的脆弱性可能給客戶服務系統帶來致命威脅。系統以業務運行實際面臨的威脅為根據，為應用安全提供的評定方法有：業務軟件的程序安全性測試(Bug分析)、業務交往的防抵賴測試、業務資源的訪問控制驗證測試、業務實體的身份鑒別檢測、業務現場的備份與恢復機制檢查、業務數據的惟一性/一致性/防沖突檢測、業務數據的保密性測試、業務系統的可靠性測試、業務系統的可用性測試。測試實施后，可有針對性地為業務系統提供安全建議、修復辦法、安全方略和安全管理規范。【針對系統的類型給出常見攻擊的防御手段】ARP欺騙防御ARP欺騙攻擊，是一種攻擊成本很低但影響范疇很大的攻擊手段。為了防御ARP欺騙，我們在網絡出口設立了ARP防火墻，只有使用平臺統一分派的MAC才干夠正常通訊，將非法流量阻隔在攻擊者的ECS實例之內。未知合同攻擊防御為了避免異常合同通訊包流出ECS實例，對其它ECS實例或者網絡設備進行攻擊，我們通過專門的防火墻，對合同包進行了過濾，只允許TCP/IP合同棧的正當通訊包進出。DDOS攻擊防御會對ECS實例的網絡流量，并發連接數，數據包數量進行監控，來識別和應對DDOS攻擊。運行安全運行安全可保障系統的穩定性，較長時間內將網絡系統的安全控制在一定范疇內。系統為運行安全提供的實施方法有：應急處置機制和配套服務、網絡系統安全性監測、網絡安全產品運行監測、定時檢查和評定、系統升級和補丁提供、跟蹤最新安全漏洞、災難恢復機制與防止、系統改造管理、網絡安全專業技術咨詢服務。運行安全是一項長久的服務，包含在網絡安全系統工程的售后服務內。管理安全管理安全對以上各個層次的安全性提供管理機制，以網絡系統的特點、實際條件和管理規定為根據，運用多個安全管理機制，為顧客綜合控制風險、減少損失和消耗，增進安全生產效益。系統為管理安全設立的機制有：人員管理、培訓管理、應用系統管理、軟件管理、設備管理、文檔管理、數據管理、操作管理、運行管理、機房管理。軟件安全體系設計風險性分析系統應使用一套與服務器數據庫不同的顧客權限管理系統，能在顧客管理、權限分級、程序資源等方面提供嚴密的安全保障機制。軟件安全性規劃及實施系統功效介紹【根據系統設計按照子系統或模塊進行分類】分類1【對子系統或模塊進行功效闡明，如果是子系統需給出子系統功效構造圖】分類1【如果無子系統，不要包含此級分類，對模塊的闡明在上級分類中描述明確；如果有子系統就在此分類中描述子系統的功效】

項目實施方案項目后，成立新項目小組，根據客戶項目規定配備人員（需求分析人員、架構師、開發人員和項目經理）、設備，制訂項目計劃、溝通計劃、開發計劃等，確保新項目有計劃準時上線。成立項目小組【對項目參加的崗位和人員進行描述，重要崗位描述到人，其它描述到人數即可】項目需求分析在項目組組長制訂項目計劃，需求分析師和系統架構師閱讀客戶提供的項目資料，與客戶有關人員進行需求溝通，搞清晰客戶的規定，重要工作如圖2-1所示。在明確客戶業務需求和IT需求的狀況下，編寫需求分析闡明書，其內容需要得到客戶確實認；對項目開發以及實施過程中的需求變更進行分析、確認和管理；在項目組內部以需求分析闡明書為基礎達成對客戶需求認識的基本一致性，并以此作為項目開發、實施、培訓和人員配備的基礎資料。應用系統測試方案系統在上線運行之前需要對軟件功效、生產環節進行階段測試，測試方案以下表。實施方案【對項目開發及實施的階段進行描述，需明確描述出系統的開發階段及各階段的時間節點及內容】在以上各階段如果客戶提出需求變更，項目組進行需求變更分析和確認，之后，在變更涉及到的應用系統、生產環節和培訓環節做出對應的更改。驗收方案驗收原則驗收項目交付件【描述系統的交付件】例：顧客手冊安裝布署闡明書驗收報告軟件接口規范安裝盤驗收原則根據系統開發合同中對應的功效列表對系統進行驗收。軟件錯誤的嚴重性等級不能執行正常功效或重要功效,或者危及人身安全；嚴重地影響系統規定或基本功效的實現,且沒有方法解決；嚴重地影響系統規定或基本功效的實現,但存在合理的解決方法；使操作者不方便或碰到麻煩,但不影響執行正常功效或重要功效；其它錯誤；

錯誤與嚴重性等級對應表1級錯誤的描述這一級別的錯誤普通涉及下列內容:沒有實現或錯誤地實現重要的功效；業務流程存在重大隱患；軟件在操作過程中由于軟件本身的因素自動退出系統或出現死機的狀況；軟件在操作過程中由于軟件本身的因素對系統或數據造成破壞；在現有的軟、硬建設環境下不能實現應有的功效；特殊軟件在操作過程中可能危及系統和人身安全等。2級錯誤的描述這一級別的錯誤普通涉及:沒有實現基本功效，并且不存在替代方法；沒有實現重要功效中的部分功效，并且不存在替代方法；業務流程銜接錯誤；密鑰以明文方式存儲；沒有留痕功效；顧客的權限分派不合理；在現有的環境下，不能實現部分功效且沒有替代方案；沒有滿足系統的性能規定。驗收原則測試用例不通過數的比例<

1.5

%；不存在錯誤等級為1

的錯誤；不存在錯誤等級為2

的錯誤；錯誤等級為3

的錯誤數量≤

5；全部提交的錯誤都已得到改正；服務承諾書為確保我公司負責的長安信托客戶服務系統的正常運行和實用，我方將在維護期內，按照合同規定提供技術支持服務，保障系統的正常運行。技術部統計跟蹤項目實施中和實施后客戶提出的多個技術問題，并根據狀況劃分嚴重級別，從而根據嚴重級別作出對應的服務響應。負責提供對系統進行日常的維護、緊急事件的解決、系統功效的調節、客戶問題及建議的收集等服務。服務內容及服務原則日常系統維護對系統日常的報錯、異常進行快速解決服務；提供優質、快捷的現場及遠程技術支持服務；如果異常和報錯，屬于數據錯誤或顧客誤操作，不需要修改程序，確保1個工作日內解決問題，并給客戶進行反饋；如果異常和報錯，屬于系統bug，需要修改程序，視工作量2-4個工作日內解決問題，并給客戶進行反饋。數據備份服務日常運行期間，5-7天進行