单位后勤综合管控平台项目 投标方案（技术方案）.docx

后勤综合管控平台项目投标方案（技术方案）招标编号：.投标方报告说明声明：本文内容信息来源于公开梁遒，时文中内容的准确性、完整性、及时性或可独性不作任何保ii.本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据.目录第一章技术方案及说明61.1. 技术方案措施61.1.1. 项目背景61.1.2. 项目目标61.1.3. 建设内容71.1.4. 建设原则91.1.5. 安全要求101.1.6. 总体要求151.1.7. 系统架构161.1.8. 架构的主要优势161.1.9. 关键技术26第二章系统安全方案492.1. 方案设计目标492.1.1. 方案设计框架492.2. 安全技术体系设计512.2.1. 物理安全设计512.2.2. 机房选址512.2.3. 机房管理512.2.4. 机房环境512.2.5. 设备与介质管理522.3. 计算环境安全设计532.3.1. 身份鉴别532.3.2. 访问控制542.3.3. 系统安全审计552.3.4. 入侵防范562.3.5. 主机恶意代码防范572.3.6. 软件容错582.3.7. 数据完整性与保密性592.3.8. SS1.无需终端用户配置612.3.9. 备份与恢复612.3.10. 资源控制622.4. 区域边界安全设计642.4.1. 边界访问控制642.4.2. 边界完整性检查662.4.3. 边界入侵防范662.5. 通信网络安全设计692.5.1. 网络结构安全692.5.2. 网络安全审计692.5.3. 网络设备防护7()2.6. 安全管理中心设计722.6.1. 系统管理722.6.2. 审计管理732.7. 不同等级系统互联互通76第三章实施方案773.1.质量保证体系775.3. 培训教学方案1375.3.1. 培训质量保障137第六章售后服务1406.1. 售后服务机构1406.1.1. 售后服务团队1406.2. 服务宗旨1416.2.1. 售后服务承诺内容及措施后服务方案.1416.2.2. 特殊技术服务和支持方式1416.2.3. 日常管理制度和故障处理流程图1466.2.4. 故障处理流程图1476.3. 系统运行与维护方案1486.3.1. 服务目标148632.信息资产统计服务1496.3.3. 网络、安全系统运维服务1496.3.4. 主机、存储系统运维服务1556.3.5. 数据库系统运维服务1576.3.6. 中间件运维服务1606.3.7. 运维服务流程1616.4. 应急服务响应措施1686.4.1. 应急基本流程1686.4.2. 维护服务应急处理流程1686.4.3. 突发事件应急策略17()第一章技术方案及说明1.1. 技术方案措施1.1.1. 项目背景十四五以来，中共中央多次提出加快转变政府职能，建设法治政府和服务型政府。党中央和国务院的八项规定和“约法三章”，对节约型机关建设有了更高的要求。为全面规范机关事务管理工作，国务院出台了机关事务管理条例，行业也印发了相关条例。尤其强调推进政务服务标准化、规范化、便利化，深化政务公开，围绕节俭节约，弘扬绿色机关文化，为建设节约型社会发挥示范引领作用。从信息化发展角度看，以物联网、数字挛生、人工智能、云平台为代表的信息技术发展，己使后勤信息建设具备信息基础和产业基础：同时，不断提升的设备智能化水平，也为后勤信息建设创造了良好的技术支撑。1.1.2. 项目目标后勤服务综合管理平台主要是根据省局（公司）服务中心后勤管理的内容（如资产、食堂、公车、物业、安保、口常办公等业务），拟实现资产管理、食堂管理、公车管理、物业管理、安保管理、日常事务管理等功能，利用物联网、三维数字化、移动终端等技术，建设一体化、一站式的后勤可视化管理平台，服务于后勤管理和企业员工，实现智慧后勤、精益后勤、节俭后勤、平安后勤、廉洁后勤。1.1.3.建设内容3.1资产管理借助物联网技术实现覆盖后勤资产档案、计划、采购、出入库、借用、调拨、租借、维修、盘点、耗材、检测等业务需求。应包含固定资产管理、耗材管理、维修管理等。3.2食堂管理通过人脸识别技术和信息化管理系统搭载不同智能硬件，打造便捷的食堂就餐模式，实现进销存等多模板管理，同时收集多维度数据分析助力后勤经营管理优化。包括菜谱管理、计划管理、采购管理、消耗管理、库存管理、就餐管理、评价管理等。3.3公车管理通过北斗定位、移动应用等技术方案为企业提供便捷派车、车辆监控、实时查询等解决方.案。包括车辆档案管理、车辆费用管理、车辆调度管理、驾驶员管理、智能提醒等。3.4物业管理集成多种智能化设备，全面覆盖企业物业服务的各个方面包括：宿舍管理、环境管理、停车管理（授权）、快递收发、内部物流、订水、场地预约、工具借用等场景。3.5安保管理通过接入视频监控、报警检测、梯控等系统的设备，获取边缘节点数据，结合门禁、巡检、访客等业务功能实现数3.从前分、中台到后台的设计研发、页面操作、流程服务和数据的无缝联通和融合能力。其中最关键的是第3点：企业级的无缝联通和融合能力，尤其对于集团化的超大企业而言，这一点至关重要。四、如何做中台传统企业有别于互联网企业，阿里、腾讯等公司是互联网生态圈的创造者和流量入口，传统企业作为生态圈种群中的个体，除了需要做好原有的传统渠道业务外，还需要融入互联网生态圈，其商业模式、个体能力、与其他个体共生的能力决定了它的发展潜力。为了适应不同业务和渠道的发展，过去很多企业的做法是开发很多独立的应用或APP.但由于IT系统建设初期没有企业级的整体规划，平台之间融合不好、导致用户体验不好，关键的是用户也并不想装那么多APP!为了提高用户体验，实现统一运营，很多企业开始缩减APP数量，通过一个APP集成企业内所有能力，联通前台所有核心业务链路。由于传统企业的商业模式和IT系统建设发展的历程与互联网企业不完全一样，因此传统企业的中台建设策略与阿里中台战略也应该有所差异。由于渠道多样化，传统企业不仅要将通用能力中台化（对应领域驱动设计的通用域或支撑域），以实现通用能力通信网络和安全管理中心进行设计，内容涵盖基本要求的5个方面。同时结合管理要求，形成如卜.图所示的保护环境模型：信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定，因此，对某一个定级后的信息系统的安全保护的侧重点可以有多种组合,对于2级保护系统，其组合为：（在S1A2G2,S2A2G2,S2A1G2选择）。以卜详细方案设计时应将每个项目进行相应的组合级别说明。2.2.安全技术体系设计2.2.1.物理安全设计物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。2.2.2.机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。2.2.3.机房管理机房出入口安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围。2.2.4.机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线，要求防雷接地和机房接地分别安装，旦相隔一定的距离；设置灭火设备和火灾自动报警系统；配备空调系统，以保持房间恒湿、恒温的工作环境；在期更换:启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。2.3.2.访问控制二级系统一个重要要求是实现自主访问控制。应在安全策略控制范围内，使用户对白己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。采用的措施主要包括：启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、客体为文件或数据库表级。权限控制：对制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。账号管理：严格限制默认帐户的访问权限，重命名默认应用审计：应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统i开发。应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。部署数据库审计系统对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。2.3.4.入侵防范针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范，可以从多个角度进行处理：入侵检测系统可以起到防范针对主机的入侵行为；部署漏洞扫描进行系统安全性检测：部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升级；操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；另外根据系统类型进行其它安全配置的加固处理。针对网络入侵防范，可通过部署网络入侵检测系统来实毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在网络安全管理安全域中，可以部署防病毒服务器，负费制定和终端主机防病毒策略，在网络内网建立全网统一的一级升级服务器，在下级节点建立二级升级服务器，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端，并下发到各二级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。2.3.6.软件容错软件容错的主要目的是提供足够的冗余信息和算法程序，使系统在实际运行时能够及时发现程序设计错误，采取补救措施，以提高软件可靠性，保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计，包括：提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；在故障发生时，应用系统应能够继续提供部分功能，确保能够实施必要的措施。以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统，并提供增强的功能，其中包括联机备份应用系统和数据文件，先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不