软件项目工作组织及质量保障方案

软件项目工作组织及质量保障方案
1.软件项目工作组织及质量保障方案
1.1安全保障体系
本项目作为政务息化支撑平台，息的安全尤为重要，必须建立一套统一的安全策略、防御体系、监察体系和响应体系，在安全策略的指导下，防御、监察和响应组成一个完整的、动态的安全循环，保证息资源的安全风险最小。

1.1.1建设目标
安全系统的建设目标是运用系统工程的观点、方法，对平台进行整体、系统的安全性设计，并严格遵循息安全等级保护三级标准的原则和国家的各种法律法规的要求，为其系统安全、可靠运行提供技术保障支撑，既使系统具备抵御各种攻击的能力，又不能因为安全系统的建立而严重影响系统的整体运行效率，同时还要考虑到系统的投资，根据实际工作需要，设计严谨、合理的安全技术方案。

1.1.2安全体系组成
息资源安全框架体系一般包括物理安全、网络安全、主机安全、应用安全、数据安全五个安全层次，同时遵循一定的安全策略，并由安全管理和安全服务做支撑，如下图所示：安全策略
数据安全
安
全
管
理
应用安全
主机安全性
网络安全性
人身安全
安
全
衣服
事务
安全标准
1.1.
2.1物理安全设计
物理安全主要指系统的周围环境和物理特性，是整个系统
安全的前提。

通常，物理安全的隐患大多是人为因素或自然灾
害造成的。

对于这种级别的安全问题，可以通过对网络设施和
周边环境的合理规划和科学管理来有效解决。

1.1.
2.2网络安全设计
网络安全主要分为设备的安全保护和网络链路的安全防护，主要从网络设备安全、路由安全、接入安全、访问控制和监测、日志记录、业务隔离等方面进行考虑。

配置防火墙，实现安全
代理、息包过滤、内外地址绑定等，防止非授权用户非法访问。

1.1.
2.3主机安全设计
主机系统除服务器外还应包括存储系统等应选择安全级别高、可控的操作系统；并且都应该具有身份识别功能，可以对
登陆操作系统的用户身份进行识别和区别，对于管理员用户应
具有复杂的口令要求和定期更换的制度保证。

1.1.
2.4应用安全设计
应用安全主要是对网络应用系统的有效性进行控制，管理和控制什么用户对应用系统功能具有什么权限，其主要功能是防止用户身份假冒、非授权的访问和数据的非法窃取与篡改，所以需要通过必要的应用安全审计，来进行基本的访问行为控制和管理。

1.1.
2.5数据安全设计
对业务数据、统计数据等重要息在传输过程中的完整性建立检查和校验机制（如CRC等），对数据存储的安全性和完整性建立必要的数据备份和归档流程。

对于重要数据的存储将采用加密技术进行，保证数据安全。

对于重要数据的备份还将采用多次冗余备份的方式进行。

1.1.3安全保障实施
1.1.3.1用户身份认证
平台须结合安全体系，对用户实现统一的管理，实现用户息的身份识别、权限控制。

要求授权用户只有提供密码，进行验证通过后方可进入平台系统。

用户可以进行的操作也是受到权限控制的，保证息在适当范围内的流动。

（1）用户统一管理
该项目平台包含多个应用系统，由于所处理的业务性质，这些应用系统都具有用户管理功能。

从系统运行和维护的角度来看，如果不同应用系统的身份管理部分是相互独立的，那么对于同一个用户的管理来说，管理员和用户之间的关系就更加密切
（2）身份认证
传统形式下办公，办事双方要经过现实中的实际接触，双方的身份比较容易得到保证；而通过网络办公，双方互不见面，息通过网络进行传递，真实性难以保证。

因此平台的首要需求就是要解决身份认证的可靠性问题，必须能够对登录系统的各类用户的真实性进行有效鉴别。

本项目主要对登录用户进行身份认证和密码保护，防止未经授权的用户登录系统进行非法操作，防止账号和密码的息安全胁，防止息泄露。

主要安全措施包含：
密码在后台数据库库中采用加密方式存储，即使拿到加密密码和加密逻辑也无法进行破解，保证账户密码存储的安全性；
账户登录时每次生成随机码，并限制错误登录次数，防止暴力破解；
登录时，输入的密码在传输过程中进行非对称加密，保证密码从输入端到服务器端传输的安全性；
启用httponly可以有效防止xss攻击和cookie息泄露导致的密码泄露。

（3）单点登录
在可身份认证的前提下，实现单点登录功能，即用户完成一次系统登录认证后，即可以访问许可范围之内的应用系统，从而减少用户的操作复杂，提高办公效率。

在实现单点登录的过程中，必须要满足安全性要求，需要确保用户状态息在不同应用系统之间的安全转移，防止在此过程中用户认证息被非法篡改，从而导致息资源被非法访问。

(4)授权管理
本项目平台涉及人员、账号、工伤息等重要敏感资源。

所以要避免因未授权访问导致的息泄露或非法访问。

因此，应在统一身份认证的基础上，实施严格的授权管理和访问控制，为不同部门和用户精确定义各自的资源访问权限，提供权责明确的资源保护机制，真正实现“各司其职，禁止越权访问”。

(5)账户安全管理(安全方面)
账号安全：根据系统用户范围包含内部业务人员和外部专家用户两大类，对于内部用户，凡是需要使用应用系统的用户都需要“实名制”方式申请一个账号仅限本人使用，不得随意借用，因某账号操作引起的系统安全方面的影响，由该账号负责，当因某种原因不再使用系统时应及时注销账号；针对专家账号，对于已采集专家，通过发放账号方式，确保账号的真实有效性，
对于非采集专家需要通过申请方式，需要经过审批后才能注册成功。

密码安全：用户密码长度不少于6位数，需包含大小写及数字组合，并及时更新密码。

数字证书：可通过数字证书（CA）认证机制，确保用户身份验证、防篡改等（具体以协会要求为准）。

1.1.3.2数据传输加密
本系统的数据在一定的范围内具有极高的安全保密性要求，对于系统中极为严格的安全数据，诸如重点用户息和业务机密息需要在系统的数据库中进行加密保存，即使通过数据库客户端也不能访问，更不能在互联网上直接访问到。

为了保证数据传输的机密性和完整性，我们需要考虑在数据传输中保护数据防窃取和防篡改的手段。

我们需要考虑用户访问数据传输的安全性和接口服务访问数据传输的安全性。

针对用户访问，可以通过用户口令来保证用户的正确身份；同时，数据传输可以采用HTTPS进行加密传输。

1.1.3.3日志安全
系统提供完备的日志记录功能，日志将记录自某用户登录时起，到其退出系统时止，这期间所执行的所有操作，包括登录失败操作，对数据库的操作及系统功能的使用等。

日志能记录任何非法操作，通过后续分析找出可能存在的不安全因素，结合相关安全控制，达到账号安全控制的目的，类似场景如下：
潜在非法攻击检查：针对同一账号的多次尝试登录，多次失败后冻结此账号；
单账号多用户检查：同时不允许出现同一账号不同ip登录系统的用户；
非工作时间操作检查：非工作时间内的登录尝试与操作检查。

平台提供完备的日志审计息，可分为最低级、通常级、警告级、错误级、致命错误级等五个级别。

用户可查询最新日志，也可按时间段查询历史日志。

1.1.3.4数据备份
系统建设完成以后，需要不间断提供服务，需要解决由于系统硬件故障、应用程序及操作系统出错，人为错误、电脑病毒、黑客入侵、自然灾害等原因导致的业务系统中断的问题，同时我们将面临大量数据需要及时备份并有效管理的问题，如
果仅凭人工对这些系统进行备份，将导致巨大的工作量及混乱的存储管理，因此我们需要建设行之有效的备份系统，建立集中的数据存储备份机制，对应用系统及数据进行系统备份。

对于备份系统我们需要满足以下要求：
1)自动存储管理：需要存储和备份大量的过程数据和系统文件。

如果这些备份及时有效地转移到近线或离线存储，转移过程必须自动完成。

2）自动调度功能：自动调度功能同时包含了对备份窗口的管理，由于需要备份的系统均为生产系统，如果备份时间选择不正确，将会给管理员带来巨大的工作量，同时也会影响生产系统效率，因此通过自动调度将能有效的解决备份窗口管理功能。

3)灵活的备份策略支持：数据备份时，每次完整的备份都会产生大量的备份数据。

因此，逐段备份策略支持，如完全备份与增量备份相结合，可以减少总存储占用，有效节约成本。

4）自动的备份版本管理：大量的服务器的备份，将占用大量的存储空间，而每次有新的备份产生时，我们需要及时的清除之前的版本，因此备份系统需要对备份版本进行自动管理。

1、备份内容
1）应用系统备份
由于应用系统运行与虚拟服务器之上，如果运行虚拟系统的服务器发生硬件故障，只需要将备份好的虚拟服务器的配置文件和虚拟硬盘镜像文件还原到新的服务器上，并恢复最近一次数据备份，就可以恢复业务系统的正常使用。

2）重要数据备份
对于重要数据备份，出于更多安全的考虑，需要对系统中的重点数据进行备份，主要针对数据库服务器。

2、备份策略
备份策略的选择主要根据以下几个方面来确定：备份窗口、备份保留期、备份方式、备份策略。

有三种类型的备份策略：
1）全备份：每次备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间；
2）增量备份：备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份；
3）差分备份：备份自上一次全备份以来更新的所有数据，其优缺点介于上两者之间。

在备份类型选择时，一般的规则是：
1)对于操作系统和应用程序，可以更新或安装新软件，每次都进行完整备份；对于一些日常数据更新量较大，但总数据量不是很大的关键应用数据，可以在用户使用量较小的情况下，每天安排一次完整备份。

2)对于每日更新量与总数据量相比相对较小，但总数据量非常大的关键应用数据，可以每隔一个月或一周安排一次完整备份，在此基础上，每隔一小段时间进行增量备份。

3.备份模式
在应用系统中，有不同类型的服务器，但系统重复度高，分别运行不同的业务系统。

从数据备份的角度，指出了几种备份模式的建立和数据管理策略的设置。

1）快照备份策略
我们需要考虑这类数据对于在线数据备份的可用性。

出于安全原因，备份系统应自动“克隆”备份文件，并在备份完成后脱机保存。

备份策略设置如下：
以周为备份周期，每周进行一次全备份；备份文件保留3个月。

备份增量数据备份启动时间可设定在每天白天系统空闲时间进行。

2)数据库备份策略
应用系统中所包含数据库实时性和关键性相对较高，建议采用如下备份策略：
以天为备份周期，每天进行一次对数据库的全备份。

由于数据库较小并且每天备份，因此不再产生“克隆”盘。

库内保留3个月用于用户数据的归档。

数据备份的开始时间可以设置在每天白天的空闲时间，在交互应用系统的数据处理完成后进行备份。

建议在用户数量最少时备份数据库。

3）应用系统备份策略
当应用软件的配置改变时，应用将被备份。

备份介质是磁盘阵列和磁带库。

建议每两个月做一次完全备份，每周做一次增量备份。

最新的完整备份应该保存在磁盘阵列上，最近一年的备份应该保存在磁盘阵列上。

4)操作系统备份策略
当操作系统更改时，会备份操作系统。

备份介质是磁盘阵列和磁带库。

建议每两个月进行一次完整备份，每周进行一次增量备份，并在磁盘阵列上保留最新的完整备份。

5）备份恢复
在恢复数据时，首先恢复最新的完整数据备份，这将在每个月和每个周末进行。

然后，依次还原后续的增量备份，直到
出现故障。

系统管理员可以完全恢复系统，不需要使用任何其他历史数据，简单方便。

此外，在执行增量备份一段时间后，可以考虑定期执行差异备份。

1.1.3.5数据库安全
本项目建设在，客户端通过应用服务器访问数据库服务器，应用服务器与访问数据库服务器之间采用数据库连接池机制。

把应用服务器和数据库服务器部署在一个受保护的安全区域中，使客户端只能通过应用服务器上运行的应用程序访问系统的数据，业务终端禁止绕过应用软件直接对数据库进行访问。

采用数据库服务器资源使用管理策略是为了防止一些用户由于其特定的业务操作而过度使用服务器资源。

系统的多个业务模块应对应多个数据库用户，以实现上述资源管理功能。

通过数据库软件的安全特性，每个模块的数据库用户被授权访问数据库对象，如业务数据表、视图和存储过程。

加强对数据库账号的管理：
1)建立一个只读账户，供开发者使用；
2）严格控制DBA权限，只允许数据库管理人员/系统巡检人员（不超过两人）和项目经理掌握。

其他人员临时申请DBA权限需走委托授权流程；
3）建立用户档案，定期审计；
4）针对不同的数据库系统，对照安全检查表进行对应的安全加固。

1.1.3.6应用安全
根据授权和访问控制策略，实现应用系统对息资源的访问控制，确保息资源受控、安全、合法使用；
通过应用安全支撑平台的接口向安全管理平台提交安全审计息，实现对应用系统安全事件的安全审计，如日志息、日志管理、系统息分析、日志权限等。

通过代码签名和验证技术确保安全控制和应用软件的完整性和真实性；
对用户的输入进行检查，通过正则表达式，或者限定长度、单引号和双“-”等安全检查和校验，在测试过程中采用辅助软件，防范sql注入等风险。

1.2项目实施计划
我公司在项目实施过程中，严格按照ISO9001标准，认真规划，严密组织，严格监管，以确保项目高质量按期完成。

我公司将成立专门的项目组，项目组成员均具有丰富的需求分析、系统设计、开发、实施、培训和项目管理能力，并在项目实施过程中保持稳定。

本章节对本项目系统建设内容的实施进行阐述，从实施策略、实施范围与内容、项目组织机构与职责、项目进度计划、项目实施过程、系统测试方案、系统试运行方案、系统验收方案、项目成果与交付物等方面进行详细阐述。

1.2.1项目实施策略
本项目建设周期短，涉及多个系统。

为了按时、高质量地完成项目实施任务，我公司将根据以往大型息系统开发集成的经验，在本项目中采取“统一领导、分工协作”的方式；统一规划，阶段控制；统一流程和标准；充分的研究和培训；分步实施，齐头并进；及时沟通、及时总结、合作互助、资源共享”。

详情如下：
1.统一领导、分工协作：项目管理由项目领导小组领导，实行项目经理负责制。

根据工作职责分工，设立多个职能小组。

项目经理通过调度管理组对各职能组进行调度控制，各职能组采用组长负责制，形成分级垂直管理体系，实现统一领导、分工协作。

2.统一规划和阶段控制：针对本项目的关键内容，如技术设计、进度计划、质量控制等。

我公司将调动公司的优势资源，在项目经理的协调下进行统筹规划，确保项目实施的结果。

同
时，为了进一步保证实施进度和质量，我们将对项目进行分解，采用阶段控制的方法，定义相应的阶段里程碑及其考核标准，细化控制粒度，便于提前发现和解决问题。

3、统一流程、统一标准：我公司凭借多年从事系统开发、集成工作的经验，总结实际工作的切身体会与正反两方面的经验教训，逐步形成了一套以ISO9001质量体系标准为基础的工程管理流程、标准与规范。

在项目实施的全过程中，包括实施前期、中期和后期，我公司将严格按照ISO9001质量体系标准进行管理和控制，以实现各项工作都有标准可依据，有标准可考评。

4、充分调研：实施前期的调研工作要细致、充分。

任何细微的遗漏都有可能在实施的过程中造成严重的不良后果，甚至影响整个实施队伍的实施进程和质量。

我公司的管理队伍和技术队伍不但具有仔细、严谨的态度，而且经过长期的优质的工作积攒了大量调研、实施经验，完全可以保证本项目的调研工作细致、充分。

5、充分培训：培训工作包括我公司实施前期的内部技术培训和用户培训。

培训工作充分与否直接关系到实施工作是否能按时、保质地完成。

而且，客户培训也是技术移交的重要手段。

它直接影响客户在实施后期对系统的维护、管理和充分发
挥系统功能的能力。

我公司具有多年大型项目培训计划的制定、培训教材的编写、培训组织安排和培训授课的经验，我们将最大限度保证地项目培训工作高质量完成。

6、及时沟通、及时总结、协作互助、资源共享：大型实施项目的圆满完成，绝不是单兵作战可以做到的。

参与到本次项目实施工作中的单位很多，有业主方、监理单位等。

各单位组织相对独立，运作流程和方式自成一体。

这些往往是影响协同工作的不利因素。

但是，这些单位各自又拥有独特的资源和优势。

如果能把这些资源和优势加以融合并使其互为支撑，那么聚合在一起的能量将成倍增长，保证了实施工作的高质高效完成。

我公司深刻理解资源共享、优势互补的重要作用。

在以往的实施工作中积攒了大量与合作单位及时沟通、及时总结、协作互助、资源共享的方法和技巧。

根据本项目的具体情况，我公司将充分协调实施中的相关单位，把分散的能量聚合起来，给客户最有力的支持。

我公司将利用实施前期大量深入、严谨、全面、扎实的准备工作，厚积薄发，集中优势技术力量攻克重、大、复杂的实施难题，确保项目任务一次完成，一次通过检验，节约项目单位参与项目实施的人力、物力、时间等宝贵资源。

1.2.2项目人员配置
为了保障本项目的顺利实施，我公司将成立专门的高效的组织机构。

从组织结构构成上保障项目实施的各个环节都有专门的专业人员进行实施。

从人员配备上，我公司将保障无论是项目领导小组还是项目实施人员，都具备丰富的理论知识及实际的相关工作经验，并且在项目实施过程中至始至终都有专门的管理机制和规章制度保障项目的实施，通过遵循公司在软件实施过程中颁布的ISO9001质量管理体系的要求，确保项目实施的每一个过程都必须按照严格的标准规范执行。

1.2.2.1项目组织机构与职责
项目组织采用项目业主与项目承包商紧密合作的组织结构关系，项目承包商接受项目业主的指导，按照项目设计的要求完成项目的开发。

而且项目会在建设方项目领导小组和施工方领导小组的共同领导下管理整个项目，做出重大决策。

为了让业主更好的掌控项目。

项目实施过程中，项目承担单位按照专业化、标准化的目标，组织了分工明确的实施团队，各专业团队将承担项目实施各阶段的相关工作。

同时，整个项目的实施要在项目实施者的监督和指导下进行
本项目组织机构中，各层组织的职责和工作范围如下：项目领导组
由项目建设方和我公司的有关领导组成。

负责对该项目实施统一领导，在实施过程中对整个项目进行管理，做出重大决策。

项目开发组
项目开发组负责对项目的应用需求进行详细调研和系统需求分析，并负责进行详细设计，然后将系统进行开发实现；负责对所有具体实施人员进行培训，设计组的一部分人员需要参加实施小组，在实施工程中负责解决系统中的技术问题；负责系统开发完成后，对软件进行集成、调试和维护。

项目开发组由需求分析组、系统设计组和软件开发组组成。

质量保证组
质量保证组的首要职责是系统的测试工作；其次对项目过程的指导、监督、评审，对项目过程产品的审计、组织和监督检查；同时，也要接受客户、质量保证专家和公司质量保证经理的检查。

另外负责项目的配置管理策划、基线建立、变更管理和配置审计。

质量保证组下设项目测试组、配置管理组以及质量保证小组。

项目实施组
负责项目培训工作、以及系统上线、试运行等过程中的安装部署、系统初始化、等实施过程中的支持工作。

项目实施组下培训组及实施服务小组。

售后服务组
主要由专门的运维技术服务小组构成。

负责各系统的维护和日常巡检工作，以确保系统能够稳定运行。

售后服务组由热线中心、现场支持组、后台支持组、专家组组成。

1.2.2.2项目人员配置
我公司承诺为本项目配备足够人员，其中项目经理、技术负责人都具有同类型项目的经验。

服务于本项目的核心人员及主要人员稳定，业主方有权要求更换投标人项目团队成员。

参与此项目的技术人员具有相关项目软件设计、开发和集成经验，能够与用户进行良好的沟通。

在项目实施阶段，我公司将配备专职的人员负责分项目实施、培训、验收等工作。

我公司会指派统一QA团队对本项目进行全过程的质量控制。

1.2.3项目实施进度管理
1.2.3.1项目进度计划。