沈陽局集團公司信息技術所2024年集團公司統建研發項目第三方測試服務招標公告
(招標編號:ZTSYJCGS2024-0865)
1.招標條件
本招標項目沈陽局集團公司信息技術所2024年集團公司統建研發項目第三方測試服務 該項目已具備招標條件,現對本項目采購進行公開招標。評審方法為經評審的最低投標價法。
2.項目概況與招標范圍
招標業務外包的名稱、類別、工作量、交工驗收地點、包件劃分等詳見本公告附件1。
1.執行的技術標準:《GBT25000.51-2016系統與軟件工程系統與軟件質量要求和評價(SQuaRE)第51部分:就緒可用軟件產品(RUSP)的質量要求和測試細則》等標準。
《信息安全技術信息安全風險評估方法》 (GB/T20984)
2.鐵路專用配件執行的相關文件、規定:無
3.產品認證或檢驗檢測報告:無
4.其他需具體明確的技術要求:詳見技術規格書
5.服務條款:履約期內提供軟件測試服務,關鍵信息基礎設施風險評估服務,和技術咨詢服務。配合招標方整改測試中發現的問題,并復測合格。
6.售后服務及要求:
服務商在合同履約期內收到招標方相關服務請求后,需在48小時內響應并提供相關的技術服務。
技術規格書
一、服務內容
(一)服務范圍:
2022年-2024年國鐵集團批復的集團公司自建信息化研發項目共有13個項目(大數據車輛管控平臺-發電車監控子系統、社會保險管理信息系統(升級)、人事管理平臺、車輛系統綜合管理信息平臺、廠辦大集體改革數據云平臺、項目庫管理系統、公寓綜合管理系統、沈陽局集團公司數字黨建工作平臺(信創版)、沈陽局集團公司安全管理信息系統、沈陽局集團公司官方網站(信創版)、沈陽局集團公司貨運輔助綜合管理信息系統、信息技術所綜合管理系統(信創版)、運輸管理系統運輸安全生產綜合管理子系統沈陽局應用)需在2024年底前完成第三方測試。
(二)技術服務內容及標準
1、功能測試:客觀、全面的檢查被測系統功能,驗證軟件產品提供滿足明確和隱含要求的功能的能力,是否滿足系統上線應用要求。包括從軟件的功能適合性、準確性、依從性方面進行測試。
適合性是指軟件產品為指定的任務和用戶目標提供一組合適的功能的能力。
準確性是指軟件產品提供具有所需精度的正確或相符的結果或效果的能力。
依從性是指軟件產品遵循與功能性相關的標準、約定或法規以及類似規定的能力。
2、性能測試:分析被測系統性能需求,提取性能指標要求及被測性能點;通過模擬多種正常、峰值以及異常負載條件來對被測系統開展性能測試,驗證其并發量、響應時間、吞吐量、TPS值、資源利用率等性能指標是否滿足要求。性能測試應至少依據《GBT25000.51-2016系統與軟件工程系統與軟件質量要求和評價(SQuaRE)第51部分:就緒可用軟件產品(RUSP)的質量要求和測試細則》等標準。應從時間特性、資源利用率以及效率的依從性方面進行測試。(4個主要業務場景/每系統)
時間特性是指在規定條件下,軟件產品執行其功能時,提供適當的響應和處理時間以及吞吐率的能力,主要包括響應時間、平均響應時間、吞吐量、平均吞吐量等指標。
| 測試項目 | 測試細目 |
| 響應時間 | ·測試完成一項規定任務所花費的時間。 ·依據需求規格說明書,選取數據量較大和用戶操作最頻繁的測試點,制定測試用戶,記錄軟件的響應時間。 |
| 平均響應時間 | ·就并發任務及系統運算來說,在一個特定計算機系統負載中,并發出請求到請求完成為止,用戶經歷的平均等待時間。 ·依據需求規格說明書,選取執行若干個并發任務,記錄平均響應時間。 |
| 吞吐量 | ·測試有多少個任務能在給定時間周期內成功執行。 ·設計用例,開始幾項作業任務,記錄完成測量任務而進行的操作花費的時間 |
| 平均吞吐量 | ·測試在一個設定的單位時間內,系統能處理的并發任務的平均數量 ·設計用例,并發幾項作業任務,測量給定流量中完成選定任務所花費的時間。 |
資源利用率是指在規定條件下,軟件產品執行其功能時,使用合適數量和類別的資源的能力,主要包括CPU負載、I/0設備的利用性、剩余內存數、最大內存利用數、傳輸能力的利用等指標。
| 測試項目 | 測試細目 |
| CPU負載 | ·測試在執行并發操作下,記錄CPU負載情況,并與設計目標、實際要求進行比較。 |
| I/0設備的利用 性 | ·測試I/0設備利用是否過高,造成效率不高。 ·執行大量的并發任務,記錄I/0設備利用情況,并與設計目標進行比較。 |
| 剩余內存數 | ·測量在某個并發任務下,服務器的剩余內存是否足夠, |
| 最大內存利用數 | ·測量在完成某個功能時,需要的內存絕對限度是多少, ·執行任務,針對不同的操作系統,采用不同的內存查看工具觀察軟件對內存的使用情況。 |
| 傳輸能力的利用 | ·測試軟件系統能否在期望的傳輸能力下執行任務。 ·采用測試工具,由多個用戶并發執行規定的數個任務,觀察傳輸能力并與規定值比較。 |
效率依從性是指軟件產品遵循與效率相關的標準或約定的能力,主要驗證并記錄軟件效率不符合所實施法規、標準和約定的內容。
3、安全測試:根據系統在設計階段定義的信息安全保護等級、安全設計方案、公司規定的安全防護等相關要求,對于信息系統進行安全測評。安全測試應從軟件保密性、完整性、抗抵賴性、可核查性、真實性、依從性等方面開展。
保密性是指產品或系統確保數據只有在被授權時才能被訪問的程度。保密性測試一般從以下細目進行:
(1)驗證軟件產品是否具有對系統正常訪問的控制能力,依據安全策略和用戶角色設置訪問控制矩陣,用戶權限應遵循“最小權限原則”。
(2)測試系統是否進行用戶身份鑒別,并在每次用戶登錄系統時進行鑒別。
(3)測試軟件鑒別信息是否為不可見,且具有相應的抗攻擊能力,并在存儲或傳輸時用加密方法/具有相同安全強度的其他方法進行安全保護。
(4)驗證數據在傳輸過程中不被竊聽,對整個通信過程中的整個報文或會話過程進行加密。
(5)明確區分系統中不同用戶權限,系統不會因用戶的權限的改變造成混亂。
(6)合適的身份認證方式,用戶
(7)測試系統是否對不成功的鑒別嘗試的值(包括嘗試次數和時間的閾值)進行預先定義,并明確規定達到該值時是否采取了具有規范性和安全性的措施來實現鑒別失敗的處理。
(8)軟件應能防止對程序和數據的未授權訪問。
完整性是指系統、產品或組件防止未授權訪問、篡改計算機程序或數據的程度。完整性測試一般從以下細目進行:
(1)驗證對軟件產品是否具有對未授權用戶非法訪問的控制能力。
(2)采用專業測試工具,開展“滲透測試”、“漏洞掃描”等手段,在模擬非法入侵攻擊事件的條件下,驗證軟件產品是否有控制和處理能力。
抗抵賴性要求活動或事件發生后可以被證實且不可被否認的程度。啟用安全審計功能對活動或事件進行追蹤。抗抵賴性測試一般從以下細目進行:
(1)測試軟件是否使用數字證書等方式保證用戶的身份認證,在收到請求的情況下為數據原發者或接受者提供數據原發和接收的證據。
(2)測試軟件是否具備完整且無法篡改的審計記錄,確保用戶操作可經過審計及追蹤。系統操作日志/審計、異常日志、告警日志,審計/日志的完整性、保密性。
(3)驗證審計日志的管理,日志不能被任何人修改和刪除,能夠形成完整的證據鏈。
可核查性要求實體的活動可以被唯一地追溯到該實體的程度。可核查性測試一般從以下細目進行:
(1)測試系統或軟件的審計模塊,檢查模塊是否具有完善的安全審計功能。考察啟用安全審計功能后,覆蓋用戶的多少和安全事件的程度,覆蓋到每個用戶活動,日志記錄內容至少應包括事件日期、事件、發起者信息、類型、描述和結果等,審計跟蹤設置是否定義了審計跟蹤極限的閾值,當存儲空間被耗盡時,能否采取必要的保護措施。
(2)賬戶管理,包括賬戶唯一性、登錄機制、密碼管理策略.
真實性是對象或資源的身份標識能否被證實符合其聲明的程度。真實性測試一般從以下細目進行:
(1)驗證軟件是否具有當前使用系統的用戶列表。
(2)驗證軟件在系統的訪問歷史數據中記錄的訪問登錄記錄是否完整.
(3)檢查軟件是否具有用戶使用系統的歷史日志及日志管理功能。
(4)在模擬攻擊事件的入侵的情況下,驗證軟件的日志內容是否有相關記錄。
二、保密條款
投標方在履行合同過程中知悉招標方的業務信息、技術資料等非公開信息、投標方應承擔保密義務,不得以任何方式向任何第三方透漏、傳播或轉讓。參與現場測評的投標方人員須簽訂安全保密協議,并遵守招標方的機房、設備、運維安全等管理規定。
3.投標人資格要求
3.1 本次招標投標人須具備的資格要求:
A01:
1.投標人性質要求:在中華人民共和國境內依法注冊,具有獨立法人資格的服務商。
2.注冊資金要求:無要求。
3.體系認證或資質認證要求:測評機構應具備經國家認證認可監督管理委員會(CNCA)授權的評定機構頒發的能夠對應用軟件的功能、性能、安全以及其他必要認證測試的資質證書或證明(提交資質證書及相關能力的復印件,并提供可公開查詢查驗方式)。
4.供貨業績要求:無要求。
5.經營記錄要求:
(1)未被工商行政管理機關列為嚴重違法失信企業。(網
沒有在中國電力招標采購網(www.dlztb.com)上注冊會員的單位應先點擊注冊。登錄成功后根據招標公告的相應說明獲取招標文件!
聯系人:李楊
咨詢電話:010-51957458?
手 機:13683233285?
傳 真:010-51957412?
QQ:1211306049?
微信:Li13683233285
郵箱:1211306049@qq.com