重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)測評方案四川省電子產(chǎn)品監(jiān)督檢驗(yàn)所四川省軟件和信息系統(tǒng)工程測評中心2015年8月28日頁重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)測評方案引言測評工作指導(dǎo)思想在本項目中堅持科學(xué)、公正、保密、高效的原則，以嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度和專業(yè)的技術(shù)水準(zhǔn)，在測試和管理全過程中，嚴(yán)格按照質(zhì)量管理體系要素和有關(guān)的產(chǎn)品測試標(biāo)準(zhǔn)和規(guī)范開展工作，以保證評測的科學(xué)性和公正性。認(rèn)真分析測試需求，以項目全面測評和項目質(zhì)量為評估的工作核心，加強(qiáng)系統(tǒng)測評、各類要素獲取和實(shí)施過程控制，完善項目目標(biāo)控制手段。加強(qiáng)對項目的施工組織、技術(shù)要求和工期的控制。為了順利、高質(zhì)量完成本項目的測評工作，設(shè)置合理的測評組織機(jī)構(gòu)，完善管理工作制度，規(guī)范測評程序，樹立良好的思想素質(zhì)和一絲不茍的工作作風(fēng)。測評工程師應(yīng)本著“嚴(yán)格把關(guān)、熱情服務(wù)、預(yù)防為先”的宗旨，認(rèn)真貫徹執(zhí)行有關(guān)信息系統(tǒng)工程測評的各項方針政策和法規(guī)，以質(zhì)量控制為核心，全面推動測試評估順利實(shí)現(xiàn)。編寫目的編寫本方案的目的是為了指導(dǎo)“重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)”的測評工作。主要包括軟件產(chǎn)品質(zhì)量中的用戶文檔、功能性、可靠性、易用性、效率、維護(hù)性、可移植性和風(fēng)險評估等各方面。本方案主要從測評環(huán)境、測評工具、測評策略、測評具體執(zhí)行方法、任務(wù)與進(jìn)度表等方面進(jìn)行事先計劃和設(shè)計，實(shí)現(xiàn)軟件功能性、可靠性、易用性、效率、維護(hù)性、可移植性和風(fēng)險評估等項目的測評。適用范圍重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)測評小組。測評標(biāo)準(zhǔn)和測評規(guī)范本項目的測評依據(jù)如下：GB/T25000.51-2010《軟件工程軟件產(chǎn)品質(zhì)量要求與評價(SQuaRE)商業(yè)現(xiàn)貨(COTS)軟件產(chǎn)品的質(zhì)量要求和測試細(xì)則》GB/T16260-2006《軟件工程產(chǎn)品質(zhì)量》GB/T18905.1-2002《軟件工程產(chǎn)品評價》GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》《四川省軟件和信息系統(tǒng)工程測評中心軟件產(chǎn)品驗(yàn)收測試通用規(guī)范》《重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)需求文檔》擬投入測評力量我中心投入測試工程師13人，5人對系統(tǒng)的各部分功能進(jìn)行功能有效性及易用性等方面驗(yàn)證，3人實(shí)施系統(tǒng)性能測試工作對系統(tǒng)的各主要業(yè)務(wù)節(jié)點(diǎn)實(shí)施性能測試，4人實(shí)施系統(tǒng)安全評估工作，配置管理員1人，負(fù)責(zé)整理及歸檔測試項目所涉及的相關(guān)文檔工作。性能測試工具使用業(yè)界通用的Loadrunner11.0。統(tǒng)漏洞掃描工具使用銥迅漏洞掃描系統(tǒng)YxlinkNVS-6000。測評方案目標(biāo)控制方案本輪測試目標(biāo)是：幫助用戶盡可能多的發(fā)現(xiàn)系統(tǒng)中可能存在的各種隱患/缺陷，提出合理的解決方案/建議，以滿足信息系統(tǒng)能安全、穩(wěn)定地長期使用，保障系統(tǒng)的安全運(yùn)行。為了保證本測試項目的順利進(jìn)行，主要采取的控制措施有：質(zhì)量控制：嚴(yán)格按照中心《質(zhì)量手冊》和《程序文件》開展測評工作；進(jìn)度控制：制定詳細(xì)的系統(tǒng)測評和系統(tǒng)評估計劃，嚴(yán)格按照測試計劃實(shí)施測試工作；用例控制：針對各測試子項目，制定詳細(xì)的測試用例，在進(jìn)行測試用例評審后，嚴(yán)格按照測試用例進(jìn)行各項測試活動；記錄控制：按照中心測試記錄相關(guān)規(guī)定，做到測試人員不記錄，記錄人員不測試，做好測試記錄工作；缺陷控制：對測試過程中所發(fā)現(xiàn)的隱患/缺陷，在修復(fù)完成后，實(shí)施回歸測試；組織控制：進(jìn)行挑選測試人員，確定人員職責(zé)、權(quán)利及工作考核標(biāo)準(zhǔn)。充分調(diào)動和發(fā)揮測試人員的工作積極性、創(chuàng)造性，挖掘潛在的工作能力，加強(qiáng)溝通。測評組織機(jī)構(gòu)和人員安排表人員分配項目階段駐場人員參與人員規(guī)劃及需求分析階段付敏、朱建明朱建明、付敏、秦偉強(qiáng)、蒲小英設(shè)計階段付敏、朱建明朱建明、付敏、秦偉強(qiáng)、蒲小英系統(tǒng)編碼階段單元測試付敏、李儀、鄧策中朱建明、付敏、秦偉強(qiáng)、方建康、蒲小英集成測試付敏、李儀、鄧策中朱建明、付敏、秦偉強(qiáng)、方建康、蒲小英系統(tǒng)驗(yàn)收階段初驗(yàn)測試付敏、李儀、鄧策中、蒲小英朱建明、蒲小英、秦偉強(qiáng)、李儀、鄧策中、李超、張汶、付敏終驗(yàn)測試付敏、李儀、鄧策中、蒲小英朱建明、蒲小英、秦偉強(qiáng)、李儀、鄧策中、李超、張汶、付敏風(fēng)險評估階段付敏、袁波袁波、王進(jìn)泉、熊皓、徐達(dá)、付敏角色職責(zé)角色職責(zé)與任務(wù)測試項目負(fù)責(zé)人管理監(jiān)督測試項目，提供技術(shù)指導(dǎo)，獲取適當(dāng)?shù)馁Y源，制定基線，技術(shù)協(xié)調(diào)，負(fù)責(zé)項目的安全保密和質(zhì)量管理。測試工程師（功能及易用性等）確定測試計劃、測試內(nèi)容、測試方法、測試數(shù)據(jù)生成方法、測試（軟、硬件）環(huán)境、設(shè)計測試用例并定義用例優(yōu)先級，執(zhí)行測試和記錄測試結(jié)果，出具測試報告。測試工程師(效率)準(zhǔn)備性能測試工具及測試環(huán)境，按已確定的性能測試點(diǎn)開展性能測試工作，出具性能測試報告。測試工程師（風(fēng)險評估）確定評估范圍、評估方法和評估指標(biāo)，支持系統(tǒng)評估工作，出具系統(tǒng)評估報告。配置管理員項目文檔整理及歸檔。測試內(nèi)容及要求：確定測評內(nèi)容本次測評是針對重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)的各子系統(tǒng)在各開發(fā)階段開展過程性測試，在項目初驗(yàn)和終驗(yàn)時做驗(yàn)收性測試，包括軟件產(chǎn)品質(zhì)量中的用戶文檔、功能性、可靠性、易用性、效率、維護(hù)性、可移植性等各方面，跟綜測評結(jié)果進(jìn)行綜合分析，針對軟件生存周期形成的階段性成果、軟件產(chǎn)品質(zhì)量和風(fēng)險評估方面等提出建議。測評內(nèi)容：軟件產(chǎn)品質(zhì)量測試軟件產(chǎn)品質(zhì)量包含9大特性：用戶文檔、功能性、可靠性、易用性、效率、維護(hù)性、可移植性、用戶界面、中文符合性等。其中功能性包含適合性、準(zhǔn)確性、互操作性、安全保密性度量，可靠性包含成熟性、容錯性、易恢復(fù)性度量，易用性包含易理解性、易學(xué)性、易操作性、吸引性度量，效率包含時間特性、資源利用性，維護(hù)性包含易分析性、易改變性、穩(wěn)定性、易測試性度量，可移植性包含適應(yīng)性、易安裝性、共存性度量、易替換性度量。技術(shù)方面總體要求對開發(fā)過程中產(chǎn)出的各類文檔進(jìn)行審核；對項目各子系統(tǒng)進(jìn)行全面功能測試；2.對系統(tǒng)中關(guān)鍵部分進(jìn)行性能、安全性測試；3.對系統(tǒng)進(jìn)行獨(dú)立和整體的性能、安全測試；4.跟蹤測試結(jié)果并進(jìn)行綜合分析，針對功能、性能和安全性測試結(jié)果提出可行性整改建議。測試具體內(nèi)容系統(tǒng)構(gòu)成和測評范圍重污染天氣應(yīng)急調(diào)度指揮平臺基礎(chǔ)支撐平臺與預(yù)警會商系統(tǒng)主要包括支撐平臺和應(yīng)用系統(tǒng)兩大模塊，支撐平臺包括數(shù)據(jù)共享平臺、應(yīng)用支撐平臺、云管理平臺和移動支撐平臺；應(yīng)用系統(tǒng)包括綜合顯示與可視化會商系統(tǒng)、大氣行動計劃調(diào)度系統(tǒng)、環(huán)境信息服務(wù)系統(tǒng)和信息發(fā)布系統(tǒng)。如下圖：測評階段需要對各子系統(tǒng)的每個功能點(diǎn)一一進(jìn)行功能符合性及易用性驗(yàn)證，效率測試則按需求文檔給出的性能指標(biāo)做測試（目前需求文檔還在完善階段），信息系統(tǒng)安全測評在平臺軟硬件環(huán)境都建設(shè)完畢后開展評估工作。測試進(jìn)入準(zhǔn)則功能符合性測試進(jìn)入準(zhǔn)則：被測功能已經(jīng)開發(fā)完畢。被測功能經(jīng)過內(nèi)部測試且發(fā)現(xiàn)的問題已經(jīng)得到修復(fù)。測試環(huán)境搭建完成。可靠性、易用性測試進(jìn)入準(zhǔn)則：完成系統(tǒng)所有功能符合性測試。搭建具備可長期運(yùn)行的測試環(huán)境。效率測試進(jìn)入準(zhǔn)則：確定各業(yè)務(wù)系統(tǒng)效率測試業(yè)務(wù)點(diǎn)和具體效率指標(biāo)值。被測系統(tǒng)運(yùn)行穩(wěn)定，無需求和功能變更。效率測試工具安裝完成，運(yùn)行穩(wěn)定可靠。測試前完成數(shù)據(jù)及程序的備份工作。維護(hù)性、可移植性測試進(jìn)入準(zhǔn)則：完成系統(tǒng)所有功能符合性測試。搭建具備可長期運(yùn)行的測試環(huán)境。移植系統(tǒng)的軟硬件環(huán)境準(zhǔn)備完畢。測試前完成數(shù)據(jù)及程序的備份工作。風(fēng)險評估測試進(jìn)入準(zhǔn)則：系統(tǒng)軟硬環(huán)境搭建完畢。系統(tǒng)已經(jīng)長期穩(wěn)定運(yùn)行一段時間。用戶文檔集測試進(jìn)入準(zhǔn)則：文檔已經(jīng)通過內(nèi)部評審。 文檔提交到項目組并申請監(jiān)理和測評方審核。 功能符合性測試大氣數(shù)據(jù)共享平臺：用戶管理主要驗(yàn)證以下功能點(diǎn)：新增用戶、用戶屬性、同步用戶、刪除用戶、用戶審批、用戶查詢。單點(diǎn)登錄主要驗(yàn)證用戶認(rèn)證，保證用戶僅需進(jìn)行一次用戶名和密碼的登錄校驗(yàn)，無須在進(jìn)入各個不同業(yè)務(wù)應(yīng)用系統(tǒng)時分別登錄。公共代碼管理主要驗(yàn)證以下功能點(diǎn)：公共代碼集管理、共代碼維護(hù)和公共代碼查詢。污染源基礎(chǔ)信息管理主要驗(yàn)證以下功能點(diǎn)：污染源基礎(chǔ)信息維護(hù)（新增、修改、刪除、注銷、啟用）、污染源基礎(chǔ)信息審核（對新增，修改、注銷、啟用進(jìn)行審核）、污染源信息查詢和統(tǒng)計。大氣污染防治任務(wù)管理主要驗(yàn)證以下功能點(diǎn)：目標(biāo)管理（新增、編輯和刪除任務(wù)目標(biāo)）、任務(wù)管理（能按年份劃分任務(wù)，新增、編輯和刪除任務(wù)）。大氣污染防治臺賬管理主要驗(yàn)證以下功能點(diǎn)：燃煤治理臺賬、機(jī)動車治理臺賬、揚(yáng)塵治理臺賬和工業(yè)企業(yè)治理臺賬，驗(yàn)證對4類臺賬的新增、刪除、編輯和查看功能。大氣污染防治機(jī)構(gòu)管理主要驗(yàn)證以下功能點(diǎn)：組織機(jī)構(gòu)目錄管理和組織機(jī)構(gòu)基本信息管理。綜合顯示與可視化會商系統(tǒng)：會商信息綜合顯示主要驗(yàn)證以下功能點(diǎn)：會商信息來源配置、圖形化方式展示會商信息（數(shù)據(jù)表、統(tǒng)計圖和專題地圖等）、自定義會商信息模板、推送會商信息視頻內(nèi)容。會商知識管理主要驗(yàn)證以下功能點(diǎn)：會商知識采集（人工和自動兩種采集方式）、知識庫組織（目錄管理、知識庫權(quán)限控制、知識地圖）、會商知識編輯維護(hù)、會商結(jié)果管理（程序性文檔管理和技術(shù)性方案管理）?？梢暬瘯檀笃聊还芾碇饕?yàn)證以下功能點(diǎn)：大屏幕視頻信號管理和會商信息發(fā)布與集成。城市大氣數(shù)據(jù)模型系統(tǒng)：大數(shù)據(jù)采集主要驗(yàn)證以下功能點(diǎn)：數(shù)據(jù)轉(zhuǎn)換（將數(shù)據(jù)轉(zhuǎn)換到系統(tǒng)能夠識別的格式）和數(shù)據(jù)清洗（發(fā)現(xiàn)并糾正數(shù)據(jù)文件中可識別錯誤的最后一道程序，包括檢查數(shù)據(jù)一致性，處理無效值和缺失值）。大數(shù)據(jù)特征值提取主要驗(yàn)證以下功能點(diǎn)：特征值定義（包括氣象、污染排放清單、污染源自動監(jiān)控、路網(wǎng)和興趣點(diǎn)數(shù)據(jù)）、特征值提交預(yù)處理方式（時空索引定義和地圖關(guān)聯(lián)）、特征值提取算法（路網(wǎng)特征值提取、氣象特征值提取、POI特征值提取）。離線學(xué)習(xí)模型主要驗(yàn)證城市大氣預(yù)測預(yù)報離線學(xué)習(xí)模型算法的正確性。在線計算主要驗(yàn)證實(shí)時數(shù)據(jù)進(jìn)行加工分析算法的正確性。數(shù)值預(yù)報系統(tǒng)主要驗(yàn)以下功能點(diǎn)：數(shù)值預(yù)報系統(tǒng)部署方案和數(shù)據(jù)處理流程。預(yù)測預(yù)報結(jié)果發(fā)布主要驗(yàn)證以下功能點(diǎn)：專題報告生成、地圖操作、空氣質(zhì)量實(shí)況展示和空氣質(zhì)量時間預(yù)測。大氣行動計劃調(diào)度系統(tǒng)：信息采集與交換主要驗(yàn)證以下功能點(diǎn)：信息接入、信息顯示和信息報警。動態(tài)信息展示主要驗(yàn)證以下功能點(diǎn)：基礎(chǔ)底圖（包括地圖的基本操作）、專題地圖、動態(tài)標(biāo)繪、地圖查詢與展示和地圖應(yīng)用。標(biāo)準(zhǔn)事件處理流程管理主要驗(yàn)證以下功能點(diǎn)：預(yù)案信息管理、事件判別、事件信息記錄和事件處理結(jié)果考核管理。綜合指標(biāo)分析主要驗(yàn)證以下功能點(diǎn)：大氣環(huán)境事件態(tài)勢分析、大氣環(huán)境事件匯總及分類分析、效果評估分析和績效考核分析。大氣環(huán)境信息服務(wù)系統(tǒng)：重污染天氣預(yù)警信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：預(yù)警信息統(tǒng)計分析、預(yù)案等級分析、預(yù)警信息分析、預(yù)警解除分析、預(yù)案執(zhí)行結(jié)果統(tǒng)計分析。污染源專題信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：污染物超標(biāo)排放量統(tǒng)計、污染源設(shè)備運(yùn)行情況統(tǒng)計、污染物排放量綜合分析、綜合報表分析。機(jī)動車專題信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：機(jī)動車車輛統(tǒng)計、機(jī)動車保有量統(tǒng)計、機(jī)動車新注冊車輛統(tǒng)計、機(jī)動車轉(zhuǎn)出車輛統(tǒng)計。餐飲油煙專題信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：餐飲油煙基礎(chǔ)信息統(tǒng)計和餐飲油煙排放總量統(tǒng)計。監(jiān)督執(zhí)法專題信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：執(zhí)法完成任務(wù)率統(tǒng)計分析、信訪任務(wù)完成率統(tǒng)計分析、管轄企業(yè)達(dá)標(biāo)率統(tǒng)計分析。空氣質(zhì)量檢測專題信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：空氣質(zhì)量指數(shù)變化趨勢分析、監(jiān)測點(diǎn)空氣質(zhì)量指數(shù)變化趨勢分析、首要污染物天數(shù)統(tǒng)計、首要污染物歷年同期對比、周邊城市空氣質(zhì)量數(shù)據(jù)對比分析、重點(diǎn)城市空氣質(zhì)量數(shù)據(jù)對比分析?？諝赓|(zhì)量預(yù)測預(yù)報專題信息服務(wù)主要驗(yàn)證以下功能點(diǎn)：氣質(zhì)量AQI預(yù)測偏差分析和污染因子預(yù)測偏差分析。大氣污染防治任務(wù)專題信息服務(wù)主要驗(yàn)證指定時間段內(nèi)防治措施的有效開展及落實(shí)情況、成都市空氣質(zhì)量的變化趨勢的準(zhǔn)確性。大氣污染防治考核專題信息服務(wù)主要驗(yàn)證一年四個季度內(nèi)對大氣污染防治考核信息的準(zhǔn)確性，包括考核指標(biāo)、指標(biāo)值、考核指標(biāo)標(biāo)準(zhǔn)、考核結(jié)果等信息。環(huán)保移動智能終端應(yīng)用系統(tǒng)：綠信客戶端主要驗(yàn)證以下功能點(diǎn)：消息（單聊、群聊、公眾號、系統(tǒng)通知和搜索）、通訊錄（聯(lián)系人、組織機(jī)構(gòu)、聯(lián)系人名片）、發(fā)現(xiàn)（掃一掃、搖一搖、地圖、應(yīng)用）、我（個人信息、設(shè)置）、登錄注銷（登錄、注銷、緩存登錄信息、斷線重連、手勢鎖登錄）。綠信開放平臺主要驗(yàn)證以下功能點(diǎn)：消息中心（群發(fā)消息、發(fā)送消息記錄、接收消息記錄）、通訊錄（組織管理、用戶管理）、應(yīng)用中心（應(yīng)用管理、應(yīng)用設(shè)置）、素材庫（素材新增、素材編輯、素材刪除、素材查看）、使用分析（操作日志、數(shù)據(jù)統(tǒng)計）、版本管理（版本新增、版本刪除、版本發(fā)布）、設(shè)置（組織信息、登錄用戶、權(quán)限設(shè)置）、會話（會話、廣播）、消息過濾（過濾設(shè)置、內(nèi)容匹配）。環(huán)境信息發(fā)布系統(tǒng)：信息門戶發(fā)布服務(wù)主要驗(yàn)證以下功能點(diǎn)：圖片發(fā)布、文本發(fā)布和地圖發(fā)布。移動端發(fā)布服務(wù)主要驗(yàn)證以下功能點(diǎn)：圖片發(fā)布、文字發(fā)布、圖文發(fā)布和文件發(fā)布。公眾發(fā)布服務(wù)主要驗(yàn)證以下功能點(diǎn)：政府網(wǎng)站發(fā)布服務(wù)、微博發(fā)布服務(wù)、微信發(fā)布服務(wù)和短信發(fā)布服務(wù)。發(fā)布管理主要驗(yàn)證以下功能點(diǎn)：信息查詢、用戶管理、重復(fù)發(fā)布提示和日志管理。環(huán)保云管理平臺：配置管理主要驗(yàn)證以下功能點(diǎn)：虛擬機(jī)配置、數(shù)據(jù)庫配置、數(shù)據(jù)服務(wù)配置和地圖服務(wù)配置。監(jiān)控管理主要驗(yàn)證以下功能點(diǎn)：虛擬機(jī)監(jiān)控、數(shù)據(jù)庫監(jiān)控、數(shù)據(jù)服務(wù)監(jiān)控和地圖服務(wù)監(jiān)控。計量管理主要驗(yàn)證以下功能點(diǎn)：虛擬機(jī)計量、數(shù)據(jù)庫計量、數(shù)據(jù)服務(wù)計量和地圖服務(wù)計量?？煽啃詼y試軟件在發(fā)生錯誤時有錯誤提示，可以從錯誤狀態(tài)恢復(fù)到正常狀態(tài)，對關(guān)鍵數(shù)據(jù)進(jìn)行有效性檢查；不按操作說明書或操作流程操作也不會死機(jī)或退出系統(tǒng)。在輸入用戶文檔中明確規(guī)定的非法指令時，系統(tǒng)不應(yīng)退出、死機(jī)、崩潰或丟失數(shù)據(jù)。在用戶進(jìn)行錯誤輸入或未定義輸入時，程序應(yīng)視為不允許輸入，并給出相應(yīng)提示響應(yīng)。在使用的工作站或數(shù)據(jù)達(dá)到或企圖超出用戶文檔規(guī)定的極限時，系統(tǒng)不應(yīng)退出、死機(jī)、崩潰或丟失數(shù)據(jù)。通信、網(wǎng)絡(luò)意外中斷，系統(tǒng)不應(yīng)丟失數(shù)據(jù)、引起系統(tǒng)崩潰或死機(jī)。程序運(yùn)行過程中出現(xiàn)斷電時，考察系統(tǒng)和數(shù)據(jù)受影響的程度。是否提供補(bǔ)救工具，補(bǔ)救情況如何。數(shù)據(jù)自動存儲，應(yīng)進(jìn)行容量檢查。如數(shù)據(jù)滿和容量不足時應(yīng)有告警和相關(guān)處理，并有提示。系統(tǒng)按操作使用說明書操作，應(yīng)長期穩(wěn)定可靠。易用性測試測評系統(tǒng)的易理解性、易學(xué)性、易操作性、吸引性、易用性的依從性。效率測試測試內(nèi)容測試軟件同時在線用戶數(shù)的能力，該能力是否達(dá)到設(shè)計要求，是否有擴(kuò)展的余地，具體測試時要記錄用多少用戶進(jìn)行測試。對數(shù)據(jù)庫類：測試同時在線用戶數(shù)和數(shù)據(jù)量。對網(wǎng)絡(luò)類：測試同時在線用戶數(shù)、帶寬等。測試軟件的硬盤資源開銷（含所有的必備文件）、內(nèi)存（含虛存）開銷、CPU資源開銷。測試軟件內(nèi)存是否有泄漏，具體測試指標(biāo)為內(nèi)存釋放率，即加載該軟件時占了多少內(nèi)存開銷，總的內(nèi)存開銷是多少，然后退出該軟件時，具體釋放了多少內(nèi)存，釋放內(nèi)存除以占用內(nèi)存再乘以100%即為內(nèi)存釋放率。測試策略確定業(yè)務(wù)點(diǎn)的性能指標(biāo)(響應(yīng)時間等)；在測試環(huán)境下，逐步增加并發(fā)用戶數(shù)負(fù)載，直到系統(tǒng)的瓶頸或不能接受的性能點(diǎn)，通過綜合分析交易執(zhí)行指標(biāo)、資源監(jiān)控指標(biāo)等來確定系統(tǒng)并發(fā)性能的過程。測試流程壓力測試壓力測試增加數(shù)據(jù)量增加用戶數(shù)量系統(tǒng)崩潰階段結(jié)果審核系統(tǒng)調(diào)優(yōu)并發(fā)性能測試結(jié)果并發(fā)性能測試圖--并發(fā)性能測試流程測試用例案例名稱并發(fā)數(shù)網(wǎng)絡(luò)環(huán)境(帶寬)響應(yīng)時間備注說明系統(tǒng)登錄業(yè)務(wù)點(diǎn)50個并發(fā)用戶1000M帶寬3秒內(nèi)200個并發(fā)用戶1000M帶寬10秒內(nèi)資源檢索業(yè)務(wù)點(diǎn)50個并發(fā)用戶1000M帶寬3秒內(nèi)200個并發(fā)用戶1000M帶寬10秒內(nèi)24小時IAQI趨勢50個并發(fā)用戶1000M帶寬3秒內(nèi)200個并發(fā)用戶1000M帶寬10秒內(nèi)注1．并發(fā)測試、混合測試中重點(diǎn)關(guān)注操作相應(yīng)時間，同時注意服務(wù)器是否死機(jī)2．對于并發(fā)數(shù)少的案例（可能數(shù)據(jù)量也較少或有一定數(shù)據(jù)量），暫時不作為重點(diǎn)考慮3．局域網(wǎng)測試中重點(diǎn)考慮業(yè)務(wù)的并發(fā)情況，暫時不考慮網(wǎng)絡(luò)因素4．測試過程中每個虛擬用戶循環(huán)執(zhí)行3次案例交易5．暫定以上業(yè)務(wù)點(diǎn)，后期根據(jù)實(shí)際情況，針對核心業(yè)務(wù)點(diǎn)性能進(jìn)行測試測試場景指定主要包含以下內(nèi)容：每個虛擬用戶Action的循環(huán)次數(shù)，定為3；每個虛擬用戶Action的循環(huán)之間的間隔，定為無；日志處理，定為有錯誤發(fā)生時傳送消息，標(biāo)準(zhǔn)日志方式；用戶操作時間處理，定為忽略用戶操作時間；錯誤處理，錯誤不導(dǎo)致回放停止；回放模式，定為線程方式；交易處理，定為Action獨(dú)立交易；網(wǎng)絡(luò)傳輸速度選擇，定為最大帶寬；瀏覽器模擬方式，定為IE6.0；模擬瀏覽器cache；下載非HTML資源；在每個循環(huán)中模擬一個新用戶；代理處理，定位無；虛擬用戶數(shù)，按照測試用例描述加載超時處理，設(shè)為600s；回放內(nèi)容檢查，定為查詢檢查成功標(biāo)志；回放日程模式。定為場景模式：所以虛擬用戶同時起停；交易完成時停止回放；頁面分解選項啟動；測試范圍a.并發(fā)性能測試b.資源監(jiān)控效率指標(biāo)事務(wù)相關(guān)指標(biāo)性能指標(biāo)細(xì)化指標(biāo)說明并發(fā)用戶數(shù)指標(biāo)測試工具模擬的用戶并發(fā)數(shù)量。交易處理指標(biāo)平均事物響應(yīng)時間每秒事務(wù)數(shù)事務(wù)響應(yīng)時間（負(fù)載下）事務(wù)響應(yīng)時間（百分比）事務(wù)響應(yīng)時間（分布）Web請求指標(biāo)每秒點(diǎn)擊次數(shù)吞吐量每秒HTTP響應(yīng)數(shù)每秒下載頁面數(shù)每秒重試次數(shù)連接數(shù)每秒SSL連接數(shù)Web頁面組件指標(biāo)激活網(wǎng)頁細(xì)分頁面組件細(xì)分頁面組件細(xì)分（隨時間變化）頁面下載時間細(xì)分頁面下載時間細(xì)分（隨時間變化）第一次緩沖細(xì)分時間第一次緩沖細(xì)分時間（隨時間變化）已下載組件大小系統(tǒng)資源指標(biāo)（Windows系統(tǒng)）度量描述Averageload上一分鐘同時處于“就位”狀態(tài)的平均進(jìn)程數(shù)Conllisionrate每秒鐘在以太網(wǎng)檢測到的沖突數(shù)Contextswitchesrate每秒鐘在進(jìn)程或線程之間的切換次數(shù)CPUutilizationCPU的使用時間百分比Diskrate磁盤傳輸速率Incomingpacketserrorrate接收以太網(wǎng)數(shù)據(jù)包時每秒鐘接收到的錯誤數(shù)Incomingpacketsrate每秒鐘傳入的以太網(wǎng)數(shù)據(jù)包數(shù)Interruptrate每秒鐘內(nèi)的設(shè)備中斷數(shù)Outgoingpacketserrorsrate發(fā)送以太網(wǎng)數(shù)據(jù)包時每秒鐘發(fā)送的錯誤數(shù)Outgoingpacketsrate每秒鐘傳出的以太網(wǎng)數(shù)據(jù)包數(shù)inrate每秒鐘讀入到物理內(nèi)存中的頁數(shù)outrate每秒鐘寫入頁面文件和從物理內(nèi)存中刪除的頁數(shù)Pagingrate每秒鐘讀入物理內(nèi)存或?qū)懭腠撁嫖募械捻摂?shù)Swap-inrate正在交換的進(jìn)程數(shù)Swap-outrate正在交換的進(jìn)程數(shù)SystemmodeCPUutilization在系統(tǒng)模式下使用CPU的時間百分比UsermodeCPUutilization在用戶模式下使用CPU的時間百分比數(shù)據(jù)庫資源指標(biāo)度量描述CPUusedbyinthissession這是在用戶調(diào)用開始和結(jié)束之間會話所占用的CPU時間（以10ms為單位）。一些用戶調(diào)用在10ms之內(nèi)即可完成，因此用戶調(diào)用的開始和結(jié)束時間可以是相同的，在這種情況下，系統(tǒng)值為0ms，操作系統(tǒng)報告中可以有類似的問題，尤其是在經(jīng)歷許多上下文切換的系統(tǒng)中BytesreceivedviaSQL*Netfromclient通過Net8從客戶端接收的總字節(jié)數(shù)Logonscurrent當(dāng)前的登陸總數(shù)Opensofreplacedfiles由于已經(jīng)不在進(jìn)程文件緩存中，所以需要重新打開的文件總數(shù)Usercalls在每次登陸、解析或執(zhí)行時，ORACLE會分配資源（callstate對象）以記錄相關(guān)的用戶調(diào)用數(shù)據(jù)結(jié)構(gòu)。在確定活動時，用戶調(diào)用與RPI調(diào)用的比指明了因用戶發(fā)往Oracle的請求類型而生成的內(nèi)部工作量SQL*Netroundtripsto/fromclient發(fā)送到客戶端和從客戶端接受的Net8消息的總數(shù)BytessentviaSQL*Nettoclient從前臺進(jìn)程中發(fā)送到客戶端的總字節(jié)數(shù)Openedcursorscurrent當(dāng)前打開的光標(biāo)總數(shù)DBblockchanges由于與一致更改的關(guān)系非常密切，從統(tǒng)計計算對SGA中所有塊執(zhí)行的、作為更新或刪除操作一部分的更改總數(shù)。這些更改將生成重做日志項。如果事物被提交，將是對數(shù)據(jù)庫的永久性更改。此統(tǒng)計是一個全部數(shù)據(jù)庫作業(yè)的粗略指示，并且指出（可能在每事物級上）弄壞緩沖區(qū)的速率TotalfileOpens由實(shí)例執(zhí)行的文件打開總數(shù)，每個進(jìn)程需要許多文件（控制文件、日志文件、數(shù)據(jù)庫文件）以便針對數(shù)據(jù)庫進(jìn)行工作維護(hù)性測試測評系統(tǒng)的的易分析性、易改變性、穩(wěn)定性、易測試性、維護(hù)性的依從性?？梢浦残詼y試測評系統(tǒng)的的適應(yīng)性、易安裝性、共存性、易替換性、可移植性的依從性、卸載。風(fēng)險評估測評方法測評工作主要采用訪談、檢查、測試和風(fēng)險分析等方法。其中安全測評現(xiàn)場工作一般采用訪談、檢查和測試三類方法。1)訪談是測評人員通過與信息系統(tǒng)有關(guān)人員進(jìn)行交流、討論等活動以獲取證據(jù)的一種方法；訪談使用到的工具主要是訪談列表。測評人員針對訪談列表上的問題，逐項與信息系統(tǒng)有關(guān)人員進(jìn)行交流、討論，根據(jù)被訪談人員的回答了解和確認(rèn)信息系統(tǒng)的安全保護(hù)情況；2)檢查是測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動以獲取證據(jù)的一種方法；檢查使用到的工具主要是核查列表。測評人員針對核查列表上的問題，通過觀察、查驗(yàn)、分析等活動，逐項核實(shí)。根據(jù)檢查對象的不同，檢查可以進(jìn)一步分為文檔審查、現(xiàn)場觀察和配置核查等方式；3)測試是指測評人員對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，然后通過查看、分析響應(yīng)輸出結(jié)果來獲取證據(jù)的一種方法；依據(jù)工具和實(shí)施過程的不同，測試可以進(jìn)一步細(xì)分為信息獲取、漏洞掃描、滲透測試、密碼分析等方式。a)信息獲取是指獲取存活主機(jī)/設(shè)備的名稱、IP地址、操作系統(tǒng)、開放的服務(wù)端口以及特定的數(shù)據(jù)包等信息內(nèi)容；b)漏洞掃描是指利用漏洞掃描設(shè)備對目標(biāo)設(shè)備進(jìn)行自動探測，發(fā)現(xiàn)這些主機(jī)/設(shè)備上各個對網(wǎng)絡(luò)開放端口上存在的錯誤配置和已知安全漏洞；c)滲透測試是模擬黑客可能使用的攻擊技術(shù)，試圖侵入信息系統(tǒng)或取得信息系統(tǒng)上的更多資源，以直觀地測試信息系統(tǒng)的安全狀況。從不同接入點(diǎn)對信息系統(tǒng)進(jìn)行漏洞掃描和滲透測試，可以反映出信息系統(tǒng)在不同角度、不同視野下的安全狀況。現(xiàn)場測評結(jié)束后編制報告階段需進(jìn)行風(fēng)險分析，過程包括：1)判斷信息系統(tǒng)安全保護(hù)能力缺失（測評結(jié)果中的部分符合項和不符合項）被威脅利用導(dǎo)致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低；2)判斷安全事件對信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范圍為高、中和低；3)綜合前兩項的結(jié)果對信息系統(tǒng)面臨的風(fēng)險進(jìn)行匯總和分等級，風(fēng)險等級的取值范圍為高、中和低；4)結(jié)合信息系統(tǒng)的安全保護(hù)等級對風(fēng)險分析結(jié)果進(jìn)行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險。主要測評工具1、主機(jī)掃描本次測試使用綠盟極光遠(yuǎn)程安全評估系統(tǒng)（RSAS）對被評測對象進(jìn)行漏洞掃描，主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件、目錄和文件權(quán)限、共享文件系統(tǒng)、敏感服務(wù)、軟件、系統(tǒng)漏洞等。2、數(shù)據(jù)庫掃描本次測評使用安信通數(shù)據(jù)庫自動化掃描工具，對數(shù)據(jù)庫漏洞和安全策略進(jìn)行全面評估。測評內(nèi)容與實(shí)施信息系統(tǒng)技術(shù)安全檢查1、物理安全測評內(nèi)容序號工作單元名稱工作單元描述1物理位置的選擇通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房等過程，測評機(jī)房等信息系統(tǒng)場所在物理位置上是否具有防震、防風(fēng)和防雨等多方面的安全防范能力2物理訪問控制通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房出入口、機(jī)房分區(qū)域情況等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力3防盜竊和防破壞通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房主要設(shè)備、介質(zhì)和防盜報警系統(tǒng)等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞4防雷擊通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房的設(shè)計/驗(yàn)收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊5防火通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房的設(shè)計/驗(yàn)收文檔，檢查機(jī)房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生6防水和防潮通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止水災(zāi)和機(jī)房潮濕7防靜電通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房等過程，測評信息系統(tǒng)是否采取必要的措施防止靜電的產(chǎn)生8溫濕度控制通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房的恒溫、恒濕系統(tǒng)，測評信息系統(tǒng)是否采取必要措施對機(jī)房內(nèi)的溫濕度進(jìn)行控制9電力供應(yīng)通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房供電線路、設(shè)備等過程，測評信息系統(tǒng)是否具備提供一定的電力供應(yīng)的能力10電磁防護(hù)通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房等過程，測評信息系統(tǒng)是否具備一定的電磁防護(hù)能力2、網(wǎng)絡(luò)安全測評內(nèi)容序號工作單元名稱工作單元描述1結(jié)構(gòu)安全通過訪談網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、抽查核心交換機(jī)、接入交換機(jī)和接入路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備，測試系統(tǒng)訪問路徑和網(wǎng)絡(luò)帶寬分配情況等過程，測評分析網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性2訪問控制通過訪談安全員，檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等過程，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力3網(wǎng)絡(luò)安全審計通過訪談安全員，檢查核心路由器和接入交換機(jī)等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況4邊界完整性檢查通過訪談安全員，檢查邊界完整性檢查設(shè)備，測評分析信息系統(tǒng)對內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為進(jìn)行檢測、阻斷的能力5網(wǎng)絡(luò)入侵防范通過訪談安全員，檢查網(wǎng)絡(luò)邊界處的入侵檢測設(shè)備IDS等過程，測評分析信息系統(tǒng)對攻擊行為的識別和處理情況6網(wǎng)絡(luò)設(shè)備防護(hù)通過訪談網(wǎng)絡(luò)管理員，檢查核心交換機(jī)、接入交換機(jī)和接入路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備；檢查IDS和防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、權(quán)限分離、登錄失敗處理、限制非法登錄和登錄連接超時等，考慮網(wǎng)絡(luò)設(shè)備自身的安全防范情況3、主機(jī)安全測評內(nèi)容序號工作單元名稱工作單元描述1身份鑒別通過訪談操作系統(tǒng)管理員和數(shù)據(jù)管理員和檢查，每個操作系統(tǒng)和數(shù)據(jù)庫的管理員是否進(jìn)行了身份標(biāo)識與鑒別，只有通過鑒別的用戶才能被賦予相應(yīng)的權(quán)限，進(jìn)入系統(tǒng)并在規(guī)定的權(quán)限內(nèi)操作。2訪問控制確保操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)管理的系統(tǒng)資源受控合法地使用，使用戶只能在自己的權(quán)限范圍內(nèi)訪問系統(tǒng)資源，不到越權(quán)訪問。3安全審計具有操作系統(tǒng)和數(shù)據(jù)系統(tǒng)的運(yùn)行情況以及系統(tǒng)用戶行為的記錄，包含用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等。4剩余信息保護(hù)操作系統(tǒng)應(yīng)對硬盤、內(nèi)存或緩沖區(qū)中的剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，由操作系統(tǒng)將其完全清空之后，才釋放或重新分配給其他用戶。5入侵防范具有入侵防范手段，減少主機(jī)對外暴露的漏洞。6惡意代碼防范具有惡意代碼防范措施，能阻擋來自外部網(wǎng)絡(luò)向內(nèi)部傳播的病毒7資源控制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須對資源的使用進(jìn)行控制，包含限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時時或鑒別失敗時進(jìn)行鎖定等。4、應(yīng)用安全測評內(nèi)容序號工作單元名稱工作單元描述1身份鑒別應(yīng)用系統(tǒng)需進(jìn)行身份標(biāo)識與鑒別，只有通過鑒別的用戶才能被賦予相應(yīng)的權(quán)限，進(jìn)入系統(tǒng)并在規(guī)定的權(quán)限內(nèi)操作。2訪問控制用戶只能根據(jù)自己被賦予的權(quán)限大小來使用應(yīng)用系統(tǒng)的功能和訪問數(shù)據(jù)，不得越權(quán)訪問。3安全審計具有應(yīng)用系統(tǒng)的運(yùn)行情況以及系統(tǒng)用戶行為的記錄，包含用戶登錄情況、系統(tǒng)功能的執(zhí)行等重要事件。4剩余信息保護(hù)需保證存儲內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，應(yīng)用系統(tǒng)應(yīng)對這些剩余信息加以保護(hù)，在將用戶的鑒別信息等資源所在的空間釋放或重新分配給其他用戶之前，應(yīng)將其完全清除。5通信完整性保護(hù)數(shù)據(jù)免受傳輸時將非授權(quán)修改，就必須確保應(yīng)用系統(tǒng)服務(wù)器與用戶之間傳輸數(shù)據(jù)的完整性。6通信保密性用戶與應(yīng)用系統(tǒng)服務(wù)器之間傳輸?shù)臄?shù)據(jù)可能帶一定的敏感性，如果傳輸是通過不可信網(wǎng)絡(luò)傳輸，為了防止在傳輸中的信息泄露，可在應(yīng)用層采取措施保證其保密性不受破環(huán)。7抗抵賴系統(tǒng)應(yīng)實(shí)現(xiàn)抗抵賴功能，為通信雙方提供對方操作行為的證據(jù)。8軟件容錯對硬件設(shè)備采用了冗余備份的方式保證系統(tǒng)使用的可靠性，對于軟件系統(tǒng)則主要考慮程序?qū)﹀e誤的檢測和恢復(fù)能力。9資源控制必須對資源的使用進(jìn)行控制，包含限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時時或鑒別失敗時進(jìn)行鎖定等。信息系統(tǒng)管理安全檢查1、安全管理制度測評內(nèi)容序號安全子類測評指標(biāo)描述1管理制度測評信息系統(tǒng)管理制度在內(nèi)容覆蓋上是否全面、完善。2制定與發(fā)布測評信息系統(tǒng)管理制度的制定和發(fā)布過程是否遵循一定的過程。3評審和修訂測評信息系統(tǒng)管理制度的定期評審和修訂情況。2、安全管理機(jī)構(gòu)測評內(nèi)容序號安全子類測評指標(biāo)描述1崗位設(shè)置每個單位都需要一定的人員從事信息系統(tǒng)管理和安全管理不同方面的工作，如系統(tǒng)管理負(fù)責(zé)系統(tǒng)的安全配置、帳戶管理、系統(tǒng)升級等方面；而網(wǎng)絡(luò)管理員則側(cè)重于對整個網(wǎng)絡(luò)結(jié)構(gòu)的安全、網(wǎng)絡(luò)設(shè)備的正確配置等工作。應(yīng)由相應(yīng)機(jī)構(gòu)對信息安全工作進(jìn)行有組織的、有目的的管理。2人員配備各種信息安全工作需要具體的人員來負(fù)責(zé)，必須配置相應(yīng)的工作崗位，并明確各自的工作職責(zé)。3授權(quán)和審批機(jī)構(gòu)必須對信息系統(tǒng)安全相應(yīng)的關(guān)鍵活動進(jìn)行控制，保證關(guān)鍵活動的進(jìn)行再機(jī)構(gòu)的掌控之中，必須通過授權(quán)和審批的形式，允許或拒絕關(guān)鍵活動的發(fā)生。4溝通和合作需加強(qiáng)與信息服務(wù)提供機(jī)構(gòu)、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。5審核和檢查應(yīng)定期組織相關(guān)部門人員按照安全審核和檢查程序進(jìn)行安全檢查。3、人員安全管理測評內(nèi)容序號安全子類測評指標(biāo)描述1人員錄用應(yīng)在人員錄用時進(jìn)行條件符合性篩選，錄用時應(yīng)考慮的方面包含：人員技術(shù)水平、身份背景、專業(yè)資格等方面。2人員離崗在離崗時，需從硬件歸還和權(quán)限撤銷方面進(jìn)行要求。3人員考核通過人員考核是機(jī)構(gòu)及時掌握關(guān)鍵崗位人員的技術(shù)能力，同時需加強(qiáng)對關(guān)鍵崗位人員的信息審查。4安全意識教育和培訓(xùn)確保員工在日常工作過程中，能時刻意識到信息安全的威脅和利害關(guān)系，并支持機(jī)構(gòu)的信息安全方針，并根據(jù)安全教育和培訓(xùn)計劃對所有員工進(jìn)行培訓(xùn)，使其認(rèn)識到自身的責(zé)任，提供自身技能。培訓(xùn)內(nèi)容包含單位的信息安全方針、信息安全方面的基本知識、安全技術(shù)、安全標(biāo)準(zhǔn)、崗位職責(zé)等。5第三方人員訪問管理在業(yè)務(wù)上有與外部人員接觸的需求時，應(yīng)當(dāng)對其適當(dāng)?shù)倪M(jìn)行臨時管理，對信息系統(tǒng)的核心部分應(yīng)不允許外部人員的訪問，以確保其安全性。4、系統(tǒng)建設(shè)管理測評內(nèi)容序號安全子類測評指標(biāo)描述1系統(tǒng)定級機(jī)構(gòu)應(yīng)根據(jù)系統(tǒng)實(shí)際情況，確定系統(tǒng)的安全保護(hù)等級。2安全方案設(shè)計應(yīng)結(jié)合信息系統(tǒng)實(shí)際的運(yùn)行狀況沒制定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃，從人力、物力、財力各方面做好部署與配置。3產(chǎn)品采購和使用選擇合適的產(chǎn)品并按照詳細(xì)設(shè)計方案進(jìn)行技術(shù)實(shí)現(xiàn)，包含系統(tǒng)安全設(shè)計的方案在系統(tǒng)中得到有效實(shí)施，并保證產(chǎn)品得到正確的配置和使用。產(chǎn)品采購需按照機(jī)構(gòu)一定的采購流程或要求進(jìn)行，確保產(chǎn)品在符合國家有關(guān)規(guī)定的前提下。4自行軟件開發(fā)包含開發(fā)環(huán)境、軟件開發(fā)過程管理制度、開發(fā)人員或測試人員分離、代碼編寫規(guī)則和資源庫管理等要求。5外包軟件開發(fā)包含軟件質(zhì)量檢測、安全檢測、文檔要求、軟件源代碼后門審查。6工程實(shí)施工程實(shí)施階段的雙方合作的活動通常要簽訂協(xié)議，約束其行為，必要時可以請工程監(jiān)理控制項目的實(shí)施過程。7測試驗(yàn)收在工程實(shí)施完成之后，系統(tǒng)交付使用之前，委托建設(shè)方應(yīng)制定或授權(quán)專門的部門按照系統(tǒng)測試驗(yàn)收管理制度要求、設(shè)計方案或合同要求進(jìn)行系統(tǒng)的安全測試驗(yàn)收。8系統(tǒng)交付系統(tǒng)委托建設(shè)方和承建方都應(yīng)按照委托協(xié)議或其他協(xié)議而形成的交接清單進(jìn)行交付工作，保證交付工作能夠按照既定的要求順利完成。9系統(tǒng)備案根據(jù)相關(guān)規(guī)定對定級、評審和備案活動提出要求。10測評三級系統(tǒng)至少每年一次測評，且需選擇具有資質(zhì)的測評機(jī)構(gòu)進(jìn)行測評。11安全服務(wù)商選擇服務(wù)商選擇符合國家規(guī)定，提供服務(wù)前需要與之簽訂安全協(xié)議和服務(wù)合同。5、系統(tǒng)運(yùn)維管理測評內(nèi)容序號安全子類測評指標(biāo)描述1環(huán)境管理加強(qiáng)機(jī)房物理訪問控制和維護(hù)機(jī)房良好的運(yùn)行環(huán)境、和加強(qiáng)信息保密性為主，防止人員無意或有意而導(dǎo)致敏感信息遭到非法訪問。2資產(chǎn)管理包含組成信息系統(tǒng)的各種軟硬件設(shè)備、設(shè)施及信息資產(chǎn)。3介質(zhì)管理關(guān)注介質(zhì)的安全存放、介質(zhì)的使用（包含借出、傳輸、銷毀）4設(shè)備管理對設(shè)備的采購、配置、使用、維修等進(jìn)行管理。5監(jiān)控管理和安全管理中心對各類設(shè)備運(yùn)行情況的監(jiān)控、對安全設(shè)備的集中管理和集中安全審計，及時發(fā)現(xiàn)存在的問題，分析監(jiān)控數(shù)據(jù)，統(tǒng)一管理惡意代碼和補(bǔ)丁升級。6網(wǎng)絡(luò)安全管理關(guān)注網(wǎng)絡(luò)設(shè)備的正確配置、軟硬件的及時升級、網(wǎng)絡(luò)監(jiān)控記錄和審計日志管理等方面。7系統(tǒng)安全管理包含系統(tǒng)訪問權(quán)限、系統(tǒng)漏洞補(bǔ)丁、系統(tǒng)日志、系統(tǒng)帳戶等方面。8惡意代碼防范管理包含基本的用戶意識培訓(xùn)、惡意代碼的定期檢測、代碼庫及時審計等方面。9密碼管理應(yīng)與國家相關(guān)密碼規(guī)定相符合，并對密碼使用形成制度。10變更管理必須對系統(tǒng)所做的各種大的變更活動進(jìn)行控制，使其在控制范圍內(nèi)。11備份與恢復(fù)管理確定備份內(nèi)容并確定相應(yīng)的備份方式，需建立備份和恢復(fù)程序、相關(guān)管理制度的要求，同時需驗(yàn)證備份的有效性。12安全事件處置對用戶進(jìn)行基本的安全事件處置教育，并制定處置制度，事件分類分級管理，對安全事件處置程序進(jìn)行要求，對造成系統(tǒng)中斷和信息泄露的安全事件采用不同的處置和報告程序。13應(yīng)急預(yù)案管理需指定不同事件應(yīng)急預(yù)案并對相關(guān)人員進(jìn)行培訓(xùn)，應(yīng)急預(yù)案需演練和定期審查，建立災(zāi)難恢復(fù)計劃，并對其進(jìn)行測試，保證可用性。用戶文檔集測試測評思路用戶文檔集測試是對本項目應(yīng)用系統(tǒng)以及非應(yīng)用系統(tǒng)的需求分析文檔、軟件開發(fā)過程文檔、安裝用戶使用手冊、系統(tǒng)運(yùn)維手冊進(jìn)行檢查。用戶文檔對于信息系統(tǒng)有著與程序同樣的重要性，需要給予同樣關(guān)注和投入。充分有效的文檔可以改善系統(tǒng)的易安裝性，提高軟件的易用性，改善軟件的可靠性，降低技術(shù)支持的費(fèi)用和精力。通過對被測系統(tǒng)用戶文檔的測試，可以有效的保證用戶文檔的質(zhì)量，方便用戶對系統(tǒng)進(jìn)行理解和使用。測評內(nèi)容依據(jù)國家標(biāo)準(zhǔn)，對本次用戶文