中国兵器工业集团公司司库管理信息系统票据使用高效管理模块项目询价

一、项目基本要求

本项目按照国务院国资委关于推动中央企业司库体系建设相关通知和中国兵器工业集团司库体系建设实施方案的要求，结合询价方业务需求实现：

（1）司库管理信息系统票据使用高效管理模块，实现中国兵器工业集团司库管理体系的需要；

（2）司库管理信息系统票据使用高效管理模块与多个相关系统及外部服务的接口直连；

（3）系统能够部署在询价方本地服务器，并保障系统安全访问。

二、系统需求

2.1系统建设概况与目标

根据集团司库体系建设总体要求，统一管理财务公司内部及外部商业汇票，建立集团公司“票据池”，强化票据业务监管，防范并化解票据业务风险。

2.2系统功能性需求

按照国务院国资委关于推动中央企业司库体系建设相关通知和中国兵器工业集团司库体系建设实施方案的要求，结合询价方的业务需求（见附件1）完成系统功能开发建设与优化。

2.3系统非功能性需求

2.3.1先进实用需求

1.需要采用成熟、先进的技术，注重应用，讲求实效。

2.在系统模块的构建、功能实现的要求上，要重点突出，主次分明，强调标准统一，适合项目的实际需要。

3.面向互联网提供服务的应用，须支持IPv6网络协议。

2.3.2运行界面要求

1.用户交互界面必须支持主流浏览器，其中：IEV8及以上，Edge，ChromeV36及以上，FireFoxV4及以上，Safari6.2.6及以上，Opera16及以上。

2.不依赖于浏览器的版本和类型。

3.界面美观友好，易于使用，学习成本低。

4.系统所有界面应不受屏幕分辨率限制，可实现自动适配各类屏幕分辨率。

2.3.3稳定性需求

1.应保证7×24小时稳定可靠运行，且系统全年故障时间不超过4小时，具备崩溃恢复机制，在系统出现故障的情况时能够自动快速恢复系统的正常运行。

2.针对流程运行过程中可能出现的异常情况尽可能的思考完善并都能做出有效处理，拥有健全的异常处理机制，从而保证在上线部署后能够长久平稳的运行。

2.3.4性能需求

1.系统对用户交易操作的正常响应时间不超过1200毫秒，查询类应用的正常响应时间视取数逻辑复杂程度和数据量大小不超过5秒。

2.批量业务操作原则上100条小于5秒，具体指标根据实际情况商定。

3.查询分析类数据结果应做到实时，复杂运算类分析结果最大延时不超过5分钟。

2.3.5可靠性需求

系统在访问量和业务量加大的情况下，支持多台主机建立集群方式共同进行业务处理，实现负载均衡保证应用的稳定。

2.3.6可维护性需求

需要具备完善的日志管理机制，能够提供详细有效的系统运行和用户使用日志，便于对故障、事件和错误等进行分析和定位，方便事件处理和解决。

2.3.7可扩展性需求

1.系统的设计、开发和部署支持询价方当前业务需求及今后的业务发展，系统具有可扩展性。

2.针对组件的扩展定制，要求系统采用模块化组件式架构，允许询价方自由定制扩展。

3.针对应用在业务组织层面的推广，要求系统具有通过参数和模板配置方式快速推广的能力。

2.3.8开放性需求

1.系统提供开放的、标准的应用编程接口，不绑定具体技术，基于接口与其他软硬件产品进行互连和数据交换。对操作系统、硬件、软件无绑定，具有可移植性和高兼容性，具备集群能力。

2.投标产品的许可不与具体的服务器或CPU绑定，只与许可数量有关；用户保留在今后（包括服务期内及服务期外）更换该软件所安装的服务器的权利，如果因此造成需要更换许可，所需工作及费用由供应商承担。

3.系统应具有统一登录界面，实现司库所有功能模块（不仅包含本次询价的模块，还应包含不在本次询价中的模块）通过统一登录界面登录。

2.3.9安全性需求

1.系统要求实现严格的安全控制，在安全设计上应具有完整的安全防范措施，具有合理的权限管理机制及日志管理机制，确保系统安全性。结合通用技术的安全策略要求及具体情况，提供本系统的安全解决方案，包括业务安全、内容安全、网络安全、数据安全、管理安全、移动安全等，提供规范的、可审计的IT服务，实现记录所有操作和访问的准确、可再现的痕迹，并做出适当的分类

2.在业务安全方面，如涉及到互联网、专线传输的数据需进行加密传输，尤其客户信息、密码等敏感数据不得进行明文传输，需采用合适的技术方案，保障信息安全。

3.在网络安全方面，需充分利用防火墙、安全证书、SSL等数据加密技术保证系统与数据安全进行网络环境架构设计，提出明确的系统在广域网环境中的安全策略保护方案；基于网络安全的设计各个功能模块中间部署有防火墙，防火墙基于自身的安全机制会定期清理闲置连接。所以需要建立保活机制，定期进行hello包的探测，避免受到影响。

4.在系统安全方面，应具有能够对重要的用户行为和重要安全事件进行审计的功能；审计记录应包括事件的日期和时间、用户、IP地址信息、事件类型、是否是高危操作、请求时间、请求耗时、事件类型及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等，并对审计进程进行保护，防止未经授权的中断。

5.需要具备有效的、合理的权限控制机制，系统应实现管理用户的权限分离，仅授予管理用户所需的最小权限，实现管理用户的权限分离，应至少划分如系统管理员只能对系统进行维护，安全管理员只能进行处理配置和安全配置，安全审计员只能维护审计信息等；应用服务应以非root权限部署，应用用户需通过平台查看日志。

6.对用户登录进行有效的USBKey证书绑定及安全认证机制（首次绑定后通过USBKey即可进入系统，无需再输入用户名密码），保障系统安全性和可靠性；对于管理用户，可通过产品的安全策略强制实施用户口令安全规则；具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

7.程序需符合代码编写规范，须不存在SQL注入、不安全的加密存储、XSS攻击、CSRF攻击等安全漏洞和质量问题，保障系统数据在应用层不存在泄露的风险，可通过代码审计、漏洞扫描以及渗透测试等。

8.系统应确保业务数据传输及存储过程中的正确性、完整性、一致性、安全性、可审计性，具备准确、完整的数据备份和快速、可靠的恢复能力。

9.供应商必须提供软件厂商针对所投产品出具的信息安全承诺函，承诺投标产品没有任何后门和恶意漏洞。

10.软件交付前，供应商应提供由第三方机构检测的恶意代码检查报告、审查软件源代码中可能存在后门和隐蔽信道的软件测试报告、包含密码应用安全性的测试报告等。

2.3.10接口需求

1.系统除满足功能性需求中相关业务功能及接口需求外，还需满足与财务公司业务系统、司库其他模块、集团成员单位系统、集团公司财务管理信息化平台等系统的接口对接需求。

2.内部系统接口通过HTTP协议，外部接口通过HTTPS协议，采用RESTful、UTF-8编码的报文；为满足未来业务发展需要，报文应具有较强的扩展性。

3.对交易数据进行签名验签。

4.提供直连服务前置机程序，实现数据传输加密和签名。

三、文档管理要求

项目建设文档主要包括需求文档、概要设计、详细设计、原型设计、代码文档、测试文档、评审文档、变更文档、系统实施方案、项目计划、项目管理制度、用户手册等。开发过程中发生需求变更、设计调整等情况时，要有规范的、可回溯的记录文档。产品和所有技术文档要具有严格的一致性。

四、人员管理要求

报价方必须保证具有按照谈判文件和合同要求完成本项目的人力资源。必须具有针对项目成员的有效的管理措施，这些措施涉及到包括但不限于人数保证、人员资格和能力保证、工作量和工作效率保证、持续稳定性、以及人员考核和安全保密责任等方面。

报价方须同意所派出的本项目人员接受询价方的考核，通过考核的本项目成员不得擅自变更。

鉴于询价方和本项目的特殊性质，报价方应对本项目成员做好安全保密教育，配套相应的管理制度和流程，并对由于报价方项目参与人员的安全保密负连带责任。

报价方项目组工作场地设在询价方指定的地点。报价方项目组成员需遵守询价方对工作时间的要求全日制驻现场工作。报价方项目组如因本项目需要而在现场以外的地点工作，则应向询价方提出书面申请，经询价方书面同意后方可。

五、知识产权要求

司库管理平台源代码及所有文档资料须于项目开发过程完成后一周内交付询价方，并于系统整体验收前，将所有完整的开发成果及附件资料（含源代码及文档资料）交付询价方。

报价方须承诺：

（1）本项目的建设过程资料及产品没有任何不能向询价方提交著作产权的内容和技术细节；

（2）保证使用正版软件进行系统开发，并对因使用非正版开发工具而引起的一切后果负责；

（3）为了保证产品知识产权的相对独立性，非开放性的开发工具或技术构件，在系统开发过程中将禁止使用；

（4）本项目建设过程资料及产品的知识产权注册权归询价方所有。

六、项目测试与验收

系统测试和验收标准依据国家和行业的有关标准法规执行，没有对应标准的由双方根据合同内容、系统业务需求文本、系统建设技术需求说明书等内容协商制定，报价方须在其报价方案中明列所引用的标准。

系统开发完成，报价方测试正常后，可向询价方提出测试申请和测试计划、测试方案。提交测试的系统应是成熟产品，并提交相应测试文档；询价方可以随时组织对系统进行测试；询价方组织的测试仅对系统的需求符合程度、技术状况、工程质量等给出测试结论。

询价方认为必要，可以委托第三方权威检测机构对系统进行测试，出具系统测试结论。如果测试结果与双方商定的标准不符，由报价方承担第三方测试机构的测试费用，如果相符则由询价方承担。

系统测试工作完成后，报价方以书面形式向询价方提交系统验收申请，经询价方审核批准后，由询价方组织有关专家、实际使用人等，根据用户使用意见、测试结论、系统运行报告出具系统验收意见，完成对系统的验收。

系统验收合格后，询价方按照合同规定的验收合格相关的付款条件，支付报价方相应款项。系统验收不合格时，报价方应负责修改系统，并在达到验收条件时，再次向询价方提出书面验收申请。因报价方原因导致系统验收不合格产生的系统建设工作成本和延期违约等责任，由报价方承担。

七、培训要求

培训内容和目标如下：

系统管理员培训要求

熟悉整个系统软件结构和系统的配置

熟练掌握系统基本组成及原理

熟练掌握系统的操作与运行管理

熟练掌握系统的发布、检测、维护

熟练掌握排除故障的基本技术

系统操作员或终端用户培训要求

了解系统基本组成及原理

熟练掌握操作步骤、一般故障及排除

八、维护和技术服务

报价方应该具备与本项目相适应的服务和维护能力，在北京市有固定的场所及人员负责项目的维护工作。在运维保证期间，必须在北京维持一直稳定的技术队伍。

报价方须承诺定期进行系统运维巡检和及时进行系统异常处理。服务方式为7x24上门服务，服务响应时间小于4小时。

报价方须同意系统运维期结束后，免费提供本地化的技术支持服务。服务方式与响应时间与运维期内的要求相同。

报价方需同意在系统建设及运维期间，若与财务公司业务系统、司库其他模块、集团成员单位系统、集团公司财务管理信息化平台接口规范发生变更，免费提供系统相关功能的改造优化。

报价方需同意系统运维期间，若询价方通过相关检测手段发现系统存在安全漏洞，免费并及时提供安全补丁升级等安全加固工作。

报价方需同意系统验收合格后，提供1年免费运维服务（含1人次驻场运维），运维服务开始时间以项目整体终验报告日期为准。

报价方须承诺在免费运维期满后，能继续提供运维服务，这种服务可以是有偿提供的，双方可另行签订维护和支持协议，报价方承诺按照不高于【合同总价的10%】价格提供服务。

九、项目进度要求

系统建设完成时间要求：所有需求功能应于2023年6月中旬前完成部署实施，达到可上线使用状态，按时保质完成相关需求规定的内容。报价方须通过制定计划、计划管理，保证本项目按谈判文件和合同的要求按时、保质完成。

十、其他要求

报价方应具有独立承担民事责任的能力；

报价方应具有良好的商业信誉和健全的财务会计制度；

报价方应具有履行合同所必需的设备和专业技术能力；

报价方应有依法缴纳税收和社会保障资金的良好记录；

报价方参加此项报价活动前三年内，在经营活动中没有重大违法记录；

报价方应具备长期提供服务的专业人员和相关专业部门；

报价有效期不应少于6个月。

十一、报价要求

报价方应提供以下材料，加盖公章，作为附件上传系统：

（1）报价方资料：应包括但不限于公司名称、公司地址、注册地点、成立时间、注册资本、企业性质、办公场所面积、营业范围、联系人、企业资产情况、企业员工情况、组织架构等信息，营业执照或事业法人登记证明复印件，上一年度经审计的财务报告复印件或报价方基本开户银行出具的资信证明，近一年任意1个月的纳税证明文件，法定代表人授权书等；

（2）投标文件：项目所有内容的单项价和总价，明确是否转让知识产权；

（3）实力证明：公司具有的CMM/CMMI软件成熟度认证证书、ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理质量体系认证证书、ISCCC信息安全服务资质认证证书、信息系统安全等级保护备案三级认证证书，或其他与项目相关的证书；

（4）案例证明：公司近5年具有的央企司库管理平台、财务公司或金融机构相关项目规划、开发实施项目经验；

（5）项目人员情况：拟投入本项目的主要负责人简历、项目团队情况；

（6）项目技术文件：包括但不限于业务需求理解、项目整体设计及规划、产品功能介绍、技术实现方案、服务团队、培训和知识转移、本地化售后服务体系等；

（7）报价方认为应提供的其他文件。