标书材料范文

标书材料范文标书材料范文 第十九章系统安全设计方案19 1物理安全 机房建设机房的建设 对信息化的发展有着极高的重要性 建设大规模的数据中心机房 对数据的处理和存储进行集中管理 以提高稳定性并有效降低了运行及维护成本 中心机房采用高速网络与各个办公点相连通 使整个数据群体形成 一个强大的机房群 进一步提高了办公数据的可靠性及设备的使用 效能 并建设统一的冗灾备份成为可能 此次项目不另外修建机房 系统硬件托管于宁波市信息中心机房 19 2网络 信息传输 安全信息在传输的过程中容易被获取 特别 是面向广域网的信息传输 一旦被获取 内部的一些信息将被暴露 被网络破坏份子获得权限 实施破坏活动 对于这方面的安全 在电子政府安全体系中必须得以重视 我们采 用了各种方式加以保护和防范 采用加密技术 采用VPN的访问方式 等等 都是非常有用的保护手段 19 2 1防火墙安全技术建议系统是一个由市 区 县 街道网络组 成的三级网络体系结构 从网络安全角度上讲 它们属于不同的网 络安全域 因此在各中心的网络边界 根据对外提供信息查询等服 务的要求 为了控制对关键服务器的控制 把关键服务器放在资源 共享专网 把对外公开服务器放在公共服务专网 设置防火墙策略 来保护对它们的访问 网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问 控制 采用安全检测手段防范非法用户的主动入侵 19 2 2入侵检测安全技术建议入侵检测系统是近年出现的新型网络 安全技术 目的是提供实时的入侵检测及采取相应的防护手段 如 发现违规访问 阻断网络连接 内部越权访问等 发现更为隐蔽的 攻击 目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技 术来解决 19 2 3数据传输安全建议为保证数据传输的机密性和完整性 对接 入用户采用CA身份认证 同时在远程开评标时可采用安全VPN系统和 SSL加密通道 19 2 4内部系统相同部门之间的信息传输内部系统相同部门之间的 信息传输采用控制列表方式 采用访问控制列表对四层的通讯端口 三层的IP地址 二层的MAC地址进行访问控制细化 19 2 5内部系统部门之间的信息传输部门之间的信息传输采用加密 技术和访问控制技术一起使用 19 2 6外部用户与内部用户之间的信息传输外部用户采用VPN客户端 通过身份和口令的匹配 并通过双方加密方式的协商 建立一条 跨广域网的私有通道 确保在通道内传输的数据不会被外泻和获取 19 3信息应用安全系统应用中主要存在以下安全风险对系统的非法 访问 用户提交的业务信息被监听或修改 用户对成功提交的业务 进行事后抵赖 服务系统伪装 骗取用户口令 内部应用系统的访 问 19 3 1面向外部应用的安全威胁由于电子政务网络对外提供服务 E MAIL服务 DNS服务等 因此存在外网非法用户对服务器攻击 下面从身份认证 DNS 邮件 文件服务等几方面分别加以详细说 明19 3 1 1身份认证漏洞服务系统登录和主机登录使用的是静态口 令 口令在一定时间内是不变的 且在数据库中有存储记录 可重 复使用 这样非法用户通过网络窃听 非法数据库访问 穷举攻击 重放攻 击等手段很容易得到这种静态口令 然后 利用口令 可对资源非 法访问和越权操作 19 3 1 2DNS服务威胁Inter域名服务为Inter Intra应用提供了极大 的灵活性 几乎所有的网络应用均利用域名服务 但是 域名服务通常为hacker提供了入侵网络的有用信息 如服务 器的IP 操作系统信息 推导出可能的网络结构等 同时 新发现的针对BIND NDS实现的安全漏洞也开始发现 而绝大多数的域名系统均存在类似 的问题 如由于DNS查询使用无连接的UDP协议 利用可预测的查询ID可欺骗 域名服务器给出错误的主机名 IP对应关系 19 3 1 3服务漏洞Web Server是政府对外宣传 开展业务的重要基地 也是国家政府上网 工程的重要组成部分 由于其重要性 理所当然的成为Hacker攻击的首选目标之一 Web Server经常成为Inter用户访问政府内部资源的通道之一 如Web server通过中间件访问主机系统 通过数据库连接部件访问数据库 利用CGI访问本地文件系统或网络系统中其它资源 但Web服务器越来越复杂 其被发现的安全漏洞越来越多 19 3 1 4电子邮件系统漏洞电子邮件为网系统用户提供电子邮件应 用 内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就 存在被黑客跟踪或收到一些恶意程序 如 特洛伊木马 蠕虫等 病毒程序等 由于许多用户安全意识比较淡薄 对一些来历不明 的邮件 没有警惕性 给入侵者提供机会 给系统带来不安全因至 素 对于以上的种种威胁 我们必须建立一个防火墙系统 把以上种种 服务器都放入防火墙的DMZ 非军事县 内 通过设立安全等级和访问机制 杜绝外部非法用户的访问 个别重要应用服务器放入网络内部 通过NAT转发来实现地址转换 让外部不法用户无从下手 并且建立IDS入侵检测系统对外部的攻击 实时检测 一旦检测有非法入侵 控制台立即报警 防主页篡改也是非常重要的一种安全措施 特别对政府部门 门户 网站的形象相当重要 19 3 2面向内部用户应用的安全威胁面向内部用户的一些应用如各 服务系统 内部文件服务系统等等 由于电子政务内部各个部门的重要性不同 对文件机密性要求也不 同 内部用户之间访问也受到一些限制 对于这种情况 使用访问控制列表和CA认证是比较实用的安全措施 在CA认证系统中 访问方只有得到被访问方的数字钥匙才可以访问 获得数字钥匙的过程中采用都是SSL等安全协议 各个环节都对安 全提出相当高的要求 19 4数据存储安全信息存储安全主要存储备份系统和容灾系统 其 中存储备份系统在前面章节有详细的描述 在这里就不在叙述 当系统面临突如其来的破坏时 系统内部的信息怎么保存下来 容 灾系统决定了重要因数 19 4 1容灾系统容灾是通过在异地建立和维护一个备份存储系统 利用地理上的分离来保证系统和数据对灾难性事件的抵御能力 19 4 2容灾系统的等级设计一个容灾备份系统 需要考虑多方面的 因素 如备份 恢复数据量大小 应用数据中心和备援数据中心之间 的距离和数据传输方式 灾难发生时所要求的恢复速度 备援中心 的管理及投入资金等 根据这些因素和不同的应用场合 通常可将容灾备份分为四个等级 第0级没有备援中心这一级容灾备份 实际上没有灾难恢复能力 它 只在本地进行数据备份 并且被备份的数据只在本地保存 没有送 往异地 第1级本地磁带备份 异地保存在本地将关键数据备份 然后送到异 地保存 灾难发生后 按预定数据恢复程序恢复系统和数据 这种方案成本低 易于配置 但当数据量增大时 存在存储介质难管理的问题 并且当灾难发生 时存在大量数据难以及时恢复的问题 为了解决此问题 灾难发生时 先恢复关键数据 后恢复非关键数 据 第2级热备份站点备份在异地建立一个热备份点 通过网络进行数据 备份 也就是通过网络以同步或异步方式 把主站点的数据备份到备份站 点 备份站点一般只备份数据 不承担业务 当出现灾难时 备份站点接替主站点的业务 从而维护业务运行的 连续性 第3级活动备援中心在相隔较远的地方分别建立两个数据中心 它们 都处于工作状态 并进行相互数据备份 当某个数据中心发生灾难时 另一个数据中心接替其工作任务 这种级别的备份根据实际要求和投入资金的多少 又可分为两种 两个数据中心之间只限于关键数据的相互备份 两个数据中心之 间互为镜像 即零数据丢失等 零数据丢失是目前要求最高的一种容灾备份方式 它要求不管什么 灾难发生 系统都能保证数据的安全 所以 它需要配置复杂的管理软件和专用的硬件设备 需要投资相 对而言是最大的 但恢复速度也是最快的 19 4 3容灾备份的关键技术在建立容灾备份系统时会涉及到多种技 术 如SAN或NAS技术 远程镜像技术 基于IP的SAN的互连技术 快 照技术等 19 4 4容灾备用系统在整个系统所起的作用容灾的作用决不仅仅限 于容灾作用 其建设为电子政务集中系统的安全实现提供了坚强的 后备保障基础 还为电子政务系统建设的前期 中期 后期提供多 方面的支持 19 5 5建立容灾系统后的重要措施1 建设容灾系统后对容灾系统的 运行效果和状况的了解至关重要 随着系统集中化程度的提高 数 据同步以及备份的复杂度也在提高 因此要加强对数据可用性的验 证工作 并定期进行容灾系统的模拟演练 2 建立完善的容灾操作流程 在容灾模拟演练中逐步完善 确保在 灾难发生时各项操作做到有条不紊 3 在建设容灾系统时单纯依靠硬件及存贮的数据同步与复制功能还 远远不够 多种类 多级别 自动化的备份是提高容灾水平的一项 重要措施 4 尽量减小主系统与容灾系统 生产数据与备份数据之间的耦合度 和关联性 在数据恢复和灾难切换方面要注意人的因素 制定切实 可靠的针对不同情况的数据恢复及容灾方案 19 5应用系统安全19 5 1应用安全需求公共资源交易平台提高了企 业和政府工作效率 大大降低企业的投标成本和招标机构的招标成 本 招投标双方通过招投标业务平台实现异地办公 省时 省力 同时 便利与安全永远都是一个很难平衡的课题 在本平台中亦然 与传统招投标方式相比 在招投标的招标方 投标方不能见面 无 法提交纸质的标书 如何认定招标方 投标方的身份 如何加密投 标文件和报价文件 如何确保招投标文件的不可抵赖性和完整性都 是在线招投标系统需要解决的问题 这就给招投标业务系统的建设者提出了新的问题 另外 由于招投标业务对于投标时间的敏感要求 必须在上传标书 的同时完成 时间戳 的加盖工作 保证投标文件的上传时间的有 效性与不可修改 同时此 时间戳 中的时间源必须标准时间源 才能保证招投标截标时间的公证性 总结上面分析的招投标业务系统在使用过程中可能遇到的安全问题 归纳系统应用数字证书认证的安全需求如下19 5 1 1用户对身份 认证和访问控制对于本系统来说 首先需要在开放的网络上确认招 投标双方用户的身份 即招标方或投标方就是他所声明的个体 在 开放的Inter上可以利用信息发送方的数字证书 在传送前对信息进 行数字签名即可确定发送人的身份 而不是他人冒充的 确认了用户的身份后 针对不同的招投标用户身份开放相应的权限 和提供针对性的服务 并能够有效的防止非法用户的侵入 19 5 1 2文件以及信息传输安全性在本系统中存放着所有文件等重 要 敏感的文件和数据 这些信息涉及各个投标方的专有数据或私 有数据 非授权的第三方绝对不能获取 一旦文件泄密将对招投标工作的严肃权威性受到动摇 网上招投标 的安全可靠性将受到怀疑 而网上招投标系统的招投标双方通过互联网访问系统 招投标文件 的上传 以及招投标信息的传递必然发生在INTER网络上 TCP IP协 议的开放性造成在网络上的信息是处于明文状态的 为了弥补这个安全漏洞有必要对通信通道进行加密而增强信息的安 全性 通过使用信息接收方的数字证书对传送的信息进行加密 只有信息 接收方才能阅读加密的信息 这样保证在网络上传递的信息不会被 他人窃取 19 5 1 3文件对数据完整性 不可否认性以及可追溯性招投标文件 和招标数据在网络上传输 虽然通过加密能够保证交易数据不被窃 取 但还不能有效防止恶意篡改行 为了保证投标文件数据的完整性 必须对招投标文件进行完整性处 理 防止数据被篡改 并利用文件发送方的数字证书对于招投标文件进行数字签名 这样 不仅可确定发送人的身份 又可以判断发送的信息在传递的过程中 是否被篡改过 不可抵赖性是指指令发出者不能在事后抵赖曾经发出过该指令 这对于规范业务 避免法律纠纷起着很大的作用 在网上招投标系统中 保证关键交易的不可抵赖性对于招投标文件 是非常重要的 由于信息发送方的数字证书只有发送人唯一拥有 故发送人利用其 数字证书在传送前对信息进行数字签名后 发送人就无法否认发送 过此信息 招投标双方使用网上招投标系统进行相应的招投标业务 如招标信 息发布 招标文件上传 投标文件的上传 投标报价信息确认等操 作时 应采用数字签名技术保证对其所上传的文件以及所做的操作 的不可抵赖性 同时保证了文件或操作的可追溯性 19 5 1 4日期的公证性以及时间不可否认性本系统的业务是一项对 于时间敏感的业务 投标方必须在截标时间之前完成投标的动作 因此 投标方的投标时间 以及项目截标时间都需要有公正且不可 否认的记录 时间戳服务可以提供精确可信的时间戳服务 以确认系统处理数据 在某一时间 之前 的存在性和相关操作的相对时间顺序 实现系 统数据处理的抗抵赖性提供基础 CFCA时间戳服务系统对目标数据加上可信时间源提供的时间标记 并用数字签名来保证时间标记的完整性与真实性 19 5 1 5总结以上的安全问题为网上招投标系统使用过程中可能遇 到的问题 传统的用户名 密码方式 以及所谓动态口令方式安全性 很低的 用户名和口令在公网上容易被窃取 其次招投标文件的保 密性 不可否认性无法保证 截标时间的公正和不可否认性更无从 谈起 目前业界认可的基于PKI的数字证书电子签名技术是解决上述问题的 有效机制 在网上招投标中嵌入基于PKI技术的数字证书安全应用平台可以巧妙 的将以上多种安全应用需求都得到满足 且不降低系统的可用性 采用数字证书安全应用平台技术保障网上招投标安全的一个首要问 题 是选择一家合法且有技术实力的CA中心 作为证书安全应用平 台服务的提供方 19 5 2应用安全方案概述19 5 2 1SSL网关采用SSL安全网关 确保 网站访问时的安全性 19 5 2 2数字证书解决安全问题系统需要解决的安全问题有身份认 证 访问控制 信息保密性 信息防窜改性以及抗抵赖性和时间戳 19 5 2 3CA身份认证招标方 投标方使用浏览器 访问招投标系统 进行系统安全登录 系统对用户完成身份认证和访问控制流程 在用户浏览器和系统服务器之间 用户出示自己的证书供服务器验 证 服务器出示其证书供用户确认 如果互相认证通过 用户则能登录应用系统 19 5 2 4网页防篡改为了杜绝在轮询扫描间隔和事件触发处理过程 中被篡改内容被用户访问的可能性和减少轮询Web服务器文件系统所 占用的网络带宽和CPU利用率 禁止采用异机监控方式 提供篡改检测的产品组件内嵌到Web服务器与Web服务器紧密结合 并以水印方式对网页进行保护 在每次受保护网页发送前进行完整 性检查 19 5 2 5防病毒软件本系统网络应用系统上流传大量的文件 和结 构化 非结构化的业务数据 频繁的文件 数据交换为病毒的传播 提供了条件 各部门在获取和发布信息的同时 可能就会收到病毒 的侵害 这就需要应用网络病毒防护系统检测病毒的入侵和及时的 查杀 在网络中心重要的服务器上安装网络版服务器防病毒软件 各工作 站上安客户端病毒防护软件 进行全面的网络病毒的监控和防范 19 5 2 6访问控制为了实现基于身份证书的访问控制安全功能 则 需要使用证书解析API来完成对证书的内容的解析 然后将解析结果 传给访问控制模块 由访问控制模块来实现基于证书的访问控制 19 5 2 7CA数字签名用户登录系统成功后 信息在传输过程中如何 保证安全则是很重要的问题 用户证书和应用服务器证书做认证的过程中 双方会通过一系列的 安全认证的机制和协商加密的算法 建立信息安全传输的加密通道 用户端和系统服务器之间就建立起了一条安全的信息通道 双方可以放心的在这条通道上相互传输交易数据 而不必担心信息被除交易双方的第三方窃取或篡改 除此之外 对于需要保密的招投标文件 通过使用文件接收方的数 字证书对传送的信息进行加密 只有信息接收方才能阅读加密的信 息 这样保证在网络上传递的信息不会被他人窃取 为保障加密的效率可以采用数字信封技术 使用非对称密钥 公钥 加密对于加密密钥进行加密 再使用加密密钥加密文件 这样即 提高了加密效率 又保证了加密强度 19 5 2 8信息的完整性与不可抵赖性当然 用户在进行招投标文件 传输和招投标信息确认或时 还有非常重要的一个环节 就是在传递重要文件或信息时 需要留下类似于传统交易中纸质签 名的交易 痕迹 即需要有相应的技术手段确认操作确实由发起人完成 交易信息没 有被修改 且不可抵赖 我们可以采用数字签名的技术来实现交易的抗抵赖性 用户在进行重要操作时 对于招投标文件或交易的确认信息进行数 字签名 签名后的结果被保存下来 在需要的时候 CA认证中心作为公信的第三方 对于数字签名进行 验证 任何对于数字签名原文的微小的篡改都使签名结果完全不同 因此 我们可以很容易通过数字签名的校验 来判断信息的原文是否被 篡改 19 5 2 9时间戳服务在签名的时候 要求参与各方不能否认其行为 这其中需要在经过数字签名上打上一个可信赖的时间戳 从而解决 一系列的实际和法律问题 由于用户桌面时间很容易改变 由该时间产生的时间戳不可信赖 因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务 可以把经过CA签名的一个可信赖的日期和时间与特定电子数据绑定 在一起 为服务器端和客户端应用提供可信的时间证明 19 6安全设计原则针对各省网管中心及宽带城域网节点网络特点 本方案将严格遵循如下原则进行规划和设计 体系化原则分析省网管中心及宽带城域网节点的层次关系 遵循先 进的安全理念 提出科学的安全体系和安全框架 并根据安全体系 分析存在的各种安全风险 从而最大限度地解决可能存在的安全问 题 标准性原则方案设计以及具体产品的选择实施依据国内或国际的相 关标准进行 这些规范包括ISO11799 BS7799ISO13335ISO15408 GB1 8336 系统性 综合性设计原则从全系统出发 综合考虑各种安全风 险 采取相应的安全措施 并根据风险的大小 采取不同强度的安 全措施 提供具有最优的性能价格比的安全解决方案 可控性原则采取的技术手段需要达到安全可控的目的 技术解决方 案涉及的工程实施应具有可控性 最小影响原则基础安全建设方案 将本着对现有业务系统影响最小化考虑 尽量不影响现有业务的正 常使用 动态和静态原则基础安全建设方案将从动态和静态两个方 面考虑 充分考虑安全的动态性等特点 第三部分项目建设建议方案第二十二章项目实施方案22 1软件项目 实施方案概述软件产品用户购买软件产品之后 不能立即进行使用 需要软件公司的技术人员在软件技术 软件功能 软件操作等方 面进行系统调试 软件功能实现 人员培训 软件上线使用 后期 维护等一系列的工作 我们将这一系列的工作称为软件项目实施 大量的软件公司项目实施案例证明 软件项目是否成功 用户的软 件使用情况是否顺利 是否提高了用户的工作效率和管理水平 不 仅取决于软件产品本身的质量 软件项目实施的质量效果也对后期 用户应用的情况起到非常重要的影响 项目实施规范主要包括项目启动阶段 需求调研确认阶段 软件功 能实现确认阶段 数据标准化初装阶段 系统培训阶段 系统安装 测试及试运行阶段 总体验收阶段 系统交接阶段等八个阶段工作 内容 下面将分别介绍每个项目实施阶段 22 2软件项目实施方案22 2 1项目启动阶段此阶段处于整个项目实 施工作的最前期 由成立项目组 前期调研 编制总体项目计划 启动会四个阶段组成 阶段主任务对象任务公司在合同签定后 指定项目经理 成立项目 组 授权项目组织完成项目目标公司项目组进行前期项目调研 与 用户共同成立项目实施组织 编制 总体项目计划 召开项目启 动会商务经理配合公司项目组 将积累的项目和用户信息转交给项 目组 将项目组正式介绍给用户 配合项目组建立与用户的联系用户成立 项目实施组织 配合前期调研和召开启动会 签署 总体项目计划 和 项目实施协议 1 成立项目组部门经理接到实施申请后 任命项目经理 指定项目 目标 由部门经理及项目经理一起指定项目组成员及成员任务 并 报总经理签署 项目任务书 2 前期调研项目经理及项目组成员 在商务人员配合下 建立与用 户的联系 对合同 用户进行调研 填写 用户及合同信息表 在项目商务谈判中 商务经理积累了大量的信息 项目组首先应收 集商务和合同信息 并与商务经理一起识别哪些个体和组织是项目 的干系人 确定他们的需求和期望 以确保项目开发顺利 3 编制 项目总体计划 项目总体计划 主要包括以下几方面内 容项目描述 项目目标 主要项目阶段 里程碑 可交付成果等 4 启动会项目组与用户共同召开的宣布项目实施正式开始的会议 会程安排如下 共同组建项目实施组织 实施组织的权利和职责 双 方签署 项目实施协议 项目组介绍 项目总体计划 和 项目 实施协议 包括以下内容项目目标 主要项目阶段 里程碑 可 交付成果及计划的职责分配 包括用户的 项目实施中项目管理 的必要性和如何进行项目管理 项目的质量如何控制 项目实施中 用户的参与和领导的支持的重要作用 阶段验收 技术交接和项目 结束后如何对用户提供后续服务 22 2 2需求调研确认阶段此阶段的主要工作是软件公司的项目实施 人员向用户调查用户对系统的需求 包括管理流程调研 功能需求 调研 报表要求调研 查询需求调研等 实施人员调研完成后 会 编写 需求调研分析手册 并交付用户进行确认 待用户对 需 求调研分析手册 上所提到的需求确认完毕后 项目实施人员将以 此为依据进行软件功能的实现 如果用户又提出新的需求 实施人员将分析需求的难度及对整个系 统的影响程度来确定是否给予实现 需求调研阶段具体包括如下内容 1 进行需求调研准备 2 编制 需求调研计划 3 内部评审通过 需求调研计划 项目组 部门经理 商务等人 员根据合同要求和项目实际情况对 需求调研计划 草稿进行评审 4 用户签署 需求调研计划 作为以后需求调研工作的指南 5 编写及发出 需求调研通知 项目组编写 需求调研通知 确定进行需求调研的相关事宜 发给用户 为顺利完成需求调研工 作做准备 6 需求调研 项目组以 需求调研手册 为依据 从业务流程 单 据使用 打印格式 报表查询几个方面展开深入和全面的调研 并 搜集用户的个性化需求 7 需求调研分析 根据调研的结果 项目组和公司其他技术部门将 进一步进行分析 确定合理 可行的需求 将分析结果形成 需求 分析报告 草稿 8 内部评审通过 需求分析报告 项目组 部门经理 公司其他 技术部门的人员对 需求分析报告 草稿进行评审 稍后由用户签 署 9 编写及发出 需求分析报告确认通知 项目组编写 需求分析 报告确认通知 发给用户 确定进行需求确认的相关事宜 告之 相关部门及人员安排好工作 准时参与需求确认工作 为顺利完成 需求确认工作做准备 10 用户确认 需求分析报告 并签署 需求分析报告 需求 调研阶段工作结束 进行后续的软件功能实现的工作 22 2 3软件功能实现确认阶段此阶段的主要工作是项目实施人员根 据需求调研阶段确认的 需求调研分析手册 中的用户需求内容进 行具体软件功能的实现工作 在软件功能实现的过程中 项目实施人员将记录软件实现的详细过 程 便于公司售后服务之用 每一个实施技术人员必须严格按照要求记录 存档 按照调研要求的所有功能实现完毕后 项目实施人员编制 软件功 能确认表 将定制好软件功能待用户确认 用户根据 软件功能 确认表 上的功能逐一确定软件功能达到要求 22 2 4数据标准化初装阶段此阶段的主要工作是项目实施人员指导 用户进行系统标准化资料的准备工作 并对用户进行初装资料的软 件操作培训 以便用户能够及时的将标准资料录入系统 初装完成 后 项目实施人员对资料初装的情况进行核查 为以后具体业务功 能的开展做好基础 22 2 5系统培训阶段系统培训阶段工作是整个项目实施工作中比较 重要的工作 用户对软件的操作功能是否熟练将直接影响到后面的 软件应用效果 应给予足够的重视 在项目实施过程中对用户的相关人员进行了系统和规范的产品培训 让用户了解了软件产品 最终自己能够解决使用中的具体的问题 此阶段的培训工作中将用户参加产品培训的人员划分为三个层次决 策层 技术层 操作层 对不同层次的用户参加产品培训人员的培 训内容分别是决策层领导在实施中的作用与重要性 决策查询 维护层系统维护知识 操作方法 操作层操作方法 具体的培训工作流程为 1 编制培训计划根据软件使用需求 与用户实施负责人商议具体培 训内容 时间 场地 人员等 项目组编制 培训计划 2 发培训通知培训开始前2天 按照签署的 培训计划 将培训 内容 时间 场地 人员等信息通知用户实施负责人 3 组织培训公司项目组培训负责人与用户实施负责人组织相关人员 参加培训 详细讲解软件使用方法 解答用户疑问 并向操作人员 提供软件使用手册 由用户将考勤情况填入 培训人员签到表 4 培训总结公司项目组培训负责人与用户实施负责人一起对培训情 况做出总结 确认各级使用人员对系统操作掌握情况 保证培训成 果 22 2 6系统安装测试及试运行阶段此阶段的主要工作是在用户真实 环境下 对用户网络及硬件设备进行测试 对软件系统进行容量 性能压力等测试 确保系统各项功能均能正常使用 并且符合用户 签署的 需求分析报告 中描述的需求 同时把尽可能多的潜在问 题在正式运行之前发现并改正 并进一步提高有关人员的操作水平 规范操作 此阶段的主要工作内容为 编制计划与用户实施负责人商议具体 测试及试运行时间 地点 人员等安排 项目组编制 测试及试运 行计划 2 发测试及试运行通知在测试及试运行开始前2天 按照 测试及 试运行计划 将时间 地点 人员等信息通知用户实施负责人 3 搭建环境及数据准备在试运行开始前搭建好软件环境 硬件环境 网络环境 调通线路 检查软件 硬件 网络 线路等各个环节 是否有问题 由各部门和生产单位提供试运行基础数据 系统所需各类数据完整 可用 4 组织测试及试运行用户相关各级领导给予全面配合 组织相关人 员进行测试及试运行 公司项目组负责担当指挥 检查用户人员组织情况并给予指导 跟 踪检查如下情况 跟踪单据流转状况 跟踪新资料登录环节 观察业务流程执行状况 观察操作人员操作表现 观察系统运行速度及异常表现 观察关键数据的正确性 及时纠正错误操作 对于新发生的问题及时与相关人员沟通 确定 解决办法 5 测试及试运行总结测试及试运行完成 试运行中设备 软件的运 行情况良好 试运行中业务流程和操作环节符合预期期望 试运行 顺利通过 22 2 7总体验收阶段此阶段是对项目总体的完成情况进行验收 验收分阶段进行 在每一项目阶段结束时 用户对这一阶段的可交 付成果进行验收 在测试及试运行结束后 对系统进行总体验收 需要验收的可交付成果主要项目阶段阶段组成主要里程碑可交付成 果启动阶段编制总体项目计划项目启动会签署 总体项目计划 启 动会签署 项目实施协议 需求调研阶段需求分析报告确认需求调 研结束签署 需求分析报告 软件实现软件功能确认软件功能得到 确认签署 软件功能确认表 数据初装初装检查及总结用户签署初 装计划及初装培训计划签署 初装计划及初装培训计划 数据初装 完成签署 数据初装总结表 用户操作培训培训总结制定培训计划 签署 培训计划 培训完成签署 培训总结表 测试及试运行测试 及试运行总结用户签署测试及试运行计划签署 测试及试运行计划 试运行完成签署 测试及试运行总结 验收总体验收验收完成签 署 总体验收报告 22 2 8系统交接阶段此阶段是项目实施的最后 一个阶段 主要工作是软件公司项目组向用户移交软件项目 包括 软件产品 项目实施过程中所生成的各种文档 并签署 售后服务 协议 项目将进入售后服务阶段 软件公司项目组还需要让用户填写 用户满意度调查表 对软件 公司项目实施人员的整个项目实施情况进行评价 我公司将听取用 户的意见 在今后的项目实施管理中进行加强和改进 22 3实施其它准备 工程协调会系统实施人员相互之间的合作和理解 是实施成功的重要基石 通过工程协调会的方式可以为参与实施的各方面有机会面对面地交 流各自负责工作的进展状况 为了确保整个工程的顺利实施 命名规则表软件服务器 软件操作终端命名规则要本着合理和容易 记忆的原则 命名规则合理可以大大减轻系统维护人员的负担 设备清单各节点服务器 操作终端计算机的详细配置及 地址 主要用于现场设备的清点和系统维护的依据 用户联系人员表提交给施工小组 以便他们在到达现场前进行环境 调查 和在现场与其配合工作 减少因联络不力造成不必要的麻烦 施工人员分配表提交给用户和合作伙伴 内容包含具体的工程师联 系方式以及所负责的节点 22 4实施人员组织结构本次项目实施小组成员包括双方的领导小组 项目经理 培训人员 技术工程师 技术顾问及文档管理人员 软件公司将负责现场的软件安装工作 对软件安装质量和工程进程 进行技术指导及监督 并负全面的责任 人员组织结构及分工说明1 领导小组甲乙方合同签署人或者书面授 权的项目负责人 负责非常规实施的协议补充签定等商务协调工作 2 项目经理项目组织与实施 协调工程相关各方关系 与用户联系 保证现场环境满足安装要求 制订项目实施计划 技术方案设计 控制工程进度 人员调动 3 培训小组主要职责负责对甲方管理员 操作员及管理人员进行培 训 4 工程小组实施技术人员组成 现场网络安装调测 保证工程按期 完成 处理与工程相关的其它问题 如设备测试 运输途中损坏等 处 理现场故障设备返修与替换等5 顾问小组完成 为项目组提供技术 咨询 审阅相关技术文档 6 商务小组处理与工程相关的商务问题 处理现场异常需要协商问 题等 7 工程秘书管理项目实施文档 现场安装日报 填写工程日记 文档修改控制管理 8 质量管理组主要职责对项目实施质量进行监督 现场指导 组织 验收 9 二次开发组根据招标需求 现场需求调研 系统二次开发 第二十三章测试计划23 1测试计划23 1 1测试策略23 1 1 1整体策 略根据本项目特点 制定本项目的测试过程策略如下1 以80 20原理 为指导 2 尽量做到在有限的时间里发现尽可能多的缺陷 尤其是严重缺陷 3 测试计划与需求制定 用例设计同步进行4 必须制定测试需求 5 通过确定要测试的内容和各自的优先级 重要性 使测试设计工 作更有目的性 在需求的指导下设计出更多更有效的用例 6 逐步完善测试用例库 测试用例库的建设是一个不断完善的过程 我们要在有限的时间里 先设计出一整套的测试用例 重要的部分用例需要设计得完善一 些 一般部分的则指出测试的要点 在以后的测试工作中再不断去 完善测试用例库 7 测试过程要受到控制 根据事先定义的测试执行顺序进行测试 并填写测试记录表 保证 测试过程是受控的 8 确定重点 测试重点放在各子系统的功能实现上 问题较多的省中心管理系统 和证书管理系统则是重中之重 23 1 1 2测试技术 本项目采用黑盒测试技术 23 1 1 3依据标准本次测试中测试文档的编写 测试用例的编写 具体的执行测试以及测试中各项资源的分配和估算 都是以我公司 提供的各子系统的使用手册盒练习指导手册为标准 软件的执行以 系统逻辑设计构架为依据 23 1 1 4测试过程测试需求测试计划测试用例说明书测试执行编写 测试用例编写测试计划制定测试需求开始测试总结测试记录缺陷记 录测试分析报告结束系统培训 了解系统23 1 2测试范围制定本次项 目测试范围的依据为 各子系统所包含的功能 同软件公司特别确定 的测试范围详细测试范围在项目需求分析得出之后出具给业主 23 1 3风险分析 1 测试人员对系统熟悉程度的风险参与本项目的测试人员都是第多 次接触该类型系统 无需系统培训 即可完全掌握系统的业务细节 因此 不存在系统熟悉风险 2 系统资料方面的风险本项目被测试的系统有完备的开发文档 测 试人员做测试设计时能够有较为完善的设计资料参考 因此在系统 资料上并不存在测试风险 23 1 4测试方法23 1 4 1里程碑技术在本项目中 我们将整个测试 过程分为几个里程碑 达到一个里程碑后才能转换到下一阶段 以 控制整个过程 我们将整个测试过程分为以下几个里程碑里程碑完成标准系统培训1 对于本项目所有需要测试的系统的培训完成2 测试人员已经对所有 被测系统 模块进行了使用 了解了被测系统的具体功能测试需求1 所有具体测试范围已确定2 测试需求制定完成3 所有测试需求得到 客户认可测试设计1 测试用例已覆盖所有测试需求2 测试用例设计 已经完成测试执行1 所有测试用例被执行2 发现的缺陷都有缺陷记 录3 测试过程有测试记录结果分析1 完成测试分析报告23 1 4 2测 试用例设计本次测试的测试案例 是在经过系统培训后 由测试人 员根据客户对系统的介绍和自己对系统的理解按照系统层次结构组 织编写 本系统案例的编写采用黑盒测试常用的分析方法设计用例 对于 每一个测试用例 测试设计人员应为其指定输入 或操作 预期 输出 或结果 每一个测试用例 都必须有详细的测试步骤描述 本次测试设计的所有测试用例均需以规范的文档方式保存 在 整个测试过程中 可根据项目实际情况对测试用例进行适当的变更 测试用例中测试数据的准备 在客户的指导和协助下准备 按照系统的运行结构安排用例的执行 23 1 4 3测试实施过程本项 目由两位测试人员分别负责不同的子系统的测试 实施过程如下 1 准备测试所需环境 2 准备测试所需数据 3 按照系统运行结构执行相应测试用例 4 记录测试过程和发现的缺陷 5 报告缺陷23 1 4 4测试方法综述本项目测试包括 功能测试测试 各功能是否有缺陷 性能测试测试系统在一定环境下的性能数据 测 试人员执行测试时 要严格按照测试用例中的内容来执行测试工作 测试人员要将测试执行过程记录到测试执行记录文档中 测试人员要对测试中发现的问题记录到缺陷记录23 1 5测试组织本 章主要描述测试团队的结构和职责 测试参与人员的功能划分 以 及各自的联系方式等 详细见项目实施人员一览表 23 1 6测试过程管理23 1 6 1测试文档23 1 6 1 1测试文档管理 本 项目对测试文档进行集中管理 文档集中存放在项目经理处 每天 备份一次 测试文档由不同角色分别创建 各角色创建的文档如下文档名称编 制者其它说明 测试计划 项目经理 测试需求表 测试需求制定 人员 测试用例说明书 测试设计人员 测试执行记录表 测试执 行人员 缺陷记录 缺陷报告人员 缺陷跟踪汇总表 缺陷报告人 员 测试总结分析报告 项目经理23 1 6 1 2编号规则测试项编号 规则这里的测试项 是指测试需求和测试用例等 为了便于区分和管理测试项 并且唯一地标识测试项 需要对测试 项规定一种编号规则 我们制定编号规则如下系统识别码 测试项识别码 子系统编号 模块编号 自行编号编号名称说明定义系统识别码测试项目 系统的 标识 在项目开始时自行定义 要求不与其他项目的标识冲突 公共资源综合交易业务平台EBS测试项识别码用于标识是何种测试项 测试用例 测试需求 测试需求R测试用例C缺陷记录D子系统编号 各子系统的编号与子系统编号中定义的一样模块编号唯一标识同一 子系统中的各模块需求设计人员制定需求时自行定义自行编号测试 项序号测试项设计人员自行定义 要求顺序标识23 1 6 2缺陷处理 过程本项目只对系统进行一轮测试 测试过程不需要做缺陷跟踪 特定义缺陷处理过程如下1 测试员每天记录当天发现的缺陷2 测试 员每天下班前将记录的缺陷发送给项目经理3 项目经理将当前的缺 陷记录转发给客户指派人员4 测试结束时项目经理将所有缺陷整合 成一个完整的缺陷文档 同其它测试文档一同提交给客户4 8 6 3测 试报告测试过程中 需要产生以下报告报告名称报告内容编制者接 受者测试工作周报 一周工作汇报 哪些做得好 为什么 有什么问 题 如何改进 测试人员项目经理测试人员向项目经理汇报 项目 经理向客户代表和公司领导汇报测试阶段报告达到里程碑后 汇报 该阶段的主要工作 存在的问题和解决方法 建议等项目经理客户代 表公司领导测试总结报告 测试过程概要 测试分析总结 建议项目经 理客户代表公司领导第二十四章项目建设管理24 1沟通管理24 1 1 项目会议制度项目会议是服务于项目工作的 是为了更好的加强项 目沟通 解决项目实施过程中存在的各种问题 每次会议都要有专人做会议记录 会议纪要的格式参见双方约定