陕西 xx 信息技术公司机密Highly Confidential项目名称解决方案当前版本 1.0拟制日期审核日期批准日期发布日期生效日期陕西 xx 信息技术有限公司修订历史记录A -增加M-修订D-删除变更类型变更版本号日期修改人摘要备注（A*M*D）1.02015-10-5初版建立【模板使用必读：模板内容和页眉中【】包含内容为指导性的待替换文字，请在使用中替换为具体内容，或删除。

文件提交时不得再含有这些内容。

】目录第一部分投标商介绍 .......................................错误！未定义书签。

1投标函 ..............................................错误！未定义书签。

2公司介绍 (5)2.1公司简介 . (5)2.2公司资质 . (6)2.3主要客户及产品 . (7)2.4无重大违法情况声明 . ..............................错误！未定义书签。

2.5法人代表授权书 . ..................................错误！未定义书签。

第二部分项目解决方案 .....................................错误！未定义书签。

3项目解决方案书 (8)3.1系统方案概述 . (8)3.2建设原则 . (8)3.3总体设计方案 . (8)3.4总体技术设计 . ....................................错误！未定义书签。

3.4.1技术路线 (9)3.4.2总体架构 (9)3.4.3系统运行环境 (10)3.4.4性能指标 (11)3.5系统功能介绍 . (15)3.5.1客户服务系统 ...................................错误！未定义书签。

3.5.2终端信息展示系统 ...............................错误！未定义书签。

3.5.3统一管理平台 ...................................错误！未定义书签。

3.6系统安全性设计与实现 . (12)3.6.1总体规划 (12)3.6.2设计依据 .......................................错误！未定义书签。

3.6.3安全体系架构 (12)3.6.4软件安全体系设计 (15)4项目实施方案书 (16)4.1成立项目小组 . (16)4.2项目需求分析 . (16)4.3应用系统测试方案 . (16)4.4实施方案 . (17)4.5验收方案 . (17)4.5.1验收原则 (17)4.5.2验收项目 (17)4.5.3交付件 (17)4.5.4验收标准 (17)4.5.5验收报告样本............................................................................................................................................ 错误！未定义书签。

4.6服务承诺书 (18)5成功案例 ............................................................................................................................................................................ 错误！未定义书签。

第三部分设备报价清单................................................................................................................................................... 错误！未定义书签。

1公司介绍1.1公司简介1.2公司资质1.3主要客户及产品2项目解决方案2.1系统方案概述【从宏观上对平台背景、目标及实现意义进行阐述】2.2建设原则【对系统建设原则进行设定。

例：按照“整体规划、分步实施、突出亮点、逐步完善”的原则逐步全面推进 XXX 系统建设工作。

2.3总体设计方案【依据建设原则方针阐述系统的总体设计方案 ; 包括系统设计思路及包含的各子系统或模块的列举及关系等。

】2.3.1 设计依据【列出和系统建设相关的遵循的标准】例：1)中华人民共和国计算机信息系统安全保护条例2)中华人民共和国计算机信息网络国际联网管理暂行规定实施办法3)中华人民共和国计算机信息网络国际联网管理暂行规定4)计算机信息系统保密管理暂行规定〔 GB/T 22080-2008〕5)信息技术安全技术信息安全管理体系要求〔 ISO/IEC 27001:2005 〕6)中华人民共和国公安部令（第 33号）7)公安部关于对与国际联网的计算机信息系统进行备案工作的通知8)电子计算机机房设计规范〔 GB50174-93〕9)遵循《互联网安全保护技术措施规定》、《互联网信息服务管理办法》、《消费者权益保护法》及《中华人民共和国广告法》等相关法律法规及相关部门规章10)遵循安全电子交易 (SET)协议标准进行支付11)按照《食品安全法》的规定，食用农产品质量安全标准12)国家环保局有机食品发展中心 (OFDC)认证标准国家标准 (GB 17859-1999) 计算机信息系统安全保护等级划分准则，系统按第三级要求进行设计2.3.2 总体架构【给出系统功能结构和系统架构的设计图，可用下图进行扩展】2.3.3 技术路线【阐明系统实现的技术路线】2.3.4 系统环境2.3.4.1开发环境【列举出系统开发所需要的环境及资源】软件开发环境如下表所示：类别软件开发操作系统Windows 7Web服务IIS6源代码管理TFS2008，SVN数据库服务SQL SERVER2008主要开发语言C#、 、Object-C浏览器主要开发工具IE8Microsoft Visual Studio、XCode2.3.4.2 运行环境【列举出系统开发所需要的环境及资源】软件运行环境如下表所示：类别软件服务器操作系统Web服务数据库服务Windows Server 2003, Linux IIS6SQL SERVER2008, MySQL 5.0浏览器IE82.3.5 性能指标【对系统性能的设计方案进行说明，列举出系统各操作性能指标】例：XXX 电子商务平台数据量大，并发性高，在业务应用层面上，整体策略采用动态扩容、分流机制、缓存机制和高速数据库来实现系统的大数据量和高并发能力。

整体策略如下图所示。

应用服务器数据库服务器查询请求 页面分流 缓存机制数据快照交易请求- Jquery- OSCache- iFrame - Hibernate 二级缓存交易请求 F5 交换机查询请求查询请求业务模块 业务模块 业务模块-查询-交易⋯ ...数据库 (交易 )数据库 (查询 )⋯ ... 请求WebSphere负载均衡缓存机制页面分流- Jquery - OSCache- iFrame- Hibernate 二级缓存业务模块 业务模块 业务模块 数据库 (交易 )- 查询-交易⋯ ...大数据流量并发处理架构图2.4系统安全性2.4.1 总体规划2.4.2 安全体系架构2.4.2.1实体安全【对于已经有自建实体或托管实体的针对其现状进行描述】例：实体安全是信息系统安全的基础。

长安信托多年来建立并逐步完善了一套安全的实体环境，且已有多个系统在此环境中运行，安全能够保障的。

【对于无实体的客户推荐阿里云等知名平台，描述推荐平台的实体安全】例：实体安全是信息系统安全的基础。

采用阿里云等知名云服务提供商多年来建立并逐步完善了一套安全的实体环境，且已有多个系统在此环境中运行，安全能够保障的。

2.4.2.2平台安全2.4.2.3数据安全为防止数据丢失、崩溃和被非法访问，系统以用户需求和数据安全实际威胁为依据，为保障数据安全提供如下实施内容：介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。

2.4.2.4通信安全【对所使用的网络环境进行描述】例：为防止系统之间通信的安全脆弱性威胁，系统以网络通信面临的实际威胁为依据，为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。

利用 VPN技术在公用网络上建立专用网络，提供安全的端到端的数据通信。

2.4.2.5应用安全应用安全可保障相关业务在计算机网络系统上安全运行，它的脆弱性可能给客户服务系统带来致命威胁。

系统以业务运行实际面临的威胁为依据，为应用安全提供的评估措施有：业务软件的程序安全性测试(Bug分析 ) 、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性 / 一致性 / 防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。

测试实施后，可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。

【针对系统的类型给出常见攻击的防御手段】ARP欺骗防御ARP欺骗攻击，是一种攻击成本很低但影响范围很大的攻击手段。

为了防御ARP欺骗，我们在网络出口设置了 ARP防火墙，只有使用平台统一分配的MAC才能够正常通讯，将非法流量阻隔在攻击者的 ECS实例之内。

未知协议攻击防御为了防止异常协议通讯包流出ECS实例，对其他 ECS实例或者网络设备进行攻击，我们通过专门的防火墙，对协议包进行了过滤，只允许TCP/IP 协议栈的合法通讯包进出。

DDOS攻击防御会对 ECS实例的网络流量，并发连接数，数据包数量进行监控，来识别和应对DDOS攻击。

2.4.2.6运行安全运行安全可保障系统的稳定性，较长时间内将网络系统的安全控制在一定范围内。

系统为运行安全提供的实施措施有：应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。

运行安全是一项长期的服务，包含在网络安全系统工程的售后服务内。

2.4.2.7管理安全管理安全对以上各个层次的安全性提供管理机制，以网络系统的特点、实际条件和管理要求为依据，利用各种安全管理机制，为用户综合控制风险、降低损失和消耗，促进安全生产效益。