電子政務(wù)系統(tǒng)“云+端”測評

電子政務(wù)系統(tǒng)“云+端”測評工業(yè)和信息化部微電子發(fā)展研究中心2提綱一二

三電子政務(wù)系統(tǒng)“于+端”發(fā)展趨勢

“于+端”系統(tǒng)的質(zhì)量問題

我們的“于+端”測評服務(wù)

傳統(tǒng)信息系統(tǒng)正在由B/S、C/S結(jié)構(gòu)逐步向“于+端”架構(gòu)演變

各級政府機構(gòu)的信息化建設(shè)呈現(xiàn)出平臺化和移勱化的趨勢電子政務(wù)系統(tǒng)向“云+端”架構(gòu)演變云計算的產(chǎn)生背景

需求驅(qū)動

+技術(shù)牽引?挑戰(zhàn)舊體系的創(chuàng)新動力?互聯(lián)網(wǎng)經(jīng)濟(jì)的形成?IT成本控制的要求?IT服務(wù)質(zhì)量與服務(wù)交付速度的要求?專業(yè)化分工的趨勢

帶寬不再是障礙

分布式計算、集群技術(shù)、虛擬化技術(shù)等關(guān)鍵技術(shù)的逐漸成熟4美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）定義的云計算模型

云計算關(guān)鍵特征?????按需自服務(wù)寬帶接入資源池化快速彈性架構(gòu)可測量的服務(wù)

云計算服務(wù)模式?

SaaS?

PaaS?

IaaS

云計算部署類型????公共云私有云社區(qū)云混合云云計算是一種基于互聯(lián)網(wǎng)的商業(yè)計算模型，它將計算任務(wù)分布到由大量計算機構(gòu)成的資源池上，從而使用戶能夠根據(jù)需要獲取和使用計算資源、存儲資源和軟件服務(wù)。云計算的定義5云計算簡介——分層結(jié)構(gòu)

云應(yīng)用（應(yīng)用軟件）

云平臺（管理平臺）

云基礎(chǔ)設(shè)施（數(shù)據(jù)中心）6政策支持7“探索電子政務(wù)云計算發(fā)展新模式”“鼓勵應(yīng)用云計算技術(shù)整合改造現(xiàn)有電子政務(wù)信息系統(tǒng)，實現(xiàn)各領(lǐng)域政務(wù)信息系統(tǒng)整體部署和共建共用，大幅減少政府自建數(shù)據(jù)中心的數(shù)量。政府部門要加大采購云計算服務(wù)的力度，積極開展試點示范，探索基于云計算的政務(wù)信息化建設(shè)運行新機制，推動政務(wù)信息資源共享和業(yè)務(wù)協(xié)同，促進(jìn)簡政放權(quán)，加強事中事后監(jiān)管”社會公眾對移動互聯(lián)網(wǎng)的迫切需求

2015年1月《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》：截至2014年12月，我國網(wǎng)民規(guī)模達(dá)6.49億，手機網(wǎng)民規(guī)模達(dá)到5.57億，網(wǎng)民中使用手機上網(wǎng)的比例也繼續(xù)提升，由81.0%上升至85.8%，其第一大上網(wǎng)終端的地位更加穩(wěn)固。

移動互聯(lián)網(wǎng)用戶群體的改變（需求、使用習(xí)慣等）對電子政務(wù)提出了新的挑戰(zhàn)。社會公眾對移動互聯(lián)網(wǎng)的迫切需求

Flurry最新報告顯示，2014年用戶在使用手機時86%的時間在使用app，而只有14%的

時間在使用瀏覽器。

用戶對政府提供移動APP服務(wù)的需求正變得日益迫切，用戶不僅希望通過PC端獲取政

府信息，也希望通過移動APP獲取政府信息和服務(wù)。。

政府提升服務(wù)水平的重要手段

移動APP服務(wù)

VS

Web門戶App

VS

Web

?用戶：需求迫切，發(fā)展趨勢；登陸：更加便捷（不需輸入網(wǎng)址）；服務(wù)：更加豐富、實用（查詢服務(wù)、LBS服務(wù)、互聯(lián)互通服務(wù)）；界面：更加美觀，更加人性化；成本：開發(fā)和運維成本相對較高。用戶：反應(yīng)平淡，需求量不大；登陸：需要在瀏覽器中輸入網(wǎng)址；服務(wù)：信息類服務(wù)（LBS等涉及地理位置的服務(wù)不易實現(xiàn)）；界面：不夠美觀費用：開發(fā)和運維成本相對較低。移動APP

4體驗更加人性

3形式更加新穎

基于政務(wù)系統(tǒng)提供移動APP服務(wù)的優(yōu)勢

提供移動APP服務(wù)是提升政務(wù)系統(tǒng)人性化服務(wù)水平的重要手段

2服務(wù)更加多樣

1接入更加便捷基于智能終端的移動APP服務(wù)在聽、說、讀、寫和感知等用戶體驗方面都擁有傳統(tǒng)PC無法比擬的優(yōu)勢，受到用戶的青睞。用戶可通過智能手機、平板電腦、掌上電腦等多種終端，隨時隨地接入互聯(lián)網(wǎng)，使用移動APP獲取服務(wù)。不僅可以提供傳統(tǒng)的政府發(fā)布的信息，還可提供更加實用的查詢、互動、推送等服務(wù)，服務(wù)更加實用、便捷、高效。更加豐富的圖形和動畫。定制了特定的個性窗口界面方便了用戶對自己愛好信息數(shù)據(jù)的方便快捷訪問。政府網(wǎng)站APP服務(wù)實踐

我國國務(wù)院新聞辦第一個推出移動App以來，北京市、吉林省、深圳市、廈門、禪城區(qū)等地紛紛推出移動App客戶端。13提綱一二

三電子政務(wù)系統(tǒng)“于+端”發(fā)展趨勢

“于+端”系統(tǒng)的質(zhì)量問題

我們的“于+端”測評服務(wù)

功能和性能問題

安全性問題

可靠性問題

數(shù)據(jù)中心管理與節(jié)能

遺留系統(tǒng)（legacy

system）的遷移問題

服務(wù)水平協(xié)商（SLA）

......云計算的問題

云計算是目前IT產(chǎn)業(yè)的主流理念與模式

云計算所倡導(dǎo)XaaS、資源池化、彈性擴(kuò)展、按需

收費等技術(shù)特征的是IT產(chǎn)業(yè)發(fā)展的大趨勢

云計算同樣存在一些問題示例一：安全性問題示例二：虛擬化安全問題WindowsOS

Linux

OSHypervisorMac

OSHardwareAppAppAppAppAppApp

App

Hypervisor漏洞

從上層虛擬機攻擊Hypervisor，比如虛擬機逃逸，獲得Hypervisor層的控制權(quán)，就完全可能對運行其中的所有虛擬

機實施控制從虛擬化平臺管理網(wǎng)絡(luò)攻擊Hypervisor，比如緩沖區(qū)溢出

、拒絕服務(wù)攻擊

VM運行中的風(fēng)險

同一物理機上VM之間的信息交互在機器內(nèi)部進(jìn)行，不經(jīng)過物理安全設(shè)備

VM動態(tài)遷移中遭篡改

當(dāng)攻擊者控制了主機上的一個VM后，可能通過在該VM上執(zhí)行計算資源或

IO密集型操作，過多地占用物理主機上的計算、存儲、網(wǎng)絡(luò)資源，從而對

其它VM帶來性能降低

16

示例三：系統(tǒng)可靠性問題

云計算是一個網(wǎng)絡(luò)化、開放的、軟硬結(jié)合、人機交

互的的復(fù)雜系統(tǒng)（

complex

system

）

傳統(tǒng)的軟件可

靠性方法和過

程不適用于云

計算系統(tǒng)

現(xiàn)實的需求

電信系統(tǒng)的云化改造——NVF（Network

FunctionVirtualization）使用標(biāo)準(zhǔn)的x86服務(wù)器、存儲和交換設(shè)備，來取代通信網(wǎng)的那些私有專用的網(wǎng)元設(shè)備，不再依賴于專用硬件，資源可以充分靈活共享，實現(xiàn)新業(yè)務(wù)的快速開發(fā)和部署，并基于實際業(yè)務(wù)需求進(jìn)行自動部署、彈性伸縮、故障隔離和自愈等?，F(xiàn)有的電信系統(tǒng)云化之后，如何度量和保障其可靠性？

17

云計算的基礎(chǔ)是大型的、綠

色的、易運維的數(shù)據(jù)中心（

機房）

數(shù)據(jù)中心整體費用越來越高

，其中管理費用及能耗費用

占得比重也越來越大，只有

降低數(shù)據(jù)中心運維管理成本

、能耗成本，才能實現(xiàn)云計

算服務(wù)的低成本

傳統(tǒng)的數(shù)據(jù)中心PUE值在2左

右，只有對數(shù)據(jù)中心合理的

規(guī)劃、系統(tǒng)性的建設(shè)，科學(xué)

的運維管理，才能使數(shù)據(jù)中

心達(dá)到“綠色”水平18示例四：數(shù)據(jù)中心節(jié)能問題

移動終端應(yīng)用軟件面臨風(fēng)險根據(jù)國家計算機病毒應(yīng)急處理中心發(fā)布的《第十三次全

1.

惡意扣費：發(fā)送短信、定制業(yè)務(wù)、撥打聲訊臺等國信息網(wǎng)絡(luò)安全狀況暨計算

2.

涉黃涉非：垃圾短信、色情信息等機和移動終端病毒疫情調(diào)查活動分析報告》（2014年），3.

隱私泄露：通訊錄、郵件、照片、竊聽等垃圾短信和釣魚（欺詐）信

4.

系統(tǒng)破壞：頻繁死機、刪除資料、損壞芯片等息是造成移動終端安全問題的主要途徑，分別占調(diào)查總

5.

支付安全：間諜軟件、釣魚詐騙等數(shù)的65.8％和64.7%，比上一年上漲了26.3%，網(wǎng)站瀏覽和騷擾電話分列第三第四位，分別占53.1%和43.5%，與去年相比有較大幅度的提升。19

無法將訂閱欄目加到導(dǎo)航條

無法通過左右滑動切換幻燈片圖片

圖說欄目無法向下滑動頁面可以刷新最新內(nèi)容

Logo、首頁、閱微欄目視頻內(nèi)容、觀點欄目內(nèi)容詳情、

訪談欄目訪談內(nèi)容信息公開欄目領(lǐng)導(dǎo)簡介和介紹頁無法

顯示

無法分享到微信好友、微信朋友圈

字號調(diào)節(jié)、緩存清除等功能無法正常工作

性能

視頻內(nèi)容在非Wifi環(huán)境下無提示

未對搜索字符串有效性進(jìn)行校驗政務(wù)移動終端應(yīng)用軟件的典型問題

功能性

無完整性校驗

無法完全卸載

可以被動態(tài)調(diào)試

可以被反編譯

可以被篡改

未使用標(biāo)準(zhǔn)安全通信協(xié)議

未校驗傳輸數(shù)據(jù)的完整性政務(wù)移動終端應(yīng)用軟件的典型問題

安全性22提綱一二

三電子政務(wù)系統(tǒng)“于+端”發(fā)展趨勢

“于+端”系統(tǒng)的質(zhì)量問題

我們的“于+端”測評服務(wù)級技術(shù)平臺，開發(fā)了具有自主知識產(chǎn)權(quán)的30余種專業(yè)測試工具，獲得了50余項軟件著作權(quán)，擁有16個國家級質(zhì)量體系認(rèn)證證書，主持了7項質(zhì)量領(lǐng)域國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的制定。

中國軟件評測中心簡介

中國軟件評測中心成立亍1990年，是直屬亍工信部的一類科研事業(yè)單位和國內(nèi)最權(quán)威的第三方軟件產(chǎn)品及系統(tǒng)質(zhì)量檢測機構(gòu)。

自成立二十余年來，中國評測秉承“專業(yè)就

是實力”的宗旨，共承擔(dān)了18000余款軟硬件產(chǎn)

品和1700余項信息系統(tǒng)工程的測試任務(wù)，業(yè)務(wù)網(wǎng)

絡(luò)覆蓋全國500多個大中型城市，所出具的測試

報告在61個國家和地區(qū)實現(xiàn)虧認(rèn)。

中國評測先后申請了40余個國家科研項目，

先后建立了包括國家于計算公共技術(shù)服務(wù)平臺、

國家物聯(lián)網(wǎng)公共技術(shù)服務(wù)平臺等在內(nèi)的17個國家成立了深圳、廣州、上海、大連、山東、無錫、安徽、重慶八個分中心，服務(wù)范圍涵蓋了全國26個省及直轄市。主要資質(zhì)與質(zhì)量管理體系

中國合格評定國家認(rèn)可委員會實驗室認(rèn)可證書

工業(yè)和信息化部產(chǎn)品質(zhì)量監(jiān)督檢驗中心授權(quán)證書主要資質(zhì)質(zhì)量體系

工信部工業(yè)產(chǎn)品質(zhì)量控制和技術(shù)評價實驗室

一級保密資格單位證書

總裝備部軍用軟件測評實驗室

總后軍工產(chǎn)品檢測試驗機構(gòu)

政府信息安全檢查和等保檢測機構(gòu)

文化部國產(chǎn)進(jìn)口游戲內(nèi)容審查機構(gòu)……

ISO

17025《檢測和校準(zhǔn)實驗室能力的通用要求》

ISO

17020《檢查機構(gòu)認(rèn)可的通用要求》

ISO

9001質(zhì)量管理體系認(rèn)證證書

GJB

9001B-2009（國軍標(biāo)）國家電子政務(wù)重要信息系統(tǒng)全國人大辦公業(yè)務(wù)資源信息系統(tǒng)驗收測試國家工商總局金信工

程驗收測試國務(wù)院應(yīng)急辦應(yīng)急管理平臺系統(tǒng)驗收測試

29屆北京奧運會組織委員會票務(wù)系統(tǒng)測

試全國政協(xié)辦公業(yè)務(wù)資源信息系統(tǒng)驗收測試國家質(zhì)檢總局金質(zhì)工

程驗收測試衛(wèi)生部應(yīng)急指揮系統(tǒng)

驗收測試中國人民銀行國庫信

息處理系統(tǒng)測試國家發(fā)改委金宏工程

驗收測試國家海關(guān)總署金關(guān)工

程驗收測試國家信訪局全國信訪

系統(tǒng)驗收測試最高人民檢察院詢問同步錄音錄像系統(tǒng)選

型測試國土資源部金土工程

驗收測試國家稅務(wù)總局金稅三

期驗收測試國家計生委人口宏觀管理與決策系統(tǒng)測試最高人民法院人民審判系統(tǒng)軟件選型測試國家農(nóng)業(yè)部金農(nóng)工程

驗收測試國家海洋局?jǐn)?shù)字海洋

工程驗收測試國家煙草專賣局卷煙生產(chǎn)經(jīng)營決策管理系

統(tǒng)測試國家稅務(wù)總局省級集中管理平臺選型測試云平臺管理虛擬化管理物理基礎(chǔ)設(shè)施公有云接口測試環(huán)境配置與管

理中國測試于平臺

測試服務(wù)漏洞掃描服務(wù)性

大能

規(guī)測

模試

分服

布務(wù)

式數(shù)據(jù)中心環(huán)境及能效監(jiān)測服務(wù)

軟

件服

登務(wù)

記

測

試

政監(jiān)府測網(wǎng)服站務(wù)運

行

中信

國息

工平

業(yè)臺

強

基

政評

府估

網(wǎng)平

站臺

績

效物聯(lián)網(wǎng)公共服務(wù)平臺多晶硅行業(yè)檢測平臺云監(jiān)理服務(wù)平臺中國測試云門戶

應(yīng)用系統(tǒng)任務(wù)調(diào)度模塊分布式塊存儲模塊多重實時副本模塊資源計量

模塊運行監(jiān)控

模塊虛擬機管

理虛擬存儲管

理虛擬網(wǎng)絡(luò)管

理虛擬環(huán)境安

全管理計算型服務(wù)器存儲型服務(wù)器路由器交換機防火墻2626國家智能終端產(chǎn)品質(zhì)量監(jiān)督檢驗中心

《國家產(chǎn)品質(zhì)量監(jiān)督檢驗中心授權(quán)管

理辦法》1.2.3.承擔(dān)政府部門組織實施的產(chǎn)品質(zhì)量監(jiān)督抽查中的產(chǎn)品質(zhì)量檢驗、產(chǎn)品質(zhì)量爭議仲裁檢驗等工作；以國家產(chǎn)品質(zhì)量監(jiān)督檢驗中心的名義向社會出具具有證明作用的數(shù)據(jù)和結(jié)果；及時向政府有關(guān)部門反映產(chǎn)品質(zhì)量情況和問題，提出產(chǎn)品質(zhì)量監(jiān)督建議。中國移勱虧聯(lián)網(wǎng)應(yīng)用軟件檢測平臺（利貓網(wǎng)）29

案例一：新華社全球云平臺測試

測試背景

中國軟件評測中心于2014年對新華社

全球云平臺實施了系統(tǒng)測試

測試內(nèi)容

本測試針對新華社全球云平臺存儲子

平臺、新華社全球云平臺虛擬化子平

臺、新華社全球云平臺PAAS子平臺

和新華社全球云平臺大數(shù)據(jù)分析子平

臺進(jìn)行了技術(shù)鑒定測試

測試中解決的問題

通過本次測試，幫助新華社全球

云平臺PAAS子平臺發(fā)現(xiàn)了40個功

能問題，并提出了修復(fù)建議

通過本次測試，幫助新華社全球

云平臺虛擬化子平臺發(fā)現(xiàn)了2個易

用性問題，并提出了修改建議

通過本次測試，幫助新華社全球

云平臺大數(shù)據(jù)分析子平臺發(fā)現(xiàn)了2

個功能問題，并提出了修復(fù)建議監(jiān)測內(nèi)容可用性網(wǎng)站可用性HTTP協(xié)議可用性網(wǎng)頁元素可用性內(nèi)容可用性HTTP請求、DNS查詢次數(shù)、URL重定向、Ajax請求緩存、DOM元素數(shù)量、HTTP404錯誤COOKIE可用性Cookie大小、使用無Cookie域名CSS可用性CSS放置頁頭、CSS表達(dá)式、JS和CSS位置、JS和CSS大小、JS和CSS重復(fù)性、使用濾鏡圖片可用性圖片縮放、網(wǎng)站圖標(biāo)JS可用性JS放置頁尾、JS和CSS位置、JS和CSS大小、JS和CSS重復(fù)性服務(wù)可用性CDN的使用、空鏈接、添加過期頭、Gzip壓縮、配置ETags、Ajax使用響應(yīng)時間網(wǎng)站響應(yīng)時間網(wǎng)頁元素響應(yīng)時間安全性Apache漏洞、Web漏洞、數(shù)據(jù)庫漏洞、CGI漏洞、IBMz/OS系統(tǒng)漏洞、NT應(yīng)用程序漏洞、FTP漏洞、SNMP漏洞、DNS漏洞等案例二：某省政務(wù)網(wǎng)站和移動政務(wù)應(yīng)用的監(jiān)測、測評服務(wù)為某省71個政府部門以及部分市、縣（區(qū)）電子政務(wù)網(wǎng)站提供了監(jiān)測服務(wù)，為該省的39個移動政務(wù)應(yīng)用提供了評測服務(wù)使用67個運營商骨干網(wǎng)監(jiān)測點，持續(xù)監(jiān)測30天：

可用率低于90%的有11家網(wǎng)站，占被監(jiān)測網(wǎng)站的16%

響應(yīng)時間區(qū)間處于3秒~5秒之間的有9家網(wǎng)站，響應(yīng)時間大于5秒的有17家網(wǎng)站，約占被監(jiān)測網(wǎng)站的24%

電子政務(wù)網(wǎng)站普遍存在靜態(tài)資源未加速、圖片未壓縮、靜態(tài)資源分布的域名太多等問題，影響運行效率

26家電子政務(wù)網(wǎng)站存在不同程度的安全風(fēng)險，約占被監(jiān)測網(wǎng)站的37%安全性評測內(nèi)容評測要點完整性校驗檢查應(yīng)用是否具有完整性校驗的功能卸載清除檢查應(yīng)用是否能夠被完全卸載清除版本升級檢查應(yīng)用是否具備在線新版本檢查和升級功能登錄控制檢查應(yīng)用登錄時是否需要輸入登錄密碼，登錄時是否有錯誤密碼嘗試次數(shù)限制密碼強度檢查應(yīng)用的密碼是否可以包含除字母和數(shù)字外的其他字符，密碼長度是否可以多于8位反編譯防范檢查應(yīng)用是否可以被反編譯為明文的代碼邏輯文件篡改防范檢查應(yīng)用的代碼、資源文件、配置文件等被篡改后，是否可以重新打包并正常運行第三方SDK安全檢查應(yīng)用是否使用了存在已知安全風(fēng)險的第三方SDK敏感信息顯示檢查在輸入密碼時，應(yīng)用界面是否始終使用掩碼顯示，應(yīng)用顯示賬戶號碼、證件號時是否部分使用掩碼顯示敏感數(shù)據(jù)截獲檢查在用戶輸入密碼、證件號或卡號過程中，信息是否可以被scanmem工具明文獲取關(guān)鍵組件訪問保護(hù)檢查應(yīng)用是否使用自定義權(quán)限保護(hù)