序号

名称

技术参数（包括但不限于性能、材料、结构、外观、安全，或者服务内容和标准等）

数量

单位

1

青海干部网络学院系统平台迭代升级服务项目

一、项目概况

中共中央印发《2018—2022年全国干部教育培训规划》（以下简称《规划》），对当前和今后一个时期干部教育培训工作作出全面部署。《规划》强调,以坚定理想信念宗旨为根本,以全面增强执政本领为重点,突出政治训练、政治历练,把提高政治觉悟、政治能力贯穿全过程，坚持政治统领、服务大局，坚持以德为先、注重能力，坚持精准培训、全员覆盖，坚持改革创新、共建共享，坚持联系实际、从严管理，围绕建立源头培养、跟踪培养、全程培养的素质培养体系深化干部教育培训改革，着力提高培训针对性有效性，高质量教育培训干部、高水平服务党和国家事业发展。

为深入贯彻落实青海省干部培训工作的战略部署，进一步深化干部培训体系，实现“一张网、一盘棋、横向到边，纵向到底”的干部培训战略目标，由中共青海省委组织部主办，青海民族大学承办的“青海干部网络学院”已在2020年建设完成并稳定投入使用中。网络学院平台从内容、技术、体验、管理、保障五个方面，打造“一流”的干部网络学习平台，建设一套高扩展性、高承载能力、易于迭代的学习平台。

二、项目功能要求

（一）实现青海干部网络学院平台功能的新增

（二）对青海干部网络学院平台的测评系统源代码进行审计服务

三、服务要求

（一）平台功能新增的服务要求

为了方便管理员更好的操作系统，提供更好的使用体现，项目要求在多个模块进行功能的新增，新增后的模块包括：数据统计查询、平台对接的接入、昆仑大讲堂、好书籍、好刊物、证书、好精神、好健康、专题聚焦、专题研修班、讲师、课程等。

其中，数据统计查询功能将对多个模块的数据统计查询功能进行优化，例如对好健康、好资讯、好文章、好政策、好生态等查询模块增加上传时间段等字段，方便管理员更精确的查询想要的结果。好精神栏目新增了VR课程，因此，需要新增VR栏目的后台统计查询功能。在网上学习统计模块，为了方便管理员能更精确的定位到相关的用户或者用户的学时数据，计划丰富查询字段，包括用户组、年龄段、性别、政治面貌、合格率、参与率等。

线下班级包括了专题研修班及昆仑大讲堂，考虑到学员在线下班学习时候，会因为各种原因签到不及时或者没有签到成功，所导致的不能获得学时的情况，昆仑大讲堂学时录入加入筛选，未扫码的人员整体实现一键录入功能，及时解决学员打卡问题。

青海干部网络学院平台对接人民网的测评系统平台，项目要求在青海干部网络学院上增加测评系统的入口，用户可以跳转至测评系统。

课程方面，为了提高网院课程管理员上传课程的效率，项目要求进行批量上传课程包功能的开发；为了优化学员的观看体验，减轻网站的运行压力，项目要求将视频的格式进行调整说明。在此基础上，为了更好的控制网站中视频大小，在课程上传时，增加校验课程大小的功能，对上传课程的码率进行控制。

为了更好的服务学员学习，提高学员的使用体验，项目要求对学员端（包括web端、app端）也新增一系列的功能，包括搜索功能、好精神功能、好刊物功能、专题研修班功能、展示测试平台入口等。

好精神方面因为增加了VR项目，项目要求增加学习VR栏目可让学员获得积分功能。

在好刊物方面，项目要求增加有声期刊栏目，丰富资源，学员学习有声期刊栏目也会增加期刊积分的获取。同时，因为报纸栏目停更，项目要求隐藏报纸栏目。

项目要求在青海干部网络学院平台中新增固定展示人民网测评平台的跳转入口。

项目cms端、web端、app端（iOS）、app端(安卓）服务要求:

1.cms端

1.1专题研修班模块：为了方便管理员更好的查看专题研修班的学员学习数据，便于统计，因此增加结业率统计展示；

1.2平台对接模块：今年完成对接人民网的问卷调研平台，在后台管理系统中主要进行数据的对接及设置可以跳转问卷平台的人员等功能；

1.3昆仑大讲堂模块：昆仑大讲堂为线下班级，涉及到学员打卡以后才可以获得学时，考虑到有学员不能正常打卡，或者是打卡不上的情况，因此增加录入筛选，未扫码的人员整体实现一键录入功能；

1.4好刊物模块：与有声资源对接，在系统中增加听刊栏目，包括栏目的整个对接及管理；

1.5 Banner模块：系统增加了听刊的资源，为了方便推荐好的听刊，在后端banner资源引入中听刊及有声文章的推荐；

1.6推荐栏目模块：听刊资源和有声文章作为优质资源可以进行推荐；

1.7专题模块：专题中增加有声文章及有声期刊的展示；

1.8积分管理模块：学员在学习听刊的资源时，可以通过累计时长进行获得积分，因此需要在积分管理中增加对听刊及有声文章获取积分；

1.9证书模块：目前证书不可编辑，后续为了丰富证书内容，需新增证书的编辑功能；

1.10Banner模块：系统在2021年新增了vr栏目，为了更好的推荐vr资源，因此在banner中增加vr资源的推荐；

1.11专题模块：为了丰富专题内容，因此将vr栏目增加至专题中进行推荐；

1.12积分管理模块：学员在查看vr资源时，可以获得相应的积分，因此需要在积分管理中增加vr积分管理；

1.13好精神模块：VR栏目在新增及编辑资源时，增加字段：时长、地点及关键词；

1.14讲师模块：增加专题研修班班主任维护，字段：姓名、职称、职级、单位、研究方向、简介、联系电话；

1.15好课程模块：增加批量上传课程功能；

1.16好课程模块：增加课程上传限制；

1.17专题网班推荐专栏模块：首页新增专题网班推荐专栏模块（图片、专题名称），点击专栏，可查看专栏内容。内容包含：专题名称、专题封面图片、专题介绍、建班需求、专题课程等基本信息及专题宣传报道、已建该专题的网班展示、往期专题网班推荐回顾等子栏目）；

1.18网上学习统计模块：学员学习数据非常重要，为了方便管理员对学员数据的查询，因此在网上学习统计模块增加查询字段：（用户组不同需要呈现职务职级；年龄段、性别、少数民族、政治面貌、合格率、参与率）；

1.19好健康数据统计模块：为了方便管理员对目前系统中好健康模块的更精准的数据统计，因此增加查询条件：上传时间段（年月）查询、来源、上传人员字段；

1.20好资讯数据统计模块：为了方便管理员对目前系统中好资讯模块的更精准的数据统计，因此增加查询条件：上传时间段（年月）查询、来源、上传人员字段；

1.21好文章数据统计模块：为了方便管理员对目前系统中好文章模块的更精准的数据统计，因此增加查询条件：上传时间段（年月）查询、来源、上传人员字段；

1.22好政策数据统计模块：为了方便管理员对目前系统中好政策模块的更精准的数据统计，因此增加查询条件：上传时间段（年月）查询、来源、上传人员字段；

1.23好生态数据统计模块：为了方便管理员对目前系统中好生态模块的更精准的数据统计，因此增加查询条件：上传时间段（年月）查询、来源、上传人员字段；

1.24课程统计模块：为了方便管理员对目前系统中课程模块的更精准的数据统计，因此增加：课程统计功能中增加按年度筛查的上传课程的总学时数、上传总门数、来源、上传人，点击量的由高到低排序查询等字段；

1.25有声期刊统计模块：因为系统中增加了有声期刊模块，因此增加对有声期刊的统计模块，包括查询条件，列表展示及数据统计；

1.26好刊物统计模块：为了方便管理员对目前系统中好刊物模块的更精准的数据统计，因此增加查询条件：上线时间段（年月）查询；

1.27好书籍统计模块：为了方便管理员对目前系统中好书籍模块的更精准的数据统计，因此增加查询条件：上线时间段（年月）查询；

1.28VR栏目数据统计模块：因为系统中新增了VR栏目，因此增加统计功能，包括查询条件，列表展示及数据统计。

2.Web端：

2.1好精神模块：目前好精神栏目中新增的VR栏目不对游客展示，后期将新增游客访问功能；

2.2好精神：VR展示栏目搜索增加检索条件：地点、关键词检索；

2.3专题聚焦模块：专题聚焦增加好精神栏目推荐功能；

2.4好精神模块：Vr栏目增加积分获取功能；

2.5全站搜索模块：全站搜索增加好精神VR栏目的搜索；

2.6好刊物模块：增加有声期刊栏目的展示；

2.7好刊物模块：增加有声期刊积分获取；

2.8平台对接模块：今年完成对接人民网的问卷调研平台，在后台管理系统中主要进行数据的对接及设置可以跳转问卷平台的人员等功能；

2.9 Banner模块：Banner中增加VR栏目的展示；

2.10专题网班推荐专栏模块：首页新增专题网班推荐专栏模块（图片、专题名称），点击专栏，可查看专栏内容。内容包含：专题名称、专题封面图片、专题介绍、建班需求、专题课程等基本信息及专题宣传报道、已建该专题的网班展示、往期专题网班推荐回顾等子栏目）。

3.app端（iOS）：

3.1好精神模块：VR展示栏目搜索增加检索条件：地点、关键词检索；

3.2专题聚焦模块：专题聚焦增加好精神栏目推荐功能；

3.3好精神模块：Vr栏目增加积分获取功能；

3.4全站搜索模块：全站搜索增加好精神VR栏目的搜索；

3.5好刊物模块：增加有声期刊栏目的展示；

3.6好刊物模块：增加有声期刊积分获取；

3.7平台对接模块：今年完成对接人民网的问卷调研平台，在后台管理系统中主要进行数据的对接及设置可以跳转问卷平台的人员等功能；

3.8Banner模块：Banner中增加VR栏目的展示；

3.9专题网班推荐专栏模块：首页新增专题网班推荐专栏模块（图片、专题名称），点击专栏，可查看专栏内容。内容包含：专题名称、专题封面图片、专题介绍、建班需求、专题课程等基本信息及专题宣传报道、已建该专题的网班展示、往期专题网班推荐回顾等子栏目）。

4.app端（安卓）

4.1好精神模块：VR展示栏目搜索增加检索条件：地点、关键词检索；

4.2专题聚焦模块：专题聚焦增加好精神栏目推荐功能；

4.3好精神模块：Vr栏目增加积分获取功能；

4.4全站搜索模块：全站搜索增加好精神VR栏目的搜索；

4.5好刊物模块：增加有声期刊栏目的展示；

4.6好刊物模块：增加有声期刊积分获取；

4.7平台对接模块：今年完成对接人民网的问卷调研平台，在后台管理系统中主要进行数据的对接及设置可以跳转问卷平台的人员等功能；

4.8 Banner模块：Banner中增加VR栏目的展示；

4.9专题网班推荐专栏模块：首页新增专题网班推荐专栏模块（图片、专题名称），点击专栏，可查看专栏内容。内容包含：专题名称、专题封面图片、专题介绍、建班需求、专题课程等基本信息及专题宣传报道、已建该专题的网班展示、往期专题网班推荐回顾等子栏目）。

（二）青海干部网络学院平台的测评系统源代码进行审计服务要求

源代码安全审计（Code Audit）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

1. 源代码审计服务内容

1.1 保密协议签订

审计工作前期，由现场服务工程师携带保密协议文档（一式两份），与客户共同签订保密协议文档，并交由客户接口人及项目经理进行留存。

1.2 审计服务内容

源代码安全审计（Code Audit）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

2.测试内容

2.1 源代码扫描审计及人工识别

该内容是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为100%，整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。但整体源代码审计属于白盒静态分析，仅能发现代码编写存在的安全漏洞，无法发现业务功能存在的缺陷。

2.2 功能点人工源代码审计

该内容是对重要的功能点的源代码进行人工源代码审计，发现功能点存在的代码安全问题。功能点人工源代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便源代码审计服务人员能够更好的了解系统业务功能。由于人工源代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工源代码审计。

四、服务原则

供应商在提供源代码审计安全服务中，应遵循下列原则。

1.标准性原则

源代码审计安全服务方案的设计与实施应依据国内或国际的相关标准进行；

2.可控性原则

源代码审计安全服务的方法和过程要在双方认可的范围之内，安全服务的进度要跟上进度表的安排，保证客户对于加固工作的可控性；

3.整体性原则

源代码审计安全服务的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

4.最小影响原则

源代码审计安全服务工作应尽可能小的影响系统和应用的正常运行，不会对正在的运行和业务的正常提供产生显著影响；

5.保密性原则

保密性原则是源代码审计安全服务中的重要原则。对服务过程中获知的任何客户系统信息均属秘密信息，不得泄露给第三方单位或个人，不得利用这些信息进行任何侵害客户的行为；对服务的报告提交不得扩散给未经授权的第三方单位或个人；

五、技术标准要求

总体要求是所有新增、优化项目要与现有青海干部网络学院平台实现无缝对接、安全对接。

其中测评系统源代码审计服务需符合的政策文件或标准参考下列国际/国内通用标准、指南或规范进行工作。

uOWASP Top 10（2013）

uOWASP Top 10（2017）

uOWASP Development Guide

uOWASP_Code_Review_Guide

OWASP Application Security Verification Standard

uOWASP Secure Coding Practices

uOSSTMM OSSTMM_Web_App_Alpha

uSEI CERT Coding Standards

uISO/IEC 27001:2013 信息技术-安全技术-信息系统规范与使用指南

uISO/IEC 13335-1: 2004 信息技术-安全技术-信息技术安全管理指南

uSP800-64 信息系统开发生命周期中的安全管理

六、交付要求

（一）平台功能的新增

1.产品交付要求。

依据青海干部网络学院平台功能新增服务项目要求，项目实施人员依据要求内容进行实施，并交付新增功能设计方案、新增功能软件测试报告、新增功能介绍等，与客户进行平台新增功能测试结果的汇报，完成项目要求进行测试无误后进行交付。

2.结算方式要求。

根据项目履行进度乙方开具增值税发票结算。

3.其他要求。

项目履行完毕服务方需提供项目履行说明。

（二）源代码审计服务交付物

依据源代码安全审计服务项目要求，项目实施人员依据交付标准进行实施，并交付源代码安全审计报告，代码审计活动结束后，与客户进行源代码安全审计结果的汇报。

实施人员根据客户提供的应用系统开发过程文档，审阅系统实现的技术方案，对架构的安全性进行审计和评估，分析系统防护薄弱点及可能存在的安全风险；其后，审计实施人员对系统重要业务场景进行风险分析并审计源代码，如转账、查询等涉及资金和用户敏感信息的功能场景，在人工分析的过程中，实施人员会通过源代码安全审计工具，对全部代码进行自动化审计，以保证源代码安全审计的全面性。源代码安全审计过程中，除源代码脆弱性审计外，还应参照相关标准和规范，对业务实现的合规性进行审计。

源代码安全审计活动结束后，实施人员整理审计结果，并提出安全修复建议。汇报并输出源代码安全审计报告，连同漏洞修复跟踪表一起提交交付。

在完成系统源代码审计服务后，由项目经理交付《青海干部网络学院测评系统源代码审计报告》，在完成回归测试服务后，交付《青海干部网络学院测评系统源代码审计复测报告》。

七、售后服务

1.服务内容：服务期间，若遇到故障及各类问题，提供实时的技术支持。

2.服务方式：包括电话支持、邮件响应和技术服务三种方式

电话支持——电话支持提供24小时的售后支持，及时解答在日常使用过程中遇到的各类问题。

邮件响应——详细解答所遇到的操作方面的问题，及时就使用方的建议意见给予反馈和处理解决。

技术服务——若采购人要求上门服务支持，须派遣专门的技术人员提供支持和服务。

1

项