XX网站投标书示例(仅供参考).doc

1 XXXX 网站支撑平台网站支撑平台 2 目录目录 1 项目概述项目概述 4 1 1 项目背景 4 1 2 建设目标 4 1 3 建设思路及原则 4 1 3 1 先进实用 4 1 3 2 好用易用 5 1 3 3 成熟性与可扩展性 5 1 3 4 标准性与灵活性 6 2 服务项服务项目目及工期及工期 6 2 1 交换类数据接口 6 2 2 数据中心管理平台 6 2 2 1 数据中心建设架构 7 2 3 对各种应用的标准化数据支撑及输出规范 9 2 4 数据库及中间件 9 2 4 1oracle 数据库 9 2 4 2iis 服务 11 3 安全及性能安全及性能 11 3 1 物理安全 12 3 2 网络安全 13 3 3 操作系统安全 13 3 4 数据安全 13 3 5 双机热备及容灾处理 14 3 6 网络传输及访问安全 14 3 7 数据支撑平台安全 三防 15 3 8 安全防护 17 3 8 1 WEB 应用防火墙的价值体现 18 3 8 2 物理安全防护 19 3 8 3 网络安全防护 19 3 8 4 数据安全防护 20 3 8 5 软件安全防护 20 3 8 6 安全防护服务 21 4 项目实施及管理项目实施及管理 21 4 1 项目实施概述 21 4 2 项目组织 23 4 3 人员配置 27 4 4 项目实施进度 29 4 5 项目管理 30 4 5 1 全面质量管理 30 4 5 2CMMI 质量规范 33 4 5 3 质量审计 34 4 5 4 质量改进 35 4 5 5 质量控制 35 4 5 6 项目测试管理 36 3 4 5 6 1 测试计划 36 4 5 6 2 测试设计开发 37 4 5 6 3 测试实施 37 4 5 7 项目风险管理 37 4 5 8 项目配置管理 38 4 5 9 项目变更控制计划 38 4 5 10 项目测试计划 39 5 项目文档及验收项目文档及验收 43 5 1 项目文档管理 43 5 1 1 用户培训文档 43 5 1 2 客户支持文档 43 5 1 3 项目开发文档 44 5 1 4 项目文档状态属性定义 45 5 2 项目验收管理 46 5 2 1 产品安装 46 5 2 2 验收测试 46 5 2 3 文件验收 47 5 2 4 应用系统功能验收 47 6 培训培训 47 6 1 培训计划 47 6 2 人员培训方案 49 6 2 1 培训目的 49 6 2 2 培训讲师 50 6 2 3 培训对象 50 6 2 4 培训内容 50 6 2 5 培训流程 52 6 2 6 人员培训计划 54 6 2 7 基础平台维护培训 54 6 2 8 基础平台应用培训 55 7 售后服务售后服务 57 7 1 故障处理 59 7 1 1 本地化客户服务 60 7 1 2 7 24 小时电话答询 60 7 1 3 专人管理客户服务 60 7 1 4 高效快速的现场服务响应 61 7 1 5 故障分级诊断服务响应时间 61 7 2 系统升级 62 8 环境要求环境要求 63 8 1 软件配置要求 63 8 2 服务器软件配置 63 8 3 开发环境要求 63 8 4 应用环境要求 64 9 数据规范数据规范 65 9 1 数据规范标准 65 4 9 2 数据获取与交换 65 10 公司积累和优势公司积累和优势 65 10 1 技术积累 65 5 1 项目概述项目概述 1 1 项目背景项目背景 1 2 建设目标建设目标 1 3 建设思路及原则建设思路及原则 因此 我们在网站建设内容上 尽可能从用户最重要最迫切的 需求出发 选择投入少 见效快 运营维护简单 易于操作的功能 先上 随着经验的积累和各方面条件的逐步成熟 再逐步扩展其它 应用 技术上 我们将采用安全的一体化 SOA 架构 基于 Net Remoting 安全通信的方式进行系统之间的数据交互与认证 此种方 式的特点是安全 快速 因此保障了系统的安全稳定 1 3 1 先进实用先进实用 在平台的选用 方法设计方面均采用当前的先进技术 以保证 系统功能的可靠发挥 其整体水平达到国内同行业领先水平 实用 与先进性兼顾 可以获得最高的性价比 实用性是确保系统可用的 基础 在确保实用的前提下 尽可能采用先进成熟的技术 公司多年来一直致力于将先进技术的研究 认真调研市场的应 用需求 将技术不断进行优化和转换 使其紧密跟随信息化发展的 步伐 为广大客户量身定制先进的 实用的服务和产品 每项技术 都是经历了众多的行业应用实战检验并不断优化总结和积累的 充 分地保障了其先进性和实用性 1 3 2 好用易用好用易用 6 经历了多年的信息化实施经验 公司的行业应用专家们在各项 应用功能的设计上吸取了各类经验和教训 例如针对的海量信息录 入问题我们设计了批量导入模式 尽可能保持原有资源的形式和完 整性 通过技术手段支撑一次海量信息导入 减少工作人员在信息 采编方面的人工工作量 极大的提高了使用的效率 也使系统的易 用性得到充分的体现 1 3 3 成熟性与可扩展性成熟性与可扩展性 很多系统由于在建设初期没有充分的考虑系统的可扩展性 当 系统的规模增长到一定程度之后 性能出现严重下降 由于缺乏扩 展性 在系统的扩展中面临重重困难 这就要求在设计阶段从体系 设备 拓扑 功能等各个方面对系统的可扩展性加以考虑 在本平台的设计上我们拟采用的是 SOA 面向服务的架构 架构 这种方式的最大优点就是扩展性强 采用一系列的标准化接口和反 射编程方式 支持系统的不断扩充 同时这种架构本身可基于 net Remoting 或 Webservice 等任何成熟的技术进行布署 不存在任何未 突破的技术风险 因此在系统的设计上具备了很强的可扩展性和成 熟性 1 3 4 标准性与灵活性标准性与灵活性 整个支撑平台系统均采用开放式结构 能够融合新技术 且便 于维护 具有灵活适应应用需求变化的能力 我们将充分利用新技术的优势 秉承软件工程要求设计接口标 准 数据库标准 页面风格标准及业务流程 同时按照质量管理规 范制定系列本项目的需求分析 系统设计 系统研发 测试和安装 布署的管理规范 保证软件的质量 保证软件各部件具有统一的标 7 准模式和接口规范 从而软件灵活适应业务变化需要打下照实的基 础 2 服务项目及工期服务项目及工期 2 1 XXXX 2 2 XXXX 随着业内的不断发展 资源的开发过程在产生了大量的有价值 的数据 但由于没有有效的管理系统支持 没有建立起自己核心的 数据库 使得无法完全的发挥行业的资源优势 大大降低了效率 增加了运营成本 系统整体架构 由核心数据库 数据管理系统 搜索引擎和外 部应用功能构成 核心数据库 解决不同数据标准整合问题 数据管理系统 实现数据积累 整理 共享与重用的核心服务 通过权限管理 数据流程管理 维度管理实现数据的高效应用 智能搜索引擎 实现用户海量数据快速搜索定位和应用 前 后台应用功能 实现数据管理系统的积累 日常运作 数 据维护 业务应用 系统管理等功能 2 2 1 数据中心建设架构数据中心建设架构 8 数据中心系统分为四层的技术结构 Presentation 表现层 Application 应用层 P ersisntence 持久层 D atabase 数据服务层 知识管理系统技术架构图 展示层数据管理系统功能与服务 业务逻辑层业务逻辑层实现 业务组件 服 务 对外接口 服务调用 应用服务层Web 应用框架 权限管理服务 数 据管理服务 搜索引擎服务 持久层数据访问 数据对象等 检查服务层企业应用服务器 9 系统资源层数据库管理系统 网络 协议 操作系统 数据中心具有良好的开放性 移植性和可扩展性 表现层具备 快速应变 敏捷开发 应用形式多样的特点 数据中心系统采用 B S 结构开发 可以在 Intranet Internet 中 运行 用户可通过 Internet 网随时访问自己需要的信息 系统以后 台服务方式自动运行 无需启动 监控 服务器端一次安装 客户 端软件零安装 客户端运行完全免维护 系统在应用程序方面具有明显复杂性 系统访问各种类型的数 据并分发于大量的应用模块中 为了更好的控制管理这些应用程序 支持不同的用户应用功能 系统引入中间逻辑组件层 中间层实现 了在系统应用过程的核心功能运算模块组 为应用表现和数据管理 提供丰富核心运算引擎 同时也为未来功能扩展提供广泛的开发应 用接口 2 3XXXX 2 4XXXX 2 4 1oracle 数据库数据库 10 Oracle10Oracle10g g标准版标准版 Oracle Database 10g Standard Edition 提供了 Standard Edition One 的前所未有的易用性 能力和性 能 并且利用真正应用集群提供了对更大型的计算机和服务集群的 支持 它可以在最高容量为四个处理器的单台服务器上 或者在一 个支持最多四个处理器的服务器的集群上使用 包含了一系列常见的应用程序开发功能 包括与 SQL 对象相关 的功能 用于编写存储过程和触发器的 PL SQL 和 Java 编程接口 Oracle 数据库这些版本中的任意一个编写的应用程序将与其它的 应用程序一起运行 Oracle 数据库 10g 提供了额外的性能 可伸缩 性 可用性和安全性 这些功能一般对应用程序开发人员是透明的 此外 Oracle 提供了具有先进技术的可选产品 这些技术能够 满足关键任务的 OLTP 数据仓库和互联网应用程序环境最苛刻的开 发和部署需求 OracleOracle 真正应用集群真正应用集群 RAC RAC Oracle 真正应用集群是通过集群技术来利用多个互连的计算机 处理能力的计算环境 Oracle 真正应用集群通过利用集群化的硬件 配置为任意打包或定制的应用程序提供了无限的可伸缩性和高可用 性 并且它还具有单个系统简单性和易用性 Oracle 真正应用集群 允许从集群化的系统配置的多个节点访问单个数据库 使应用程序 和数据库用户不受硬件和软件故障的影响 同时提供了随硬件环境 而扩展的高性能 11 OracleOracle 分区分区 Oracle 分区为大型的底层数据库表和索引增加了重要的可管理 性 可用性和性能 从而为 OLTP 数据中心和数据仓库应用程序增 强了数据管理环境 Oracle 分区允许将大表分解成单独管理的更小 的部分 同时保留应用程序级的单个数据视图 支持 range hash list 和组合 range 与 hash 组合 以及 range 和 list 组合 分区方法 OracleOracle 高级安全性高级安全性 Oracle 高级安全性 ASO 为 Oracle 数据库提供了网络加密 和一整套功能强大的验证服务 网络加密是利用行业标准的数据加 密和数据集成算法来实施的 这为部署提供了一个编码和密码增强 的选择 强大的验证服务支持一套全面的符合行业标准第三方验证 选项 验证选项包括 Oracle 数据库的单点登录服务 这是通过与 现有的验证框架和双方验证选择 如智能卡和令牌卡 进行互操作 而实现的 OracleOracle 标签安全性标签安全性 12 Oracle 标签安全性为详细的访问控制提供了先进和灵活的基于 行标签的安全性 Oracle 标签安全性应用了政府 国防和商业机构 使用的标签概念来保护敏感信息 提供数据分离 并包含了强大的 工具来管理策略 标签和用户标签授权 OracleOracle OLAPOLAP Oracle OLAP 是一个可伸缩 高性能的计算引擎 它为开发分 析应用程序提供了完全集成的管理 Oracle OLAP 完全集成在数据 库中 并提供了一整套分析功能 例如 预测分析可以用来预测市 场趋势 预测产品生产需求以及生成企业预算和财务分析系统 利 用复杂 多维的查询和计算 可以获得诸如市场份额和净现值等信 息 Java OLAP API 提供了高效的面向对象的方法 以构建需要复 杂的分析查询功能应用程序 OracleOracle 数据挖掘数据挖掘 Oracle 数据挖掘允许公司构建高级商务智能应用程序 这些应 用程序能够挖掘企业数据库 洞察新的问题 并将这些信息集成到 商务应用程序中 Oracle 数据挖掘嵌入了数据挖掘功能 以进行分 类 预测和关联 所有的建模和评分功能都可以通过基于 Java 的 API 来访问 2 4 2iis 服务服务 3 安全及性能安全及性能 XX 网站平台 在安全性建设方面 从全方位 多层次进行 安全防范 安全建设将通过建立可靠的网络安全设施和信息安全设 施并在安全管理体系的监督下保障系统的正常运作 系统安全是保 证 XX 网站平台 运行的重要环节 应该满足以下总体要求 13 安全体系 安全体系 必须从系统工程的高度来设计安全系统 在网络 各层次都应该有相应的安全措施 同时还要注意到内部安全 管理在安全系统中的重要作用 可靠性 可靠性 安全系统自身必须能够确保正常运行 不能因为安 全系统出现故障导致整个网络出现瘫痪 安全性 安全性 安全系统既要保证网络和应用的安全 又要保证自 身的安全 开放性 开放性 必须保证安全系统的开放性以保证不同厂家的不同 产品能够集成到安全系统中来 并保证安全系统以及各种应 用的安全可靠运行 可扩缩性 可扩缩性 安全系统必须是可扩缩的 以适应网络规模的变 化 易于管理 易于管理 包括两方面的含义 一方面 安全系统本身必须 是易于管理的 另一方面 安全系统对其管理对象的管理必 须是方便的 简单的 合法性 合法性 投标产品应该符合国家网络安全的相关法律和规定 为了满足以上要求 我们将从以下几个方面着重对系统的安全 进行设计 包括 物理安全 网络安全 系统软件安全 数据库安 全 数据传输安全 程序逻辑安全 应用审计 数据及存储安全以 及防病毒和木马等 3 1 物理安全物理安全 物理安全由托管 IDC 来负责保证 主要包括以下几个方面 确保所有设备的物理安全 包括机房的安全 14 机房具备防火 防潮 防静电等基本设施 确保 UPS 的正常 供电 机房需有严格的管理措施 出入登记 网络的拓扑结构不得随意更改 确保网络各逻辑部分的独立 3 2 网络安全网络安全 防火墙是重要的安全手段之一 防火墙设置在不同网络之间 是信息的唯一出入口 能根据系统的安全策略控制 允许 拒绝 监测 出入网络的信息流 且本身具有较强的抗攻击能力 商务资 讯网站对 Internet 提供服务 需要通过防火墙对从 Internet 来的 访问进行控制 为防止黑客的入侵 应利用防火墙对整个系统实施保护 禁止 对所有不必要 TCP UDP 端口的访问 防止对系统的恶意攻击 我们 将 WEB 服务器放置在防火墙的内部网或非军事区 DMZ 可将防火墙 设置为只对 WEB 服务器开放需要的端口 如 TCP80 TCP443 对于 需要开放的远程管理断口可做到对 IP 和端口双重限制 3 3 操作系统安全操作系统安全 系统安全是保证一个主机系统的安全 主要包括主机系统的密 码安全 重要服务器如 SMTP 服务及 FTP 等大型应用系统的安全 系 统服务器应精心设置安全选项 如 停止所有不必要的系统服务 设置对访问的审核与跟踪 提高系统的安全级别 做好系统本身的 安全保护 15 操作系统漏洞扫描 及时下载并安装系统补丁程序 减少黑客 入侵的几率 定期进行木马程序的扫描 及时清除并修补安全漏洞 3 4 数据安全数据安全 为保障数据库的安全性 我们建议面向 Internet 的 WEB 服务器 与应用服务器及数据库服务器分开 应用服务器和数据库服务器放 置在第二级防火墙的内部网络上 Web 服务器通过防火墙访问应用服 务器及数据库 Internet 用户无法直接访问网站数据库 对数据库 本身 也做好用户密码级别 用户权限的相关设置 并且在确保数 据库访问密码在 16 位复杂字符组合的情况下 定期更换数据库访问 密码 为保证数据的本地安全和完整 使用 RAID 技术来保证数据在意 外事故发生时能快速恢复 制定适当的备份计划来保证数据的长期 保存 平台数据的安全和完整性是非常重要的 我们推荐 XX 网站 平台 对网站的 WEB 系统 应用服务器系统和数据库系统实施完整 的备份策略 以保障数据的安全和网站快速故障恢复的能力 由于信息技术在日常管理中的地位越来越高 因此处理设施的 可用性至关重要 目前 大多数关键性系统需要高度的可用性 其 中许多系统的运作甚至需要连续的可用性 此外信息系统的核心是 数据 故障停机和数据损失可能导致巨大的损失 因而 数据备份 策略犹为重要 信息系统的数据备份策略就是解决数据保护和系统 恢复的策略 3 5 双机热备及容灾处理双机热备及容灾处理 16 XX 网站平台 实时性要求较高 并发量很大 系统一旦宕机 损失将很严重 因此建议应用服务器和数据库服务器均实现双机热 备 一旦某台服务器死机 另一台服务器立即可以接管服务 确保 系统 7 24 小时可靠运转 3 6 网络传输及访问安全网络传输及访问安全 对于用户身份数据及其它敏感数据的传输部分采用 SSL 的方式 进行通道加密 根据 XX 网站平台 用户的不同类型可采用不同的 保护策略 普通用户 对于普通用户的访问提供对 WEB 服务器的身份认证 并对敏感数据的传输通道进行加密 由 XX 网站平台 向安全证书 机构申请 WEB 服务器证书 特殊用户 对于重要用户 一般指企业用户 的访问 系统可 以采用基于电子证书和安全基础设施 PKI 的双向认证方式 系统 提供对 WEB 服务器与用户身份的双向认证 所有用户在访问 WEB 服 务器时必须提供同样有安全证书机构发放的用户安全证书 3 7 数据支撑平台安全数据支撑平台安全 三防三防 1 保密性 防止黑客随意获取内部的私密信息 相对应的网站 安全防护措施 即防攻击 2 完整性 防止黑客在未授权情况下修改信息 相对应的网站 安全防护措施 即防篡改 3 可用性 确保有权限者可随时正常获取信息 相对应的网站 安全防护措施 即防病毒 木马 结合了标准的 PDR 模型 从检测 防护和响应三个层面全方位 的进行网站安全防护 17 图图 网站安全网站安全 三防三防 图解图解 检测 和直观的页面被篡改不同的是 网页挂马由于其隐蔽性 甚至 在攻击发生数月之后还能继续为害 这就需要有一套相应的检测机 制 来定期对网站进行挂马检查以便及时发现 远程网站挂马检查 服务 模拟执行网页访问 而非单纯的模式匹配方式 对网页木马 有很高的准确发现率 同时 结合后台安全专家的人工分析 可以 准确发现网站是否存在可利用的漏洞 并给出修补建议 防护 对于那些由于设计上的原因导致的安全漏洞 可能会由于需要 使用某些应用 而无法进行修补或更新 针对这类漏洞的攻击行为 大多基于应用 夹杂在正常的访问行为当中 防火墙类安全产品 由于无法准确识别应用层攻击行为 对这类攻击往往束手无策 如 果需要防范此类攻击 必须选择可以对应用层威胁进行准确发现和 防御的安全产品 特别是 针对这类攻击 以 SQL 注入 XSS 攻击为 18 代表 由于变种极多 传统的应用层威胁防御产品采用的特征匹配 技术无法全面覆盖 有较高的漏报和误报率 响应 针对有些网站用户的技术力量相对单薄 无法自行修补和进行 监控的状况 启明星辰还推出了网页安全修复服务 对网站中的应 用程序存在的漏洞 页面中存在的恶意代码进行彻底清除 同时用 户还可以选择白盒测试 黑盒测试对网站相关的安全源代码进行检 查 找出源代码方面所问题 通过服务用户能够获得源代码问题所 在以及安全修复建议或修改服务 3 8 安全防护安全防护 在 XX 网站平台 信息系统的 Internet 边界上或者 WEB 服务器 的前端部署 KILL WEB 应用防火墙 并在 Web 防火墙上实施以下安全 策略 图图 网站安全防护拓扑图网站安全防护拓扑图 对平台及网上系统进行全面的安全防护 过滤如 SQL 注入 跨 站脚本等因传统防火墙不能防护的安全问题 19 对平台进行 WEB 隐藏 避免利用扫描软件对其进行信息获取分 析 设置平台页面防篡改功能及恢复功能 避免恶意篡改页面 对平台进行应用层控制 限制部分用户上传文件及对敏感页面 的访问 对访问平台信息系统网络进行安全监控以及审计 对可疑 IP 行 为进行全面跟踪分析 3 8 1 WEB 应用应用防火墙防火墙的价值体现的价值体现 1 彻底防御因网站篡改带来的负面影响 平台作为窗口 其页面一旦被篡改将造成多种严重的后果 部 署 KILL WEB 应用防火墙 通过其缓存原始网站页面可有效防护其网 页不被篡改 2 彻底防御应用层针对 WEB 的攻击 WEB 应用防火墙内置上千种 WEB 应用攻击特征库 可有效抵御各 种已知的 针对 WEB 服务器的攻击行为 保障平台系统的安全运行 3 WEB 应用的审计工具 WEB 应用防火墙不但具有强大的防攻击 防篡改功能 还可通过 其审计分析功能对过滤数据进行分析 对异常 IP 用户进行行为跟踪 及对敏感用户进行过滤等 4 即插即用保证连续性 WEB 应用防火墙产品的部署十分便捷 无需改变现有的网络拓扑 结构 安装后 只需简单的配置安全策略 就可为应用系统提供强 大的安全防御 可保障平台的连续性 20 图图 WEBWEB 防火墙应用事例防火墙应用事例 3 8 2 物理安全防护物理安全防护 机房采用环境实时监控录像和门禁系统 进行严格的身份控制 对不同的功能区和不同的客户系统进行物理隔离 同时加以严格的 管理制度 对内部人员的权限管理 外部客户和参观人员的出入管 理 制定网络运营规范 包括设备访问权限设置 安全事故分级和 汇报制度 安全紧急事件响应流程和处理规范 实行对客户的安全 服务规范 包括安全服务内容 服务流程 服务品质保证 SLA 对环境 温度 湿度 进行严格的指标限制 有完善的环境控制系 统 配备先进火灾报警系统和消防系统 3 8 3 网络安全防护网络安全防护 核心骨干网络的防护 布署千 M 级集群防护能力防火墙与搭 配 CISCO 顶级路由设备与自我防御体系布署有国内最顶级的超高标 准集群防护区域 在骨干网处布署的高级安全策略与虚拟独享的流 21 量策略并在其核心层布署 能满足客户超高的防护标准与高质量的 网络安全稳定 管理网络系统的防护 隔离管理网络与其它网络系统 采用 防火墙进行访问控制 服务器系统进行全面的系统优化配置 以消 除安全隐患 采用 IDS 技术进行入侵监控 针对具体应用进行安全 优化 管理信息的传输采用加密通道 数据库信息和相关重要信息 进行备份 网络服务系统的防护 网络服务系统与其他网络系统隔离 采用防火墙进行访问控制 服务器系统进行全面的系统安全优化 消除安全隐患 采用 IDS 技术进行入侵监控 对发布服务器的远程 访问进行严格的限制 使用双因子认证机制 使用 DNS 服务器达到 负载均衡 E Mail 服务器 文件服务器采用防病毒技术 应用服务 器进行相应应用安全优化 3 8 4 数据安全防护数据安全防护 实施防火墙技术控制对客户网络系统的访问 系统安全优化技 术对客户的路由 交换 服务器系统进行全面的安全评估和安全优化 IDS 技术对客户系统进行全面的入侵监控 提供安全紧急响应 提供 防病毒措施 提供 VPN 保证客户网络维护和异地数据传输的安全 提供数据备份 3 8 5 软件安全防护软件安全防护 为托管客户提供国内外安全防护软件 帮助保护托管用户服务 器内各种应用软件 为客户的 Web 服务器 数据库服务器 FTP 服务 器 邮件服务器等提供 24X7 的集中查毒 杀毒 防毒和预警服务 消除电脑病毒和蠕虫病毒所导致的威胁隐患 并且可以安装实时网 22 络防毒系统 通过互联网定期自动更新软件和病毒标志 使服务器 不受最新病毒的侵害 3 8 6 安全防护服务安全防护服务 通过与渠道合作伙伴专家的共同努力实现安全保护服务 确保 安全防护方面出现的高级需求 帮助托管用户选择合适的安全产品 因地制宜地制定符合托管用户应用需求的安全策略 构筑出一个结 合优质安全产品和动态人员管理的安全服务体系 不仅有效地保障 了整个数据中心的网络安全 同时也成功地向各类型网站提供专业 高效的一站式网络安全整体建设解决方案 4 项目实施及管理项目实施及管理 4 1 项目实施概述项目实施概述 实施方案概述 主要从以下几个方面考虑项目组织与管理 1 项目实施计划 2 人员配置计划 3 项目实施进度 4 项目质量管理 5 项目测试管理 6 项目风险管理 7 项目配置管理 8 项目验收管理 软件项目管理的基本模型如下 23 图 项目质量管理基本模型图 软件项目计划编制的目的是制定一个合理的实施软件工程及管 理软件项目的计划 软件项目计划编制着重于对要实施的工作进行 估计 建立必要的承诺并定义工作计划 24 图 项目快速原型开发流程图 4 2 项目组织项目组织 为保证工程实施的各个环节能够如期保质完成 工程实施方需 采用工程组织体系 EOS EngineeringOrganizationSystem 来组织 实施工程建设 EOS 不仅能很好地管理实施方内部的工程项目组 而 且可以与用户进行密切的配合 与用户建立良好的合作关系 确保 高质量 按进度计划完成工程实施任务 25 图 平台项目组织流程 工程组织体系由实施方 客户方两方面组成 分别建立决策层 管理层 实施层和验收层四层机构 具体机构如下图所示 26 实施方领导客户领导决策层决策层 实施方实施方客户方客户方 项目常务管理组常务管理组专家顾问组管理层管理层 业务专家组 工程督导组 质量 监督 队伍 应用开发队伍应用开发队伍 系统集成队伍 培训队伍 维护队伍 实施层实施层 工程验收专家组 系统集成验收测试组 应用系统测试组 技术文档报告验收组 验收协调组 工程督导 验收层验收层 培训组 技术组 1 1 决策层决策层 决策层的主要职责有 下达工程任务书 调用本单位的人 财 物等资源来保障工程的顺利实施 处理工程重大原则问题 2 2 管理层管理层 管理层协调 管理和监督各部门的工作 并把握工程的技术方 向 其人员必须有很强的协调能力和管理能力 管理层的具体职责 是 制定工程计划和工程规范 建立质量标准并组织实施 把握技术方向 向实施层分配任务 27 组织对工程质量和进度的监控 组织工程情况碰头会 协调各部门及相关人员关系 3 3 实施层实施层 实施层由多个专业队伍组成 实施层的具体职责是 组织各专业小组 明确技术责任与实施方案 从事软件开发 系统集成 技术支持服务 培训等具体工作 的组织和实施 对工程质量进行全程动态监控 4 4 验收层验收层 验收层的具体职责是 确定各技术专业验收测试标准和验收测试人员 组织现场测试环境和完成各项技术测试 编写工程测试报告和工程验收报告 组织并实施完成最终开通运行等各项工作 针对本项目 我们成立的项目组织机构如下 1 项目领导小组 项目领导小组 由景区建设集团信息化主管领导 专家组成 员 开发单位共同组成 重点负责课题实施过程中重大问题 及各个环节的协调工作 2 项目策划小组 项目策划小组 负责对项目的需求定义 规划 实施 进度 和与企业的结合进行有效的管理 整体把握项目的全部过程 3 项目技术小组 项目技术小组 由支撑平台具体负责技术单位的领导 组织 计算机专家 特别是熟悉信息化的计算机专家对每一个重大 技术相关问题进行决策 28 4 项目测试小组 项目测试小组 由支撑平台负责项目测试的领导 组织相关 单位的专业人士测试系统 4 3 人员配置人员配置 应用开发队伍由下列成员构成 每一类人员采取首席软件工程 师负责制 1 1 软件开发与测试负责人软件开发与测试负责人 全面管理项目组 协调项目组与公司其它部门 用户的关系 负责软件开发的规范化工作 使本系统的软件开发遵循下述 开发规范和标准 需求调查规范 需求分析说明书文档规范 概要设计说明书文档规范 界面设计标准 详细设计说明书文档规范 29 模块卷宗文档规范 编码标准 配置管理标准 黑箱测试标准 白箱测试标准 负责审定开发计划 人员配备 技术路线以及总体方案的制 定 主持需求分析 概要设计 详细设计 编码 测试等软件开 发各个阶段的评审 每周召集各小组的首席软件工程师碰头会 检查每个小组的 工作内容 工作质量和工作进度 对开发过程中出现的问题 及时解决和调整 2 2 系统分析人员 需求分析与设计 系统分析人员 需求分析与设计 进行需求分析 编制需求分析说明书 编制概要设计说明书 完成界面的初步设计 对系统提出产品化 构件化的思路 对后续开发工作提出技术路线 制定测试大纲 负责详细设计 软件编码的技术指导和质量监督 在开发过程中对需求和概要设计进行及时的修改和补充 3 3 项目软件编码人员项目软件编码人员 参与详细设计 编写详细设计文档 参与系统操作界面的设计 30 负责软件编码 编写模块开发卷宗 负责系统的调试 编写模块测试报告 负责整理所有源代码并编写源代码说明书 参与用户操作手册的编写 4 4 项目软件测试人员项目软件测试人员 负责各小组软件开发文档的打印 每周负责从各小组收集开发文档和源代码 对文档和软件代码按配置管理规范进行严格管理 负责对应用软件的各项功能进行测试 负责测试软件的性能 界面友好性 容错性 安全性 运行 速度 负责测试应用软件的各项功能与设计文档的一致性 负责对文档和软件代码进行审定 负责系统在试运行期间的系统测试 编制详细的测试报告 4 4 项目实施进度项目实施进度 在用户所有资料准备齐全及充分配合的情况下 项目实施工期 定为从合同签订之日起 90 个日历天内交付 如果用户要求更短的工 期 我们可以通过增加开发人员和加班的方式 在确保系统质量的 前提下将工期缩短至 2 3 个月完成 截止至天数 102030405060708090 以后 需求调研 整理 系统原型设计 页面功能开发 31 系统调试 部署 系统测试 系统试运行 文档编写 用户培训 系统验收交付 维护与推广 注 具体需要客户需求明确后最终确定 本着既快又好的原则 进行开发 4 5 项目管理项目管理 4 5 1 全面质量管理全面质量管理 建立和完善质量体系 作为确保产品符合规定要求的一种手段 是公司内部质量管理的需要 也是取得外部信任的保证 公司是以总经理负责批准并发布项目的总体质量目标 针对项 目的设计 开发 生产 安装 服务过程制定有效的质量措施 对 特殊工程 产品从设计到调试全过程制定专门的质量措施 确定并 配备必要的控制手段 资源和文件 编制质量计划 确保特定的工 程项目 产品或合同满足规定要求 管理者代表负责审查公司总体 质量目标 对招标项目的中质量目标的整个实施过程进行监控和管 理 其中质量管理部负责公司总体质量目标的制定 组织实施和质 量目标记录的保存 并且各部门会同质量管理部对项目质量目标进 行横向展开 编制 项目质量目标分解表 报管理者代表审批 质量管理部将分解后形成的各项具体目标以书面形式下达各有关部 门 32 高层管理人员负责积极领导公司推行全面质量管理 对项目的 质量负全责 明确各部门的职责和权限 负责对质量管理体系的管 理评审 确保在组织内建立适宜的沟通过程 确保质量管理体系的 有效性得到沟通 制定资源策略 为质量管理体系配备有效的资源 和环境 保证公司与质量管理体系有关的各环节正常运行 确保目 标责任落实 项目经理根据项目所需设备和材料的采购需求和合同的规定货 物清单 完成货物提供和结算 同时负责组织安排对软件包和数据 库的验证和保管工作 将提供的货物提交给客户后 负责请客户签 署货物验收单 协调客户 开发和集成商与我方进行货物的安装和 验收工作 测试负责人 开发负责人 调试负责人对各自工作的质量目标 实现的执行过程全权负责 公司严格安照 ISO9000 标准对项目的软件供货进行质量控制和 监督 具体如下表所示 阶段阶段角色角色任务描述任务描述工作成果工作成果 高层领导 参加立项评审活动 下达任务 书 项目任 务书 立项 项目经理 填写立项申请书 参加立项评 审 立项申 请书 需求 分析 项目经理 将合同中有关软件采购的内容 确定提供的软件产品 需求分 析说明 33 阶段阶段角色角色任务描述任务描述工作成果工作成果 签订合 同及供 货 项目经理 签订 采购合同 经高层领 导审批后 合同盖章生效 交 经营管理部备案 根据合同内容对客户所需产品 进行供货 采购合 同 软件产品 安装与 调试 调试人员 在客户规定时间内进行软件产 品的安装与调试 安装手 册 货物验 收 项目经理 请客户签署货物验收单 协调 客户 开发和集成商与我方进 行货物的安装和验收工作 验收单 技术支 持 技术支持 项目整个过程及后期使用过程 中的问题解决 34 4 5 2CMMI 质量规范质量规范 图 CMMI 质量保证流程 35 软件质量保证活动包括 制定 软件质量保证计划 评审和 批准 软件质量保证计划 执行 软件质量保证计划 包括 协 助项目组完成 需求规格说明书 软件开发计划 及 配置管 理计划 等文档 定期检查项目组的软件开发活动与软件工作产品 与标准 规程及计划的符合性 检查各阶段的质量评审 定期汇报 项目各阶段的质量保证活动状态及质量保证人员的工作情况 重大 质量问题的提出与分析以及质量信息的收集 分析与使用等 修改 软件质量保证计划 4 5 3 质量审计质量审计 1 1 里程碑评审 里程碑评审 里程碑评审的目的是为保证阶段性的软件工作产品的合理性 正确性 完整性以及与需求及计划的一致性等 2 2 基线评审 基线评审 软件质量保证人员应在基线评审之前 按 软件配置管理计划 中关于基线的规定 对配置项的状态及 配置状态报告 的符合性 及完整性进行检查 并提出与分析其中存在的质量问题 将检查情 况记录在定期的 项目质量保证状态报告 中 如有重大问题则填 写 重大问题报告 3 3 检查点检查 检查点检查 软件质量保证人员应在检查点处对项目的进展状态进行审计 然后将检查情况定期填写 软件质量保证状态报告 对质量信息 进行采集 提出与分析发现的质量问题 36 4 4 软件质量保证活动的评审 软件质量保证活动的评审 软件质量保证人员负责对软件开发过程中发现的所有问题的解 决过程进行过程符合性的跟踪检查及参与结果的验证 4 5 4 质量改进质量改进 在软件质量保证计划执行的过程中 由软件质量保证人员对质 量保证计划的执行过程进行测试并记录相关的测量数据 度量数据 为软件工程和管理活动中收集到的数据 并定期将测量到的数据放 入相应数据库中 作为质量改进的依据 对规程或软件项目计划的变更经审批后 由项目经理 软件项 目经理 及软件质量保证人员组织相关人员分析变更对项目产生的 影响 并将软件项目计划的变更并入新版的软件项目计划中 然后 重复上述工作 直到项目结束 4 5 5 质量控制质量控制 为确保项目的实施质量 有专人负责项目的品质管理是非常重 要的 质量保证组的工作将通过以下几个方面的工作来实现项目品 质的控制 技术架构检验 负责检验技术设计是否合理和架构的质量 技术规范指定 通过技术规范的指定来指导和约束项目的开发 编程检验 技术小组的负责人在开发任务临近结束时将负责完 成编程的检验以保证编程是按照技术方案指明的条款完成的 37 项目流程监控 按项目进展时间表监控和审核项目的实施情况 以保证项目实施的总体质量 4 5 6 项目测试项目测试管理管理 测试是项目质量控制的最主要的手段之一 对产品的功能的和 合同责任内的项目实现的功能及系统的测试 本公司将根据合同的 责任范围 为客户提供测试及验收 以确保项目实施的质量 4 5 6 1 测试计划测试计划 根据项目计划和系统功能的需求 制定详细可行的测试计划 其中应包含以下内容 1 测试环境 包括硬件 软件 网络等 2 测试工具 测试程序 测试数据 3 测试项目的覆盖密度 4 测试检查点 必要时做成检查点列表 5 详细的日程计划 包括各测试工程起止的里程碑 内部及外 部结合测试的起止时间 各个模块结合测试的顺序 中间及 最终版本提交时间等等 6 划分每一个测试人员的责任 根据实际情况 制定每日或每 周的进度计划 如预定完成的测试项目数 运行的测试程序 数等 7 确定实施测试时的测试结果的记录以及数据收集的内容及方 式 38 4 5 6 2 测试设计开发测试设计开发 同时针对测试 应完成详细的测试设计和相关的开发 这包括 依据相应的设计文档 设计对产品功能 性能 操作及其运行环境 等进行确认的测试案例 测试数据及测试程序包 并明确测试案例 是否合格的判定基准 设计内容记入相应的测试设计文档 4 5 6 3 测试实施测试实施 测试遵循测试计划 按照测试设计文档中设计的测试项目逐项 进行测试 记录 并对不合格项进行处理 测试完成后将提供测试 报告 由贵单位确认 4 5 7 项目风险管理项目风险管理 项目风险的管理不仅贯穿于整个项目过程 而且在项目事件发 生之前风险的分析就已经开始 由于该项目周期长 涉及范围广 实施具有一定风险 我们根据风险控制与项目事件发生的时间将风 险管理划分为三个部分 事前控制 风险管理规划 事中控制 风险管理方法 事后控制 风险管理报告 无论项目进展的情况如何 都必须将风险管理的计划 行动 结果整理 汇总 进行分析 形成风险管理报告 风险管理的持续 性要求风险管理报告的连贯性和不间断性 因此 该报告不是仅仅 在项目结束之后才制作的 而是应该视项目的进展状况 项目计划 报告的对象等条件采取书面或口头 不定期的或阶段性的等多种方 式 为项目的实施 控制 管理 决策提供信息基础 39 4 5 8 项目配置管理项目配置管理 中心支撑平台是一个大型应用软件平台开发项目 需求复杂 时间紧迫 质量和性能要求很高 随着软件团队人员的不断增加和 变化 软件版本不断变化 以及多平台开发环境的采用 将会使软 件开发面临许多问题 如对多种可重用应用组件的开发和维护 保 证产品版本的精确 修改先前发布的模块 加强开发政策的统一和 对特殊版本需求的处理等等 解决这些问题的唯一途径是要加强管 理 使软件配置管理 SCM SoftwareConfigurationManagement 的思想应用于整个软件工程过程 在开发过程中 我们选用软件配置管理工具 CVS 主要用于 Windows 和 Unix 开发环境 CVS 提供了全面的配置管理功能 包 括版本控制 工作空间管理 建立管理和过程控制 而且无需软件 开发者改变他们现有的环境 工具和工作方式 4 5 9 项目变更控制计划项目变更控制计划 所有的项目都存在一定的变更 如何对它们进行管理是项目管 理的一个关键问题 在项目执行过程中 一般要分析项目变更的原 因 然后建立在对项目变更原因的深刻理解基础之上 提出了一套 项目变更控制计划 包括以下内容 建立项目变更控制系统 组建变更控制委员会 CCB 定义变更控制流程 配置管理 40 制定实施计划 实施 4 5 10 项目测试计划项目测试计划 1 1 测试策略测试策略 测试策略提供了推荐用于测试对象的方法 上一节 测试需求 中说明了将要测试哪些对象 而本节则要说明如何对测试对象进行 测试 对于每种测试 都应提供测试说明 并解释其实施和执行的原 因 如果不实施和执行某种测试 则应该用一句话加以说明 并陈 述这样做的理由 例如 将不实施和执行该测试 该测试不合适 制定测试策略时所考虑的主要事项有 将要使用的方法以及判 断测试何时完成的标准 测试还只应在安全的环境中使用已知的 受控的数据库来执行 2 2 系统测试评测表系统测试评测表 测试项测试项 目目 测试方法测试方法测试预期结果测试预期结果 功能测功能测 试试 利用有效的和无效的数据来 执行各个用例 用例流或功 所计划的测试已全部 执行 系统的各个功 41 能 以核实以下内容 在使用有效数据时得到预 期的结果 在使用无效数据时显示相 应的错误消息或警告消息 各业务规则都得到了正确 的应用 能模块运行正常 用户界用户界 面测试面测试 为每个窗口创建或修改测试 以核实各个应用程序窗口和 对象都可正确地进行浏览 并处于正常的对象状态 各个窗口都与基准版 本保持一致 或符合 可接受标准 性能测性能测 试试 使用为功能或业务周期测试 制定的测试过程 通过修改数据文件来增加 事务数量 或通过修改脚本 来增加每项事务的迭代次数 脚本应该在一台计算机上 运行 最好是以单个用户 单个事务为基准 并在多 台客户机 虚拟的或实际的 客户机 上重复 单个事务或单个用户 在每个事务所预期或 要求的时间范围内成 功地完成测试脚本 没有发生任何故障 多个事务或多个用户 在可接受的时间范围 内成功地完成测试脚 本 没有发生任何故 障 42 安全性安全性 和访问和访问 控制测控制测 试试 应用程序级别的安全 性 确定并列出各用户类型 及其被授权使用的功能或数 据 为各用户类型创建测试 并通过创建各用户类型所特 有的事务来核实其权限 修改用户类型并为相同的 用户重新运行测试 对于每 种用户类型 确保正确地提 供或拒绝了这些附加的功能 或数据 各种已知的主角类型 都可访问相应的功能 或数据 而且所有事 务都按照预期的方式 运行 并在先前的应 用程序功能测试中运 行了所有的事务 3 3 测试成员角色测试成员角色 角色角色 推荐的最少资源推荐的最少资源 所分配的专职 所分配的专职 角色数量 角色数量 具体职责或注释具体职责或注释 测试经理 测试项目经 理 进行管理监督 职责 提供技术指导 获取适当的资源 提供管理报告 43 测试设计员 确定测试用例 确定测试 用例的优先级并实施测试 用例 职责 生成测试计划 生成测试模型 评估测试工作的有效性 测试员 执行测试 职责 执行测试 记录结果 从错误中恢复 记录变更请求 测试系统管 理员 确保测试环境和资产得到 管理和维护 职责 管理测试系统 授予和管理角色对测试 系统的访问权 44 数据库管理 员 确保测试数据 数据库 环境和资产得到管理和维 护 职责 管理测试数据 数据库 5 项目文档及验收项目文档及验收 5 1 项目文档项目文档管理管理 项目生命周期中产生 按文档的功能分类如下 5 1 1 用户培训文档用户培训文档 用户培训文档用于帮助用户认识产品 提供足够的指引使用户 能够安装 使用产品以及进行一些必要的日常维护工作 用户培训 文档的结构和内容 应该在系统设计确定后 就由系统实施人员开 始设计 并且在整个开发过程中不断的调整完善 最后和产品软件 包一起 作为产品的一部分 发布给用户 5 1 2 客户支持文档客户支持文档 维护部门除了需要熟悉用户培训文档外 还需要足够的客户支 持文档来帮助客户解决客户无法自己通过用户培训文档解决的问题 通常这些问题可能是由于运行环境的变化 系统容量的增加 系统 繁忙程度的增加 管理员不正确操作 系统受到攻击或者系统本身 45 的 BUG 造成的异常问题 如果 初步判断是 BUG 则应该及时提交 给有关部门 我们提供的客户支持文档有 系统日志说明 系统工具使用手册 更详细的系统工作原理 维护经验手册 由维护部门编写 5 1 3 项目开发文档项目开发文档 开发文档贯穿软件开发过程的各个阶段 目前项目组内