电子政务系统“云+端”测评

电子政务系统“云+端”测评第一页，共35页。2提纲一二

三电子政务系统“于+端”发展趋势

“于+端”系统的质量问题

我们的“于+端”测评服务第二页，共35页。传统信息系统正在由B/S、C/S结构逐步向“于+端”架构演变各级政府机构的信息化建设呈现出平台化和移劢化的趋势电子政务系统向“云+端”架构演变第三页，共35页。云计算的产生背景

需求驱动

+技术牵引•挑战旧体系的创新动力•互联网经济的形成•IT成本控制的要求•IT服务质量与服务交付速度的要求•专业化分工的趋势带宽不再是障碍分布式计算、集群技术、虚拟化技术等关键技术的逐渐成熟4第四页，共35页。美国国家标准技术研究院（NIST）定义的云计算模型

云计算关键特征•••••按需自服务宽带接入资源池化快速弹性架构可测量的服务

云计算服务模式•

SaaS•

PaaS•

IaaS

云计算部署类型••••公共云私有云社区云混合云云计算是一种基于互联网的商业计算模型，它将计算任务分布到由大量计算机构成的资源池上，从而使用户能够根据需要获取和使用计算资源、存储资源和软件服务。云计算的定义5第五页，共35页。云计算简介——分层结构云应用（应用软件）云平台（管理平台）云基础设施（数据中心）6第六页，共35页。政策支持7“探索电子政务云计算发展新模式”“鼓励应用云计算技术整合改造现有电子政务信息系统，实现各领域政务信息系统整体部署和共建共用，大幅减少政府自建数据中心的数量。政府部门要加大采购云计算服务的力度，积极开展试点示范，探索基于云计算的政务信息化建设运行新机制，推动政务信息资源共享和业务协同，促进简政放权，加强事中事后监管”第七页，共35页。社会公众对移动互联网的迫切需求

2015年1月《中国互联网络发展状况统计报告》：截至2014年12月，我国网民规模达6.49亿，手机网民规模达到5.57亿，网民中使用手机上网的比例也继续提升，由81.0%上升至85.8%，其第一大上网终端的地位更加稳固。

移动互联网用户群体的改变（需求、使用习惯等）对电子政务提出了新的挑战。第八页，共35页。社会公众对移动互联网的迫切需求

Flurry最新报告显示，2014年用户在使用手机时86%的时间在使用app，而只有14%的

时间在使用浏览器。

用户对政府提供移动APP服务的需求正变得日益迫切，用户不仅希望通过PC端获取政

府信息，也希望通过移动APP获取政府信息和服务。。第九页，共35页。

政府提升服务水平的重要手段移动APP服务

VS

Web门户App

VS

Web

?用户：需求迫切，发展趋势；登陆：更加便捷（不需输入网址）；服务：更加丰富、实用（查询服务、LBS服务、互联互通服务）；界面：更加美观，更加人性化；成本：开发和运维成本相对较高。用户：反应平淡，需求量不大；登陆：需要在浏览器中输入网址；服务：信息类服务（LBS等涉及地理位置的服务不易实现）；界面：不够美观费用：开发和运维成本相对较低。第十页，共35页。移动APP

4体验更加人性

3形式更加新颖

基于政务系统提供移动APP服务的优势提供移动APP服务是提升政务系统人性化服务水平的重要手段

2服务更加多样

1接入更加便捷基于智能终端的移动APP服务在听、说、读、写和感知等用户体验方面都拥有传统PC无法比拟的优势，受到用户的青睐。用户可通过智能手机、平板电脑、掌上电脑等多种终端，随时随地接入互联网，使用移动APP获取服务。不仅可以提供传统的政府发布的信息，还可提供更加实用的查询、互动、推送等服务，服务更加实用、便捷、高效。更加丰富的图形和动画。定制了特定的个性窗口界面方便了用户对自己爱好信息数据的方便快捷访问。第十一页，共35页。政府网站APP服务实践

我国国务院新闻办第一个推出移动App以来，北京市、吉林省、深圳市、厦门、禅城区等地纷纷推出移动App客户端。第十二页，共35页。13提纲一二

三电子政务系统“于+端”发展趋势

“于+端”系统的质量问题

我们的“于+端”测评服务第十三页，共35页。功能和性能问题

安全性问题

可靠性问题

数据中心管理与节能

遗留系统（legacy

system）的迁移问题

服务水平协商（SLA）

......云计算的问题

云计算是目前IT产业的主流理念与模式

云计算所倡导XaaS、资源池化、弹性扩展、按需

收费等技术特征的是IT产业发展的大趋势

云计算同样存在一些问题第十四页，共35页。示例一：安全性问题第十五页，共35页。示例二：虚拟化安全问题WindowsOS

Linux

OSHypervisorMac

OSHardwareAppAppAppAppAppApp

AppHypervisor漏洞从上层虚拟机攻击Hypervisor，比如虚拟机逃逸，获得Hypervisor层的控制权，就完全可能对运行其中的所有虚拟机实施控制从虚拟化平台管理网络攻击Hypervisor，比如缓冲区溢出

、拒绝服务攻击

VM运行中的风险

同一物理机上VM之间的信息交互在机器内部进行，不经过物理安全设备

VM动态迁移中遭篡改

当攻击者控制了主机上的一个VM后，可能通过在该VM上执行计算资源或

IO密集型操作，过多地占用物理主机上的计算、存储、网络资源，从而对

其它VM带来性能降低

16第十六页，共35页。

示例三：系统可靠性问题云计算是一个网络化、开放的、软硬结合、人机交

互的的复杂系统（

complex

system

）

传统的软件可

靠性方法和过

程不适用于云

计算系统现实的需求电信系统的云化改造——NVF（Network

FunctionVirtualization）使用标准的x86服务器、存储和交换设备，来取代通信网的那些私有专用的网元设备，不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。现有的电信系统云化之后，如何度量和保障其可靠性？

17第十七页，共35页。云计算的基础是大型的、绿

色的、易运维的数据中心（

机房）

数据中心整体费用越来越高

，其中管理费用及能耗费用

占得比重也越来越大，只有

降低数据中心运维管理成本

、能耗成本，才能实现云计

算服务的低成本

传统的数据中心PUE值在2左

右，只有对数据中心合理的

规划、系统性的建设，科学

的运维管理，才能使数据中

心达到“绿色”水平18示例四：数据中心节能问题第十八页，共35页。

移动终端应用软件面临风险根据国家计算机病毒应急处理中心发布的《第十三次全

1.

恶意扣费：发送短信、定制业务、拨打声讯台等国信息网络安全状况暨计算

2.

涉黄涉非：垃圾短信、色情信息等机和移动终端病毒疫情调查活动分析报告》（2014年），3.

隐私泄露：通讯录、邮件、照片、窃听等垃圾短信和钓鱼（欺诈）信

4.

系统破坏：频繁死机、删除资料、损坏芯片等息是造成移动终端安全问题的主要途径，分别占调查总

5.

支付安全：间谍软件、钓鱼诈骗等数的65.8％和64.7%，比上一年上涨了26.3%，网站浏览和骚扰电话分列第三第四位，分别占53.1%和43.5%，与去年相比有较大幅度的提升。19第十九页，共35页。无法将订阅栏目加到导航条

无法通过左右滑动切换幻灯片图片

图说栏目无法向下滑动页面可以刷新最新内容

Logo、首页、阅微栏目视频内容、观点栏目内容详情、

访谈栏目访谈内容信息公开栏目领导简介和介绍页无法

显示

无法分享到微信好友、微信朋友圈

字号调节、缓存清除等功能无法正常工作性能视频内容在非Wifi环境下无提示

未对搜索字符串有效性进行校验政务移动终端应用软件的典型问题

功能性第二十页，共35页。无完整性校验

无法完全卸载

可以被动态调试

可以被反编译

可以被篡改

未使用标准安全通信协议

未校验传输数据的完整性政务移动终端应用软件的典型问题

安全性第二十一页，共35页。22提纲一二

三电子政务系统“于+端”发展趋势

“于+端”系统的质量问题

我们的“于+端”测评服务第二十二页，共35页。级技术平台，开发了具有自主知识产权的30余种专业测试工具，获得了50余项软件著作权，拥有16个国家级质量体系认证证书，主持了7项质量领域国家标准和行业标准的制定。

中国软件评测中心简介

中国软件评测中心成立亍1990年，是直属亍工信部的一类科研事业单位和国内最权威的第三方软件产品及系统质量检测机构。

自成立二十余年来，中国评测秉承“专业就

是实力”的宗旨，共承担了18000余款软硬件产

品和1700余项信息系统工程的测试任务，业务网

络覆盖全国500多个大中型城市，所出具的测试

报告在61个国家和地区实现亏认。

中国评测先后申请了40余个国家科研项目，

先后建立了包括国家于计算公共技术服务平台、

国家物联网公共技术服务平台等在内的17个国家成立了深圳、广州、上海、大连、山东、无锡、安徽、重庆八个分中心，服务范围涵盖了全国26个省及直辖市。第二十三页，共35页。主要资质与质量管理体系

中国合格评定国家认可委员会实验室认可证书

工业和信息化部产品质量监督检验中心授权证书主要资质质量体系工信部工业产品质量控制和技术评价实验室一级保密资格单位证书总装备部军用软件测评实验室总后军工产品检测试验机构政府信息安全检查和等保检测机构文化部国产进口游戏内容审查机构……ISO

17025《检测和校准实验室能力的通用要求》ISO

17020《检查机构认可的通用要求》ISO

9001质量管理体系认证证书GJB

9001B-2009（国军标）第二十四页，共35页。国家电子政务重要信息系统全国人大办公业务资源信息系统验收测试国家工商总局金信工

程验收测试国务院应急办应急管理平台系统验收测试

29届北京奥运会组织委员会票务系统测

试全国政协办公业务资源信息系统验收测试国家质检总局金质工

程验收测试卫生部应急指挥系统

验收测试中国人民银行国库信

息处理系统测试国家发改委金宏工程

验收测试国家海关总署金关工

程验收测试国家信访局全国信访

系统验收测试最高人民检察院询问同步录音录像系统选

型测试国土资源部金土工程

验收测试国家税务总局金税三

期验收测试国家计生委人口宏观管理与决策系统测试最高人民法院人民审判系统软件选型测试国家农业部金农工程

验收测试国家海洋局数字海洋

工程验收测试国家烟草专卖局卷烟生产经营决策管理系

统测试国家税务总局省级集中管理平台选型测试第二十五页，共35页。云平台管理虚拟化管理物理基础设施公有云接口测试环境配置与管

理中国测试于平台

测试服务漏洞扫描服务性

大能

规测

模试

分服

布务

式数据中心环境及能效监测服务

软

件服

登务

记

测

试

政监府测网服站务运

行

中信

国息

工平

业台

强

基

政评

府估

网平

站台

绩

效物联网公共服务平台多晶硅行业检测平台云监理服务平台中国测试云门户

应用系统任务调度模块分布式块存储模块多重实时副本模块资源计量

模块运行监控

模块虚拟机管

理虚拟存储管

理虚拟网络管

理虚拟环境安

全管理计算型服务器存储型服务器路由器交换机防火墙2626第二十六页，共35页。国家智能终端产品质量监督检验中心

《国家产品质量监督检验中心授权管

理办法》1.2.3.承担政府部门组织实施的产品质量监督抽查中的产品质量检验、产品质量争议仲裁检验等工作；以国家产品质量监督检验中心的名义向社会出具具有证明作用的数据和结果；及时向政府有关部门反映产品质量情况和问题，提出产品质量监督建议。第二十七页，共35页。中国移劢亏联网应用软件检测平台（利猫网）第二十八页，共35页。29

案例一：新华社全球云平台测试

测试背景

中国软件评测中心于2014年对新华社

全球云平台实施了系统测试

测试内容

本测试针对新华社全球云平台存储子

平台、新华社全球云平台虚拟化子平

台、新华社全球云平台PAAS子平台

和新华社全球云平台大数据分析子平

台进行了技术鉴定测试

测试中解决的问题

通过本次测试，帮助新华社全球

云平台PAAS子平台发现了40个功

能问题，并提出了修复建议

通过本次测试，帮助新华社全球

云平台虚拟化子平台发现了2个易

用性问题，并提出了修改建议

通过本次测试，帮助新华社全球

云平台大数据分析子平台发现了2

个功能问题，并提出了修复建议第二十九页，共35页。监测内容可用性网站可用性HTTP协议可用性网页元素可用性内容可用性HTTP请求、DNS查询次数、URL重定向、Ajax请求缓存、DOM元素数量、HTTP404错误COOKIE可用性Cookie大小、使用无Cookie域名CSS可用性CSS放置页头、CSS表达式、JS和CSS位置、JS和CSS大小、JS和CSS重复性、使用滤镜图片可用性图片缩放、网站图标JS可用性JS放置页尾、JS和CSS位置、JS和CSS大小、JS和CSS重复性服务可用性CDN的使用、空链接、添加过期头、Gzip压缩、配置ETags、Ajax使用响应时间网站响应时间网页元素响应时间安全性Apache漏洞、Web漏洞、数据库漏洞、CGI漏洞、IBMz/OS系统漏洞、NT应用程序漏洞、FTP漏洞、SNMP漏洞、DNS漏洞等案例二：某省政务网站和移动政务应用的监测、测评服务为某省71个政府部门以及部分市、县（区）电子政务网站提供了监测服务，为该省的39个移动政务应用提供了评测服务使用67个运营商骨干网监测点，持续监测30天：可用率低于90%的有11家网站，占被监测网站的16%响应时间区间处于3秒~5秒之间的有9家网站，响应时间大于5秒的有17家网站，约占被监测网站的24%电子政务网站普遍存在静态资源未加速、图片未压缩、静态资源分布的域名太多等问题，影响运行效率26家电子政务网站存在不同程度的安全风险，约占被监测网站的37%第三十页，共35页。安全性评测内容评测要点完整性校验检查应用是否具有完整性校验的功能卸载清除检查应用是否能够被完全卸载清除版本升级检查应用是否具备在线新版本检查和升级功能登录控制检查应用登录时是否需要输入登录密码，登录时是否有错误密码尝试次数限制密码强度检查应用的密码是否可以包含除字母和数字外的其他字符，密码长度是否可以多于8位反编译防范检查应用是否可以被反编译为明文的代码逻辑文件篡改防范检查应用的代码、资源文件、配置文件等被篡改后，是否可以重新打包并正常运行第三方SDK安全检查应用是否使用了存在已知安全风险的第三方SDK敏感信息显示检查在输入密码时，应用界面是否始终使用掩码显示，应用显示账户号码、证件号时是否部分使用掩码显示敏感数据截获检查在用户输入密码、证件号或卡号过程中，信息是否可以被scanmem工具明文获取关键组件访问保护检查应用是否使用自定义权限保护Service、Provider、Rece