电子商务系统投标文件

年5月29日电子商务系统投标文件文档仅供参考康芸健康护理医疗器械有限公司电子商务系统技术方案投标文件单位:常州香传电子商务有限公司编制日期:7月目录TOC\o"1-3"\h\u25361系统建设方案 3264261.1概述 3214561.2系统设计原则 4177541)系统设计先进性 4153712)系统设计的完备性 5252083)系统的灵活性 5190464)系统设计的合理性 5207215)系统设计的开放性 5211156)系统的容错性 5240077)系统的可靠性 5240268)系统安全性 6170719)系统的简便性、易用性 61746110)系统的经济性 7209931.3系统设计目标及指导思想 7189951)系统建设指导思想 7130062)系统建设目标 791111.4系统技术方案 8140451)系统整体架构 8235142)总体技术路线 11249323)系统特点 131141.5系统业务方案 14114461)系统整体功能框架 145912)系统规划与设计 1553)前端主要功能说明 515123844)后端主要功能说明 18295831.6系统安全方案 19315151)网络安全风险分析 1920772)安全认证与信息安全 21290163)防火墙规划 24213334)入侵防御系统规划 25105025)入侵检测系统规划 26304446)数据库服务安全规划 2767831.7项目实施方案 28228831)项目实施建议 28275292)编写项目实施计划 2996163)组建项目实施小组 29202894)项目实施进度计划 3039161.8项目培训方案 3026941)培训目的 3042)培训对象 430267853)培训类型 3037964)培训内容 3126155)培训时间 32125546)培训计划 3222531.9质量保证方案 3459511)质量管理组织 34315892)配置管理计划 34282763)检查与评审制度 3533184)软件验收 3519991.10项目测试与验收方案 3671301)测试方案 36314642)验收方案 40208301.11技术支持及售后服务方案 41254801)售后服务和技术支持概述 41233202)服务方案 42241142同类型成功案例介绍 48316673公司简介 504运营规划………………………51系统建设方案1.1概述一、项目名称电子商务系统。二、项目概况与定位近年来随着互联网的发展,中国互联网应用服务形式不断增多电子商务不断普及和深化。电子商务在中国工业、农业、商贸流通、交通运输、金融、旅游和城乡消费等各个领域的应用不断得到拓展,应用水平不断提高,正在形成与实体经济深入融合的发展态势。康芸经过多年发展实体连锁门店的经验,线下实体店已经成熟运营。利用网络为消费者提供更便捷的服务,在网络上推广康芸的品牌,实现线上销售、线下连锁实体店服务的模式已是康芸发展的必然趋势。香传电商可提供从网站建设到运营维护一体式的综合解决方案,利用成熟的技术团队搭建符合康芸现状的网站,进行网络营销,经过线上、线下资源的互补实现销售增长、加速实体连锁扩张的规模及速度。而医疗器械产业根植于人民日益增长的生命健康追求,具有庞大、稳固且持续存在的市场。本身的市场需求存在,特别是新兴基层市场的快速增长,这些都是中国医疗器械企业的成长机会。当前,中国医械行业以经销商为主体,企业、实体店为流通平台的主要渠道模式,还未有一个真正成熟的网上医械销售电商。因此,经过本次项目合作,基于康芸庞大的产品库和线下多家实体销售店,借助香传专业的技术团队和优质的技术实力,我们要建设在医械行业首个完整完善的网上销售网站。三、技术标准GB8566<计算机软件开发规范>GB8567<计算机软件产品开发文件编制指南>GB/T12504-90计算机软件质量保证计划规范GB/T12505-90计算机软件配置管理计划规范GB1526-89信息处理-数据流图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定<UML参考手册(第2版)>1.2系统设计原则确立系统实施原则,是建立在对系统需达到的近远期目标、系统的功能要求、建设单位的资金安排、人员的接受能力、计算机技术发展的趋势和潮流等因素基础上的。系统实施原则的确立将对系统的软件、硬件、网络通信和统计业务操作方法起到指导作用。考虑到以上众多因素,本方案设计原则可扼要概括为:先进、完备、普适、规范、开放、容错、可靠性、安全性、简便性、经济性等原则。系统设计先进性计算机应用系统开发的先进性体现在与现有同类系统的比较中,具有在采用的系统开发组织方式、构作的体系结构、使用的开发工具、形成的软件产品性能等方面具有更多的优势。作为实际应用开发项目,不是研究性课题,没有必要一定采用最新、最尖端的技术,因为这样的技术其稳定性、实用性方面的风险比较强。项目信息技术是当今科技发展最迅猛的领域之一,新系统、新技术、新方法展出不穷,技术与产品的更新升级频度越来越快。对于一些大型的、开发周期较长的应用系统,如果采用了过时的、不适当的技术,可能会导致一个系统刚刚投入应用就处于落后状态的尴尬地步,甚至可能面临被淘汰的境地。因此,在考虑一个系统的先进性时,既不能脱离项目实际情况,一味追求新思路新工具,但必须根据项目实际情况,适应计算机应用技术与标准发展,在保证业务基本需要的基础上,考虑投入的资金能够发挥更大的作用,在技术上满足更长时期的业务发展的要求。在对于技术发展趋势充分的评估下,在系统设计、技术采用方面需要具体一定的前瞻性、超前量。只有这样,才能在技术上满足更长时期的业务发展的要求,保护投资,延长系统的生命周期。因此在整个系统构架中我们根据公司多年的项目实施情况及项目使用的特点,从满足需要,减少建设方实施成本的角度出发进行选择。系统设计的完备性本系统设计的完备性原则是指设计应满足多层次、全方位的管理需要,覆盖全部业务环节,实现数据及管理的统一,能经过简单修改配置满足业务功能需求。系统的灵活性系统设计应具有很强的适应性、通用性、适用性等。系统设计的合理性计算机应用软件系统的开发必须遵循国家行业法律、法规、政策、规范的指导,遵循用户单位的有关规定要求,尽可能使用具体操作人员日常形成的、行之有效的约定俗成的方法。系统设计的开放性系统设计必须采用层次化、模块化、组件化、面向对象的体系架构;系统开发必须保证简明标准的代码风格和科学合理的项目管理,原则要求系统留有充分的二次开发接口,以便于未来的功能扩充。系统的容错性容错性原则指充分考虑实际业务的各种复杂情况,采取相应的技术措施,使其都能够处理。系统的可靠性保证系统运行的稳定可靠,是一个系统最基本的要求。系统本身的质量保证,业务正确性必须在提交给用户之前公司内部进行全面的测试。系统将提供业务操作的事件跟踪与撤消功能,提供系统数据的一致性检查功能,总分平衡稽核功能,将系统维护量降低到最小程度。系统应具有很强的容错能力和处理突发事件的能力,具有较强的数据备份、恢复和容灾机制,保证系统稳定无误地正常运转,确保系统数据万无一失,不能因某个误操作或某个突发事件导致数据丢失或系统瘫痪。系统安全性安全性是指可靠性、保密性和数据一致性。电子商务领域对安全性的要求十分严格,计算机系统的安全性主要包括以下几个方面:硬件平台安全性:当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。网络通迅系统安全性:按国家有关规定,考虑加密系统。操作系统安全性:操作系统安全性要达到C2级,即经过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施存取限制,保护数据防止被别的用户读取或破坏。数据库安全性:数据库要有以下安全机制:磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。应用软件系统的安全性包括以下几个方面:认同用户和鉴别:确认用户的真实身份,防止非法用户进入系统。存取控制:当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的权限对其进行存取控制。审计:系统能记录用户所进行的操作及其相关数据,能记录操作结果,能判断违反安全的事件是否发生,如果发生则能记录备查。保障数据完整性:对数据库操作保证数据的一致性和数据的完整性。制定合适的安全策略,建立有效的网络安全制度。对网络运行性能和资源访问控制进行实时有效的监控和日志记录。保证通信传递的安全性,采用安全可靠的网络通信设备。系统的简便性、易用性系统建设必须立足于应用,使建设的系统能够切实解决康芸实际问题,达到在网络上推广康芸医械的品牌,实现线上销售、线下连锁实体店服务的模式。系统应将复杂性封装在系统内部,提供简洁友好的用户界面,使操作流畅快捷,易学易用。界面总体风格一致;操作简便,复杂操作具有向导提示;数据输入实时检测并有相应提示;具有详细的在线帮助。系统的经济性系统设计应充分考虑实际投产成本,力求少花钱、多办事,能经过成本较低的软件方案解决的不应经过加大硬件投入解决,对现有投资考虑最大可能的保护。1.3系统设计目标及指导思想系统建设指导思想针对康芸的要求,我们制定了如下项目建设指导思想:(1)、遵循”统一规划,分布实施”的指导思想,在统一设计的前提下,系统全面满足业务需求,建立统一、一致的电商平台,而且这个电商平台具有一定的生命力,能够适应一定时期内的业务调整、管理改革变化的要求。(2)、系统将按照开发实施标准,在循序渐进、稳步有效的前提下,逐步建立起一个结构清晰、稳定高效,既考虑现有主流模式,又具有前瞻性的开放的电商平台。系统建设目标(1)、建立”康芸”健康护理类产品的电子商务品牌;(2)、实现线上销售、线下实体店配送、售后服务;(3)、开辟供应商渠道及大宗采购、批发等渠道;(4)、xxxxxxxxxxxxxxxxxxxxxx;(5)、xxxxxxxxxxxxxx。1.4系统技术方案系统整体架构电子商务系统包括产品管理子系统、订单管理子系统、查询报表子系统、用户管理子系统、平台管理子系统与系统基本设置几大部分,完全满足康芸的电子商务平台的需求。根据实用性、先进性、规范性、安全性、可追溯性、可持续改进性等系统建设原则,从而勾画出本项目的软件框架计,设计并建立新的软件系统。形成一个规范的,功能强大的,能全面覆盖范围全面,能处理多种信息类型的系统。整体系统设计安全可靠,具有清晰的层级、权限管理体系,完备的系统审计、日志回溯功能,可靠的数据校验、纠错控制,强大的网络及硬件测控、系统容错、备份恢复等安全机制。满足当前和未来的业务需求,在系统整体架构、业务流程构造以及数据分析和决策支持等方面达到同行业领先水平。在对业务系统需求的总体把握和对功能要求的具体分析的基础上,来描述整个系统中各组成部分及其相互关系。目的是根据本系统的技术规范,把复杂的大系统抽象成各子系统,从基本系统特征、要求构成入手,构造总体结构,分析各子系统之间相互关系,从而为各子系统的软件设计把握整体方向。系统逻辑结构从系统的需求和其阶段性发展、系统交接对象、系统使用等方面入手,本着整个系统建设原则的实现,我们从逻辑层次上分为交互层、解析层、集成层、应用层、应用服务器层、基础层N层体系(如下图所示):前端交互层前端交互层解析层(权限、资源分配等)应用层(业务组件)集成层(适配API——针对第三方应用等)应用服务器层(标准的目录服务接口、数据库接口、消息服务接口、事务服务接口等)基础层(目录服务、数据库服务、消息服务、索引服务等)对本系统来说,只有考虑了上述层次才是一个同时具有长远的生命周期、健康的扩展性、系统柔韧性的系统,电子商务系统是一个投资大、系统功能复杂、网状性交互的系统,只有具有以上层次规划、设计思想的系统,才能满足实用、先进、符合未来的要求。系统物理结构在我们从逻辑上将本系统从上述N个层次体系上进行规划和设计时,在物理上要根据具体的系统来进行实施,对本系统我们分为以下几个功能组件:系统分类管理、内容发布、搜索、信息集成、邮件集成、应用业务组件/服务,其它组件/服务。 在我们的物理实现过程中,主要是使用基于JSON作为数据传递协议。系统网络拓普此电商平台的网络系统将采用以太网交换技术,同时建立100M出口的与internet的连接通道,将支持大量在线用户的并发连接。数据业务网(Inside)使用交换机实现数据内网交互,保证数据服务器网络的稳定和畅通。经过主备方式保护和交换来自内网外网间的数据。整个网络系统中,以TCP/IP为基础的网络通信协议,形成了一个初具规模计算机网络体系。系统部署方案上图中NodeA、NodeB等为集群中的节点Server服务端,能够是1到n个,它们能够在一台物理机器上,也能够部署在不同的物理机器上Proxy代理服务器将集中受理访问需求,根据当前两台集群服务器的繁忙度,确定将访问需求转发到哪台服务器上,实现负载均衡,让这两台集群服务器最大程度上分载访问压力。总体技术路线平台式的架构、集中式的管理建立统一的统一平台从而实现应用支撑平台,对系统软件的运行模式、应用接口、数据存储进行平台化设计,大大降低系统的维护成本,不但解决了访问异地、异构的数据库的问题、而且能够实现统一的安全保证。采用面向对象的方法分析和设计系统创立新的大规模集成应用需要相当多的概念、逻辑和物理方面的规划。必须对新的业务规则和现有的数据结构充分研究,才能提出应用解决方案。数据建模和应用系统构造是重新确定、改造和实现数据流和业务流要求的过程。这包括查看现有的数据模型和业务流程,以确定它们是否可被重复使用,并创立新数据模型和流程,以满足应用系统的独特要求。建模过程中的主要活动包括:确定数据类型及其相关过程、定义数据约束、确保数据的完整性、定义操作过程、多维结构分析等,这些目标的最佳分析和实现手段是面向对象技术。实现面向对象的分析和设计,建立应用系统体系模型、数据模型和功能模型。基于SOA的应用接口系统内部的接口考虑到系统内部模块与模块之间(包括不同的子系统之间)业务相关性比较大,相互之间的访问频繁,数据量较大。系统内部的各个服务组件必须实现基本的服务标准接口,系统将服务组件注册到应用服务仓库上,我们在需要访问服务时,能够向应用服务总线发出调用请求,应用服务总线接到请求向应用服务仓库发出查询请求,应用服务仓库将查询到的服务信息返回给应用服务总线,应用服务总线对请求进行调度,将请求送入服务组件并取得服务结果。若对性能系统要求很高,也能够直接调用服务的相应方法取得服务结果。系统的接口调用过程如下图所示:与第三方系统的接口因为第三方软件的系统接口与我们的系统的调用规范可能不同,某些第三方软件无法向企业服务总线进行注册,因此我们需要将第三方软件需要发布的服务进行封装,将其封装成符合SOA规范的服务向系统进行注册,经过企业服务总线实现调用请求的路由,完成调用。系统的接口调用过程如下图所示。数据接口对于无条件相互访问的系统,我们能够采用数据接口的方式进行数据的交换,达到系统交互的目的。例如:外部接口应用没有网络访问条件条件,因此无法进行相互访问,但我们能够经过数据接口进行数据的手工导入导出,进行数据交换,从而达到系统交互的目的。在允许物理连通的情况下数据传输的方式能够采用网络传输,在不允许物理连通的情况下我们能够采用手工导入导出到磁盘的方式进行传输。系统特点本公司在使用先进技术的基础上,结合电子商务平台的行业管理经验,开发的电子商务平台。该平台具有以下技术和业务方面的特点:可升级特点系统技术架构同类型平台的开发、实施与维护技术特点基于平台技术基于SOA的体系架构;基于XML标准的数据总线;支持系统重构开发;支持多层架构应用体系;支持异构数据库;提供基础构件库并支持松散耦合的业务构件开发;全面满足平台级安全支持ssl,安全加密传输要求;使用硬件硬件和密码混合验证的方法,支持密码等关键信息的加密;支持根据系统功能应用的具体情况,对于应用系统的登录用户实施权限控制;权限能够分别控制菜单权限、功能权限和数据权限;符合技术规范以及相关数据传输规范;数据库无关性高度集成,利用数据字典功能能够实现应用的数据库无关性,移植时只需要对数据字典进行重新定义即可。全面满足与相关系统的接口平台须具备良好的扩展性,除了内置一些常见的第三方应用接口,还具备优良的扩展性。本系统之间建议采用总线数据模式,便于每层之间的数据通讯,更加降低系统的耦合度;系统之间能采用json技术等标准方式进行数据通讯;成熟、完善、丰富的业务类库业务系统拥有成熟、完善、丰富的业务构件,包含了基础类库、角色和权限管理构件库、流程构件库、管理构件库、分析构件库、各种业务构件库,形成综合的业务原子构件。1.5系统业务方案系统整体功能框架电子商务系统包括产品管理子系统、订单管理子系统、查询报表子系统、用户管理子系统、平台管理子系统与系统基本设置几大部分,完全满足康芸的电子商务解决方案的需求,其系统主要功能如下图。浏览用户浏览用户网上商城(品类)新品上架推荐产品订单管理(后台)仓储运输网站首页其它设置站点地图收藏本页设为首页产品信息、分类信息、价格信息、服务信息、广告招商信息、留言信息、其它信息客户留言、服务流程、我的购物车、会员信息、各模块项下图片、视频信息等关于我们联系方式帮助中心加盟中心友情链接法律声明供应商入口注:以上结构、内容、布局方式都可按客户的不同商务模式、不同要求进行调整、模块和内容进行细化。系统规划与设计根据实体店和电子商务特点、服务理念、服务内容形式的不同,规划建设不同的网页表示方式,在设计和创意方面既体现企业的服务特色,又兼顾行业拓展的方向。做到既量身定做、又兼容并蓄。1．设计风格主视觉设计:绿色、大气、简洁,突出家庭护理、健康理念交互效果设计:包含js前端交互效果等,色彩、字体、样式等可自定义2．界面创意确立UI规范。网站CI设计、系统页面风格。标准的图标风格设计,统一的构图布局,统一的色调、对比度、色阶。3.导航/结构设计;提示信息、帮助文档文字表示遵循的开发原则。浏览器兼容调试:多浏览器兼容系统设置(权限/支付/邮件/短信/接口预置)业务规则、活动规则、推广链接。前端主要功能说明非会员购物功能无需注册也能够进行商品购买,有利于增加商品销售。预付款购物功能会员能够有预付款,并能够经过预付款进行购物。会员积分与会员价功能不同会员拥有不同积分,属于不同的会员级别,享有相对应的产品奖励;会员有相应的会员价格购买商品;便捷的商品检索功能客户能够非常便捷的查询与检索所需要的产品,系统提供多种商品检索方式。多种商品分类形式多种商品分类方式,可供客户采用多种方式查询商品信息。商店提供产品类型分类可分二级、最新上架商品分类、最新特价商品分类、最新热卖产品分类等等。也能够查看商品的管理商品与推荐商品。商品排行榜功能系统自动将商品人气值从高至低排列,供客户了解人气商品排行。会员中心功能会员中心包括会员注册、积分管理、会员身份验证、会员资料修改、订单查看、订单修改、以往购物记录等等功能。购物车功能灵活好用的购物车,实时了解当前所购买商品总价,实时对购物车商品进行增删,实时计算商品总价。多种支付选择客户能够选择从银行卡汇款、邮局汇款、货到付款、上门付款、支付宝等等主流的支付方式。多种配送方式选择客户能够选择商品的配送方式,比如快递、平邮、送货上门等等配送方式,系统自动计算相关配送价格(由厂家支付)。在线订单生成系统自动将客户资料、产品资料、总金额、支付方式、配送方式等信息自动生成完善的订单,并发送到商店管理后台,供商店管理员实时进行处理。商品评论功能客户能够就不同商品发表评论,查看其它客户对商品的评论信息。公告查看功能商店能够发布不同的公告类信息供客户查看,了解商店动态信息、了解最新产品信息。丰富的产品信息呈现方式商店采取html在线编辑器发布产品信息与动态类信息,客户能够查看具有丰富表现形式的产品和动态信息。顺畅的在线购物流程商店依据最新网络购物流程开发,让客户有着更为完美的网络购物体验。留言本功能管理员在后台审核后前台显示,防止不良信息。团购订单管理系统支持大客户批发和团队购买,能够经过前台针对某种商品进行多数量的预定和发送订单。多种多样的广告表现形式合理安排了多处站内广告,全部支持flash动画与图片。文章可分类您能够在热点资讯和购物指南两个版块可在进行下一级的分类。管理权限可进行编辑能够给商城维护人员,分配更细致的管理权限。后端主要功能说明图片管理对图片的管理包括添加、删除、修改,图片的内容元素主要包括如下:图片名称、所属栏目、上传图片、权限管理。栏目管理一般是以设置图片或内容的类别作为栏目,在这里能够进行栏目的添加、删除修改栏目名、菜单的排序、类别排序、首页排序。静态页管理生成静态页面的栏目,包括关闭网站静态页面功能、首页更新静态页、列表页更新静态页、内容也更新静态页。广告管理网站上分布着各种广告,在这里进行广告的添加和修改。用户列表用户的各项参数设置。系统设置进行系统的参数设置,包括系统名称、是否允许用户注册、用户申请后是否需要审核。密码修改使用人员的密码修改。公告管理首页显示的公告文章。留言管理对留言的回复,修改,删除。系统退出退出管理后台。统计报表订单统计,金额统计,库存统计,用户统计。1.6系统安全方案网络安全风险分析对于信息网所面临的安全风险涉及网络环境多方面,包括:自然灾害——水灾、火灾、地震等;电子化系统故障——系统硬件、电力系统故障等;人员无意识行为——编码缺陷、系统配置漏洞、误操作及无意泄漏等;人员蓄意行为——网络环境可用性破坏、恶意攻击等。其中,前三个方面的风险能够经过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善,尽可能将风险降低到能够被控制和管理的程度。而对于第四方面的安全风险,对整个信息网的安全环境所构成的危害最大,同时也是最难于管理与防范的。且不但仅能够经过加强对网络环境及人员的安全管理所能够实现的,尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。对于在信息网环境中,采取何种安全技术手段且如何实现,就需要经过对前面提到第四方面的安全风险的分析的基础上,针对信息网安全需求来确定。对于风险来说,它应包括那些能够被管理但又不能被清除的,以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中,主要包括:对于网络应用服务的非授权访问信息交互的保密性网络病毒的传播与渗入网络黑客行为经过对以上主要的网络威胁分析,得出网络的安全需求安全风险分析汇总:安全风险类别安全风险描述安全需求网络架构网络访问的合理性来自外接专网的越权访问访问控制来自外接专网的恶意攻击入侵检测来自外接专网的病毒入侵病毒防护来自系统同级、上级和下级节点的越权访问访问控制来自系统同级、上级和下级节点的恶意攻击入侵检测来自系统同级、上级和下级节点的病毒入侵病毒防护TCP/IP的弱点利用TCP/IP弱点进行拒绝服务攻击边界隔离利用TCP/IP弱点进行IP欺骗攻击边界隔离蠕虫病毒攻击系统加固网络设备的风险路由器弱口令的风险漏洞扫描口令明文传递的风险加密传输假路由、路由欺骗攻击漏洞扫描敏感信息在广域网中传输的安全隐患系统数据在传输过程中被窃取、篡改、删除通讯信道加密网络及系统漏洞的安全隐患黑客利用已知的漏洞对网络或系统进行恶意攻击漏洞扫描应用系统关键业务主机出现故障和系统漏洞的安全隐患不能实时监控关键业务主机硬件系统的运行情况集中安全管理(主机性能监控)不能实时报告关键业务主机系统故障集中安全管理(主机稳定性监控)操作系统的安全级别低,缺乏对使用关键业务主机操作系统用户权限的严格控制、文件系统的保护等访问控制(主机安全防护)数据库系统的安全隐患不能实时监控数据库系统的运行情况包括:数据库文件存储空间、系统资源的使用率、配置情况、数据库当前的各种死锁资源情况、数据库进程的状态、进程所占内存空间等。集中安全管理(数据库稳定性监控)安全认证与信息安全信息安全的构架信息安全的构架应该由三个维度组成。第一个维度是安全区域的划分。在信息安全保障系统将网络和信息系统,按照重要程度和涉密级别,划分为核心安全域、重要安全域、一般安全域等不同级别的安全区域,有针对性地提供安全保障,内容包括域内计算环境安全、域边界与互联安全、通信传输安全等方面。第二个维度是信息安全的层次化结构,它包括了:数据安全—针对数据存储和使用过程的安全控制,包括数据安全存储、数据备份和恢复等机制;应用安全—针对应用系统计算资源的安全控制,包括用户认证、授权和访问控制、应用数据加密、应用访问审计等机制;系统安全—在系统软件层面上的安全控制,包括系统配置管理、安全补丁管理、病毒检测和防治等机制;网络安全—在网络通信层面上的安全控制,包括网络隔离、网络访问控制、网络管理、网络监控、网络安全传输等机制;物理安全—包括信息资产所处的环境安全、设备和介质安全等机制。第三个维度是信息安全的生命周期。信息安全保障体系,是针对网络和信息系统生命周期的各阶段(系统设计、系统实现、运行维护等),全程提供安全控制,既包括了针对安全事件的事先预防保护机制,也包括了安全事件发生时的检测和响应机制,同时还包括了安全事件发生后的应急恢复措施,以达到安全保障的目标。这样,三维架构的信息安全保障是层次化、全方位、全时空的,能够有效地防止和抵御各类攻击和安全事件的发生。图1信息安全保障体系结构信息安全保障的具体措施下列几项具体措施能够称之为信息安全的利器:根据不同的网络通信介质环境,采用不同的加密设施和加密机制。如使用对称密码的加密机、使用公钥密码和对称密码的PKI/SSL安全传输等,有效地保护了通信传输安全;采用基于PKI的数字证书认证机制以及第三方权威的认证中心的服务,除了能够在交易发生时进行强身份认证外,还保证了交易信息的真实性、完整性、私密性和不可否认性;在信息系统中部署单机版或网络版的分布式杀毒系统,能够有效地遏制病毒危害;采用VPN(VirtualPrivateNetwork),即”虚拟专用网络”技术。VPN的核心就是利用公共网络建立虚拟私有网。它能够经过特殊的加密的通讯协议(如IPSec),在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,可是它并不需要真正的去铺设光缆之类的物理线路。虚拟专用网能够帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。信息系统使用可靠的物理安全保护设施(机房环境、基础设施、安全保卫、通信链路等);一整套安全策略、安全管理制度、操作规范以及周到的安全组织、安全审计、安全监督图2信息安全保障的措施网络安全认证在信息安全中的地位从上述信息安全保障体系架构中我们能够看到,网络安全认证只是这个庞大复杂架构中的一个环节。认证是为了保障安全,但认证并不等于安全。信息系统的安全必须全方位、全时空、多层次地加以保护,才能达到目的。当然,我们也同时看到,安全认证在信息安全,特别是交易安全中占有极其重要的地位。因为在处理互联网的事务中最基本安全要求是交易的可信性,既包括交易主体的可信性,也包括交易客体(即交易内容)的可信性。因此我们在为众多网上业务系统设计安全方案时,总是把安全认证作为信息安全保障的主要措施,放在方案的首位。防火墙规划安全域划分的原则设网络安全系统安全域的设计主要遵循以下设计原则:1、明确网络资源事实上我们不能确定谁会来攻击系统,因此在制订安全策略和框架之初应当充分了解系统的内部构架,了解要保护什么,需要什么样的访问,以及如何协调所有的网络资源和访问。2、确定网络访问点网络管理员应当了解潜在的入侵者会从哪里进入系统。一般是经过网络连接、拨号访问以及配置不当的主机入侵系统。3、限制用户访问的范围应当在网络中构筑多道屏障,使得非法闯入系统者不能自动进入整个系统,特别要注意网络中关键敏感地区的防范。4、明确安全设想每个安全系统都有一定的假设。一定要认真检查和确认安全假设,否则隐藏的问题就会成为系统潜在的安全漏洞。5、充分考虑人的因素在构建安全体系时,人的因素是非常重要的。即便制定了非常完善的安全制度,如果操作员不认真执行,也无疑会为不法入侵者大开方便之门。6、实现深层次的安全对系统的任何改动都可能会影响安全,因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性,而且不易影响系统的安全性。入侵防御系统规划入侵检测部署示意图入侵防御产品是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御产品在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而能够从根本上避免黑客的攻击。这样,在新漏洞出现后,只需要撰写一个过滤规则,就能够防止此类攻击的威胁了。当把入侵防御产品看成是一定安全目标的系统时,我们可称之为入侵防御系统(IPS)。IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击,能够说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。入侵防护系统(IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS经过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再经过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创立一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,能够深层检查数据包的内容。如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS能够做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。经过检查的数据包能够继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理能够确保数据包能够不间断地快速经过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。入侵检测系统规划由于系统中必须对外提供一系列的网络服务,因此从安全策略上来讲,防火墙必须允许来自外部一定的程度的访问,这样除了正常的数据以外,来自外部的攻击在潜在漏洞存在的前提下,也能够经过防火墙到达内部网络。入侵检测系统的作用入侵检测(IDS)的目标是实时地识别并尽可能地阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。一般情况下,在每一个被监测的网络或者网段上都要部署网络IDS,以便IDS能够监视特定网络上计算机之间的所有通信。IDS将搜索安全事件的特征(如异常数据包、不正确的源或目的地址以及特定的关键字)。基于网络的IDS经过对用户会话和命令参数与攻击者渗透网络时采用的基于规则的技术进行比较来执行攻击检测。基于网络的入侵检测系统的工作原理图如下:其中的黄色数据流代表正常的数据流向,为了实现对数据流的监视功能,需要交换机支持对该数据流复制一份相同的数据流,经过监视端口传送给入侵检测系统,供其进行安全分析。由此能够看出入侵检测系统对原网络系统的性能没有任何影响,也能够灵活适应各种网络拓扑结构。IDS是边界防御的一个重要方面,网络IDS一般被设置在客户机和服务器通信路径的中间,这样的方式使得IDS能够接近实时地进行广泛的分析,以便检测发生的攻击。入侵检测系统和防火墙系统虽然同样都是防范网络攻击的主要技术手段,但二者的侧重点并不相同,且具有明显的互补性。入侵检测侧重的是对攻击行为的检测和监控,她能够检测到外部网络、内部网络的异常数据和攻击行为并产生报警;而防火墙侧重的是对来自外部网络的访问的控制和干预,她主要是防范外部的非法访问。当入侵检测系统检测到异常行为或数据时,能够产生报警并将结果传递给防火墙,防火墙经过强制的安全策略,对其进行强有力的干预和阻断,彻底断绝攻击来源的网络连接,这就是入侵检测和防火墙的联动。一个网络IDS只能看到它被安装在的网段的网络流量。只要网络IDS被设置在关键网段,就能够测量对重要系统和应用采用的安全保护机制的效果。数据库服务安全规划用户身份验证与连接层加密由数据库系统提供该级别的安全,指派不同的安全应用角色,保证数据库不被非授权连接和越权访问,对数据库的所有操作有详细的事务日志记录。连接层支持SSL协议,支持强大的128位加密;基于数字证书的服务器验证、客户机用户名／口令验证与SSL相结合确保数据完全的机密性。数据备份与恢复1．日常计划备份为保护数据安全(完整性和正确性),制定合理的每日备份计划,在确保业务可用性和持续运营的情况下选择数据负荷较小时实现自动备份,以备在数据出现异常时能迅速恢复到最近的数据。2．远程灾难备份在非抗力情况(自然的和人为的威胁)下的远程灾难备份提供更完备的数据备份安全服务,包括经过用离线的存档安全库备份到另一个数据中心和经过网络实现实时备份。实时备份可由数据库系统实现自动管理、备份,并能保证数据的实时可用。1.7项目实施方案项目实施建议(一)贯彻信息系统建设和实施的专人负责制原则。项目建设和实施过程是一个不断决策的选择过程,专人负责能及时解决项目开发过程中用户方和开发方出现的分歧,从而保证项目的进度。系统是否实用或者有用很大程度上取决于革些关键环节上。专人负责需要落实责任,能保证系统信息处理的完整性。系统投入试运行后,还需要负责人经过采取科学有效的行政手段,保证系统中信息的及时性和准确性。(二)项目质量保证小组的成员,争取参与项目的全过程。成立项目质量保证小组,在合同签署、调研、设计、安装调试、测试、培训、运行、验收、售后服务等项目的各个阶段,配合系统建设的工作,保证项目的顺利进行,及时发现问题,并对项目进度和质量等进行监督。(三)采用”两手抓”的方针,一手抓开发、一手抓使用。编写项目实施计划对于该项目,我们将按照相关要求来开展软件开发、项目管理及项目交付的相关活动,确保所开发软件的质量、软件开发的进度符合康芸的要求。在项目开始阶段编写项目实施计划。该项目计划中必须包含项目进度计划、项目资源保障计划、项目监控计划、质量保证计划、配置管理计划、培训计划、沟通计划等。这些计划必须得到康芸和项目实施小组的统一认可,而且保证后期的项目实施按照项目计划进行。组建项目实施小组项目小组组成必须由客户、公司甚至第三方监理公司统一参与并协同一致。公司项目组主要成员组成。姓名部门和职务职称计划承担工作预估工作量(人月)主要资质证书、经验及近二年承担过的项目项目实施进度计划本项目的实施计划具体如下。工作内容时间应提交的成果(1)产品交付50个工作日光盘介质以及文档(2)系统试运行15个工作日系统完整代码1.8项目培训方案培训目的系统管理人员既是软件系统的使用者,又是系统正常运行的守护者,培养用户自己的系统管理人员是很有必要的。公司除了培训软件系统的日常操作功能(即普通操作人员)外,还将向用户提供全方位的培训,协助用户建立一支业务精通、技术过硬的应用系统使用和维护队伍。经过培训,使各级相关人员对系统有充分了解,熟悉系统的设计原理和工作方式,掌握系统的工作流程和操作方法。培训对象根据业务范围,能够从以下两方面划分培训对象:运行环境培训对象和应用环境培训对象。在运行环境培训对象中主要包括系统维护的技术人员(专业人员);从应用环境培训对象上能够划分管理层和操作层二个层次。培训类型作为软件提供商,公司向用户的相关人员提供多种方式的用户培训,充分满足各个层次培训对象的需求,培训方式包括以下几类:初级培训:在用户现场进行系统基本的使用方法的集中培训,使用户掌握系统基本操作和所需功能的使用方法。适用于所有培训对象。中级培训:在用户现场的集中培训,在用户掌握系统基本功能使用方法的前提下,为其提供高级功能的使用方法、多项功能组合使用、常见复杂业务的操作处理等中级水平的培训内容。高级培训:在用户现场进行的关于系统内核的高级培训。旨在使用户完全彻底掌握系统,为整个系统的长期稳定运行提供有力保证。专项培训:根据用户的需求,就系统中的某一子系统、某一功能、某一专业技术工具进行的专门性培训。旨在使用户对其工作领域具有深刻领悟。适用于领导层、高级维护层以上、专业人员的培训对象。公司将向客户提供包括初、中、高级的技术培训,对于培训时间、地点及培训人数,双方按约定协商安排。在向用户提供正常的售后技术和业务培训外,还将定期或不定期地举办各种新业务和新技术的培训研讨班。培训内容公司将根据软件系统及涉及的IT领域免费向客户提供包括初、中、高级的技术培训。培训内容除了软件系统本身的功能操作外,还涉及计算机应用技术方面与本项目有关的各个技术领域和有关产品。1、系统安装调试完毕、项目竣工验收之前,按本公司项目质量控制步骤,需要有一个试运行的过程和周期,在此期间我们和用户一起对系统进行试用和检测,并把试运行结果组织成项目竣工文档,为项目验收后的服务提供第一手资料。2、系统移交用户、投入正常运行后,公司将对该项目建立档案,对其进行质量跟踪及售后服务。对用户提出的配套服务,公司将积极配合并组织实施,使用户成为本公司长期发展的稳定的客户和合作伙伴,解决用户在本项目上的后顾之忧。3、免费为用户培训系统的维护人员,目的是为了使客户在工程完工后,能简单、轻松的对本项目作必要的维护和管理。对系统的使用者进行培训,使使用者能熟练使用将决定实施的效果。因此,对用户的培训是项目进行中一个不可忽视的重要环节。针对不同的使用者,我们会进行使用、维护、管理等不同方面的系统培训,以期达到系统设计的实施效果。对用户培训主要有以下工作:A、培训计划的制定,有计划地对用户进行培训;B、培训资料的撰写与审核;C、培训计划的实施与检查。培训时间公司提供的培训内容、培训对象、培训地点等资料,由公司、用户协商确定具体实施时间,公司根据协商结果制定时间表,用户根据时间表协助安排人员参加培训。以下是可供参考的阶段培训策略:(1)在项目实施方案、系统运行环境完全确定以前,我们针对项目的特点,为用户提供基础性、概念性、策略性的初级培训,培训一般以交流形式进行,这种培训可能会有2到3次;(2)在系统安装调试后、进入系统试运行期间,我们将对用户进行具体的系统使用培训,这类培训会在工程实施前有多次;(3)在系统试运行期间,会对操作层人员和管理层人员有一个详细的培训,针对涉及到的一些专项技术领域,我们也能够对专业人员做专项培训。培训计划人员基础培训对业务人员将根据系统应用安装部署分批进行普及性基础培训。专业人员培训计算机专业人员分批进行对大型数据库管理系统、面向对象的开发工具开发、中间件应用等集中培训。领导层培训了解计算机应用的发展趋势及系统开发应用的规律。了解计算机简单原理并学会基本操作,特别是对浏览器及系统领导查询功能的操作进行重点培训。专业人员培训内容以下内容主要针对用户计算机专业人员的培训,以利于专业人员能尽快掌握系统开发的有关技术,参与到系统开发的各个阶段,方便日常运行以后的维护工作。第一阶段:基础技术培训内容:系统用到的开发工具及平台培训要求:重点掌握数据库与系统用到编程制作技术,能开发一般的程序,能进行日常的数据维护。了解数据库和程序开发的管理概念。第二阶段:系统总体方案与设计思路内容:应用系统构造一般原理系统的总体设计方案的思路与目标系统设计方法要求:明确系统设计的总体思路,理解系统开发过程中采用的设计方法。第三阶段:详细设计方案介绍内容:数据库分布方案与数据字典定义应用模块划分与接口系统控制方式其它要求:全面理解系统各层次、各模块功能定义与逻辑划分;全面掌握系统数据库定义;全面掌握软件系统各构成模块的定义与控制。第三阶段:文档培训内容:新型系统文档编排与管理文档查询使用方法要求:全面掌握文档查询与使用方法第四阶段:维护培训内容:系统维护一般原理与方法系统的可维护性、灵活性设计介绍系统设置与调整方法系统局部修改方法系统局部扩充方法要求:了解系统维护的任务与目标掌握本系统已提供的功能调整方法掌握局部修改扩充方法明确本系统扩充的极限与修改的风险上述四个阶段的授课培训将与开发进程有机结合,确保实现培训目标。公司奉行”用户的成功是公司发展的基石”的服务理念,而用户应用的成功离开了大量的培训工作是难以实现的。在培训方面本公司历来十分重视,我们将针对不同层次人员、不同应用阶段进行分类、分批培训。1.9质量保证方案质量管理组织公司建立有完善的质量保证体系,在项目组内专门设置质量与配置管理小组,由项目经理直接领导,由各小组长、项目专职质量保证人员、项目专职配置管理人员、各子系统质量保证人员、各子系统配置管理人员等组成。经过规范、明确和落实技术开发人员的质量控制职责,在本项目开发的过程中实施全面的质量管理计划,从需求分析、设计、编码、测试等阶段环节,设立质量控制点,落实质量管理任务,规定各种必要的质量保证措施,以保证所交付的系统能够符合项目合同书规定的各项规定,满足用户的各项需求。配置管理计划在实现软件配置管理计划的过程中,要特别注意实现以下三个里程碑:建立软件质量与配置管理小组:在批准软件配置管理计划、质量保证计划之后,应立即成立软件质量与配置管理小组;建立各阶段的配置基线:在项目任务书评审和批准之后,建立功能基线;在需求说明书评审后,建立指派基线;确认测试完成后,建立产品基线;建立软件库:在本项目的研制工作开始,即在软件系统的计算机开发环境中建立系统的软件开发库,并在配置管理小组的软件系统的计算机管理环境中建立系统的软件受控库。以后在每个开发阶段的结束,在开发环境中建立系统新的开发库,同时把这个阶段的阶段产品送入总的软件受控库,并在开发环境中建立软件受控库的副本。软件受控库必须以主软件受控库为准。开发完成后,在配置管理小组的管理环境中建立起软件产品库,并在开发环境中建立软件产品库的副本。在软件工程化生产的各个阶段中,与当前阶段的阶段性产品有关的全部信息在软件开发库存放,与前面各个阶段的阶段性产品有关的信息在软件受控库存放。在研制与开发本阶段的阶段性产品的过程中,开发者与开发小组长有权对本阶段的阶段产品作必要的修改;可是开发者或开发小组长认为有必要修改前面有关阶段的阶段产品时,就必须经过项目的配置管理小组办理正规的审批手续。因此软件开发库属开发这个阶段产品的开发者,而软件受控库由项目的配置管理小组管理。软件经过系统测试后,应该送入软件受控库;如欲对其修改,必须经软件配置管理小组同意。检查与评审制度软件质量保证工作涉及软件生存周期各阶段的活动,应该特别注意软件质量的早期评审工作,以确保在软件开发工作的各个阶段和各个方面都认真采取各项措施来保证与提高软件的质量。在系统项目开发过程中我们建议应进行如下几类评审与检查工作:阶段评审:在软件系统开发实施过程中,需要定期地或阶段性地对软件系统和文档进行评审。我们建议在本项目中应至少进行以下三次评审:第一次评审软件需求、确认验收方法;第二次评审概要设计、详细设计、测试方法,并对第一次评审结果复核;第三次评审功能和综合检查。阶段评审要组织专门的评审小组,评审小组原则上由应用开发小组成员、用户项目管理小组成员、我公司代表等构成。日常检查:在本项目开发实施过程中,各子系统应该填写项目进展报告,即软件进展报告、软件阶段进度表、软件阶段产品完成情况表等三张表格。软件开发管理人员能够经过项目进展报告发现有关软件质量的问题。软件验收建议组织专门的验收小组对用户业务系统进行验收,质量与配置管理小组协助其工作。验收工作应该按照双方都认可的验收规程正式履行验收手续。验收内容应包括文档验收、程序验收、功能测试等几项工作。具体的验收规程另行制订。1.10项目测试与验收方案测试方案统一的测试标准、明确的测试目标,核实所有需求是否已经正确实施;确定缺陷并确保在部署软件之前将缺陷解决。测试内容及流程一、单元测试阶段单元测试是对最小的可测试软件元素(单元)实施的测试。它所测试的内容包括单元的内部结构(如逻辑和数据流)以及单元的功能和可观测的行为。二、集成测试阶段集成测试是确保各单元组合在一起后能够按既定意图协作运行,并确保增量的行为正确。它所测试的内容包括单元间的接口以及集成后的功能。三、系统测试阶段系统测试是经过与系统的需求定义作比较,发现软件与系统需求定义不相符合或与之矛盾的地方。它将经过确认测试的软件,作为整个基于计算机系统的一个元素,与计算机硬件、外设、某些支持软件、数据和人员等其它系统元素结合起来,在实际运行(使用)环境下,对计算机系统所进行的一系列集成测试和确认测试。四、验收测试阶段验收测试是部署软件之前的最后一个测试操作。验收测试的目的是确保软件准备就绪,而且能够供最终用户用于执行软件的既定功能和任务,验收测试需要最终用户的参与。1、功能测试对测试对象的功能测试应侧重于所有可直接追踪到用例或业务功能和业务规则的测试需求。这种测试的目标是核实数据的接受、处理和检索是否正确,以及业务规则的实施是否恰当。此类测试基于黑盒技术,该技术经过用户界面与应用程序进行交互,并对交互的输出或结果进行分析,以此来核实应用程序及其内部进程。以下为各种应用程序列出了推荐使用的测试概要:2、业务周期测试业务周期测试应模拟在一段时间内系统执行的活动。应先确定一个时间段,然后执行将在该时间段发生的事务和活动。这种测试包括所有的日、周和月周期,以及所有与日期相关的事件(如备忘录)。3、用户界面测试用户界面(UI)测试用于核实用户与软件之间的交互。UI测试的目标是确保用户界面会经过测试对象的功能来为用户提供相应的访问或浏览功能。另外,UI测试还可确保UI中的对象按照预期的方式运行,并符合公司或行业的标准。4、性能评测性能评测是一种性能测试,它对响应时间、事务处理速率和其它与时间相关的需求进行评测和评估。性能评测的目标是核实性能需求是否都已满足。实施和执行性能评测的目的是将测试对象的性能行为当作条件(例如工作量或硬件配置)的一种函数来进行评测和微调。5、负载测试负载测试是一种性能测试。在这种测试中,将使测试对象承担不同的工作量,以评测和评估测试对象在不同工作量条件下的性能行为,以及持续正常运行的能力。负载测试的目标是确定并确保系统在超出最大预期工作量的情况下仍能正常运行。另外,负载测试还要评估性能特征,例如,响应时间、事务处理速率和其它与时间相关的方面。6、强度测试强度测试是一种性能测试,实施和执行此类测试的目的是找出因资源不足或资源争用而导致的错误。如果内存或磁盘空间不足,测试对象就可能会表现出一些在正常条件下并不明显的缺陷。而其它缺陷则可能由于争用共享资源(如数据库锁或网络带宽)而造成的。强度测试还可用于确定测试对象能够处理的最大工作量。7、容量测试容量测试使测试对象处理大量的数据,以确定是否达到了将使软件发生故障的极限。容量测试还将确定测试对象在给定时间内能够持续处理的最大负载或工作量。例如,如果测试对象正在为生成一份报表而处理一组数据库记录,那么容量测试就会使用一个大型的测试数据库,检验该软件是否正常运行并生成了正确的报表。8、安全性和访问控制测试安全性和访问控制测试侧重于安全性的两个关键方面:应用程序级别的安全性,包括对数据或业务功能的访问系统级别的安全性,包括对系统的登录或远程访问。应用程序级别的安全性可确保:在预期的安全性情况下,主角只能访问特定的功能或用例,或者只能访问有限的数据。系统级别的安全性可确保只有具备系统访问权限的用户才能访问应用程序,而且只能经过相应的网关来访问。9、故障转移和恢复测试故障转移和恢复测试可确保测试对象能成功完成故障转移,并能从导致意外数据损失或数据完整性破坏的各种硬件、软件或网络故障中恢复。故障转移测试可确保:对于必须持续运行的系统,一旦发生故障,备用系统就将不失时机地”顶替”发生故障的系统,以避免丢失任何数据或事务。恢复测试是一种对抗性的测试过程。在这种测试中,将把应用程序或系统置于极端的条件下(或者是模拟的极端条件下),以产生故障(例如设备输入/输出(I/O)故障或无效的数据库指针和关键字)。然后调用恢复进程并监测和检查应用程序和系统,核实应用程序或系统和数据已得到了正确的恢复。10、配置测试配置测试核实测试对象在不同的软件和硬件配置中的运行情况。在大多数生产环境中,客户机工作站、网络连接和数据库服务器的具体硬件规格会有所不同。客户机工作站可能会安装不同的软件。例如,应用程序、驱动程序等,而且在任何时候,都可能运行许多不同的软件组合,从而占用不同的资源。11、安装测试安装测试有两个目的。第一个目的是确保该软件在正常情况和异常情况的不同条件下:例如,进行首次安装、升级、完整的或自定义的安装_都能进行安装。异常情况包括磁盘空间不足、缺少目录创立权限等。第二个目的是核实软件在安装后可立即正常运行。这一般是指运行大量为功能测试制定的测试。测试文档一、测试模型文档测试模型定义了所有的测试用例并引用与每个测试用例相关联的测试过程和测试脚本。二、测试日志对整个测试的执行过程需要记录文档,记录这些文档的目的在于客观地反映测试工作的进程,工程实施的实际情况,用于系统缺陷的统计与分析。测试日志的内容应该包括:测试结果标识符(即这些结果区别于其它测试结果的ID)时间、日期、测试员姓名和环境信息(如O/S、机器特征等等)测试对象的特定标识(如版本、对象、文件等等)预期执行(并追踪到测试需求)的测试用例已执行(并追踪到测试需求)的测试用例要执行的测试对象的评测范围已执行的测试对象的评测范围指定事件序列的响应时间包含主角和测试对象之间的会话详细信息的追踪数据,和/或包含测试对象中的对象之间的会话详细信息的追踪数据每个已执行测试用例的实际结果预期结果和实际结果之间的差异每个所执行的测试用例经过/失败的指标任何意外或反常的结果或行为三、缺陷分析要分析缺陷,应将复审和分析所选评测方法作为缺陷分析战略的一部分。最常见的缺陷评测方法包括(一般以图的形式显示):缺陷密度-缺陷的数量以一个或两个缺陷属性(如状态或严重性)的函数显示。缺陷趋势-缺陷数目以随时间变化的函数表示。缺陷龄期-是特殊的缺陷密度报告,它经过缺陷在一定时间内保持某特定状态(打开的、新的、待测试的缺陷等)的函数表示。将测试的每个阶段的评测方法与先前各次测试的分析结果进行比较,判断缺陷的走势。测试评估评估测试的目的是生成并交付测试评估文档。这是经过复审并评估测试结果、确定并记录变更请求,以及计算主要测试评测方法来完成的。测试评估文档以组织有序的格式提供测试结果和主要测试评测方法,用于评估测试对象和测试流程的质量。使用两种主要的评测方法:覆盖指标-判定是否已经实施和执行了充分的测试质量指标-确定测试对象和测试流程的质量。复审测试计划中制定的测试战略,应根据测试覆盖和/或缺陷评估结果说明测试标准。检验测试结果、缺陷与缺陷分析,并判断是否已达标。如果未达标,能够参考以下方案:收集进一步的信息:另行撰写报告,如不同的缺陷密度报告;经过研究流程,判断意外条件是否导致背离已确定的测试标准,并在这一新信息的基础上再次评估标准。建议安排进一步测试:实施新测试以进一步执行测试用例;实施新测试以扩大测试覆盖面。修改测试标准:复审并评估测试后变更标准会带来的风险;确定满足测试标准的软件子集,并决定是否能够部署该子集。拟提交的技术文档(包括类型、进度与管理等)对知识产权的说明(包括文档和源码等)验收方案项目的验收:经过用户内部组织业务及相关技术人员根据项目需求、项目方案、及相关的技术要求进行验收。一、验收步骤1、公司提交项目验收计划在项目正式上线运行后、公司向用户提出项目验收、并提交项目验收计划。2、用户组建内部验收小组验收小组中必须具有技术专家、业务专家,用户也能够邀请其它相关行业领域的专家参加。3、公司准备相关文档文件及验收环境公司提交相关的文档,文档包括项目需求报告、系统需求分析说明书、系统概要设计报告、系统详细设计报告、系统相关测试报告、用户手册、系统安装维护手册及其它规定的文档包括系统相关源码等。用户提供验收测试硬件环境,由公司搭建验收环境。4、组织验收用户根据验收小组的验收计划及内容进行验收。二、验收内容1、一般检查验收小组检查应该提供的相关文档及资料是否齐全。2、功能验收测试验收小组测试并验收系统得功能是否达到并满足中心的实际要求、功能是否达到招标文件及需求文档提出的要求。3、其它性能及安全负载等验收验收内容可参考质量保证中的验收测试进行。1.11技术支持及售后服务方案售后服务和技术支持概述A、服务对象公司提供的信息系统的用户。B、服务主体公司提供的软件系统以及相关的软件产品;服务方案针对本项目,公司将提供受过良好培训、富有实践经验的专业技术人员组建本项目的服务队伍,负责项目的售后服务工作。同时多途径的服务模式,群策群力,为用户提供高效、优质、快捷的售后服务。公司服务机构设置项目实施团队项目实施团队成员共有5余名,成员都是从事相关项目实施工作多年,其中80%以上均参加过电子商务平台的实施工作,具有丰富的实施经验和业务知识。一、服务部门公司将充分利用优势资源,组织精干的服务队伍,做好售后服务工作,保障提供高效、优质、快捷的售后服务。服务流程(1)合同签定后,公司组织项目组。(2)项目验收合格后,由客户服务部门远程日常服务。(3)质保中心全程参与项目的质量管理工作,并提供相关的质量报告。(4)客户服务中心全程参与售后服务,及时了解客户问题,并将问题形成文档。(5)及时对客户的需求进行修改完善,并交质保中心测试。经公司出具书面质量报告后,最终提交给客户。服务承诺用户成功永远是我们第一位的追求。为用户提供高效全面的服务,最大程度地保障用户的投资利益是我们坚持不变的服务原则。为了给用户提供最高品质的服务,我们视服务为最重要的产品,遵循质量体系的服务理念,建立了一套完整、科学的质量控制体系和服务管理规范,力求做到服务的专业化、多元化、层次化,提供在系统实施前、后为用户提供一致的周到的技术支持服务,包括:技术咨询、实施指导、运行维护和定期回访制度等。服务内容:在项目实施期间公司将派工程师配合客户相关部门。针对本项目,在正常工作日提供5*8小时内及时响应用户故障报修;在产品保修期限内提供7*24小时的技术支持服务。技术服务实施经过验收后的一年期间,在该期限内客户有权要求公司免费对服务成果的瑕疵和质量缺陷采取补救措施,直至该成果符合双方约定的质量要求。服务时间响应:服务支持响应时间为30分钟电话响应在线支持服务;紧急情况下,对于一般信息系统发生故障等情形,维修技术人员最晚到现场时间和解决时间的要求分别为2小时和24小时。保证所提供的产品不存在任何权利上的瑕疵,其产品的销售和使用不侵犯第三人合法权益。长期提供电话、技术咨询、邮件方式的技术支持,定期寻访并进行常规系统维护。为用户提供从项目实施至项目结束的所有方案及文档。软件的开发、实施、维护达到国际化质量要求。组织开发人员进行调研,统计、汇总详细需求并形成书面材料提交用户确认。提供系统全面的培训,包括两个方面,一是确保工作人员能够熟练使用该系统;二是为用户培训2名系统管理员,使其具备处理功能检测、日常故障处理、增减简单功能、提取各类数据的能力。项目实施完成后提供完整、详细、准确的操作手册等相关资料给用户,操作手册有书面的和电子的两个版本。服务方式:在售后服务过程中,公司为客户提供多种服务方式,满足用户不同阶段的不同需要。项目组服务:项目实施过程中,公司将组织精干的实施力量,成立专门的项目组和用户各部门配合完成整个项目的实施工作。本地化服务:在项目实施期间,派专人,随时提供高效的本地化服务,以便更及时地解决用户出现的问题。电话支持:在系统运行时如遇到问题,公司的服务人员将在规定时间内经过电话解决或回答用户所提出的问题。远程登录服务:在用户允许的前提下,服务中心的工程师可对经过拨号方式对用户的系统进行远程诊断,加速问题的解决。现场支持:对于经过电话无法解决的问题,公司将派出系统工程师到用户现场为用户解决问题。售后服务保证措施公司将从以下几方面确保为客户提供优质、高效和便捷的售后服务。精干的技术队伍公司有一支充满活力的技术队伍,她们是公司最宝贵的财富。其中包括:(1)行业专家具备电商行业的行业背景,熟悉这些行业的业务流程和IT系统特点。(2)资深系统专家包括服务器、存储、数据库、网络等多个领域的资深系统专家,与原厂商保持密切的交流与合作,对最新技术,最新产品和完整的系统解决方案有非常深入的理解。(3)资深工程师由很高的专业素质和职业素养,具备千万级大型项目的实施经验,为客户提供完善的售前售后服务,切实地为客户解决后顾之忧。公司将组织精干的实施人员和优秀的项目管理人员,共同组成项目组,保障项目的实施效果。优秀的管理团队鉴于项目管理工作在项目中的重要地位,公司设立了专门的项目管理岗位。从项目的启动、实施、到试运行和验收,专职的项目管理人员将全程跟踪管理整个过程,以保证项目进度和实施质量。公司拥有一批富有项目管理经验的项目经理。在合同规定的实施周期中。由具有丰富经验的项目经理负责整个项目的实施工作,并由公司总经理全程监控实施的进度和质量。全面的文档知识库作为用户知识管理的重要手段,公司建立了知识库,并由专人负责维护和定期更新。知识库收集整理了大量技术文档和宝贵经验,这些积累对疑难问题的解决提供了有效的帮助。完整的技术文档公司提供软件系统的全套手册文件,包括系统文件、软件系统设计文件、安装和测试文件、维护和操作文件,以及与系统有关的客户认为必要的其它技术文件。公司所提供的技术文件,其内容保证与所提供软件相一致。在双方商定的某一时期内由于软硬件系统的修改而导致文件的任何修改公司保证提供1份(或双方商定的数量)修改更正或补充的正式文件。用户有权复制提供的资料,作为系统的维护管理使用。定期跟踪回访系统上线运行后,公司除了定期经过电话跟踪系统的使用情况和存在的问题之外,还将定期派遣技术人员听取意见和建议,解决存在的问题。经过和系统管理员一起对系统运行日志等信息进行分析,了解系统的运行情况,及早发现系统可能存在的问题隐患。同类型成功案例介绍淘常州5月,”淘常州”正式上线。作为一个集网上销售、信息交流、仓储配送为一体的大型综合性购物网站。它不但是专业的网络超市,还是常州最新最时尚的消费资讯平台。南京广电购物云平台6月,南京广电购物云平台系统,主要实现用户在平台上购物,支付的标准流程,为服务接入