沈陽局集團公司信息技術(shù)所2024年集團公司統(tǒng)建研發(fā)項目第三方測試服務招標公告
(招標編號:ZTSYJCGS2024-0865)
1.招標條件
本招標項目沈陽局集團公司信息技術(shù)所2024年集團公司統(tǒng)建研發(fā)項目第三方測試服務 該項目已具備招標條件,現(xiàn)對本項目采購進行公開招標。評審方法為經(jīng)評審的最低投標價法。
2.項目概況與招標范圍
招標業(yè)務外包的名稱、類別、工作量、交工驗收地點、包件劃分等詳見本公告附件1。
1.執(zhí)行的技術(shù)標準:《GBT25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價(SQuaRE)第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測試細則》等標準。
《信息安全技術(shù)信息安全風險評估方法》 (GB/T20984)
2.鐵路專用配件執(zhí)行的相關(guān)文件、規(guī)定:無
3.產(chǎn)品認證或檢驗檢測報告:無
4.其他需具體明確的技術(shù)要求:詳見技術(shù)規(guī)格書
5.服務條款:履約期內(nèi)提供軟件測試服務,關(guān)鍵信息基礎(chǔ)設(shè)施風險評估服務,和技術(shù)咨詢服務。配合招標方整改測試中發(fā)現(xiàn)的問題,并復測合格。
6.售后服務及要求:
服務商在合同履約期內(nèi)收到招標方相關(guān)服務請求后,需在48小時內(nèi)響應并提供相關(guān)的技術(shù)服務。
技術(shù)規(guī)格書
一、服務內(nèi)容
(一)服務范圍:
2022年-2024年國鐵集團批復的集團公司自建信息化研發(fā)項目共有13個項目(大數(shù)據(jù)車輛管控平臺-發(fā)電車監(jiān)控子系統(tǒng)、社會保險管理信息系統(tǒng)(升級)、人事管理平臺、車輛系統(tǒng)綜合管理信息平臺、廠辦大集體改革數(shù)據(jù)云平臺、項目庫管理系統(tǒng)、公寓綜合管理系統(tǒng)、沈陽局集團公司數(shù)字黨建工作平臺(信創(chuàng)版)、沈陽局集團公司安全管理信息系統(tǒng)、沈陽局集團公司官方網(wǎng)站(信創(chuàng)版)、沈陽局集團公司貨運輔助綜合管理信息系統(tǒng)、信息技術(shù)所綜合管理系統(tǒng)(信創(chuàng)版)、運輸管理系統(tǒng)運輸安全生產(chǎn)綜合管理子系統(tǒng)沈陽局應用)需在2024年底前完成第三方測試。
(二)技術(shù)服務內(nèi)容及標準
1、功能測試:客觀、全面的檢查被測系統(tǒng)功能,驗證軟件產(chǎn)品提供滿足明確和隱含要求的功能的能力,是否滿足系統(tǒng)上線應用要求。包括從軟件的功能適合性、準確性、依從性方面進行測試。
適合性是指軟件產(chǎn)品為指定的任務和用戶目標提供一組合適的功能的能力。
準確性是指軟件產(chǎn)品提供具有所需精度的正確或相符的結(jié)果或效果的能力。
依從性是指軟件產(chǎn)品遵循與功能性相關(guān)的標準、約定或法規(guī)以及類似規(guī)定的能力。
2、性能測試:分析被測系統(tǒng)性能需求,提取性能指標要求及被測性能點;通過模擬多種正常、峰值以及異常負載條件來對被測系統(tǒng)開展性能測試,驗證其并發(fā)量、響應時間、吞吐量、TPS值、資源利用率等性能指標是否滿足要求。性能測試應至少依據(jù)《GBT25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價(SQuaRE)第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測試細則》等標準。應從時間特性、資源利用率以及效率的依從性方面進行測試。(4個主要業(yè)務場景/每系統(tǒng))
時間特性是指在規(guī)定條件下,軟件產(chǎn)品執(zhí)行其功能時,提供適當?shù)捻憫吞幚頃r間以及吞吐率的能力,主要包括響應時間、平均響應時間、吞吐量、平均吞吐量等指標。
| 測試項目 | 測試細目 |
| 響應時間 | ·測試完成一項規(guī)定任務所花費的時間。 ·依據(jù)需求規(guī)格說明書,選取數(shù)據(jù)量較大和用戶操作最頻繁的測試點,制定測試用戶,記錄軟件的響應時間。 |
| 平均響應時間 | ·就并發(fā)任務及系統(tǒng)運算來說,在一個特定計算機系統(tǒng)負載中,并發(fā)出請求到請求完成為止,用戶經(jīng)歷的平均等待時間。 ·依據(jù)需求規(guī)格說明書,選取執(zhí)行若干個并發(fā)任務,記錄平均響應時間。 |
| 吞吐量 | ·測試有多少個任務能在給定時間周期內(nèi)成功執(zhí)行。 ·設(shè)計用例,開始幾項作業(yè)任務,記錄完成測量任務而進行的操作花費的時間 |
| 平均吞吐量 | ·測試在一個設(shè)定的單位時間內(nèi),系統(tǒng)能處理的并發(fā)任務的平均數(shù)量 ·設(shè)計用例,并發(fā)幾項作業(yè)任務,測量給定流量中完成選定任務所花費的時間。 |
資源利用率是指在規(guī)定條件下,軟件產(chǎn)品執(zhí)行其功能時,使用合適數(shù)量和類別的資源的能力,主要包括CPU負載、I/0設(shè)備的利用性、剩余內(nèi)存數(shù)、最大內(nèi)存利用數(shù)、傳輸能力的利用等指標。
| 測試項目 | 測試細目 |
| CPU負載 | ·測試在執(zhí)行并發(fā)操作下,記錄CPU負載情況,并與設(shè)計目標、實際要求進行比較。 |
| I/0設(shè)備的利用 性 | ·測試I/0設(shè)備利用是否過高,造成效率不高。 ·執(zhí)行大量的并發(fā)任務,記錄I/0設(shè)備利用情況,并與設(shè)計目標進行比較。 |
| 剩余內(nèi)存數(shù) | ·測量在某個并發(fā)任務下,服務器的剩余內(nèi)存是否足夠, |
| 最大內(nèi)存利用數(shù) | ·測量在完成某個功能時,需要的內(nèi)存絕對限度是多少, ·執(zhí)行任務,針對不同的操作系統(tǒng),采用不同的內(nèi)存查看工具觀察軟件對內(nèi)存的使用情況。 |
| 傳輸能力的利用 | ·測試軟件系統(tǒng)能否在期望的傳輸能力下執(zhí)行任務。 ·采用測試工具,由多個用戶并發(fā)執(zhí)行規(guī)定的數(shù)個任務,觀察傳輸能力并與規(guī)定值比較。 |
效率依從性是指軟件產(chǎn)品遵循與效率相關(guān)的標準或約定的能力,主要驗證并記錄軟件效率不符合所實施法規(guī)、標準和約定的內(nèi)容。
3、安全測試:根據(jù)系統(tǒng)在設(shè)計階段定義的信息安全保護等級、安全設(shè)計方案、公司規(guī)定的安全防護等相關(guān)要求,對于信息系統(tǒng)進行安全測評。安全測試應從軟件保密性、完整性、抗抵賴性、可核查性、真實性、依從性等方面開展。
保密性是指產(chǎn)品或系統(tǒng)確保數(shù)據(jù)只有在被授權(quán)時才能被訪問的程度。保密性測試一般從以下細目進行:
(1)驗證軟件產(chǎn)品是否具有對系統(tǒng)正常訪問的控制能力,依據(jù)安全策略和用戶角色設(shè)置訪問控制矩陣,用戶權(quán)限應遵循“最小權(quán)限原則”。
(2)測試系統(tǒng)是否進行用戶身份鑒別,并在每次用戶登錄系統(tǒng)時進行鑒別。
(3)測試軟件鑒別信息是否為不可見,且具有相應的抗攻擊能力,并在存儲或傳輸時用加密方法/具有相同安全強度的其他方法進行安全保護。
(4)驗證數(shù)據(jù)在傳輸過程中不被竊聽,對整個通信過程中的整個報文或會話過程進行加密。
(5)明確區(qū)分系統(tǒng)中不同用戶權(quán)限,系統(tǒng)不會因用戶的權(quán)限的改變造成混亂。
(6)合適的身份認證方式,用戶
(7)測試系統(tǒng)是否對不成功的鑒別嘗試的值(包括嘗試次數(shù)和時間的閾值)進行預先定義,并明確規(guī)定達到該值時是否采取了具有規(guī)范性和安全性的措施來實現(xiàn)鑒別失敗的處理。
(8)軟件應能防止對程序和數(shù)據(jù)的未授權(quán)訪問。
完整性是指系統(tǒng)、產(chǎn)品或組件防止未授權(quán)訪問、篡改計算機程序或數(shù)據(jù)的程度。完整性測試一般從以下細目進行:
(1)驗證對軟件產(chǎn)品是否具有對未授權(quán)用戶非法訪問的控制能力。
(2)采用專業(yè)測試工具,開展“滲透測試”、“漏洞掃描”等手段,在模擬非法入侵攻擊事件的條件下,驗證軟件產(chǎn)品是否有控制和處理能力。
抗抵賴性要求活動或事件發(fā)生后可以被證實且不可被否認的程度。啟用安全審計功能對活動或事件進行追蹤。抗抵賴性測試一般從以下細目進行:
(1)測試軟件是否使用數(shù)字證書等方式保證用戶的身份認證,在收到請求的情況下為數(shù)據(jù)原發(fā)者或接受者提供數(shù)據(jù)原發(fā)和接收的證據(jù)。
(2)測試軟件是否具備完整且無法篡改的審計記錄,確保用戶操作可經(jīng)過審計及追蹤。系統(tǒng)操作日志/審計、異常日志、告警日志,審計/日志的完整性、保密性。
(3)驗證審計日志的管理,日志不能被任何人修改和刪除,能夠形成完整的證據(jù)鏈。
可核查性要求實體的活動可以被唯一地追溯到該實體的程度。可核查性測試一般從以下細目進行:
(1)測試系統(tǒng)或軟件的審計模塊,檢查模塊是否具有完善的安全審計功能。考察啟用安全審計功能后,覆蓋用戶的多少和安全事件的程度,覆蓋到每個用戶活動,日志記錄內(nèi)容至少應包括事件日期、事件、發(fā)起者信息、類型、描述和結(jié)果等,審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值,當存儲空間被耗盡時,能否采取必要的保護措施。
(2)賬戶管理,包括賬戶唯一性、登錄機制、密碼管理策略.
真實性是對象或資源的身份標識能否被證實符合其聲明的程度。真實性測試一般從以下細目進行:
(1)驗證軟件是否具有當前使用系統(tǒng)的用戶列表。
(2)驗證軟件在系統(tǒng)的訪問歷史數(shù)據(jù)中記錄的訪問登錄記錄是否完整.
(3)檢查軟件是否具有用戶使用系統(tǒng)的歷史日志及日志管理功能。
(4)在模擬攻擊事件的入侵的情況下,驗證軟件的日志內(nèi)容是否有相關(guān)記錄。
二、保密條款
投標方在履行合同過程中知悉招標方的業(yè)務信息、技術(shù)資料等非公開信息、投標方應承擔保密義務,不得以任何方式向任何第三方透漏、傳播或轉(zhuǎn)讓。參與現(xiàn)場測評的投標方人員須簽訂安全保密協(xié)議,并遵守招標方的機房、設(shè)備、運維安全等管理規(guī)定。
3.投標人資格要求
3.1 本次招標投標人須具備的資格要求:
A01:
1.投標人性質(zhì)要求:在中華人民共和國境內(nèi)依法注冊,具有獨立法人資格的服務商。
2.注冊資金要求:無要求。
3.體系認證或資質(zhì)認證要求:測評機構(gòu)應具備經(jīng)國家認證認可監(jiān)督管理委員會(CNCA)授權(quán)的評定機構(gòu)頒發(fā)的能夠?qū)密浖墓δ堋⑿阅堋踩约捌渌匾J證測試的資質(zhì)證書或證明(提交資質(zhì)證書及相關(guān)能力的復印件,并提供可公開查詢查驗方式)。
4.供貨業(yè)績要求:無要求。
5.經(jīng)營記錄要求:
(1)未被工商行政管理機關(guān)列為嚴重違法失信企業(yè)。(網(wǎng)
沒有在中國電力招標采購網(wǎng)(www.dlztb.com)上注冊會員的單位應先點擊注冊。登錄成功后根據(jù)招標公告的相應說明獲取招標文件!
聯(lián)系人:李楊
咨詢電話:010-51957458?
手 機:13683233285?
傳 真:010-51957412?
QQ:1211306049?
微信:Li13683233285
郵箱:1211306049@qq.com