XX网站投标书示例(仅供参考)

XX网站支撑平台

- 1 -

目录

1项目概述 ................................................................................................................ - 5 - 1.1项目背景 .......................................................................................................... - 5 - 1.2建设目标 .......................................................................................................... - 5 - 1.3建设思路及原则 .............................................................................................. - 5 - 1.3.1先进实用 .................................................................................................... - 5 - 1.3.2好用易用 .................................................................................................... - 5 - 1.3.3成熟性与可扩展性 .................................................................................... - 6 - 1.3.4标准性与灵活性 ........................................................................................ - 6 - 2服务项目及工期 .................................................................................................... - 7 - 2.1交换类数据接口 .............................................................................................. - 7 - 2.2数据中心管理平台 .......................................................................................... - 7 - 2.2.1数据中心建设架构 .................................................................................... - 7 - 2.3对各种应用的标准化数据支撑及输出规范 .................................................. - 9 - 2.4数据库及中间件 .............................................................................................. - 9 - 2.4.1oracle数据库 .............................................................................................. - 9 - 2.4.2iis服务 ...................................................................................................... - 12 - 3安全及性能 .......................................................................................................... - 12 - 3.1物理安全 ........................................................................................................ - 13 - 3.2网络安全 ........................................................................................................ - 14 - 3.3操作系统安全 ................................................................................................ - 14 - 3.4数据安全 ........................................................................................................ - 14 - 3.5双机热备及容灾处理 .................................................................................... - 15 - 3.6网络传输及访问安全 .................................................................................... - 15 - 3.7数据支撑平台安全“三防” ........................................................................ - 16 - 3.8安全防护 ........................................................................................................ - 18 - 3.8.1 WEB应用防火墙的价值体现 ................................................................ - 19 - 3.8.2物理安全防护 .......................................................................................... - 20 - 3.8.3网络安全防护 .......................................................................................... - 20 - 3.8.4数据安全防护 .......................................................................................... - 21 - 3.8.5软件安全防护 .......................................................................................... - 21 - 3.8.6安全防护服务 .......................................................................................... - 22 - 4项目实施及管理 .................................................................................................. - 22 - 4.1项目实施概述 ................................................................................................ - 22 - 4.2项目组织 ........................................................................................................ - 24 - 4.3人员配置 ........................................................................................................ - 28 - 4.4项目实施进度 ................................................................................................ - 30 - 4.5项目管理 ........................................................................................................ - 31 - 4.5.1全面质量管理 .......................................................................................... - 31 - 4.5.2CMMI质量规范 .......................................................................................... 34 4.5.3质量审计 ...................................................................................................... 35 4.5.4质量改进 ...................................................................................................... 36 4.5.5质量控制 ...................................................................................................... 36 4.5.6项目测试管理 .............................................................................................. 37

- 2 -

4.5.6.1测试计划 ............................................................................................... 37 4.5.6.2测试设计开发 ....................................................................................... 38 4.5.6.3测试实施 ............................................................................................... 38 4.5.7项目风险管理 .............................................................................................. 38 4.5.8项目配置管理 .............................................................................................. 39 4.5.9项目变更控制计划 ...................................................................................... 39 4.5.10项目测试计划 ............................................................................................ 40 5项目文档及验收 ...................................................................................................... 44 5.1项目文档管理 .................................................................................................... 44 5.1.1用户培训文档 .............................................................................................. 44 5.1.2客户支持文档 .............................................................................................. 44 5.1.3项目开发文档 .............................................................................................. 45 5.1.4项目文档状态属性定义 .............................................................................. 46 5.2项目验收管理 .................................................................................................... 47 5.2.1产品安装 ...................................................................................................... 47 5.2.2验收测试 ...................................................................................................... 47 5.2.3文件验收 ...................................................................................................... 48 5.2.4应用系统功能验收 ...................................................................................... 48 6培训........................................................................................................................... 48 6.1培训计划 ............................................................................................................ 48 6.2人员培训方案 .................................................................................................... 50 6.2.1培训目的 ...................................................................................................... 50 6.2.2培训讲师 ...................................................................................................... 51 6.2.3培训对象 ...................................................................................................... 51 6.2.4培训内容 ...................................................................................................... 51 6.2.5培训流程 ...................................................................................................... 53 6.2.6人员培训计划 .............................................................................................. 55 6.2.7基础平台维护培训 ...................................................................................... 55 6.2.8基础平台应用培训 ...................................................................................... 56 7售后服务 .................................................................................................................. 58 7.1故障处理 ............................................................................................................ 60 7.1.1本地化客户服务 .......................................................................................... 61 7.1.2 7×24小时电话答询 .................................................................................... 61 7.1.3专人管理客户服务 ...................................................................................... 61 7.1.4高效快速的现场服务响应 .......................................................................... 62 7.1.5故障分级诊断服务响应时间 ...................................................................... 62 7.2系统升级 ............................................................................................................ 63 8环境要求 .................................................................................................................. 64 8.1软件配置要求 .................................................................................................... 64 8.2服务器软件配置 ................................................................................................ 64 8.3开发环境要求 .................................................................................................... 64 8.4应用环境要求 .................................................................................................... 65 9数据规范 .................................................................................................................. 66 9.1数据规范标准 .................................................................................................... 66

- 3 -

9.2数据获取与交换 ................................................................................................ 66 10公司积累和优势 .................................................................................................... 66 10.1技术积累 .......................................................................................................... 66

- 4 -

1项目概述

1.1项目背景 1.2建设目标

1.3建设思路及原则

因此，我们在网站建设内容上，尽可能从用户最重要最迫切的需求出发，选择投入少，见效快，运营维护简单，易于操作的功能先上，随着经验的积累和各方面条件的逐步成熟，再逐步扩展其它应用。

技术上，我们将采用安全的一体化SOA架构，基于.Net Remoting安全通信的方式进行系统之间的数据交互与认证，此种方式的特点是安全、快速，因此保障了系统的安全稳定。

1.3.1先进实用

在平台的选用、方法设计方面均采用当前的先进技术，以保证系统功能的可靠发挥，其整体水平达到国内同行业领先水平。实用与先进性兼顾，可以获得最高的性价比，实用性是确保系统可用的基础，在确保实用的前提下，尽可能采用先进成熟的技术。

公司多年来一直致力于将先进技术的研究，认真调研市场的应用需求，将技术不断进行优化和转换，使其紧密跟随信息化发展的步伐，为广大客户量身定制先进的、实用的服务和产品。每项技术都是经历了众多的行业应用实战检验并不断优化总结和积累的，充分地保障了其先进性和实用性。

1.3.2好用易用

- 5 -

经历了多年的信息化实施经验，公司的行业应用专家们在各项应用功能的设计上吸取了各类经验和教训。例如针对的海量信息录入问题我们设计了批量导入模式，尽可能保持原有资源的形式和完整性，通过技术手段支撑一次海量信息导入，减少工作人员在信息采编方面的人工工作量，极大的提高了使用的效率，也使系统的易用性得到充分的体现。

1.3.3成熟性与可扩展性

很多系统由于在建设初期没有充分的考虑系统的可扩展性，当系统的规模增长到一定程度之后，性能出现严重下降，由于缺乏扩展性，在系统的扩展中面临重重困难，这就要求在设计阶段从体系、设备、拓扑、功能等各个方面对系统的可扩展性加以考虑。

在本平台的设计上我们拟采用的是SOA（面向服务的架构）架构，这种方式的最大优点就是扩展性强，采用一系列的标准化接口和反射编程方式，支持系统的不断扩充，同时这种架构本身可基于.net Remoting或Webservice等任何成熟的技术进行布署，不存在任何未突破的技术风险，因此在系统的设计上具备了很强的可扩展性和成熟性。

1.3.4标准性与灵活性

整个支撑平台系统均采用开放式结构，能够融合新技术，且便于维护，具有灵活适应应用需求变化的能力。

我们将充分利用新技术的优势，秉承软件工程要求设计接口标准、数据库标准、页面风格标准及业务流程，同时按照质量管理规范制定系列本项目的需求分析、系统设计、系统研发、测试和安装布署

- 6 -

的管理规范，保证软件的质量，保证软件各部件具有统一的标准模式和接口规范，从而软件灵活适应业务变化需要打下照实的基础。

2服务项目及工期

2.1 XXXX 2.2 XXXX

随着业内的不断发展、资源的开发过程在产生了大量的有价值的数据，但由于没有有效的管理系统支持，没有建立起自己核心的数据库，使得无法完全的发挥行业的资源优势，大大降低了效率，增加了运营成本。

系统整体架构：由核心数据库，数据管理系统、搜索引擎和外部应用功能构成。

核心数据库：解决不同数据标准整合问题。

数据管理系统：实现数据积累、整理、共享与重用的核心服务，通过权限管理、数据流程管理、维度管理实现数据的高效应用。

智能搜索引擎：实现用户海量数据快速搜索定位和应用。 前、后台应用功能：实现数据管理系统的积累、日常运作、数据维护、业务应用、系统管理等功能。

2.2.1数据中心建设架构

- 7 -

数据中心系统分为四层的技术结构：Presentation(表现层)、Application(应用层)、P ersisntence (持久层)、D atabase(数据服务层)。

知识管理系统技术架构图

展示层 业务逻辑层 数据管理系统功能与服务 业务逻辑层实现（业务组件、服务）对外接口、服务调用 应用服务层 Web应用框架|权限管理服务|数据管理服务|搜索引擎服务 持久层 检查服务层 数据访问、数据对象等 企业应用服务器 - 8 -

系统资源层 数据库管理系统、网络、协议、操作系统 数据中心具有良好的开放性、移植性和可扩展性；表现层具备快速应变、敏捷开发、应用形式多样的特点。

数据中心系统采用 B/S 结构开发，可以在 Intranet/Internet 中运行，用户可通过 Internet 网随时访问自己需要的信息。系统以后台服务方式自动运行，无需启动、监控，服务器端一次安装，客户端软件零安装，客户端运行完全免维护。

系统在应用程序方面具有明显复杂性，系统访问各种类型的数据并分发于大量的应用模块中。为了更好的控制管理这些应用程序，支持不同的用户应用功能，系统引入中间逻辑组件层，中间层实现了在系统应用过程的核心功能运算模块组。为应用表现和数据管理提供丰富核心运算引擎，同时也为未来功能扩展提供广泛的开发应用接口。 2.3XXXX

2.4XXXX

2.4.1oracle数据库

Oracle10g标准版（Oracle Database 10g Standard Edition ） 提供了 Standard Edition One 的前所未有的易用性、能力和性能，并且利用真正应用集群提供了对更大型的计算机和服务集群的支

- 9 -

持。它可以在最高容量为四个处理器的单台服务器上、或者在一个支持最多四个处理器的服务器的集群上使用。

包含了一系列常见的应用程序开发功能（包括与 SQL 对象相关的功能、用于编写存储过程和触发器的 PL/SQL 和 Java 编程接口）。Oracle 数据库这些版本中的任意一个编写的应用程序将与其它的应用程序一起运行，Oracle数据库10g提供了额外的性能、可伸缩性、可用性和安全性，这些功能一般对应用程序开发人员是透明的。

此外，Oracle 提供了具有先进技术的可选产品，这些技术能够满足关键任务的 OLTP、数据仓库和互联网应用程序环境最苛刻的开发和部署需求。

Oracle真正应用集群(RAC)

Oracle 真正应用集群是通过集群技术来利用多个互连的计算机处理能力的计算环境。Oracle 真正应用集群通过利用集群化的硬件配置为任意打包或定制的应用程序提供了无限的可伸缩性和高可用性，并且它还具有单个系统简单性和易用性。Oracle 真正应用集群允许从集群化的系统配置的多个节点访问单个数据库，使应用程序和数据库用户不受硬件和软件故障的影响，同时提供了随硬件环境而扩展的高性能。

- 10 -

Oracle分区

Oracle 分区为大型的底层数据库表和索引增加了重要的可管理性、可用性和性能，从而为 OLTP、数据中心和数据仓库应用程序增强了数据管理环境。Oracle 分区允许将大表分解成单独管理的更小的部分，同时保留应用程序级的单个数据视图。支持 range、hash、list 和组合（range 与 hash 组合，以及 range 和 list 组合）分区方法。

Oracle高级安全性

Oracle 高级安全性 (ASO) 为 Oracle 数据库提供了网络加密和一整套功能强大的验证服务。网络加密是利用行业标准的数据加密和数据集成算法来实施的。这为部署提供了一个编码和密码增强的选择。强大的验证服务支持一套全面的符合行业标准第三方验证选项。验证选项包括 Oracle 数据库的单点登录服务，这是通过与现有的验证框架和双方验证选择（如智能卡和令牌卡）进行互操作而实现的。 Oracle标签安全性

Oracle 标签安全性为详细的访问控制提供了先进和灵活的基于行标签的安全性。Oracle 标签安全性应用了政府、国防和商业机构

- 11 -

使用的标签概念来保护敏感信息，提供数据分离，并包含了强大的工具来管理策略、标签和用户标签授权。 Oracle OLAP

Oracle OLAP 是一个可伸缩、高性能的计算引擎，它为开发分析应用程序提供了完全集成的管理。Oracle OLAP 完全集成在数据库中，并提供了一整套分析功能。例如，预测分析可以用来预测市场趋势、预测产品生产需求以及生成企业预算和财务分析系统。利用复杂、多维的查询和计算，可以获得诸如市场份额和净现值等信息。Java OLAP API 提供了高效的面向对象的方法，以构建需要复杂的分析查询功能应用程序。 Oracle数据挖掘

Oracle 数据挖掘允许公司构建高级商务智能应用程序，这些应用程序能够挖掘企业数据库，洞察新的问题，并将这些信息集成到商务应用程序中。Oracle 数据挖掘嵌入了数据挖掘功能，以进行分类、预测和关联。所有的建模和评分功能都可以通过基于 Java 的 API 来访问。

2.4.2iis服务

3安全及性能

“XX网站平台”，在安全性建设方面，从全方位、多层次进行安全防范。安全建设将通过建立可靠的网络安全设施和信息安全设施并在安全管理体系的监督下保障系统的正常运作。系统安全是保证” XX网站平台”运行的重要环节，应该满足以下总体要求：

? 安全体系：必须从系统工程的高度来设计安全系统，在网络各层次都应该有相应的安全措施，同时还要注意到内部安全管理在安全系统中的重要作用。

- 12 -

? 可靠性：安全系统自身必须能够确保正常运行，不能因为安全系统出现故障导致整个网络出现瘫痪。

? 安全性：安全系统既要保证网络和应用的安全，又要保证自身的安全。

? 开放性：必须保证安全系统的开放性以保证不同厂家的不同产品能够集成到安全系统中来，并保证安全系统以及各种应用的安全可靠运行。

? 可扩缩性：安全系统必须是可扩缩的，以适应网络规模的变化。 ? 易于管理：包括两方面的含义，一方面，安全系统本身必须是易于管理的，另一方面，安全系统对其管理对象的管理必须是方便的、简单的。

? 合法性：投标产品应该符合国家网络安全的相关法律和规定。 为了满足以上要求，我们将从以下几个方面着重对系统的安全进行设计，包括：物理安全、网络安全、系统软件安全、数据库安全、数据传输安全、程序逻辑安全、应用审计、数据及存储安全以及防病毒和木马等。 3.1物理安全

物理安全由托管IDC来负责保证，主要包括以下几个方面： ? 确保所有设备的物理安全，包括机房的安全；

? 机房具备防火、防潮、防静电等基本设施，确保UPS的正常供电；

? 机房需有严格的管理措施，出入登记；

? 网络的拓扑结构不得随意更改，确保网络各逻辑部分的独立。

- 13 -

3.2网络安全

防火墙是重要的安全手段之一。防火墙设置在不同网络之间，是信息的唯一出入口，能根据系统的安全策略控制（允许，拒绝，监测）出入网络的信息流，且本身具有较强的抗攻击能力。商务资讯网站对Internet提供服务，需要通过防火墙对从Internet来的访问进行控制。

为防止黑客的入侵， 应利用防火墙对整个系统实施保护，禁止对所有不必要TCP/UDP端口的访问，防止对系统的恶意攻击。我们将WEB服务器放置在防火墙的内部网或非军事区(DMZ)，可将防火墙设置为只对WEB服务器开放需要的端口， 如TCP80，TCP443。对于需要开放的远程管理断口可做到对IP和端口双重限制。 3.3操作系统安全

系统安全是保证一个主机系统的安全，主要包括主机系统的密码安全、重要服务器如SMTP服务及FTP等大型应用系统的安全。系统服务器应精心设置安全选项，如：停止所有不必要的系统服务，设置对访问的审核与跟踪，提高系统的安全级别，做好系统本身的安全保护。

操作系统漏洞扫描，及时下载并安装系统补丁程序，减少黑客入侵的几率；定期进行木马程序的扫描，及时清除并修补安全漏洞。 3.4数据安全

为保障数据库的安全性，我们建议面向Internet的WEB服务器与应用服务器及数据库服务器分开。应用服务器和数据库服务器放置在第二级防火墙的内部网络上，Web服务器通过防火墙访问应用服务器及数据库，Internet用户无法直接访问网站数据库。对数据库本身，

- 14 -

也做好用户密码级别，用户权限的相关设置，并且在确保数据库访问密码在16位复杂字符组合的情况下，定期更换数据库访问密码，。

为保证数据的本地安全和完整：使用RAID技术来保证数据在意外事故发生时能快速恢复。制定适当的备份计划来保证数据的长期保存。平台数据的安全和完整性是非常重要的，我们推荐“XX网站平台”对网站的WEB系统、应用服务器系统和数据库系统实施完整的备份策略，以保障数据的安全和网站快速故障恢复的能力。

由于信息技术在日常管理中的地位越来越高，因此处理设施的可用性至关重要。目前，大多数关键性系统需要高度的可用性，其中许多系统的运作甚至需要连续的可用性，此外信息系统的核心是数据。故障停机和数据损失可能导致巨大的损失。因而，数据备份策略犹为重要，信息系统的数据备份策略就是解决数据保护和系统恢复的策略。

3.5双机热备及容灾处理

“XX网站平台”实时性要求较高，并发量很大，系统一旦宕机损失将很严重，因此建议应用服务器和数据库服务器均实现双机热备，一旦某台服务器死机，另一台服务器立即可以接管服务，确保系统7*24小时可靠运转。 3.6网络传输及访问安全

对于用户身份数据及其它敏感数据的传输部分采用SSL的方式进行通道加密，根据“XX网站平台”用户的不同类型可采用不同的保护策略：

- 15 -

普通用户： 对于普通用户的访问提供对WEB服务器的身份认证，并对敏感数据的传输通道进行加密，由“XX网站平台”向安全证书机构申请WEB服务器证书。

特殊用户： 对于重要用户（一般指企业用户）的访问，系统可以采用基于电子证书和安全基础设施（PKI）的双向认证方式。系统提供对WEB服务器与用户身份的双向认证，所有用户在访问WEB服务器时必须提供同样有安全证书机构发放的用户安全证书。 3.7数据支撑平台安全“三防”

1. 保密性：防止黑客随意获取内部的私密信息。相对应的网站安全防护措施，即防攻击；

2. 完整性：防止黑客在未授权情况下修改信息。相对应的网站安全防护措施，即防篡改；

3. 可用性：确保有权限者可随时正常获取信息。相对应的网站安全防护措施，即防病毒(木马)。

结合了标准的PDR模型，从检测、防护和响应三个层面全方位的进行网站安全防护。

- 16 -

图 网站安全“三防”图解

检测

和直观的页面被篡改不同的是，网页挂马由于其隐蔽性，甚至在攻击发生数月之后还能继续为害。这就需要有一套相应的检测机制，来定期对网站进行挂马检查以便及时发现。远程网站挂马检查服务，模拟执行网页访问，而非单纯的模式匹配方式，对网页木马有很高的准确发现率。同时，结合后台安全专家的人工分析，可以准确发现网站是否存在可利用的漏洞，并给出修补建议。

防护

对于那些由于设计上的原因导致的安全漏洞，可能会由于需要使用某些应用，而无法进行修补或更新。针对这类漏洞的攻击行为大多基于应用，夹杂在正常的访问行为当中，防火墙类安全产品，由于无法准确识别应用层攻击行为，对这类攻击往往束手无策。如果需要防范此类攻击，必须选择可以对应用层威胁进行准确发现和防御的安全产品，特别是，针对这类攻击(以SQL注入，XSS攻击为代表)，由于

- 17 -

变种极多，传统的应用层威胁防御产品采用的特征匹配技术无法全面覆盖，有较高的漏报和误报率。

响应

针对有些网站用户的技术力量相对单薄，无法自行修补和进行监控的状况。启明星辰还推出了网页安全修复服务，对网站中的应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除，同时用户还可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查，找出源代码方面所问题，通过服务用户能够获得源代码问题所在以及安全修复建议或修改服务。 3.8安全防护

在“XX网站平台”信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙，并在Web防火墙上实施以下安全策略：

图 网站安全防护拓扑图

对平台及网上系统进行全面的安全防护，过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题；

- 18 -

对平台进行WEB隐藏，避免利用扫描软件对其进行信息获取分析；设置平台页面防篡改功能及恢复功能，避免恶意篡改页面；

对平台进行应用层控制，限制部分用户上传文件及对敏感页面的访问；

对访问平台信息系统网络进行安全监控以及审计，对可疑IP行为进行全面跟踪分析。

3.8.1 WEB应用防火墙的价值体现

1）彻底防御因网站篡改带来的负面影响

平台作为窗口，其页面一旦被篡改将造成多种严重的后果。部署KILL-WEB应用防火墙，通过其缓存原始网站页面可有效防护其网页不被篡改。

2）彻底防御应用层针对WEB的攻击

WEB应用防火墙内置上千种WEB应用攻击特征库，可有效抵御各种已知的、针对WEB服务器的攻击行为，保障平台系统的安全运行。

3）WEB应用的审计工具

WEB应用防火墙不但具有强大的防攻击、防篡改功能，还可通过其审计分析功能对过滤数据进行分析；对异常IP用户进行行为跟踪及对敏感用户进行过滤等。

4）即插即用保证连续性

WEB应用防火墙产品的部署十分便捷，无需改变现有的网络拓扑结构。安装后，只需简单的配置安全策略，就可为应用系统提供强大的安全防御，可保障平台的连续性。

- 19 -

图 WEB防火墙应用事例

3.8.2物理安全防护

机房采用环境实时监控录像和门禁系统，进行严格的身份控制，对不同的功能区和不同的客户系统进行物理隔离，同时加以严格的管理制度，对内部人员的权限管理，外部客户和参观人员的出入管理、制定网络运营规范，包括设备访问权限设置、安全事故分级和汇报制度、安全紧急事件响应流程和处理规范；实行对客户的安全服务规范，包括安全服务内容、服务流程、服务品质保证（SLA）。对环境（温度、湿度）进行严格的指标限制，有完善的环境控制系统；配备先进火灾报警系统和消防系统。

3.8.3网络安全防护

核心骨干网络的防护——布署千M级集群防护能力防火墙与搭配CISCO顶级路由设备与自我防御体系布署有国内最顶级的超高标准集群防护区域。在骨干网处布署的高级安全策略与虚拟独享的流量策略

- 20 -

本文来源：https://www.bwwdw.com/article/dbb.html