企业PaaSSQL治理云防护平台研发项目技术方案

企业PaaSSQL治理云防护平台研发项目技术方案V 第19页项目编号：企业PaaSSQL治理云防护平台研发项目技术方案项目编号：2022-XX-XX编制单位：XX市XX中心编制日期：二〇二二年十月目录1 项目技术服务方案 31.1 项目需求分析 31.1.1 项目建设背景 31.1.2 项目建设目标 31.1.3 项目建设内容 41.1.4 保修服务需求 41.2 项目建设方案 51.2.1 项目建设原则 51.2.2 总体建设方案 61.2.3 MySQL实时监控建设方案 91.2.4 自动故障处理建设方案 141.2.5 数据库分析报表建设方案 211.2.6 信息安全保障方案 252 项目实施方案 342.1 项目实施原则 342.2 项目实施策略 352.3 项目组织架构 362.3.1 项目人员构成与职责 362.4 项目进度安排 392.4.1 项目进度计划 392.4.2 项目进度管控 392.5 项目服务团队 492.5.1 人员配置清单 492.6 项目实施过程 502.6.1 实施流程 502.6.2 项目启动阶段 512.6.3 需求分析阶段 512.6.4 需求规格阶段 522.6.5 设计阶段 522.6.6 开发阶段 532.6.7 测试阶段 542.6.8 试运行阶段 542.6.9 验收阶段 552.6.10 项目维护阶段 552.7 项目实施文档 552.8 项目培训方案 562.8.1 项目培训策略 562.8.2 项目培训目标 572.8.3 项目培训方式 582.8.4 项目培训地点 582.8.5 项目培训对象 582.8.6 项目培训计划 582.8.7 项目培训措施 592.9 项目实施管理 602.9.1 项目范围管理 602.9.2 项目组织管理 612.9.3 项目计划管理 622.9.4 项目风险管理 632.9.5 项目沟通管理 672.9.6 项目资源管理 683 保修服务方案 703.1 保修服务期限 703.2 技术服务方案 703.2.1 项目规划阶段 703.2.2 项目实施阶段 713.2.3 项目验收阶段 723.2.4 项目维护阶段 723.2.5 长期技术支持 723.3 运维服务方案 723.3.1 运维服务内容 723.3.2 运维服务标准 733.3.3 运维技术方案 733.4 重大保障方案 743.4.1 基本流程 743.4.2 预防措施 743.4.3 突发事件应急策略 753.5 服务实施机制 763.5.1 服务体制 763.5.2 服务方式 793.5.3 服务响应 803.5.4 服务机构 813.6 服务质量保障 813.6.1 质量管理体系标准 813.6.2 质量控制过程 813.6.3 质量评定计划 823.6.4 质量管理措施 823.6.5 软件质量控制 82项目技术服务方案项目需求分析项目建设背景随着云和大数据技术的不断演进，传统分散模式建设的IT系统已无法满足数字化时代的发展要求；集中化建设的IT支撑系统可充分利用全新技术、匹配全新运营模式、支撑全新数字化业务，已构建数字化时代的核心竞争力；系统集中化后，企业将重点聚焦在业务本身的建设及创新，而支撑中系统大体谅、分布式的云化架构及灵活快速的需求响应、标准化的服务以及全网一点发布及运维能力可由PaaS平台来提供和支撑。项目建设目标实现MySQL实时监控及配套数据库分析报表，并实现数据库故障自动处理。提供可视化的管理界面供相关人员使用，提高开发运维效率；并提供HTTP接口服务可供外部第三方进行调用。（1）数据库是PaaS最核心的能力，SQL数据库仍是主流，数据库尤其是关系型SQL数据库的稳定服务能力成为PaaS平台最核心的诉求。（2）分布式架构、去IOE形式下，业务异常SQL对系统稳定性带来挑战。以某电信公司CRM重构为例，PaaS平台使用集团基于MySQL自研的分布式数据库，承载了包括CRM重构后的CPC配置引擎、营服协同引擎、营销资源引擎、客户引擎、受理引擎、基础运营管理引擎，以及VC等周边小系统，自5月上线以来，多次故障均因慢SQL和异常SQL导致。（3）MySQL等数据库的监控与自动化治理缺乏工具。与Oracle相比，MySQL等数据库在完善的监控、运维、治理配套工具方面存在很大的空缺，如AWR运行报告，自动化的快速故障处理等，因此对能自动、实时进行SQL的监控与治理平台提出了需求，以提升数据库服务可用性，进而保证PaaS上各业务系统的稳定运行。（4）PaaS平台缺少web应用防护能力。公司PaaS原子能力平台作为基础能力平台，支撑着某电信公司的业务开展，作为基础能力平台，缺少web应用安全防护的基础能力，云防护为政企PaaS原子能力平台提供基础的web防护能力，通过能力调用，实现PaaS平台用户的web防护能力。项目建设内容在本次企业PaaSSQL治理云防护平台研发项目（包件一）中，我方需要为比选人构建MySQL实时监控、自动故障处理和数据库分析报表应用能力，实现企业PaaSSQL治理云防护平台研发项目的建设目标。MySQL实时监控需要构建对MySQL进行实时监控的能力，通过轻量级可配置的监控代理实现SQL服务指标与事务等监控信息的采集，存储到非结构化存储系统中，通过时间线、快照、健康度、主从关联等纬度对SQL服务运行状态进行实时的展现与监控，及时发现问题支持快速定位原因与排障。自动故障处理需要自动故障处理能力，可根据数据库故障处理场景，通过调用代理自动化运维接口的能力，实现以下场景的自动故障处理，并具备快速灵活扩展的能力。具体包括：空间问题处理长事务问题处理长查询故障处理CPU/连接数/Threadrunning问题处理主从复制错误问题处理数据库分析报表需要提供数据库分析报表，基于监控数据与数据库维护经验，形成SQL/事务/锁分析等分析报表，基于指标，生成数据库AWR实时运行报表，为数据库性能调优分析、故障分析提供依据。保修服务需求在本次企业PaaSSQL治理云防护平台研发项目中，我司需要为比选人提供为期一年（终验完成起一年）的保修服务。项目建设方案项目建设原则规范性严格遵循某公司的相关技术规范和业务规范的要求，对平台进行整体规划。开放性系统遵循开放性架构，采用开放的接口协议与开发平台，为用户提供统一的、开放的能力调用；业务维护和发展不依赖于设备厂商，能够保证业务的持续升级和发展，安全性系统按照企业级的应用进行设计，系统软件架构充分考虑整个系统运行的安全策略和机制；针对各类流程的安全需求，采用多种安全技术手段，为用户提供完善的安全技术保障。成熟性采用成熟稳定的平台和第三方软件或者组件。先进性系统采用业界领先的技术和体系结构，确保系统的先进性。可扩展性系统采用模块化设计，能够满足未来业务发展的需要；新功能、新业务的增加能够在不影响系统运行的情况下实现；系统设备应以模块化方式组建，设备的处理能力能够平滑扩容。可靠性系统具有优良的平均修复时间和平均故障间隔时间指标，构建并采用故障检查、告警和处理机制，保证数据不因意外情况丢失或损坏。系统采集负载均衡部署模式，部署在多台服务器上、避免单点故障，确保系统安全、可靠。总体建设方案系统总体架构EASESQLBOT:数据库线上实时排障平台a. 根据Easedba提供的监控信息，通过预定义的场景处理模块，自动实时处理处理数据库故障EASEDBA:数据库集群监控平台a. 收集、监控数据库指标以及分析数据库故障。b. 数据库分析报表c. SQL实时监控AGENT:数据采集代理a. 采集目标机器数据b. SQL实例监控c. 状态指标、运行指标、业务指标的监控d. SQL快照监控e. 采集配置管理EASEOPSTOOL:智能运维平台a. 运维能力服务化：各种能力工具不仅可以手工执行，还要遵循标准的参数输入和结果输出规范，以便支持API服务化。b. 能力插件可扩展：因为运维对象和功有需求的多样化，运维能力工具也是多样化的，不限定编程语言，只要最终可以通过命令行执行即可。c. 服务集成支持：支持定时执行、或作为一个服务节点集到工作流服务中。d. 执行权限可控制：作为通用运维能力平台，一套部署，多用户使用，每个用户或用户组管理、运维各自的能力插件。e. 排障支持：详细记录审计日志和执行结果日志，供排障、回顾优化等参考。配置中心a. 统一管理不同环境、不同集群的配置b. 配置修改实时生效（热发布）c. 版本发布管理d. 灰度发布e. 权限管理、发布审核、操作审计资源中心a. 统一管理不同环境、不同集群的元数据数据库治理平台是图上深蓝色的部分，是本项目的主要功能。总体功能架构总体业务流程SQL机器人定时10秒从ES集群拉取指标当配置更改的时候，SQL机器人自动加载配置当数据库异常的时候，处理完后并持续监控相关指标恢复正常当数据库异常，相关插件会触发告警通知到相关的人员系统部署架构1.MySQL数据库监控和工具布署在X86_64处理器架构，Linux2.7及以上的操作系统；2.监控工具支持目前市场上的MySQL主流版本5.6，5.7，对于其它版本，原则上可以支持，但是个别指标的获取方式会有变化，而要定制。MySQL实时监控建设方案构建对MySQL进行实时监控的能力，通过轻量级可配置的监控代理实现SQL服务指标与事务等监控信息的采集，存储到非结构化存储系统中，通过时间线、快照、健康度、主从关联等纬度对SQL服务运行状态进行实时的展现与监控，及时发现问题支持快速定位原因与排障。数据架构Agent定时采集数据库指标，将指标存入ElasticsearchEasedba读取Elasticsearch中存储的指标Sqlbot通过Easedba获取数据库指标，根据指标处理相应的数据库故障执行过程监控指标类别指标说明基本信息Host由ip:port标识Timestamp时间戳（当前周期的结束时间）Period当前周期时长(秒)性能Com_show_%各类命令的累积请求数量。监控代量会和上一周期值相减，求出当前周期内的速率。Com_insert_%Com_replace_%Com_selectCom_update_%Com_delete_%Com_commitCom_rollbackSlow_queries连接状态Aborted_connects反应连接数和连接异常的指标。Connectionsmax_connectionsLocked_connectsConnection_errors_max_connectionsConnection_errors_internalAborted_clientsInnodb状态Innodb_rows_deleted反应Innodb数据库引擎的状态和压力的指标。Innodb_rows_insertedInnodb_rows_updatedInnodb_buffer_pool_readsInnodb_buffer_pool_read_requestsInnodb_buffer_pool_write_requestsInnodb_buffer_pool_pages_flushedInnodb_buffer_pool_wait_freeInnodb_row_lock_current_waits空间状态Binlog_cache_disk_use直接或间接反应磁盘空间使用情况的引擎。Binlog_stmt_cache_disk_useCreated_tmp_disk_tablesTotal_table_spacesTotal_disk主从复状态(从库)Slave_IO_State反应主从复制状态的指标。Slave_IO_RunningSlave_SQL_RunningSeconds_Behind_MasterRead_Master_Log_PosExec_Master_Log_PosRetrieved_Gtid_SetExecuted_Gtid_SetSQL_DelayLast_SQL_ErrnoLast_IO_Errno主从复状态(主库)PositionExecuted_Gtid_Set负载状态Threads_running反应系统负载高低的指标Cpu_userCpu_sysCpu_idleCpu_waitMem_maxMem_freeMem_cache_buffer网络IO状态Bytes_received反应磁盘和网络IO高低的指标。Bytes_sent磁盘IO状态Disk_utilDisk_util_waitSQL执行快照类别指标说明SQL执行快照Process_id正在执行的SQL、时长，来源等信息UserHostDBCommandTimeStateInfo事务快照trx_id事务时长及事务被阻塞的相关信息trx_stateblocking_trx_idtrx_startedtrx_wait_startedProcess_idtrx_querytrx_rows_lockedtrx_tables_locked监控插件1. 插件执行次数2. 插件告警次数3. 查杀的sql次数（全局）4. 插件平均耗时自动故障处理建设方案建设自动故障处理能力，可根据数据库故障处理场景，通过调用代理自动化运维接口的能力，实现以下场景的自动故障处理，并具备快速灵活扩展的能力。具体包括：空间问题处理长事务问题处理长查询故障处理CPU/连接数/Threadrunning问题处理主从复制错误问题处理系统功能设计空间问题处理模块磁盘自动清理，定期从监控中心提取磁盘空间，数据库表，binlog等空间使用信息，当空间不不足时，检查binlog空间和从库同步状态，在保证安全的前提下，清除不再需要的binlog，并记录审记日志。如果判断不安全，则不做清除；如果集成了告警系统，触发出警。主从复制错误问题处理模块处理主从复制过程中可能出现的问题。MySQL总体上主库到从库的数据复制的可靠性很高，但是在发生主从切换、或极偶然的网络抖动等情况下，会发生主从库数据行不一致的情况，表现为：1.从库更新数据失败，报1032错误号（主键不存在）2.从库插入数据失败，报1062错误号（主键冲突）工具应该在检测到复制错误后:1.对于上述第1种情况，解析binlog，从中提取更新字段，插入到从库，并跳过当前复制。2.对于上述第2种情况，在从库中删除主键冲突的行，并记录审计日志。Binlog复制则插入复制行。长事务问题处理处理发生阻塞的事务，工具会分析MySQL监控数据，找到阻塞的根源，中断掉这一个（或多个）持续时间超守域值的事务，保证其它被阻塞的事务就能够恢复执行。长查询问题处理终止执行时间超过域值并导致系统资源消耗过高的SQL。CPU/连接数/Threadrunning问题处理当CPU、连接数或MySQL的负载线程数超过阈值。提取执行时间最长的SQL中断，提取阻塞了其它SQL执行的持续时间最长的事务中断。配置热加载sqlbot的配置信息可以在被修改后自动重新加载处理事件记录sqlbot执行故障处理后，会将处理结果进行记录磁盘空间清理按照惯例，MySQL数据库会保存一定时间的binlog，以做为从库数据同步，离线备份恢复等使用。DBA一般也会配置定期滚动清理binlog的维护任务。但是如果由于突发情况，比如短期业务量剧增，大批量补偿数据等情况，可能会导制binlog剧增，磁盘空间不足等。磁盘自动清理模块会定期从监控中心提取磁盘空间，数据库表，binlog等空间使用信息，当空间不不足时，检查binlog空间和从库同步状态，在保证安全的前提下，清除不再需要的binlog，并记录审记日志。如果判断不安全，则不做清除；如果集成了告警系统，则发出警。未提交事务自动查杀在有些情况一下，客户处理一项较复杂的事务，比如在事务中做非常多的处理，可在事务中访问了另一个应用，另一应用超时，或代码健装度不够，在特定情况一下遗漏了提交或回滚动作。这些情况都可能导制在锁定部分数据库行后，不能够及时的提交或回滚事务。导制其它后续提交的更改请求阻塞等待，影响相关用户的处理。不仅如此，由于应用服务和数据库的可工作线程者是有限的，任何一层达到限定值，则整个业务系统都会阻塞，所有用户的请求都会受到影响。因此必须尽快处理。当阻塞发生时，不能把所有的事务都中断掉，这样会误杀能够正常进行下去的事务。工具应分析MySQL监控数据，找到阻塞的根源，中断掉这一个（或多个）持续时间超守域值的事务，这样其它被阻塞的事务就能够恢复执行了。在查杀掉阻塞事务后，重新检测数据库是否恢复正常，否则继续查杀。需要这样做的原因是，中心监控数据库的监控数据是间隔定时提交的，反馈会慢几秒。慢SQL自动查杀有时候会有复杂的SQL发到生产环境数据库。执行时间长，消耗资源大。资源消耗可能是如下情况的一种或组合。查询条件没有命中有效的索引，导制扫描行数过多，甚至全表扫描，大量消耗系统资源，导制数据库负载过高。由于查询接口可动态输入参数，输入的参数范围过大，导致扫描行数过多，超出预期。极个别用户的数据记录数目超出设计预期，导制这个用户的操作慢，而影响其它用户。复杂计算、聚合操作，建立临时表，大量消耗磁盘空间。工具应将执行时间超过域值的SQL中止掉，并持续监控一段时间（30秒）。Cpu过高分析处理对于前两节有明确的阈值的长事务、长查询，可以直接中断掉。有些情况下，长事务、长查询可能没有达到阈值，但是CPU、连接数或MySQL的负载线程数可能已经过高，超过阈值了。在这个场景一下，工具应当排序提取执行时间最长的SQL中断掉，排序提出阻塞了其它SQL执行的持续时间最长的事务，中断掉这个事务。复制自动无损修复在生产环境中，MySQL通常会被配置一主多从的模式。这些从库可以做为在线热备份节点，也可以做为只读从库，分担业务的查询请求，降低主库的负载。MySQL总体上主库到从库的数据复制的可靠性很高，但是在发生主从切换、或极偶然的网络抖动等情况下，会发生主从库数据行不一致的情况，表现为：1.从库更新数据失败，报1032错误号（主键不存在）2.从库插入数据失败，报1062错误号（主键冲突）工具应该在检测到复制错误后:1.对于上述第1种情况，解析binlog，从中提取更新字段，插入到从库，并跳过当前复制。2.对于上述第2种情况，在从库中删除主键冲突的行，并记录审计日志。Binlog复制则插入复制行。工具应该支持MySQL5.6兼容binlog格式，和5.7binlogGTID格式的解析和处理。功能插件构建处理MySQL空间大小插件处理长事务插件处理慢查询插件处理CPU过高插件处理Threadrunning过高插件处理主从异常（1032，1062）插件数据库分析报表建设方案提供数据库分析报表，基于监控数据与数据库维护经验，形成SQL/事务/锁分析等分析报表；基于指标，生成数据库AWR实时运行报表，为数据库性能调优分析、故障分析提供依据。SQL/事务/锁分析在本次企业PaaSSQL治理云防护平台研发项目中，我司将会基于我们丰富的数据库维护经验，利用所采集到的数据库监控数据，设计并提供SQL/事务/锁分析等分析报表。为比选人的数据库维护与管理人员提供强大的管理支撑工具，及时提供全面的数据，为进行数据库的故障分析提供依据，帮助数据管理人员作出更佳的决策。数据库AWR实时运行分析在本次企业PaaSSQL治理云防护平台研发项目中，我司将会基于我们丰富的数据库维护经验，利用所采集到的数据库指标数据，设计并生成数据库AWR实时运行报表。为比选人的数据库维护与管理人员提供强大的管理支撑工具，为数据库性能调优分析、故障分析提供全面的数据依据。数据库性能调优分析在本次企业PaaSSQL治理云防护平台研发项目中，我司将会基于我们丰富的数据库维护经验，利用所采集到的数据库监控、指标数据，设计并生成SQL/事务/锁分析、AWR实时运行等分析报表。为比选人的数据库维护与管理人员提供强大的管理支撑工具，及时提供全面的数据，帮助数据管理人员作出更佳的决策。MySQL数据库的性能的影响：服务器的硬件的限制服务器所使用的操作系统服务器的所配置的参数设置不同数据库存储引擎的选择数据库的参数配置的不同数据库的结构的设计和SQL语句mysql的性能优化无法一蹴而就，必须一步一步慢慢来，从各个方面进行优化，最终性能就会有大的提升。Mysql数据库的优化技术对mysql优化是一个综合性的技术，主要包括:表的设计合理化(符合3NF)添加适当索引(index)[四种:普通索引、主键索引、唯一索引unique、全文索引]分表技术(水平分割、垂直分割)读写[写:update/delete/add]分离存储过程[模块化编程，可以提高速度]对mysql配置优化[配置最大并发数my.ini,调整缓存大小]mysql服务器硬件升级定时的去清除不需要的数据,定时进行碎片整理(MyISAM)信息安全保障方案在本次企业PaaSSQL治理云防护平台研发项目中，我司保证随提供的产品能确保比选人的网络与信息安全，若参选产品存在安全风险造成比选人实际损失的，所产生一切费用由我司承担。创建逻辑隔离的安全区域采用创建安全区域的方式对系统进行逻辑隔离。安全区域是一种包含一个或多个层的逻辑实体。区域可以包含其他安全区域、可以是其他安全区域的成员，也可以跨越其他安全区域。安全区域的目的是要提供一个逻辑容器，以便于可以定义缓解风险的策略，并将其应用于以下领域：区域中的层限制区域内通信区域层通信虽然防火墙可以缓解许多已定义的安全风险，但还不足够安全。同时需要定义不同层级的安全区域，并且设定各个安全区域之间的访问规则。由于对外发布的应用服务器通过防火墙直接和Internet进行通讯，因此存在一定的安全风险，一旦应用服务器被外部攻击而最后被非法控制，那么就可以将其作为安全攻击的跳板，对内部网络及核心业务系统进行攻击。因此，需要根据业务系统、服务器、终端的重要性划分不同的安全区域，并明确区域间通讯的基准及策略。一般分为：外部非受信网络（Internet）内部网络（Internal）业务系统专区根据业务系统的重要性同样需要细分不同的安全区域，为了保证某系统的高可用性及安全性，我们需要单独将其归入到一个安全区域内，并通过防火墙定制安全访问策略以控制其它网络区段对于此系统的有限访问。VLANACL访问控制当在交换机上实施VLAN时，可以在VLAN上设置ACL，从而限制不同网段间的流量。上述筛选通常是一种简单的静态数据包筛选，这与许多专用防火墙设备执行的全状态数据包检查或者应用程序层代理恰好相反。在VLANs之间使用ACLs来提供中间防护，阻止来自内部的入侵，同时由周边网络阻止外部入侵。防火墙隔离防火墙是基于软件或硬件的设备，可以部署在网络中为系统提供保护，使其免受内部攻击或外部攻击。根据防火墙所支持的功能，可以使用不同类型的技术来对流量进行限制，允许其通过或阻止其通过。这些技术在防火墙功能的基础上，提供不同程度的保护。平台将通过下列防火墙的功能实施安全策略：网络适配器输入过滤器静态数据包过滤器网络地址转换(NAT)状态检测线路级别检测代理应用程序层过滤应用服务器防护安全本方案中应用服务器的安全我们通过防病毒系统和网络防火墙结合，主要针对“蠕虫”、“特洛伊木马”、或利用ActiveX、Java和脚本语言编写的与内容安全策略相冲突的代码和垃圾邮件的防护。防垃圾邮件与恶意代码过滤系统是针对计算机网络中数据内容安全比较有效的检测与防护系统。数据安全保障数据加密保护首先，我们会对各类系统数据进行加密和脱敏处理，以密文的方式保存。这样，即使有人"非法"得到数据，也无法打开和阅读，进而保证了资料与数据内容的安全。同时，在整个系统中对于数据在网络传输过程中都进行了SSL的加密处理，防止数据被窃取或被篡改，确保数据和内容安全。数据安全存储在系统数据的存储方面，我司系统在数据存储的安全性和高效性主要体现在以下几方面：对产生的数据等进行统一规范的加密和脱敏处理；相关电子文件在操作系统目录、文件权限的基础上增加系统的访问权限；管理员可选择性对具体数据进行自动实时备份和维护；系统与后台存储设备具有很强的整合能力，保证系统数据安全。数据及时备份为系统数据保存的可靠性、安全性与数据恢复的高效和方便性，我们将充分利用数据库的备份功能，每天进行相应的数据备份。并多份拷贝、异地存放，以用于系统万一出现数据丢失后进行数据的恢复，从而真正做到数据万无一失。数据能做到实时的数据备份及灾难恢复，数据的备份与恢复由该维护人员发出指令，系统自动完成，不需要过多人为干预。数据备份人员在备份完成之后需对备份数据进行校对检验，备份数据的检验的内容主要包括备份数据能否打开、数据信息是否完整等；备份结束后，如需要把备份介质存贮至别的介质的，应在相应的备份介质上做好标签并对备份数据也做好相应检验工作。容灾环境建立为了确保系统的高可用性和数据的安全，我们将建立了包括服务器和存储设备全套系统的在线热备，确保任何在线设备由于硬件损坏对整个系统和数据没有任何影响。将配置相应的备用服务器，备用服务器的配置与主服务器配置保持一致，数据与主服务器保持数据同步，一旦发生不可预知的意外事件导致主服务器不能正常工作，备用服务器可以迅速投入使用而不影响整个工程的进度。网络安全在该项目中传送的是一些重要信息和资料，对安全保密性有较高的要求。而Internet又是面向所有公众的开放式系统，面临着各式各样的考验和挑战。如前所述，现有的网络平台在安全方面都存在较大的薄弱环节，因此必须重点加以考虑和完善。网络安全分为四个部分：安全控制、传输控制、病毒防治和管理制度。其中，安全控制又分为网络接入控制和资源访问控制两个环节。首先应从技术上解决传输控制和接入控制问题，今后可进一步加强网络的传输控制。此外全网的防病毒工作也必须放在本次工作日程。传输控制Internet传输数据，为保证应用系统数据传输的安全性和完整性，网络上数据均用IPSec认证和加密，即建立起IT外包平台系统与各省用户的IPSecVPN（虚拟专用网）。防火墙隔离防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系，每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。包过滤是历史最久远的防火墙技术，从实现上分，可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的，简单包过滤的产品由于其保护的不完善，已经很少在主流产品中出现了。状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。应用代理防火墙可以说就是为防范应用层攻击而设计的。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。作为网络安全设备，防火墙系统应具备如下特点：1．宽带数据应用所需要的线速防火墙过滤和VPN加密的能力；2．强大的防攻击能力，可以抵御包括SYNattack、Portscan和其他多种网络攻击；3．快速的、大容量的网络地址翻译（NAT）、端口地址翻译（PAT）——隐藏内部、无法路由的IP地址；4．完善的日志审计功能和安全管理；5．防火墙本身的系统安全和健状性。基础系统安全系统安全主要从以下几个方面考虑：操作系统安全、数据库安全、防病毒管理。操作系统安全没有一个操作系统是绝对安全的，但是，还是有比较安全的操作系统。从操作系统的体系结构、权限管理的程度、提供的密码最大长度等因素来看，LINUX类操作系统要比MSWINDOW2012安全得多；同时，如果一个操作系统在出现安全性漏洞后，提供商能快速提供相应补丁的话，可以认为该操作系统是比较安全的。操作系统的安全性主要包括：用户身份确认、事件审计、角色管理、权限分配、密码加密等。服务器系统的安全性可以从以下几个方面得到保证：服务器采用LINUX操作系统，可以达到C2级的安全标准，以杜绝非法用户的访问；服务器系统均采用热备份的方式，一旦某台主机发生异常DOWN机的情况，会由另一台机器立即接管；磁盘阵列采用高可靠性的RAID5方式进行数据的存储，可以确保数据的安全可靠；数据库安全Oracle11g系统本身已经达到C2级的安全标准，它提供了完全、灵活且可靠的机制确保有效的用户验证，并且维护隐私和数据完整性，管理数据库的权限，以及监视整个企业的数据库操作，包括今天易受攻击的Internet和Intranet环境。用户验证通常Oracle11g在其内部通过检验用户在登录时提供的口令对用户进行验证，也可以选择由操作系统和安全软件包在数据库外部进行验证，或者通过Oracle11gAdvancedNetworkingOption由外部的验证服务来完成，这些服务可能是网络操作系统、网络安全服务、或者验证设备。这便使用户可以对整个数据库或网络进行统一的安全管理。因为对安全策略只须定义一次便可实施于整个网络，所以大大减少了系统管理的开销。Oracle11g还通过OCI和PL/SQL提供数据签名服务。数据库权限数据库权限授权用户可以进行特定的SQL操作，例如在选定数据库对象上插入、更新或删除操作。Oracle11g有效的权限管理使用户可以精确地实施数据库安全策略，确保用户只得到他们应有的权限，不具备某个数据库对象相应操作权限的用户是绝对无权对该数据库对象进行相应操作的，这一点可以杜绝非法用户的闯入。树型安全角色在Oracle11g中，使用角色组织对表或其它数据库对象的特定权限，再把角色赋予单个用户或一群用户。通过这种方法安全管理员可以使用一个GRANT语句便可授权用户运行整个程序，这样便大大减少了安全管理员的负担和开销，与其它只有一个全能的DBA的RDBMSs不同，Oracle11g允许企业中有多个DBA，并可以精确的控制每个DBA的特有权限。Oracle11g的用户和角色可以定义于一个数据库上，也可以以集中管理的方式定义于多个相关的数据库之上。Oracle11g对角色的定义已被ISO和ANSI标准SQL委员会接纳为未来SQL安全标准的基础。口令策略的加强Oracle11g可以加强用户的安全策略，安全策略体现在一个存储过程中，验证可以最短、最简单的方式进行，或者通过以前的口令记录。对口令可以指定一定的有效期，在这段时间后必须进行修改。这样一来，可以为系统管理员提供行之有效的口令管理办法。审计Oracle11g提供集成、灵活且可靠的审计功能，可以确保所有感兴趣的对数据库适当规模的操作都被记录下来，审计命令会记录下来一次用户访问中所有成功和不成功的操作，及用户对数据库对象的访问尝试。审计记录数据被安全地记录于Oracle11g的数据字典中或操作系统的文件中。过程化审计加上PL/SQL存储过程和数据库触发器可以被用来应用特定的审计。系统提供安全可靠的联机数据备份功能；我方提供有关数据备份的详细说明，包括备份方式、备份周期、备份介质和相关软件的列表，备份策略的制定充分考虑到出现异常时数据的恢复。应用系统安全策略安全认证可以对资料交换平台的接入节点、用户进行身份认证，防止伪节点的加入；可以对数据交换平台的接入用户的进行授权，即：根据不同业务系统，针对不同交换数据对象分别授予不同数据操作权限；可以对交换过程中的传输资料进行加密，防止数据被篡改，保证数据的完整性；可以对应用程序进行认证，防止伪应用程序的加入。对于需要加强安全服务的用户，可以选择基于PKI的安全认证方式。借用公网的可以采用VPN技术。使用基于PKI的安全认证方式，可以有效的进行端对端的安全加密方式，使用发送方的公钥和接收方的私钥对传输数据进行加密，保证数据的完整性和安全性，保证数据在被截获的情况下也无法获得消息内部的具体数据。注册用户认证客户端在设备认证通过后，系统要求用户输入用户名称及密码（密码不被明文传递）。中心服务器验证通过后判断该用户的状态是否有效、登录设备是否允许等，如果通过则建立加密会话，允许该用户发送消息，否则拒绝登录。客户端可重试登录3次，3次都失败，则延迟一段时间后断开连接，重新进行设备登录认证过程。用户认证通过后可以进行正常消息的传送操作。系统允许用户在应用层再认证、加密，允许传送已加密的消息，并且保持消息的完整性。当连接超时或终端连接断掉后，系统将要求其重新认证。下图对设备的登录过程进行了简单的描述。登录流程访问控制应用权限管理管理平台具有完备的应用权限控制，对系统中的功能模块进行完全的权限管理，保证只有具有权限的用户才能做相应权限的事，如审批、通知、公告等，保证这些信息不会被没有权限的人员获得。地址限制系统对用户访问的IP地址进行限定从而降低不合法客户机访问系统的可能性。IP地址限定可以通过两种方式实现：配置Web服务器的IP地址和域名限制，这两种方式可以单独进行配置使用，也可以结合使用。系统管理员既可以设置IP地址限定，也可以取消限制。其他限制措施网站管理平台可以设置办公工作日限定和办公时间段限定，在规定的时间外工作人员是无法登录系统的。系统管理员可以根据需要取消时间限定。抗抵赖性日志管理门户网站将记录用户在系统中所进行的操作。以防篡改与冒名顶替。日志管理可分为应用日志和系统日志两个层次，如下图所示。应用安全日志应用安全日志业务流水日志系统管理日志其他应用日志数据管理日志系统安全日志应用日志系统日志日志管理层次图两层日志管理严格区分应用日志和系统日志。应用日志纪录与业务安全和业务操作有关的流水信息，如用户登录、越权业务处理和业务流程。系统日志记录系统管理员所进行的用户管理、角色管理和数据备份等操作流程。严格周全的日志数据有利于分析系统安全事故和业务出错原因。审计管理具备独立系统审计管理员机制，审计管理员独立于一般用户和系统管理员，并具有自己的操作页面，进行日志查询、日志删除和日志转储等操作。项目实施方案项目实施原则1．用户方项目小组的成员，争取参与项目的全过程用户方成立领导亲自挂帅的项目小组，在调研、设计、编码、安装调试、测试、培训、运行、验收、售后服务等项目的各个阶段，配合系统开发方的工作，一方面可以培训自己的技术维护队伍，为系统的使用保驾护航；另一方面，在开发过程中，协调用户方和开发方的关系，保证项目的顺利进行，及时发现问题，并对项目进度和质量进行监督。此外，我公司在项目实施过程中承担如下职责：按招标方的要求，我方负责开展详细全面的需求调研工作，进行需求分析并形成需求说明书由招标方确认。负责指导所提供的应用软件现场安装、调测和开通。除了负责自己应用软件系统的互通，还将配合招标方保证能与其它应用系统之间的互通。向招标方提交测试内容、方法和测试计划。测试计划和测试内容由我方拟定，经招标方确认。我方确保技术建议以及所提供的应用软件的完整性和可用性，保证应用软件能够投入正常运行。若出现由于我方提供的应用软件不满足要求或其所提供的技术支持和服务不全面而导致系统功能无法实现或不能完全实现，由我方负全部责任。提供系统装调试时所需的工程设计资料,我方有责任在保证安全和质量的前提下提供技术服务,包括技术咨询等。在系统调试期间,招标方有权派出技术人员参加,我方有义务对其进行指导。在系统试运行期间，根据需要我方有责任派技术人员到现场指导维护工作。在系统和设备扩容及软件升级时，我方派技术人员到场指导。2．采用“两手抓”的方针，一手抓开发、一手抓使用对于软件项目，之所以称为一个工程，很大程度上是因为软件项目的建设，除了技术因素外，还有很多的非技术因素需要考虑，并且必须被得到重视。衡量一个软件项目是否成功，很大程度上不是看这个软件项目采用了多么先进的技术，而是软件对用户来说是否实用，是否能够帮助用户解决许多预期的问题。国内很多软件项目的失败，很大程度上是使用抓得不够。建议在项目的试运行过程中，在抓系统维护的同时，也要狠抓系统的使用，开发方和用户方齐心协力帮助业务人员从原来的手工处理转到计算机辅助处理上来，在业务人员适应计算机辅助业务处理的过程中，尽可能早发现系统中存在的问题，从而最大可能地使系统保质保量的按时完成。3．数据同程序同等重要该系统的建设，数据位于首要的地位，程序的编写完成，仅仅意味着系统完成了一半，数据的收集、整理、录入，对系统的建设来说同等重要。在项目实施过程中，一定要重视系统中数据的录入工作，充分估计数据处理的难度，在系统建设之初，就将数据工作提到议事日程上来，安排相应的资金、时间等，将数据工作落到实处，只有这样才能争取系统早日达到实用化。项目实施策略由于本项目实施的范围广、工作量较大，因此需要良好的实施策略保障实施的顺利进行。考虑到本系统的建设是一个逐渐深入，滚动发展的过程，同时也是一个不断完善的过程，项目组综合各方面的因素考虑，拟采用“原型法”来进行本项目的实施。具体策略措施主要包括以下几个方面：1、统一规划，分步实施。项目实施采用统一规划，分步实施的策略，明确项目每一个阶段的实施范围，保障本系统建设高效、有序地实施。在项目实施过程中，将提交详细的项目实施计划列表，以及实施时间表，按照需求调研论证、软件开发设计、安装、培训、调试、初验、试运行、终验等各步骤有序地实施。2、版本控制，统一系统。我们将采用严格的版本控制方法，统一本项目的系统版本。3、分层实施策略。信息化系统的建设，不是简单的信息化技术改造和提升，更重要的是它意味着对内部与外部的业务梳理和整合。项目建设分三层：一是认识问题，二是操作问题，三是工程和技术问题。其中认识问题其中包括系统的目标、价值、意义、时机、重要性、利弊等方面，也就是项目组成员在许多问题上要达成一些基本的共识；操作问题包括如何做好系统和如何运行好系统，包括管理，规划，投资，标准，组织，阶段性，评价，系统结构，运营，规范制度和环境等等；工程和技术问题包括这个具体是指项目实施和方案问题，包括软硬件，安全，认证，人员培训等。项目组织架构一套健全有效的组织和领导机构是贯彻工程意图和顺利进行工程实施的重要条件和保证。在工程规划之初，首要的是提出并组建起适于本项工程实施和管理的全套组织和领导机构。从实施和管理的职责看这套组织应是完整配套的，从人员构成素质看这套组织应是精练高效的。共同成立项目组，采用项目领导小组下的各方项目经理负责制，并明确规范所属下级各组的职责及组间协调关系。为工程验收，设置了直属项目领导小组之下的多方方共同组成的验收小组。这种结构是在多个大型工程项目中采用，并被验证为行之有效的工程组织方案。项目人员构成与职责项目管理人员由甲方与我公司的相关领导组成，主要负责提供行政业务上的保证（为项目的前期调研和后期的需求变更确认，以及项目的实施等各项工作的顺利开展，提供人力、物力、财力上的保证），负责项目实施过程中的重大事件的决策，根据项目过程中的进度、质量、技术、资源、风险等实行宏观监控等。项目组会定期向管理领导小组汇报项目进度。1、与用户讨论并确定最终项目范围和实施方法；2、负责制订具体的项目计划，包括培训计划；3、把握项目各方面的进程；4、指导业务流程重组和项目变更；5、检查及调控项目实施范围；6、向公司汇报项目状况，提出建议及改进措施；7、负责项目阶段质量。项目需求人员项目需求工作小组成员由我公司的项目经理负责。工作职责：明确项目需求，提出需求分析，完成项目概要设计。质量管理人员我公司配备有专门的质量监督经理，负责质量管理，按制定的标准及控制手段执行进度管理，风险管理和变更管理。评审软件工程活动、审计软件产品、将结果通知项目组成员及相关经理。软件质量保证人员的主要工作目标是保证软件过程质量。通过质量管理团队的建立，将一些优秀的软件工程化开发经验用一套合理、规范的制度沉淀固化下来，使项目的成功不再成为一种偶然。开发技术人员项目开发小组成员由我公司的开发部经理带队负责。工作职责：1、软件开发组负责相关交互程序与软件的编码开发，包括高级程序员、程序员等。软件开发组组长是一位资深的技术人员，对系统设计、系统开发、客户业务及系统和开发工具有深入的了解。2、美工组负责项目的平面美术设计、FLASH动画设计，负责完成项目中各种平面效果图的设计。3、测试组负责制定测试计划，进行单元测试、集成测试和性能测试，并撰写测试文档和测试报告。4、用户文档撰写人员负责撰写相应的用户手册和系统管理员手册。项目实施人员项目实施是本次项目建设的重点，我公司将针对本项目建设的要求，派出专业的实施队伍，进行全面的系统的安装、部署。工作职责：1、对项目实施按项目实施计划提供实施支持；2、协助项目经理定义项目的范围及目标；3、参与讨论、制定项目计划；4、按项目实施计划提供系统功能培训；5、制订指导系统详细实施计划和进度方案；6、制订数据转换格式和方案；7、进行系统的客户化；8、负责系统安装、提供设备选型参数；9、对系统整体性能提出意见；10、根据以往的实施经验提供实施风险及防范方面的建议。售后服务人员本项目需要一支高效率，结构合理、经验丰富的项目服务队伍来完成，提供优质的项目服务。考虑到项目的延续性，服务团队在项目实施开始即与项目实施及开发人员共同参与项目的实施工作。项目服务组组长由一人担任，负责项目服务人员的协调，对外的接口，工作的分配、总结，包括：1、数据库维护人员，负责数据库的相关维护工作；2、应用系统维护人员，应用系统的相关维护工作；3、开发人员，负责系统上线后的二次开发工作；工作职责：1、在该项目实施结束后，我公司将从公司内部抽调相关网络技术人员及软件开发人员，负责本项目相关软件的日常维护、升级以及软件应用的二次开发工作。2、培训教师负责面向决策层、管理层、应用层、系统维护层人员提供培训。3、售后服务人员负责系统维护以及相关技术支持工作。4、系统集成人员提供系统集成方面的技术支持。项目进度安排本次企业PaaSSQL治理云防护平台研发项目的服务期为一年(自合同签订之日起)，我司将在服务期内完成项目内容的建设并在项目终验完成后提供为期一年的保修服务。项目进度计划针对项目的进度管理，我司将从任务分解、时间进度安排到资源分配，每个阶段都设置里程碑标志，每个阶段都须严格按照工期要求按时、保质完成，并全程由项目经理负责项目的进度控制。因此，在本次企业PaaSSQL治理云防护平台研发项目(标包一)中，为了确保项目可按时交付，我司将制订详细的项目进度计划，并在项目实施过程中严格按照计划执行。具体，我司的项目进度计划如下：序号里程碑主要工作内容开始时间完成时间1需求分析项目需求分析与系统设计T0T0+102系统开发完成功能开发T0+11T0+553功能测试完成系统功能测试T0+25T0+654项目上线完成项目上线T0+66T0+705项目试运行完成项目试运行T0+71T0+1006项目终验完成项目终验T0+101T0+1057维保服务提供项目维保服务终验完成日终验后一年备注：T0为签订合同之日，具体日期根据实际需求进行调整。项目进度管控项目进度控制承诺我司承诺，在本次项目中将根据之前建设内容，分阶段制定合理的时间实施进度，并根据招标方要求进行调整和细化，确保项目在比选人所规定的期限内实现系统上线。项目进度控制概述项目进度控制与投资控制和质量控制一样，是项目实施中的重点控制之一。它是保证项目按期完成，合理安排资源供应、节约项目成本的重要措施。项目的进度管理决定着整个项目实施期间及时人员的组织，我方将按照项目实施方案设计、系统设计、系统开发、系统测试、系统验收等实施顺序建立项目进度表的方式来进行项目进度检查和管理。本项目涉及子系统多的特点，我方制定如下项目进度控制方案：项目进度控制方法项目进度控制方法主要是规划、控制和协调。“规划”是确定项目总进度控制目标和分进度控制目标，并编制其进度计划。“控制”是在项目实施的全过程中，进行施工实际进度与施工计划进度的比较，出现偏差及时采取措施调整。“协调”是协调与施工进度有关的单位、部门和工作队组之间的进度关系。项目进度控制手段项目进度控制是一个不断进行的动态控制，也是一个循环进行的过程。它是从项目施工开始，实际进度就出现了运动的轨迹，也就是计划进入执行的动态。实际进度按照计划进度进行时，两者相吻合：当实际进度与计划进度不一致时，便产生超前或落后的偏差。分析偏差的原因，采取相应的措施，调整原来计划，使两者在新的起点上重合，继续按其进行施工活动，并且尽量发挥组织管理的作用，使实际工作按计划执行。但是在新的干扰因素作用下，又会产生新的偏差。施工进度计划控制就是采用这种动态循环的控制方法。我方将运用如下手段：动态控制信息反馈弹性管理封闭循环网络计划技术项目进度计划贯彻（1）检查各层次的计划，形成严密的计划保证系统项目的所有施工进度计划：施工总进度计划、单位项目施工进度计划、分部分项项目施工进度计划，都是围绕一个总任务而编制的，它们之间关系是高层次的计划为低层次计划的依据，低层计划是高层次计划的具体化。在其贯彻执行时应当首先检查是否协调一致，计划目标是否层层分解，互相衔接，组成一个计划实施的保证体系，以施工任务书的方式下达施工队以保证实施。（2）下达项目任务书项目经理、施工队和作业班组之间分别签订承包合同，按计划目标明确规定合同工期，相互承担的经济责任、权限和利益，在下达施工任务书时，将作业任务直接下达到施工班组，明确具体施工任务，技术措施，质量要求等内容，使施工班组必须保证按作业计划完成规定的任务。（3）进度计划交底工作施工进度计划的实施是全体工作人员的共同的行动，要使有关人员都明确各项计划的目标、任务、实施方案和措施，使管理层和作业层协调一致，在计划实施前必须要进行设计施工进度计划交底工作，并做好相关的记录。项目进度计划实施项目进度计划的实施就是施工活动的进展，也就是用施工进度计划指导施工活动、落实和完成计划。项目进度计划逐步实施的进程就是项目建造的逐步完成过程。为了保证项目进度计划的实施、按编制的计划时间逐步进行，保证各进度目标的实现，将做好如下工作。编制周作业计划为了实施施工进度计划，将规定的任务结合现场施工条件，如施工场地的情况、劳动力机械等资源条件和施工的实际进度，在施工开始前和过程中不断地编制本周的作业计划，使施工计划更具体、切合实际和可行。在周计划中要明确：本周应完成的任务；所需要的各种资源量；提高劳动生产率和节约措施。签发施工任务书编制好周作业计划以后，将每项具体任务通过签发施工任务书的方式使其进一步落实。施工任务书是向班组下达任务实行责任承包、全面管理和原始记录的综合性文件。施工班组必须保证指令任务的完成。它是计划和实施的纽带。做好施工进度记录，填好施工进度统计表在计划任务完成的过程中，各级施工进度计划的执行者都要跟踪做好施工记录，记载计划中的每项工作开始日期、工作进度和完成日期。为项目进度检查分析提供信息，因此要求实事求是记载，并填好有关图表。做好施工中的调度工作施工中的调度是组织施工中各阶段、环节、专业和工种的互相配合、进度协调的指挥核心。调度工作是使施工进度计划实施顺利进行的重要手段。其主要任务是掌握计划实施情况，协调各方面关系，采取措施，排出各种矛盾，加强各薄弱环节，实现动态平衡，保证完成作业计划和实现进度目标。调度工作内容主要有：监督作业计划的实施、调整协调各方面的进度关系：监督检查施工准备工作；督促资源供应部门按计划供应劳动力、施工机具、运输车辆、材料构配件等，并对临时出现问题采取调配措施；结合实际情况进行必要调整，及时发现和处理施工中各种事故隐患和意外事件；调节各薄弱环节；定期召开现场调度会议，贯彻项目主管人员的决策，发布调度令。项目进度计划检查在项目的实施进程中，为了进行进度控制，进度控制人员应以经常地、定期地跟踪检查施工实际进度情况，主要是收集项目进度材料，进行统计整理和对比分析，确定实际进度与计划进度之间的关系。其主要工作包括：（1）跟踪检查施工实际进度跟踪检查施工实际进度是项目施工进度控制的关键措施。其目的是收集实际施工进度的有关数据。跟踪检查的时间和收集数据的质量，直接影响控制工作的质量和效果。一般检查时间间隔与项目的类型、规模、施工条件和对进度执行要求程度有关。通常可以确定周、旬、月或每天进行一次。若在施工中遇到天气、资源供应等不利因素的严重影响，检查的时间间隔可临时缩短，次数应频繁，甚至可以每日进行检查，或派人员驻现场督阵，检查和汇集资料的方式，一般采用进度报表方式或定期召开进度工作汇报会。为了保证汇报资料的准确性，负责进度控制的项目管理人员，要经常到现场察看项目的实际进度情况，从而保证经常地、定期地精确掌握项目的实际进度。（2）整理统计检查数据收集到的项目实际进度数据，要进行必要的整理、按计划控制的工作项目进行统计，形成与计划进度具有可比性的数据，一般可以按工作量和劳动消耗量以及累计百分比整理统计实际检查的数据，以便与相应的计划完成量相对比。（3）对比实际进度与计划进度将收集的资料整理和统计成具有计划进度可比性的数据后，用项目实际进度与计划进度的比较方法进行比较。通常用的比较方法有：横道图比较法、S型曲线比较法和“香蕉”型曲线比较法和列表比较法等。通过比较得出实际进度与计划进度相一致、超前、拖后三种情况。（4）项目进度检查结果的处理项目进度检查的结果，按照检查报告制度的规定，形成进度控制报告向有关主管人员和部门汇报。进度控制报告是把检查比较的结果，有关施工进度现状和发展趋势，提供给项目经理及各级业务职能负责人的最简单的书面形式报告。项目进度计划调整分析进度偏差影响分析进度偏差的工作是否为关键工作分析进度偏差的是否大于总时差分析进度偏差的是否大于自由偏差经过如此分析，进度控制人员可以确定应该调整产生进度偏差的工作和调整偏差值的大小，以便确定采取调整新措施，获得新的符合实际进度情况和计划目标的新进度计划。项目进度计划的调整方法改变某些工作间的调整关系缩短某些工作的持续时间项目实施前进驻现场后，首先安排和重点做好下面几件事：设立现场机构，明确各部门及人员职能、职责，落实与甲方、监理单位等相关单位的联络方式，以便各方协调配合。进一步实地考察现场，掌握项目进展的第一手资料，修订和细化智能化管理系统总承包方的实施计划。及时安排已符合定货条件的特殊设备（产品）的定货，保证施工计划的落实。进度计划的实施编制月施工计划：将规定的任务结合现场实际施工条件，逐月编制月施工计划，使施工进度计划更具体、切合实际和可行。签发施工任务书：编制好月计划后，将每项具体任务通过签发施工任务书的方式使其进一步落实。做好施工进度记录，填好施工进度统计表。做好施工中的调度工作，协调施工过程中各专业、各工种的相互关系。进度计划的检查跟踪检查施工实际进度，采取进度报表方式或定期召开进度工作汇报会的方式进行收集实际施工进度的有关数据。并对此进行必要的整理，按计划控制的工作项目进行统计，形成与计划进度具有可必性的数据。项目进度检查的结果，按照检查报告制度的规定，形成进度控制报告，向有关主管人员和部门汇报。项目进度保障措施项目进度控制采取的主要措施有组织措施、技术措施、合同措施、经济措施和信息管理措施等。（1）组织措施：组织措施主要是落实各层次的进度控制的人员，具体任务和工作责任；建立进度控制的组织系统；按着项目的结构、进展有阶段或合同结构等进行项目分解，确定其进度目标，建立控制目标体系；确定进度控制工作制度，如检查时间、方法、协调会议时间、参加人等；对影响进度的因素分析和预测。（2）技术措施技术措施主要是采取加快施工进度的技术方法。（3）合同措施合同措施是对分包单位（这里指项目承包组）签定施工合同的合同工期与有关进度计划目标相协调。（4）经济措施经济措施是实现进度计划的资金保证措施。（5）信息管理措施信息管理措施是指不断地收集施工实际进度的有关资料进行整理统计与计划进度比较，定期地向建设单位提供比较报告。影响进度因素分析编制单位项目施工进度计划并控制其执行，按期完成项目的实施任务；编制分部分项项目施工进度计划，并控制其执行，完成规定的目标等。技术失误：如采用技术措施不当，实施中发生技术事故等项目组织管理不利：如流水作业组织不合理、劳动力等调配不当意外事件的出现：如严重自然灾害、火灾、重大工程事故等对以上因素加以分析，对不可抗拒的自然灾害，将尽早恢复建设；对出现恶劣环境，将尽可能克服；对与有关单位的影响，将想办法创造条件；对技术和施工组织管理，我方将严格把关，采取一切措施避免。编制进度控制任务编制项目总进度计划并控制其执行，按期完成分项目的实施任务；编制季度、月（旬）作业计划，并控制其各项目任务的计划有序进行。项目人力投入保证为了确保本项目为优良项目，我公司将把本项目列入年度重点项目目标，拟投入技术精英和管理精英，挑选一支纪律严明、技术熟练、能打硬仗的技术队伍承担本项目任务。项目工期保证措施一、充分做好开工前的准备工作（一）认真仔细熟悉图纸，确切了解项目的各项内容，技术质量要求。在此基础上认真做好图纸会审工作，通过会审把图纸中不明确部份以及错漏部分解决，以免贻误工期。（二）一步步编制详细的施工组织设计、及时编制主要的分项施工作业计划，并向各级管理人员、班组长传达交底。（三）组织好一开始施工所需的材料，提交资料，样品报审，对特种材料，进口材料更需提前计划。（四）实施前各方面的人员要落实到位，凡被选调入项目组的管理人员，专业工长随时候命，项目一开工即进驻项目现场开展工作。（五）准备投放到本项目的机械设备进行全面检修保养，以保证机械设备进场完好，能正常运作。二、加强管理、科学安排、精心施工（一）由公司选派具备相关专业的优秀管理人员组成项目部。对项目实行有计划地组织、协调、控制、监督和指挥。同时派出技术过硬，吃苦耐劳的施工队伍，确保按标准按进度完成本项目的施工任务。（二）实施过程中应以总工期为目标，以阶段控制为保证，运用企业内部的有利条件，动态管理，责任承包。使施工组织科学化、合理化，确保阶段计划按期或提前完成。（三）实行全面计划管理，认真编制切实可行的项目总进度计划和相应的月、周、作业计划，使施工生产上下协调长短计划衔接，在施工中坚持月平衡，周调度，确保计划的落实。从而保证项目总工期目标的实现。坚持制度、动态管理健全各级责任制，实行重奖，重罚制。（四）建立文明卫生管理小组，加强对食堂和住所卫生监督和管理，减少病员，确保正常的施工劳动力。（五）搞好项目指挥和调度工作，保证施工协调一致，严格执行机械保养制度，提高机械利用率和出勤率，保证均衡生产。（六）抓好人员、设备进场，搞好前期施工准备工作。（七）组织科技攻关，确保关键工序的项目进度。实行目标管理，通过分阶段目标实现，确保施工工期。（八）项目实施生活设施等做好充分的准备工作，保证施工进度计划的实现。优化工期进度措施1、措施保证1.1在项目组织实施过程中，为确保本项目在建设期内提前顺利交付使用，我公司将在项目实施的准备期对作业计划的合理编制进行详细的分析和多方案的比较确定优化的实施方案。1.2建立以项目经理、项目技术负责人和各专业技术员为核心的工期控制体系。充分发挥本项目施工作业面大的优势，合理的划分施工流水段，以交叉作业为控制重点，各工种穿插作业，相互协调，积极配合，有条不紊的进行施工，加快整体施工进度。1.3在施工组织上充分调动施工资源加快施工进度，使其在最短的使时间内完成，给中后期施工创造条件。1.4提前对所涉及的材料、设备进行采购定货。对参与施工的作业人员进行针对性的质量意识和操作技能培训、对用于本项目的机械、设备提前进行维护保养，使其随时处于良好的运行状态，公司将把该项目列为本年度的施工管理控制重点。2承诺及优惠的保证措施我单位对我方所承诺及优惠采取强有力的保证措施，在保证项目质量保证工期的前提下，我方采用科学的管理方法，强有力的施工领导组织施工管理，具体措施综上所述。3加强购置管理工作3.1贯彻本公司制定对外购、外协物资的分承包方的质量保证能力的调查，物资的采购过程实施质量控制，以确保所采购的材料，产品符合质量所规定的要求，保证分承包方能长期、稳定供应优质价格合理的材料。3.2贯彻执行各项交付项目程序，以确保产品符合所规定的质量要求，保证产品不损坏不丢失，保证按质量标准交付顾客满意的产品。3.3产品要有进行标识确保在必要时对产品质量的可追溯性，对采购的物资，材料部门应根据其对项目质量是否有影响予以区别对待，尤其对设备、管件、仪器仪表等重要物资，到货后必须进行可追朔性标识，并做好记录，以防止错裁错用或不合格品流入使用造成浪费。4加强技术、质量管理4.1施工中坚决贯彻《关键工序、特殊过程控制工作程序》。4.2施工时应及时进行图纸会审，做好详细记录，对提出问题汇总，在综合会审中做出决定，由设计单位出设计变更单，其它在会审记录中加以说明，以免在施工中发生问题。5合理安排工期进度认真筛选劳务队伍，精心组织施工，根据项目实际情况和流水施工步距，合理投放劳动力采用上下内外同步交叉立体施工，项目要定岗、定人、定任务，安全合理调整组织劳动力，压缩施工周期，以降低成本。

6向成品保护要效益6.1提高所有施工人员的成品保护意识，并按施工班组责任到人。6.2投入一定的资金和设施对成品、半成品进行有效的保护。6.3合理安排各工种穿插作业，提前分析出工种交叉作业中可能出现的对成品、半成品保护不利的因素，提前作出防范措施失以达到降低成本提高效益的目的。7提高管理工作效率在项目实施阶段，除传统的优化施工组织设计、强化现场管理外，一是要合理控制项目变更。在施工过程中发生变更，会对施工进度和造价产生影响，应当合理控制。如果出现必须变更的情况，必须严格按照国家的规定和合同约定的程序进行，尽快变更，尽快落实变更。应建立项目签证管理制度，明确项目、预算等部门和人员的职责分工，确保签证质量，杜绝不实及虚假签证的发生。办理项目签证要及时，对签证的描述要求客观、准确。签证发生后应根据合同规定及时处理，审核应严格执行国家定额及有关规定，经办人员不得随意变通。二是抓好合同管理、减少对方索赔。合同管理对造价控制起着重要作用，管理人员必须充分理解和熟悉合同条款，一方面要利用合同条款随时解决项目金额方面的纠纷，另一方面要全面履约，以避免索赔的发生。8引进科学的施工技术8.1采用新工艺新方法，开展技术进步合理化建议工作来控制和降低项目成本。9加强技术、质量管理9.1施工中坚决贯彻《关键工序、特殊过程控制工作程序》。9.2施工时应及时进行图纸会审，做好详细记录，对提出问题汇总，在综合会审中做出决定，由设计单位出设计变更单，其它在会审记录中加以说明，以免在施工中发生问题。10.开展劳动竞赛，掀起施工高潮开展劳动竞赛开展比进度、比质量、比安全的活动，调动职工的积极性和劳动热情，不断掀起施工高潮，提高劳动生产率，

加快实施进度，确保总工期的实现。提高员工素质和施工工艺水平，充分发挥先进的技术优势，提高生产率，加快施工进度。加强项目计划管理，制定并严格执行奖罚制度，建立健全“标、保、考”责任制，确保施工进度的落实。实行内部经济承包责任制。既重包又重管，使责任和效益挂钩，个人利益和完成工作量挂钩，作到多劳多得，调动施工队，个人的积极性和创造性。11.优化环境，和谐合作.优化环境，优化环境营造良好的建设与施工环境是保证项目顺利进展、按期开工、提前竣工的必要条件。为此：⑴.主动与建设、设计、监理单位建立密切关系，通力合作；认真听从督导，遇有分歧，应坦诚求实、友好协商。⑵.积极协调好与当地政府及群众的关系，把工作做到前面，与友邻单位密切配合，协调运作。12、加强施工管理，避免产生不合格项目.加强施工管理，加强施工管理严格按ISO9001质量管理、质量保证的标准组织施工，对施工过程进行有效控制，把质量通病和质量事故消灭在萌芽之中，避免不合格项目发生，从而避免因工作失误延误工期。项目服务团队人员配置清单在本次项目中，我司将组织一支专门的项目团队，并根据项目实施需求配备充足、并且技术与业务能力过硬、项目经验丰富的技术人员，确保可以满足项目建设的需要。项目实施过程实施流程瀑布模型迭代模型A迭代模型B项目启动阶段需求分析阶段需求规格阶段设计阶段开发阶段测试阶段试运行阶段验收阶段项目维护阶段项目实施文档在本次项目中，我司将为招标人提供全面、详细、合格的技术文档资料，确保可以满足比选人对系统使用与维护的需要。在项目实施中过程中将提供能确保系统正常运行所需的管理、运营及维护的相关文档。确保提供的技术资料将能够满足招标人对投我司所提供的应用软件安装、管理及运行维护等的需要。具体，我司将提供的技术文件至少应包括：需求分析报告设计说明书（概要设计、详细设计）测试方案测试报告用户手册（安装、操作、维护、故障排除等）维护手册技术手册项目用户接收测试方案、用户接收测试记录、项目用户接收测试报告项目试运行报告源代码项目培训方案项目培训策略为了保证项目的培训效果，达到预期的目标，我们根据项目实施方法论，设计有针对性的培训策略。具体为以下几个步骤：制定培训计划与策略项目启动后，我们将针对项目每个阶段进行培训计划编制，就项目各阶段的培训需求、培训的内容、培训的时间、培训的地点、培训的对象和培训的方式等编制具体的计划和方案。设计培训材料与培训重点本环节将着重策划、设计培训战略计划中所涉及的关键控制点，包括：协同各个功能小组制定每一培训课程的具体课程表与教学计划；确定课堂教学与系统环境模拟的具体方式；协同各个功能小组设计培训材料格式和教学用演示材料；培训的系统环境模拟配置方案。编写培训材料根据项目的每个阶段项目交付成果协助客户关键用户编写各种培训材料：教学演示材料、用户手册等。培训成功关键一个项目组所有成员沟通和拥护的定义清晰的工作方法；一个范围和沟通程序明确定义的控制严密的项目；一个和整个项目计划集成和相辅的培训工作计划；配备有丰富经验的资源；培训组和其他项目小组之间衔接紧密的有效的和高效率的知识传授；系统的、循序渐进的培训课程；一个科学管理的学习进程，以避免参与者信息超负荷。培训潜在风险用户的信息超负荷或由于其他活动带来的时间和精力的竞争都可能导致培训的失败；对项目资源分配的不充足会严重影响到客户从该项目获得成功。项目培训目标对于项目培训工作，我们将会根据系统应用要求设定相应的预期目标，并承诺让所有学员都达到预期的培训效果。对此，我们将提供相应的考试、上机操作等手段，以考核学员的培训成绩并检验培训效果。对于那些成绩未达标的学员，我们将组织再次培训，直到其成绩达到预期培训效果。具体，在本项目中对于用户系统培训，我们所设定的培训目标为：通过培训，使最终用户的业务/应用人员能够达到以下水平：能对应用系统软件进行熟练操作；具有熟练查阅各种业务文件及操作手册的能力；掌握应用系统中的业务处理流程。通过培训，使最终用户的系统运营人员能够达到以下水平：可熟练使用系统软件，及时排除大部分的系统故障。通过培训，使最终用户的系统管理员能够达到以下水平：可以熟练掌握系统软件的使用，熟悉系统整体结构，能够阅读软件源程序，分析系统故障，管理系统设备，掌握系统内部和外部接口；掌握应用软件的运行维护方法，能够独立安装和调测应用软件；并具备系统管理和系统扩建、升级的能力，可承担全面的技术管理工作；具有熟练查阅各种技术文件及维护手册的能力。通过培训，使最终用户的相关周边系统技术人员能够达到以下水平：了解应用软件中的处理流程以及接口调用；具有熟练查阅各种技术手册的能力。项目培训方式为使合同中所涉及到的产品能正常安装、调试、运行、维护及检修，我司将提供相应的技术培训，并保障培训内容应与工程进度相一致。在系统实施阶段，我们将对本系统用户以及管理人员提供完整的产品配套培训，将根据系统