让地铁信息化更简单更安全

     山东省计算中心(山东省软件评测中心)受青岛地铁集团有限公司运营分公司委托,本着“客观专业评测、提升整体质量”的项目原则,在青岛地铁集团有限公司运营分公司领导和相关负责人组织和配合下顺利完成“运营信息化一期项目软件测评服务项目”验收测试 。

     一、项目背景

     目前,青岛地铁集团的信息化建设处于起步阶段,地铁集团领导对信息化建设非常重视,进行了整体信息化规划及顶层设计。鉴于《网络安全法》第十七条有关“鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”的要求及信息化管理部门的三同步原则,集团领导本着整体规划、分步实施的策略,通过在信息化项目验收和实施阶段引入第三方测评机构进行信息化质量把关,实现青岛地铁公司使命与职能、体现通过信息化见识实现多方协同的价值塑造。

青岛地铁集团为保证信息系统建设达到设计要求和建设标准,通过山东省计算中心(山东省软件评测中心)专业第三方软件测评对“运营信息化一期项目软件测评服务项目”信息系统进行功能性、安全性、效率、代码审计、可靠性、易用性、过程文档等全面测试,为系统的成功应用提供有力保障。

     二、项目特点

     “运营信息化一期项目软件测评服务项目”共包含五个应用系统,支撑地铁集团员工日常工作管理、即时通讯、地铁运营管理、生产计划管理等业务。

     功能实现方面存在软件业务流程节点多、接口数据交互频繁、移动端用户体验要求高的特点。针对复杂的业务流程测试,需要设计全面的功能测试用例以保证每个流程节点数据流转准确性;针对接口数据交互,需要验证接口规则、接口数据流入流出的一致性等;移动端用户体验,各类机型、不同版本操作系统兼容性以及移动端业务操作、界面显示的易用性都十分重要。

     效率方面存在并发用户量大、业务响应能力和系统稳定性要求高的特点。需要通过负载测试、并发测试、疲劳测试等性能测试方法考察系统负载能力、时间特性、资源特性、接口传输速率、程序处理能力、架构成熟度、长时间运行稳定性等内容。

     安全方面存在业务数据敏感、权限控制要求严格、应用安全抗攻击能力和代码质量要求高的特点。针对应用安全漏洞、身份识别、权限控制、日志审计、数据安全、代码安全、代码质量、代码规范等安全要求,需要通过自动化扫描审查配合手工排查验证的方式全面发现安全漏洞、提供安全加固建议、提升整体安全质量。

     三、实施过程

     项目前期,青岛地铁集团运营分公司相关负责人对第三方验收测评工作和开发团队分别提出“细致客观排查系统问题、专业提升整体质量”及“测评问题零回避、保质保量全面修复”的工作要求。在测评工作的高标准、严要求下,测评实施团队对被测系统技术架构、业务实现等进行了充分的业务调研和需求分析。针对不同系统,从多角度、全方位进行专业分析,梳理被测系统功能、性能、安全等特点和质量要求,设计针对性测评方案、测评计划,指导测评工作实施。

     整体测评实施由功能测评团队、性能测评团队、安全测评团队、质量管理团队并行开展,主要从以下方面保障和提升“运营信息化一期项目”建设质量。

     功能测试:梳理被测系统功能模块和业务功能,结合山东省计算中心(山东省软件评测中心)16年软件测评项目积累的测试用例库设计通用测试用例;在测试过程不只局限于常规黑盒测试方法,同时针对业务流程、数据一致性等问题设计针对性测试用例,以覆盖每个流程节点、流转数据,充分保证测试完整性和全面性。对于测试中发现的缺陷利用专业缺陷管理工具,对缺陷状态、内容、级别、修复情况进行分析、评审、回归验证等统一管理,保证每一个测试缺陷可追溯和有效修复。

     性能测试:通过对被测系统业务、用户数量、数据量、整体架构进行分析,选取业务使用频率高、单位时段内目标用户比较集中、业务操作关联数据量较大的性能测试点开发自动化测试脚本;按照一定的测试策略,使用专业的性能测试工具模拟并发测试、负载测试、疲劳测试,监控应用程序、硬件资源、中间件、数据库等,考察系统业务平均响应时间、业务处理能力、业务成功率、吞吐量等各项性能指标;同时在各个测试环节由性能诊断专家分析系统性能瓶颈,诊断应用程序、系统架构、环境部署、硬件资源等各方面性能问题,并提供性能优化建议。通过性能测试和性能优化保证系统性能良好,同时满足未来几年信息系统用户量和数据量递增的性能要求。

     安全测试:习总书记指出“没有网络安全就没有国家安全”,对于当前面临的主要安全威胁,采用漏洞扫描、模拟黑客攻击、手工验证等方式,排查身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、网络环境、主机系统、数据库系统等方面的安全问题,重点针对SQL注入、跨站脚本、不健全的认证和会话管理、不安全的直接对象引用、不安全的加密存储、传输层保护不足、重定向和转发、目录遍历、信息泄露、管理后台暴露、Cookies欺骗、网页挂马、网站安全事件等应用安全漏洞,提升整体安全质量。

     代码测试:采用专业的代码审计工具扫描并结合人工审查方式分析源代码中的安全漏洞和代码弱点,识别、跟踪软件源代码的技术和逻辑方面问题,为代码不规范、可读性低、质量差、资源不释放、安全漏洞等问题提供优化建议,保证代码安全、提升代码质量。

     接口测试:依据接口规范,使用接口测试工具模拟系统上层调用接口应用场景结合手工验证方式,从功能性、性能、安全性、可靠性等方面综合评测外部系统与系统之间、内部各子系统间、系统各功能模块间接口功能实现的正确性、接口调用性能指标、接口安全及接口异常数据可靠性控制等内容,全面保证系统接口质量。

     四、项目总结

     在信息化高速发展的前提下,业务的开展越来越依赖于信息化系统,信息化建设方需要强化项目管理、增强信息化人才储备,同时要借助专业第三方服务来保障项目的规划落地。

     青岛地铁集团有限公司运营分公司“运营信息化一期项目软件测评服务项目”历时两个多月,发现各类功能、性能、安全、代码等问题。问题原因错综复杂,通过专业测评人员和工具进行软件评测、故障定位、对症下药、优化提升,达到了深入挖掘潜在故障、最大程度提升信息系统质量的目的。

     五、结语

     “运营信息化一期项目软件测评服务项目”的顺利完成,提高了青岛地铁集团有限公司运营分公司信息化系统整体质量,为地铁日常运营业务开展奠定了基础;同时也为青岛地铁集团信息化建设项目管理、风险管控、质量提升积累了经验、树立了标杆。

     青岛地铁集团信息化部门在未来规划的信息化系统建设项目中通过引入第三方软件测评方式进行项目质量整体把控。愿地铁集团科学的信息化发展理念与山东省计算中心专业的信息化风险管控经验相结合,真正地实现地铁信息化更简单更安全!


返回道普网首页 返回道普网首页>> 文/道普原创
道普网

道普声明
1、道普网转载本文目的在于传递信息,并不代表赞同其观点或对真实性负责,道普不承担文章侵权行为的连带责任。
2、若所转内容涉及版权等问题,请著作权或版权拥有机构致电或来函联系,我方将第一时间处理。
3、本网原创文章欢迎转载,务必请注明来源。
转载请注明来源
道普网原创或编译,更多信息化门户专业资料请访问道普信息化。

官网:http://www.topcio.cn

微博:@道普信息化

微视:TOPCIO视频库

微信:topcio_cn

道普信息化交流2群 和道普妹妹谈心

季度热门文章