会计软件采购方案模板

1.1.1        项目实施方案1.1.1.1   项目实施目标本项目的实施目标为在充分利用客户现有计算机与网络资源，严格按项目总体计划与客户要求，在约定的时间内完成项目方案书与合同规定的各项内容，完成项目建设，以及完成相关业务规范、数据标准的制定。1.1.1.2   项目范围一、  客户范围实施范围：3、     系统安全设计3.1 指导原则政府网络安全体系的建立，应以政府网络信息安全要求为核心依据，根据政府网络信息处理的特点，针对整个系统中各种信息的关键性及敏感程度合理评价其安全级别，综合进行系统安全风险分析和系统脆弱点分析，全面确定系统的安全策略，建立一套完整的安全控制体系与保障体系。在政府网络安全风险评估和体系设计中，既不能夸大风险，造成安全保障成本的提高和过多的网络服务限制，也不能忽视威胁，造成不可弥补的损失。这就要求我们的设计方案要切实可行，要在这两者之间寻求平衡。3.2   网络安全风险分析系统的可靠运转是基于网络通讯、计算机硬件和操作系统及各应用软件等各方面、各层次的良好运行。因此，它的风险将来自对单位的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。3.3   安全策略安全策略分安全管理策略和安全技术实施策略两个方面； 3.4 管理策略安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。3.4.1        技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。考虑到的业务特点，主要应该从以下几个方面来实现其技术安全策略。3.4.1.1 计算机网络安全措施由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。在链路层，通过“桥”这一互连设备的监视和控用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/网、区域网/部门网等，其中Internet/网的接口要采用专用防火墙，区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。3.4.1.2 操作系统安全措施3.4.1.3    服务器系统安全操作系统安全控制策略主要是利用用户识别和认证、存取控制和监控审查机制增强保密性。采用各种软硬件备份机制来增加系统的可靠性。在一定规模的网络环境中，没有对网络和系统的集中管理，安全性的实施和管理几乎是不可能的。因此，需要利用服务器操作系统的集中域管理、目录服务功能等，来集中管理用户的认证和对资源的授权。总之，我们要充分开发服务器操作系统的安全功能，并对其薄弱环节进行分析，自行开发或引进新软件增强其安全控制能力。3.4.1.3.1   客户机系统安全客户机的操作系统多属单用户操作系统，安全控制保密能力较弱，可以采用的管理手段和技术措施有：加强用户责任意识，例如在短暂的离开计算机操纵台之前先退出网络退出系统或键盘锁定，等等；设置系统登录口令，设置屏幕保护口令，认真保存存储介质和打印输出。3.4.1.3.2   信息系统安全措施随着系统内部个人与个人之间、各部门之间、以及与外部相关单位和之间的信息交流的增多，信息传输的安全性成为一个重要的问题。尽管个人、部门和整个单位都已认识到信息的宝贵价值和私有性，但实际情况迫使机构打破原有的界限，在单位内部或单位之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在共享的信息却必须保证其安全性，以防止有意无意的破坏。规定对服务器的访问和联结权限；规定客户端访问和操作的权限；外来邮件的进入和执行可以得到控制；更重要的是，信息是以数据库的形式存放，其安全性大大超过了文件系统。3.4.1.3.3   物理实体安全管理措施物理实体的安全管理现已有大量标准和规范，如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等。当计算机网络系统由于不可抗拒力而一旦发生灾难后，后果非常严重，灾难恢复计划可以从以下几个方面考虑：1、经常地、不失时机地作系统备份，并保证备份的良好保存。2、在网络系统中建立多个后备服务器，一旦某服务发生灾难，可启动后备服务器。3、网络上某节点发生故障时，广播通知各节点进行相应紧急处理。4、另外，尽量采用一些产品的网络备份、磁盘镜象以及热切换功能。3.4.1.3.4   病毒防范措施在一个网络计算环境中，病毒一般是通过磁盘、网络、电子邮件或Internet下载进行传播。网与Internet连通后，病毒的防范应该更加重视。病毒防范策略主要包括：1、管理方面：建立防病毒体制和规章制度，实行严格的用机机制，严格控制软件介质的来源和去向，实行安全的备份制度，实施网络防病毒策略。2、在技术上加强预防措施：使用可靠度高的、通过国家安全部门和机要部门认可的防病毒软件产品，并建立相应的及时更新杀毒引擎和病毒特征库的制度。3.4.2    应用系统安全设计在系统设计和实施中，采用如下安全措施来保证应用系统的安全：3.4.2.1    用户登录用户必须输入正确的用户名和密码才能登录到系统中，用户名和密码采用编码方式保存，以确保用户名和密码不被窃取、盗用，对于权限较大的用户（如领导、系统管理员等），建设采用CA方式进行用户身份认证。3.4.2.2    敏感数据加密传输存储对人口信息中敏感数据，采用HTTPS协议、SSL技术进行加密传输，以保证信息不会被截取、窃听。在数据库中采用非对称加密技术进行加密存储。3.4.2.3    页面自动失效在用户没有对系统进行操作的若干时间后，自动注销用户。超时时间长度与该功能是否启用可由系统管理员控制。3.4.2.4    系统日志记录用户在系统中所进行的操作，以防篡改与冒名顶替3.4.2.5    权限管理对系统中的功能模块进行完全的权限管理，保证只有具有权限的用户才能做相应权限的事，保证这些信息不会被没有权限的人员获得。3.4.2.6    个案数据保护对于特殊个案数据进行加密保护，在存储、显示时都采用加密方式，只有特别授权用户能够才正常访问。3.4.2.7    备份功能定期对数据库、应用软件进行备份。3.4.2.8    登录控制l  用户名和密码编码保存l  限制登陆失败次数l  设定密码最短长度3.4.2.9    会话期间控制l  用户在预定的时间内未完成任何操作，自动退出系统l  无法直接输入无权访问的URL3.4.2.10  访问权限控制l  菜单显示控制（若没有该功能模板访问权限，将不显示）l  功能访问级别控制3.4.2.11  访问地址控制l  限制IP地址l  限制工作日办公l  限制办公时间3.4.2.12  目录安全严格控制系统目录的访问权限，保证原程序不被复制和修改。3.4.2.13  审计和监控系统设置独立审计管理员，对系统操作日志进行审计、跟踪。3.4.2.14  数据安全设计为了能够保证系统业务数据的安全性，在涉及系统安全方案时，将充分考虑为数据制定相应的安全保障措施，具体措施如下：3.4.2.15  审计和监控数据备份就是在其他介质上保存数据的副本。 例如，可以将所有重要的文件烧录到一张 CD-ROM 或第二个硬盘上。 有两种基本的备份方法：完整备份和增量备份。 完整备份会将所选的数据完整地复制到其他介质。 增量备份仅备份上次完整备份以来添加或更改的数据。通过增量备份扩充完整备份通常较快且占用较少的存储空间。 可以考虑每周进行一次完整备份，然后每天进行增量备份。但是，如果要在崩溃后恢复数据，则将花费较长的时间，因为首先必须要恢复完整备份，然后才恢复每个增量备份。 如果对此感到担扰，则可以采取另一种方案，每晚进行完整备份；只需使备份在下班后自动运行即可。3.4.2.16  建立权限根据用户在组织内的角色和职责而为其分配不同级别的权限。不应为所有用户提供“管理员”访问权，这并不是维护安全环境的最佳做法，而是应制定“赋予最低权限”策略，将服务器配置为赋予各个用户仅能使用特定的程序并明确定义用户权限。3.4.2.17  敏感数据加密对数据加密意味着将其转换为一种可伪装数据的格式。 加密用于在网络间存储或移动数据时确保其机密性和完整性。3.4.2.18  软件质量管理3.5   质量管理措施软件的质量就是软件与明确或隐含的用户需求的一致程度，软件质量的业绩标准是零缺陷，它是现代软件企业生存和发展的命脉。传统的软件测试只是负责检验最终提交的软件产品，只是尽力在提交给用户使用前把已经存在的软件缺陷检查出来。“预防胜于治疗”，质量管理的关键在于过程的质量管理，通过各种规范和评审，尽力保证过程的质量，避免缺陷的发生。下面我们将从软件项目质量管理的三个关键过程：质量规划、质量保证和质量控制，结合ISO9000：2000介绍本公司的质量管理方案。3.6   质量规划质量是规划、设计出来而不是检查出来的。根据我们办公自动化专业领域的长期积累的经验，在ISO9000：2000的指导下，制定了统计行业新系统同类项目的质量方针、产品描述以及质量标准和规则，并通过收益、成本分析和流程设计等工具制定出实施方略。其内容全面反应用户的要求，为项目小组成员以及项目相关人员了解在项目进行中如何实施质量保证和控制提供依据，为确保项目质量得到保障提供坚实的基础。这些质量方针、标准和实施方略主要体现在以下各类过程规范文档编制和执行：1.质量手册本公司采用ISO9000:2000《质量管理体系—基本原理和术语》定义的《质量手册》，全面描述本公司的质量管理体系，是本公司质量管理体系纲领性的文件，旨在实现本公司的质量方针和质量目标。2.项目开发过程的各种流程的标准程序文件例如：《缺陷控制程序》《与客户有关的过程控制程序》《人力资源控制程序》《内部审核程序》《改进控制》《文件和质量记录控制》《监视和测量装置控制程序》《管理评审程序》《设计控制程序》3.项目开发过程对各种具体质量活动和操作进行描述和规定的详细作业文件例如开发过程中各种设计的《设计评审报告》、《设计验证报告》和《设计确认报告》等作业文件的标准模板。4.配置管理计划配置管理计划作为项目质量计划的一部分，用于确定项目需要使用何种层次的配置管理，同时为如何实现某一层级配置管理编制计划。项目配置管理计划主要用于：如何设置项目各种过程文件的存档与检索；如何识别项目各种过程文件的变更及其不同版本；如何进行项目的配置控制、状态报告以及配置审计；确定项目配置管理的流程；确定配置管理的负责人以及负责团队。配置管理的关键角色，除了项目经理还包括配置管理员和QA人员。配置管理员的职责是根据项目经理制定的开发组织结构和策略，实施、维护配置管理的环境。其主要职责包括：创建配置管理库，对存储库进行日常备份和恢复，维护配置管理环境，及管理配置管理相关的用户。QA人员则需要对软件配置管理有较深的认识，其主要工作是跟踪当前项目的状态，测试，报告错误，并验证其修复结果。以上述各种编制文件为依据和准则，我们将从以下方面保证系统的质量：²  功能性系统的目的就是为了满足用户的功能需求，生成的系统必须能涵盖用户的所有相关明确或隐含的要求。²  可靠性可靠性是完成需求功能和维持其性能的能力，系统将从运行稳定、数据安全、灾难恢复、防误操作和误操作还原等方面保障系统的可靠性。²  易用性易用性是尽量减少规定或潜在的用户为使用软件所需作的努力。系统在设计和开发时，在流程和界面设计上，将仅可能考虑方便用户的操作。²  效率与在规定的硬件资源下，我们将尽量缩短软件的反应时间，提高软件性能，最大的发挥系统的性能。²  维护性系统的开发完成后，系统的维护和修改将是长期的工作。为提高系统的可维护性，系统将从架构设计、模块独立性、代码质量、文档完善等方面努力。²  可移植性整个系统采用模块化的设计，可以很轻松地移植到其他机器或者系统中。3.7   质量保证质量保证（QA）是贯穿整个项目全生命周期的有计划和有系统的活动，经常性地针对整个项目质量计划的执行情况进行评估、检查与改进等工作，目的是要确保项目质量与计划保持一致。质量保证的一个主要措施是实行质量审计制度。实行的关键在于：1)建立相对独立的质量保证团队本公司内部独立于各个项目组专门设立过程质量保证委员会，由ISO9000内审员、专职的软件工程专家以及各个部门抽调的业务专家组成。质量保证委员会负责组织对项目各个开发过程的质量审计活动。2)规范开发过程，不断完善评审机制本公司ISO9000：2000的指导下，会定期总结和检讨各个开发过程的流程规范性以及已有程序文件的适用性，不断改进各个开发过程的标准程序，并完善各个过程的评审办法等。3)严格记录和维护各种过程文档本公司严格执行各个开发过程的过程文档要求，并为设立专职的过程文档管理人员，以保证各种过程文档的准确性和有效性。3.8   质量控制质量控制（QC）是对阶段性的成果进行检测、验证，为质量保证提供参考依据，它的主要目的是发现成果中存在的质量问题，并记录、反馈和跟踪这些缺陷从发现到关闭的整个生命周期。对于软件系统的开发，进行质量控制的最有效的工具是测试。有效的测试关键在于要有严格的测试规范、丰富的行业经验以及完善的缺陷跟踪处理流程。本公司在办公自动化这个专业领域多年以来，不断总结和改进，不但积累了一套严格专业的行业测试规范，也打造了一支经验丰富的测试团队，还借助Rational Clear Quest专业缺陷管理软件建立了一个严格有效的缺陷跟踪和处理流程。

项目的计划和项目计划的推进。 细分一下包括： 需求 和 设计 两个阶段的 项目组织管理 我们可以做如下的计划 1 确定提交物 即规范所要求我们也需要的文档 2 确定基线 即何时完成那个文档 3 确定人员的活动 即谁在什么时间完成什么文档

项目的计划和项目计划的推进。细分一下包括：需求 和 设计 两个阶段的 项目组织管理我们可以做如下的计划1 确定提交物 即规范所要求我们也需要的文档2 确定基线 即何时完成那个文档3 确定人员的活动 即谁在什么时间完成什么文档另外，注意 项目的风险管理