大学系统开发合同.docx_咨信网zixin.com.cn

资源描述

技术开发合同项目名称 xx大学XXXXX 甲方 xx大学项目联系人 XXX 乙方 XXX 项目联系人 XXXX 签订日期第 1 页 / 共 21 页 xx大学XXXX系统开发合同甲方：xx大学乙方：XXXXXX 根据《XXXXXXX》(采购项目名称)XXXX（采购方式）的结果（项目采购编号2017-XXX），依据甲方的需求，并本着平等互利的原则，甲乙双方经友好协商，就甲方的《XXXXXX》项目达成一致，于2017年XX月XXX 日在中华人民共和国**省武汉市签订本合同。《ＸＸＸＸ》（项目采购编号XXX）的招投标文件为本合同的有效附件。一、适用法律本合同适用法律为：《中华人民共和国技术合同法》、《中华人民共和国著作权法》和《中华人民共和国计算机软件保护条例》及《中华人民共和国经济合同法》等有关国家法律法规。所有签订文件时间有不一致时，以日期在后的文件为准。二、技术开发要求： 2.1 乙方遵照甲方《xx大学信息系统建设与运行维护管理暂行办法》（校信息化【2017】1号）完成甲方《xx大学xxxxxxx管理系统》开发工作。涵盖的范围为信息系统的定制开发、安装、调试和对整个信息系统的技术支持、售后服务与培训等工作。 2.2 《XXXX信息系统》主要开发内容、功能需求说明见附件一。 2.3 技术方法和路线：在本项目设计和实施过程中，遵循国家相关法律、法规，参照国家信息化建设标准，遵循教育信息化建设相关技术标准，尤其是计算机信息系统安全的有关标准、要求。应用系统设计考虑到易于操作、易于使用、界面友好等问题，并尽可能延续目前应用的操作习惯。本项目遵循以下技术路线：（请补充）系统开发语言：Java 系统运行环境:Linux 数据库系统：Oracle 11g 及以上版本支持主流浏览器：IE7-11、Firefox、Chrome、Safari、三、责任和义务 3.1 双方共同责任 3.1.1 严格根据本协议实施本项目的内容，并协商解决合作中出现的有争议的问题。 3.1.2 双方应提供专人负责与对方联络。 3.2 甲方的责任和义务 3.2.1 甲方应积极配合，及时提供有关的设计需求、用户需求等有关资料，并参与系统开发过程，给乙方提供业务需求方面的指导咨询服务，根据系统开发计划，分阶段审查或检查研究开发的阶段性成果，提出检查或审查意见，以便弥补上阶段研究开发过程中的不足，纠正上阶段中的错误和不足。 3.2.2 按本合同的付款条款及时支付费用，保证项目的开发费用及时到位。 3.2.3 负责项目中的领导、组织和协调工作。 3.2.4 提供培训场地、人员、培训相关设备、必要的文档资料和数据，协助乙方做好管理系统的实施工作，并且甲方运行系统的设备环境，应满足系统对运行环境的基本要求。 3.2.5系统开发完成后，甲方应积极组织相关人员使用本系统。 a．甲方定期做好系统数据备份，并对备份数据进行妥善保管。 b．甲方在应用过程中发现系统出现异常，应及时与乙方取得联系，并记录当前故障现象，便于乙方做出诊断。 c．甲方在乙方服务人员服务完成后，配合检查系统运行是否正常，并在现场服务请求单上签字确认。 3.3 乙方的责任和义务 3.3.1 合同正式生效后指定专门人员成立项目组，该项目组全面负责整个项目过程，指定现场实施具体负责人，与甲方项目负责人一起全权负责项目管理和协调项目中出现的问题，管理项目进度、需求变更、协调本方资源等多方面的工作。 3.3.2 确定项目组下设的信息系统开发及实施人员。项目组的人员变化及时通知甲方，对于不能胜任人员根据甲方要求及时调换。 3.3.3 在甲方配合下根据本合同及附件各项要求完成信息系统的需求分析、设计、开发、测试和实施工作，及时发现并解决信息系统问题，不断完善达到信息系统需求和验收标准的规定 3.3.4 实施过程由乙方按照ISO9001：2000质量体系的要求制定详细规划和工作规范。在甲方配合下制订详细的每周、每阶段的工作计划，明确双方责任和任务，并监督、考核各工作小组的计划执行情况。及时、圆满完成合同约定的内容。 3.3.5 向甲方提供完整的信息系统相关文档资料，提供人员的培训方案、培训服务。 3.3.6系统正式运行后，定期回访用户，当信息系统出现重大缺陷问题并影响到甲方实际应用时需及时响应并派人到现场解决。 3.3.7 工作现场严格遵守甲方的规定。四、项目完成计划及进度安排乙方应在本合同生效后XXX 日内向甲方提交详细研究开发计划及开发进度安排。系统在2017年X月XXX日前完成系统开发上线工作五、开发费用及付款方式 5.1 本合同金额总计为人民币XX万元（大写：XXXXX整）。为人民币含税价。 5.2 支付方式：分期付款；具体为合同签订，系统初验通过且正式上线运行后，甲方向乙方支付合同总额的60%，即人民币XXXX万元（大写：XXXX圆整）；系统正常运行不少于三个月且通过由甲方网络与信息化办公室组织的验收，乙方向甲方提供全额税务普票后的30个工作日内，甲方向乙方支付合同总额的30%，即人民币XXX万元（大写：XXXX圆整）；自验收通过之日起，系统免费维护期满后支付合同剩余金额10%，即人民币XXXX万元（大写：XXXXX圆整）。 5.3. 甲方将以转帐支票或信汇、电汇等银行托收的方式向乙方支付。甲乙双方账户信息如下，任何一方的下述信息发生改变时，应当及时通知对方。因通知不及时导致的一切损失由信息变更方承担。乙方开户银行名称、地址和账号为：账户名：开户银行：地址：账号：六、乙方应当按以下方式向甲方交付研究开发成果 6.1 研究开发成果交付的形式及数量：XXXXX系统采购一套（含所有开发文档及系统源代码）。 6.2 研究开发成果交付的时间及地点：系统验收合格后15（拾伍）个工作日内于甲方所在地交付。七、验收 7.1 上线、初验、试运行及终验标准的确定：由甲乙双方根据合同内容、需求分析、技术协议及双方均认可的其他文件载明的内容，共同确定上线、初验、试运行及终验标准。双方及实际使用人根据上述标准和《xx大学信息系统建设与运行维护管理暂行办法》共同完成初验、上线、代码审计及安全扫描、试运行及终验。 7.2 初验乙方根据实施计划，向甲方提出书面初验申请。甲方应在乙方提出申请之日起7（七）个工作日内，完成初验工作，并在乙方提供的书面证明上签章。甲方认为信息系统不符合初验标准，应向乙方提出书面异议。 7.3 试运行乙方根据实施计划，向甲方提出书面试运行申请。甲方应在乙方提出申请之日起3（三）个工作日内，配合乙方进行试运行工作。信息系统需通过代码审计及安全扫描后、安装调试上线，乙方需提供源代码供代码审计和安全扫描用，如因特殊原因无法提供源代码的，应由开发单位委托具有**计量（CAM）认证和**合格评定国家委员会（CNAS）认可实验室证书等资质的第三方软件代码测评机构出具代码审计合格报告。如甲方认为系统不符合试运行标准，应向乙方提出书面异议。 7.4 终验（1）终验条件：系统通过代码审计及安全扫描后、安装调试上线，进入试运行后不少于三个月，运行良好。（2）终验的进行: 乙方根据实施计划，在软件达到终验条件后，向甲方提出书面终验申请。乙方按甲方相关要求准备验收材料，提供全部系统源代码及完整的开发文档（包括但不限于：《进度实施计划》《项目实施方案》《项目进度报告》《系统需求分析》《系统需求规格说明书》《系统集成与开发详细设计》《系统详细设计方案》《应用程序设计说明书》《数据库详细设计说明书》《应用系统集成实施说明》《系统测试报告》《用户手册》）《信息系统上线申请表》《信息系统与学校公共基础平台对接验收清单》。（3）甲方在收到申请后应在3（三）个工作日内回复乙方申请，如拒绝乙方申请应详细说明原因并及时和乙方取得联系；如同意验收应及时组织验收。（4）终验通过后，终验结果甲方在3（三）个工作日内通知乙方。终验未通过的，乙方应在10（十）个工作日内对存在问题进行整改并再次向甲方申请复验，复验仍不通过的，合同终止。八．知识产权本合同所有技术成果（包括信息系统系统、最终版本开发源代码及信息系统开发文档）的使用权、转让权和版权归甲方所有。九．技术支持与服务 9.1乙方应遵照《xx大学信息系统建设与运行维护管理暂行办法》（校信息化【2017】1号）完成项目所开发之信息系统的上线工作，按附件一“集成要求”完成信息系统与甲方的对接，包含且不限于：（1）与学校信息门户集成。使用学校统一身份认证系统登录和进行用户管理，为信息门户提供相关信息接口。 (2) 与学校基础数据库集成。从学校基础数据库中获取人事信息、部门信息等；向基础数据库提供系统所产生的业务数据。 9.2本系统乙方免费维护三年，维保期自该系统通过终验之日起。免费维护服务内容（包括但不限于）：在免费服务期内，乙方须保证故障响应时间不超过60分钟，7*24小时支持，当时无法解决的需在4小时内给出时间安排表并在3日内解决。 9.3乙方应向甲方就产品的使用、维护等有关问题免费提供技术咨询及相关的技术资料。 9.4如由于乙方开发的系统品质问题导致的功能错误、数据分析错误与程序错误，乙方应在2个工作日内作出回应，排除故障或问题，超过期限由乙方承担相应责任。十．未经甲方同意，乙方不得将本合同项目部分或全部研究开发工作转让第三人承担。十一. 甲乙双方因履行合同而遵守的保密义务，具体如下： 11.1 保密内容（包括技术信息和经营信息）：双方都有责任对对方提供的技术情报、资料数据及商业秘密保密，不得向第三方泄露。未经对方同意，任何一方不得以任何形式公开合同及其相关附件内容。双方在未征得对方同意的情况下，不得向第三方泄露在项目中接触到的需要保密的情报和资料。任何一方未征得对方同意，不得为任何其他目的而自行使用或允许他人使用从对方获得的信息（信息指包括但不限于所有的报告、摘录、纪要、文件、计划、报表、复印件等）。乙方必须遵守附件二中所约定的内容，附件二中的具体条目若与学校最新规定或法律相冲突时，按照学校规定或相关法律执行。 11.2 涉密人员范围：双方参与并知悉项目的所有工作人员。 11.3 保密周期：永久 11.4 泄密责任：任何一方违反保密约定，需向对方支付合同总额10%（百分之十）的违约金，不足以弥补对方损失的，应当另行赔偿。 11.5 如该项目在乙方服务器部署，乙方确保该项目乙方服务器的网络安全，自行承担相关网络安全责任；乙方同意授权甲方对项目相关的乙方服务器进行安全检测。十二. 在本合同履行中，因作为研究开发标的的技术已经由他人公开（包括以专利权方式公开），知情的一方应在15个工作日内通知另一方解除合同。逾期未通知并致使另一方产生损失的，另一方有权要求予以赔偿。十三．违约责任 13.1 甲乙双方本着真诚合作、相互信赖的原则，根据国家相关的法律、法规，协商解决在本合同执行过程中可能出现的违约纠纷和违约责任。 13.2若因乙方原因不能按时交付系统，每延误一个月，应向甲方赔偿合同总额5%的违约金； 13.3因乙方原因，项目未通过终验造成合同终止的，乙方退还全部已支付货款，并对由此带来的甲方直接损失承担赔偿责任； 13.4若因甲方原因不能按时付款，每延误一个月，应向乙方赔偿当期应付金额5‰的违约金； 13.5 若因甲方原因导致乙方不能按时将系统上线运行，则项目实施工期按实际情况顺延； 13.6乙方向甲方所承诺的技术服务、技术培训违反本合同约定，乙方应当按合同法相关规定，承担违约责任。 13.7 因乙方在系统开发、测试、上线及维护期间违反甲方制定的《xx大学信息系统建设与运行维护管理暂行办法》（校信息化〔2017〕1号）和附件三以及相关安全管理规定，乙方承担违约责任。有如下行为者，乙方须向甲方支付合同总额1%至10%的违约金，具体违约金金额由甲方根据情节轻重确定并从合同未支付款项中扣除。未支付款项不足以支付违约金的，乙方须另行支付: 13.7.1每发生一起严重违反学校相关安全规定（附件三）的行为； 13.7.2每发生一起不配合学校相关安全检查的行为，如隐瞒管理员账号、虚假填报等； 13.7.3每发生一起安全责任事故。 13.8 乙方因为违反附件二的信息安全规定导致违约的，乙方退还全部已支付货款，并对由此带来的甲方直接损失承担赔偿责任； 13.9 乙方免责条款： 13.9.1 乙方对甲方在使用管理系统过程中，因设备故障、操作失误等造成的数据丢失，以及因不按正常操作规范使用系统或系统硬件被盗、损失、损毁、误用所造成的损失不负责任。 13.9.2 乙方不承担因甲方人员进行非法操作、感染病毒、硬件出现故障导致的数据混乱、丢失责任。 13.9.3 在质保服务期内如果发生乙方免责条款时，乙方有责任和义务修复有关数据和系统，保障该系统的正常运行。十四．本合同的变更必须由双方协商一致，并以书面形式确定合同变更的约定，补充协议同本协议具有同等法律效力： 14.1 凡是涉及到工期或合同金额的变更，应由本合同指定的乙方联系人或持有乙方出具的有效授权委托书（加盖乙方公章并有乙方法定代表人签字或签章）的经办人，参与协商并签署书面协议方可生效。 14.2 在项目正常实施过程中，由于甲方信息系统业务和功能需求变更导致的任何信息系统设计方案、技术架构及性能指标、开发工作、进度计划的调整和增减，以及乙方对于信息系统功能、性能质量和工作进度的承诺，都必须由本合同指定的乙方联系人或乙方现场授权负责人以报告、会议纪要、备忘录等书面形式签署方可生效。 14.3 甲方任何部门和人员向乙方正式要求的功能需求、性能指标、整改意见、变更要求、数据修正等，都必须由本合同指定的甲方联系人或持有甲方出具的有效授权委托书（加盖甲方公章）的经办人签署的书面报告，乙方才予以认可。 14.4 对于违反以上原则的以双方参与项目人员名义做出的任何口头或书面形式的承诺、行为，都不能代表双方意见，该种行为完全是其个人行为，双方皆同意由此发生的所有法律后果都由其个人承担，无权向对方主张任何权利。十五. 合同解除双方确定，出现下列情形，致使本合同的履行成为不必要或不可能的，一方可以通知另一方解除本合同； 15.1 因发生不可抗力；不可抗力的内容按我国有关规定条款执行。不可抗力对合同双方均适用。在合同生效后，如果发生不可抗力而不能履行合同时，则由事故发生一方，取得公证机关的不能履行或不能全部履行或延期履行本合同的证明，甲乙双方可凭此证明解除全部或部分相关责任。 15.2 调解要求停止实施，且双方同意； 15.3 法院判定停止实施。十六．争议与仲裁甲乙双方如对合同条款规定的理解有歧义，或者对与合同有关的事项发生争议，双方应本着友好合作的精神进行协商。协商不能解决时，可采取以下2种方式解决：1、由武汉市仲裁委员会仲裁；2、向甲方所在地法院提起诉讼。十七. 双方确定，在本合同有效期内，甲方指定为甲方项目联系人，乙方指定为乙方项目联系人。项目联系人承担以下责任： 17.1 及时协调项目进展所产生的问题。 17.2 协调双方人员的工作及其他相关内容。一方变更项目联系人的，应及时以书面形式通知另一方。未及时通知并影响本合同履行或造成损失的，应承担相应的责任。十八. 与履行本合同有关的下列技术文件，经双方以书面方式确认后，招标文件、投标文件为本合同的组成部分：本合同内容与附件规定不一致的，以合同内容为准。十九. 本合同一式捌份，甲方执陆份、乙方执贰份，具有同等法律效力。二十. 本合同经双方签字盖章之日起生效。双方权利义务履行完毕后，合同终止。如有未尽事宜，经双方书面同意后，可签订书面补充协议。补充协议同本协议具有同等法律效力。甲方： xx大学（盖章）法定代表人/委托代理人：（签名） 20 年 _____ 月______日乙方： XXXXXXX有限公司（盖章）法定代表人/委托代理人：（签名） 20 年月______日附件一：xx大学XXXXX系统开发内容一、项目需求一览表名称数量备注 XXXXX系统 1套二、主要内容及要求（一）总体设计要求（二）功能需求 (三)集成要求：（1）与学校统一身份认证系统（）对接要求。所有师生均通过学校统一身份认证系统登录相关系统。系统不得自带师生用户信息的管理功能（修改个人信息、修改密码等）。如果系统中有统一身份认证系统所没有含有的用户信息（例如外聘人员、临时人员、社会人员等）可建立该部分人员信息的管理功能和专用登录入口。（2）与学校统一信息门户系统（）对接要求。在统一信息门户系统上建立单点登录链接（师生通过统一身份认证系统账号登录）；为信息门户提供相关数据推送服务或提供Web Services接口，以便师生登录统一信息门户后，可直接显示相关的统计数据。（3）与学校网上办事大厅信息平台（）对接要求。直接面向师生的服务流程原则上在网上办事大厅上实现，跨部门的流程必须在网上办事大厅上实现，只涉及到本部门审批的面向师生的流程可以在业务系统里实现，但必须为网上办事大厅的流程提供数据共享、交换、或Web Services服务，接收网上办事大厅流程运行完成后的数据并存储在本系统中，实现数据的统计查询。具备条件的，应和网上办事大厅在待办、评价等方面进行深度集成。（4）与学校移动门户——“华中大微校园” （微信企业号）对接要求。开发的面向师生的移动端应用按照华中大微校园的UI规范和集成规范进行开发，并与华中大微校园集成，不再开发独立的APP或建立微信服务号。（5）与学校统一通讯平台对接要求。原则上各业务系统不再建设短信、微信、邮件等发送和接收通道，如果需要并经学校网信办同意，可调用学校的统一通讯平台，为用户发送短信、微信、邮件等消息。（6）与学校岗位角色系统对接要求。系统涉及的校级公共岗位角色数据必须从学校角色岗位系统中同步获取；具有维护权限某类岗位角色的业务系统，必须将更新后的岗位角色数据写回到学校角色岗位管理系统中。（7）与学校待办中心系统（或网上办事大厅的待办模块）对接要求。业务系统中具有事项处理功能的，必须通过调用学校待办中心系统的接口，将发给用户的待办信息发送到待办中心，由师生等用户在待办中心进行查看和点击处理（处理仍然在业务系统中），待办处理完成后将信息或数据发送给待办中心，由待办中心将待办事项从待办列表中去除。具体实现方式以学校待办中心的技术标准为准。业务系统本地认可保留待办功能。（8）与学校智能问答平台对接要求。针对业务系统日程咨询的问题，为智能问答平台提供相关的智能问答库，并随业务系统的升级不断优化，修正和补充。（9）对接智能推荐平台对接要求。将系统中业务应用、运营管理、校内外资讯等涉及师生日常工作学习的信息资源聚合到智能推荐平台，由其按个人特征实现“千人千面”的智能推荐效果。（10）与其他业务系统对接要求。必须完成与___________系统、______系统、___________系统等业务系统的对接，根据需要为上述业务系统提供接口服务或调用上述业务系统接口完成本业务系统的需要。（11）按照教育部及学校信息标准建立数据库。按照教育部及学校的信息标准（代码标准、数据标准）等设计数据库。（12）与学校基础数据库的共享要求。按照学校基础数据库建设的有关规定要求（《xx大学信息技化架构建设条例》（校信息化〔2014〕1号）、《xx大学基础数据库建设与使用管理暂行办法》（校信息化〔2016〕6号）等）、“一张表”、“一张图”工程等要求，为学校基础数据库提供相关数据；系统从学校基础数据库通过中间库或接口调用的方式获取所需的公共基础数据或其他业务系统产生的数据，基础数据集其他业务数据库已有数据不重复在本系统中采集；按照数据同步规范的技术要求，进行数据同步。为学校大数据分析平台提供所有的本系统产生的相关数据。（13）信息系统的UI开发要求。严格遵循“智慧华中大信息系统UI设计规范”（学校网上办事大厅申请下载），应用页面开发遵照要求文档中的总体布局、首页、页面、入口、列表、详情、筛选、上传、搜索、表单、弹出页、校历、日程、卡片等界面规范，以加强全校信息系统界面风格的统一性、规范性。（14）系统建设与运维要求。严格按照《xx大学信息系统建设与运行维护管理暂行办法》（校信息化〔2017〕1号）规定的流程对系统进行开发、测试、上线、运行和维护等。附件二：信息安全及保密协议本协议作为“xxxxxx合同”的附件，于合同生效日由xx大学XXXX（以下简称甲方）和XXXXXX（以下简称乙方）共同订立。鉴于，双方正在XXXXX项目（以下简称项目）上进行合作，基于信息安全工作的需要，双方达成如下协议。 1、定义保密信息指合同有效期内，甲方披露给乙方的任何以及所有以口头或书面，或以其他任何形式披露的数据，包括但不限于项目情况、技术方案、标准规范、源程序、数据（含测试数据）、文档以及其他与项目有关的信息、硬件配置信息、客户名单、合同、价格、成本、备忘录、预测和估计、报表等。 2．不在定义范围乙方无义务对其能用文件明确证明的如下信息承担保密义务：（1）在没有保密义务的情况下，乙方从甲方收到之前就已知晓的；（2）非因乙方的过错造成的为公众所了解的；（3）从没有保密义务和使用限制的第三方那里正当取得的，并又以该乙方所应了解为限，该第三方不是违法地获得或披露该保密信息；（4）在没有接触保密信息的情况下，乙方独立开发取得的； 3．义务（1）乙方决不将任何或部分保密信息提供给任何第三方，乙方不得将任何或部分保密信息部署于任何非甲方提供的互联网平台（如阿里云等），乙方不得将保密信息用于和执行与项目无关的活动。（2）乙方应如同对待自己的保密信息一样，对取得的保密信息采取同样的措施，确保其安全，避免未经授权的披露或使用。（3）乙方只可向那些需要知道这方面信息以使该项目取得进展，并书面同意对保密信息保密的自身员工披露甲方的保密信息。（4）如果乙方被政府部门、法院或其他有权部门要求提供保密信息，乙方应立即向甲方予以通报，以便甲方能以保密为抗辩理由或取得保护措施。乙方应用尽所有可行的措施来保护该保密信息。 4. 为了确保相关信息安全目标的达成，乙方承诺在开发维护工作中遵守如下规定：（1）开发环境的安全管理乙方人员驻场开发时，应严格遵守学校的消防安全要求，确保使用的设备下班即断电，离开无人的开发环境时锁门断电；乙方人员在非驻场开发时，公司必须保证根据办公环境的消防安全、网络及信息安全，避免造成任何安全事件。（2）相关文档的安全管理乙方必须不得泄露在开发过程中各个阶段（开发、上线、验收等）中输出的文档，限定为公司内部相关开发人员可读。（3）系统源代码的安全管理乙方人员驻场开发，使用甲方提供的专用源代码管理服务器对系统源代码进行管理；公乙方人员未驻场开发时，乙方必须建立专用的源代码版本控制服务器，保障其网络及物理层面的安全性的同时对源代码进行有效的管理，并定期将源代码提交至学校的源代码管理服务器上。乙方在将代码提交至学校源代码管理服务器前，必须进行必要的测试并提供测试用例作为证明。提交代码时，必须将代码注释书写清晰明确，注释内容包含但不限于：代码作者，代码功能说明。如果无法满足上述规定或者代码被发现明显质量问题，代码将被拒绝提交至学校代码管理服务器。乙方进行相关问题整改回溯后，方可再次提交代码。累计出现三次以上的代码质量问题，乙方将被视为无能力完成项目而造成违约，必须承担按照合同正文约定的违约责任。（4）数据的安全管理乙方在系统开发过程中应该主动避免使用敏感信息或真实数据（包含但不限于用户名、姓名、证件号、联系方式、学校或院系的任何真实信息），必要时需进行加密处理。系统开始开发至正式上线运行各个环节中，乙方需保证对接触到相关所有数据（含测试数据）进行保密，包含但不限于系统本身产生的数据及其他相关数据。（5）乙方有责任对自己的员工进行信息安全的培训，监督员工严格遵守信息安全的规定。乙方员工主动或被动造成甲方敏感数据泄露或其他信息安全事件，乙方承担相关责任。（6）系统测试的安全管理乙方必须按照合同约定的时间（见合同正文“四、项目完成计划及进度安排”）进行系统部署测试。在系统正式上线前，乙方应安排工作人员对系统进行全面测试，包含功能性测试，压力测试和安全测试。确保上线功能的正确性及有效性，必须提供测试报告。由于测试报告造假或者漏测造成项目延迟交付，乙方根据合同正文规定赔偿甲方损失。 4．一般余款（1）本协议的有效期和合同的有效期相同。甲方可以在事先书面通知乙方的情况下，提前终止本协议。（2）本协议一旦终止，所有保密信息及其所有复印件，无论其为电子或书面等任何形式，均应立即交还甲方。（3）本协议下保密及有限使用的义务在本协议终止后持续有效。（4）乙方承认甲方是所有保密信息的所有权人或被许可人，除非协议中另有明确阐述，乙方不享有所有保密信息的任何权利。（5）双方均同意：为了保护甲方，本协议中所规定的乙方义务是必要且合理的。双方明确表示由于甲方保密信息的唯一性，金钱赔偿将不足以补偿乙方对本协议的任何违约行为而给甲方造成的损失。因此，双方均同意并确认：对本协议的任何违约行为或可能的违约行为将对甲方造成不可弥补的损害，并且除其他任何法律或其他方面可以适用的补偿外，甲方有权（a）禁止乙方可能违反或继续违反本协议的行为而无须证明实际损失，（b）从乙方获得任何的损失或损害的赔偿，包括但不限于，律师费、因乙方违反本协议的义务引起的或与乙方违反本协议的义务有关的损失或损害、或未经授权的使用或披露甲方的保密信息而引起的损失或损害（6）所有的保密信息是并将继续是甲方的财产。本协议中的任何内容都不应被解释为一方授予对方任何专利权、著作权或其他知识产权项下任何明示或暗示的权利。并且除了仅仅基于决定双方之间是否形成合同关系的目的而查阅这些保密信息的有限权利以外，本协议亦并不授予任何一方对另一方的保密信息的任何明示或暗示的权利。（7）本协议的订立、效力、解释、执行和争议解决，不考虑其法律规定的冲突，均受中华人民共和国法律的约束，任何因本协议引起的争议将提交甲方所在地法院，依其规定和程序进行仲裁。（8）对本协议所作的任何增补和修改，除非由双方合法指派的代表书面作出，否则视为无效或对双方均无约束力。（9）本协议中的各个标题仅仅是出于便利的需要，而不能用于解释本协议及其条款。（10）本协议是协议双方对相关义务、目的、权利、责任及关于本协议主题其他责任的完全同意和／或理解，该协议将取代任何双方以前和／或现在达成的与该主题有关的任何口头或书面的协议和理解。（11）任何一方不得将其任何权利或义务转让给任何第三方，该种转让的尝试自始无效。鉴此，本协议一经签署、即告于合同正文文首载明的日期生效。甲方：_____________________ 乙方：_____________________ 日期：附件三：xx大学信息系统建设与运行维护安全技术规范一、总则 1. 为提高我校信息系统（网站）的整体安全水平，根据《xx大学网络与信息技术安全管理办法》（校信息化〔2015〕7号）、《xx大学信息系统建设与运行维护管理暂行办法》（校信息化〔2017〕1号）等文件，结合学校实际，制定本规范。 2. 安全技术规范。技术规范是规定产品、过程或服务应满足技术要求的文件。信息系统（网站）的安全贯穿信息系统的整个生命周期，学校各单位在建设与运行维护信息系统（网站）的整个过程中需遵守本安全技术规范。 3. 基本原则。信息系统（网站）的安全建设与运行维护应遵守“最小可用、不断更新”的总体原则。为确保信息系统（网站）安全运行，以最小可用的权限运行各种应用和数据库、以最小可用的原则定制各种安全配置，禁止任何不必要的额外权限。网络安全技术日新月异，各种安全漏洞层出不穷，安全技术规范的内容必须与时俱进，满足“不断更新”的原则。二、常规WEB应用服务器安全规范 1. 禁止采用失去技术升级支持的操作系统；禁止采用含有已知漏洞或失去技术支持的各类应用程序（web、数据库等）、各类框架组件及第三方库，以上软件必须执行安全配置和安装，禁止默认安装； 2. 所有软件（操作系统和其他应用程序、框架组件及第三方库）已安装最新的安全修补程序（补丁最新）； 3. 原则上禁止使用任何开源和研究性质的应用程序（web、数据库等）、框架组件及第三方库。确定必须要使用时开发方需承诺对其源代码已进行彻底分析了解，并自行跟踪相关漏洞信息并保证及时修复漏洞，且不能影响到今后系统的正常功能使用。 4. 服务器开启防火墙，根据实际部署情况，设置防火墙访问规则，关闭不使用的端口，仅开放系统提供服务必须开放的监听端口。对于可限制访问源ip范围的端口，开启防火墙规则进行限制。 5. 关闭不使用的网络服务。 6. 开启操作系统各类日志记录，所有日志保存6个月以上。 7. 尽量不要以操作系统管理员身份运行应用程序（web和数据库等），遵守最小可用规范。 8. 数据库和应用系统如在同一台服务器，须采用本机回路地址进行访问； 9. 如前端及数据库分为不同服务器，须设置本机防火墙访问规则，禁止非前端服务器访问数据库网络端口。三、Web安全配置规范 10.根据Web应用所选用的Web容器，按照相应的配置规范进行安全配置，如：IIS、Apache、Weblogic、Tomcat、Jboss安全配置等。 11.如使用了其他插件、框架和第三方库，有安全配置规范的即按照要求配置。 12.所有安全配置遵循最小可用原则。举例：采用第三方CMS模板搭建网站时，禁止默认安装，包括目录、权限、用户名/密码以及功能设置等；删除各种默认安装的例程、调试/说明文档、数据库配置及管理程序，如：Weblogic如不需要应关闭T3协议；删除Tomcat的manager/html登录页面及相关默认测试页面；关闭网站的debug模式。四、Web设计安全规范系统中使用的其他插件、框架、第三方库和软件作为系统的组成部分，也必须满足以下要求： 4.1用户登录认证 13.强制口令复杂度要求，必须有密码复杂度检查模块，可检查用户口令是否符合最短8位字符，包括大小写字母、数字、特殊字符等，不符合要求的密码不允许保存使用。 14.必需设置有效的验证码手段防止暴力破解，使用的图片验证码应当能抵抗自动识别，但不影响普通用户的正常识别，应实现为长度至少4位且包含字母的随机串，且使用扭曲、噪点干扰、字体变换、大小变换、位置变换等防自动识别的一种或者多种方法。 15.验证码内容不能与客户端提交的任何信息相关联。说明：在使用验证码生成模块时不允许接收来自客户端的任何参数，例如：禁止通过getcode.jsp?code=1234的URL请求，将1234作为验证码随机数。 16.验证码模块生成的随机数不能在客户端的静态页面中的网页源代码里出现。说明：在客户端网页上点击鼠标右键、选择“查看源文件”时，必须看不到验证码模块生成的随机数。 17.验证码在一次使用后要求立即失效。说明：不能依靠用户刷新操作进行失效处理，进行验证码校验后，立即将会话中的验证码信息清空，而不是等到生成新的验证码时再去覆盖旧的验证码，防止验证码多次有效。当客户端提交的验证码为空，验证不通过。 18.用户名、密码和验证码必须在同一个请求中提交给服务器，必须先判断验证码是否正确，只有当验证码检验通过后才进行用户名和密码的检验，否则直接提示验证码错误。 19.同一客户端在多次连续尝试登录失败后，服务端需要进行用户帐号或者是客户端所在机器的 IP 地址的锁定策略，且该锁定策略必须设置解锁时长，超时后自动解锁。注意：管理员帐号不能被锁定，只能锁定操作的客户端所在 IP，这是为了防止系统不可用。 20.提示用户认证失败时不应明显区分是账号错误还是口令错误。 21.在使用短信口令的程序中，应用软件需设定短信有效时间不超过10分钟，请求间隔不少于60秒。 22.所有登录页面的认证处理模块必须统一。说明：可以存在多个登录页面，但是不允许存在多个可用于处理登录认证请求的模块，防止不一致的认证方式。 23.所有针对其他第三方开放接口的认证处理模块必须统一。 24.认证处理模块必须对提交的参数进行合法性检查。 25.最终用户接口和管理接口分离。说明：最终用户接口和管理接口必需分离，防止相互影响，防止来自用户面的攻击影响管理面以及越权攻击。尽量将最终用户接口和管理接口分别部署在不同的物理服务器；如果部署在同一台物理服务器上，则必须做到web服务分离。 26.禁止在web系统中预留任何的后门帐号或特殊的访问机制。 27.对于重要的管理事务或重要的交易事务要进行重新认证，以防范会话劫持和跨站请求伪造攻击。 28.管理页面建议实施强身份认证。说明：如双因素认证、SSL双向证书认证、生物认证等；还可以通过应用程序限制只允许某些特定的IP地址访问管理页面，并且这些特定的IP地址可配置。 29.如果长期不登陆默认账号应停用处理。 4.2会话管理设置有效的会话管理及访问控制机制，防止越权提权等： 30.在同一登录过程中，当某用户认证成功后，应为此用户创建新的会话并释放原有会话，创建的会话凭证应满足随机性和长度要求，防止暴力破解、遍历和猜测攻击； 31.应将用户登录成功后所生成的会话数据存储在服务器端，并确保会话数据不能被非法访问，当更新会话数据时，应对数据进行严格的输入验证，防止篡改和非法重用攻击； 32.在B/S结构的应用程序中，当处于登录状态的用户直接关闭浏览器时，应提示用户执行安全退出或者自动为用户完成退出过程，确保本次会话的安全终止，防止非法重用攻击； 33.所有登录后才能访问的页面都必须有明显的“注销（或退出）”的按钮或菜单，如果该按钮或菜单被点击，则必须使对应的会话立即失效。说明：这样做是为了让用户能够方便地、安全地注销或退出，减小会话劫持的风险。 34.当Web应用跟踪到非法会话，则必须记录日志、清除会话并返回到认证界面。说明：非法会话的概念就是通过一系列的服务端合法性检测（包括访问未授权资源，缺少必要参数等情况），来检测发现非正常请求产生的会话。 35.必须设置会话超时机制，在超时过后必须要清除该会话信息。 36.在服务器端对业务流程进行必要的流程安全控制，保证流程衔接正确，防止关键鉴别步骤被绕过、重复、乱序。说明：客户端流程控制很容易被旁

展开阅读全文