《电力行业信息技术应用创新基础软硬件测试方法 第1部分：总则》

ICSXX.XXX.XX

CCSXXX

ZJSEE

浙江省电力学会标准

[状态]

电力行业信息技术应用创新基础软硬件

测试方法

第1部分：总则

BasicSoftwareandHardwareTestMethodofInformationTechnology

ApplicationInnovationforPowerIndustry

Part1：Generalprinciples

（与国际标准一致性程度的标识）

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

浙江省电力学会发布

[状态]

电力行业信息技术应用创新基础软硬件

测试方法

第1部分：总则

1范围

本部分规定了电力行业信息技术应用创新基础软硬件产品安全可控的概念、保障目标，给出了信息

技术应用创新基础软硬件产品的测试指标、测试流程、测试方法。

本部分适用于电力行业信息技术应用创新领域相关基础软硬件产品的安全可控测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T36630信息安全技术信息技术产品安全可控评价指标

GB/T25069-2022信息安全技术术语

3术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。

3.1

信息技术产品informationtechnologyproduct

具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务。

3.2

安全可控safeandcontrollable

为保护信息技术产品及其信息的保密性、完整性及可用性等，而对该产品研发、设计、生产、供应、

使用、维护、废弃等各环节关键要素实现有效地控制。

[GB/T36630.1-2018，术语和定义3.2]

3.3

评估assessment

由商业评估机构或其他评价机构，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。

4符号、代号和缩略语

下列符号、代号和缩略语适用于本文件。

JDK：Java开发工具包（JavaDevelopmentKit）

CPU：中央处理器（CentralProcessingUnit）

CNAS：中国合格评定国家认可委员会（ChinaNationalAccreditationServiceforConformity

Assessment）

CMA：国家计量认证认可监督管理委员会（ChinaInspectionBodyandLaboratoryMandatory

Approval）

3

[状态]

5测评指标

5.1硬件及软件安全可控

硬件及软件安全可控评价主要包括芯片设计、芯片制造、芯片封测、软件应用4个指标项：

a）芯片设计的能力指标主要评价芯片设计单位对芯片设计各环节的规范性，重点考察芯片厂商的

企业设立地点、法人情况，境内控股能力，企业管理层和核心技术人员的国籍等企业属性；开发环节

和经营场所、研发人员的国籍地点、芯片产品完成地点等基础配套情况；核心关键技术和知识产权，

设计能力，IP核，架构及设计工具自主迭代发展能力等技术属性。

b）芯片制造的能力指标主要评价芯片制造单位对芯片制造各环节的规范性，重点考察厂商设立地

点、境内控股能力、企业管理层和核心技术人员的国籍、规模化晶圆制造能力、制造设备及材料国产

替代的能力、产业链可境内替换能力。

c）芯片封测的能力指标主要评价芯片封测单位对芯片封测各环节的规范性，重点考察厂商设立地

点、境内控股能力、企业管理层和核心技术人员的国籍、规模化封测能力、封测设备及材料国产替代

能力、产业链可境内替换能力。

d）软件应用的能力指标主要评价境内厂商核心程序、操作系统、数据库的自主研发能力，具备自

主知识产权。

5.2装置研发制造安全可控

研发制造安全可控评价主要包括设计研发和生产制造2个指标项：

a）设计研发的能力指标主要评价装置研制企业对装置的设计研发环节的规范性，重点考察企业装

置架构、功能、图纸自主设计能力。

b）生产制造的能力指标主要评价装置研制企业对装置的设计生产制造的规范性，重点考察企业装

置规模化制造能力、开展装置装配、出厂试验的能力。

5.3企业资质服务安全可控

资质服务安全可控评价主要包括企业资质和技术服务2个指标项：

a）企业资质指标主要评价装置研制单位企业资质的规范性，重点考察厂商设立地点、控股股东、

股权构成。

b）技术服务指标主要评价装置研制单位对装置技术服务环节的规范性，重点考察厂商装置售后服

务、技术支撑的能力。

6测试流程

6.1测评准备

测评准备活动的目标是顺利启动测评项目，收集资料并进行分析，为方案编制打下基础。测评准备

活动包括工作启动，信息搜集和分析等任务。

组建测评项目组，确立测试人员。同时，填写测评自查表，自查表包含信息技术应用创新产品列表、

配置列表、组件间接口描述（例如应用服务器和数据库之间连接池大小、缓存大小等），应用清单（杀

毒软件、流版签软件等）。收到填写完成的自查表后，需对调查结果进行分析，了解被测试对象的实际

情况。

6.2方案编制

方案编制活动的目标是整理测评准备活动中获取的被测对象情况，编制项目方案，为现场测评活动

提供最基本的文档和指导方案。方案编制活动包含测评对象确定、测试方法确定、测评方案编制及确认。

6.2.1测评对象的确定

根据自查表中信息技术应用创新产品列表、配置列表等信息确认测评对象，详细情况如下：

a）识别并描述该信息技术应用创新产品使用的硬件情况，如核心芯片、服务器；

b）识别并描述该信息技术应用创新产品使用的核心软件情况，如操作系统、数据库、中间件；

4

[状态]

c）识别并描述该信息技术应用创新产品使用的辅助软件情况，如开发语言、开发工具；

d）识别并描述该信息技术应用创新产品所要求的软件情况，如杀毒软件、浏览器、办公软件；

e）识别并描述信息技术应用创新产品主要业务功能、性能要求、安全要求。

6.2.2测评方法和工具的确定

根据上一步的测评对象确定应使用的测试方法及工具。

6.2.3方案编制

测评方案是信息技术应用创新测评工作实施的基础，指导信息技术应用创新工作的现场实施活动，

测评方案应包括但不局限于以下内容：项目描述、测试环境、测试工具、测试要求、测试方法等。

6.3现场实施

依据测评方案实施现场测评工作，将测评方案和测评方法等内容具体落实到现场测评活动中。现场

测评工作应取得报告编制活动所需的、足够的证据和资料。现场测评活动包含现场测评准备、现场测评

以及整改复测结果记录、测评结果确认等主要任务。

6.3.1现场测评及结果记录

现场测评中测评人员按照测评方案实施测评，并将测评过程中获取的证据源进行详细、准确记录，

主要包含以下内容：

a）测评人员与测评配合人员确认测评对象中的关键数据已经进行了备份；

b）测评人员根据测试方案等进行测试用例设计，测试用例包括测试用例名称、测试用例标识、测

试用例综述、测试用例与测试依据的追踪关系、测试用例的前提和约束、测试用例的初始化要求、测试

用例的测试步骤、预期结果等；

c）搭建测试环境，测试环境包括测试所需的硬件和软件环境以及测试数据、测试工具等，记录测

试环境的状态和测试数据，形成测试环境记录和测试数据；

d）测评人员执行测试用例，对测评进行详细、准确地记录，并保证测试结果的公平、公正；

e）测评结束后，测评人员与测评配合人员及时确认测评工作是否对测评对象造成不良影响，测评

对象及系统是否工作正常。

6.3.2整改复测

a）如果被测信息技术应用创新系统经测评后发现不符合要求，可进行一次整改并进行复测；

b）应对复测结果进行记录并标注。

6.3.3测评结果确认

测评结束后需将测评过程中得到的测试结果进行确认，针对本次测评发现的问题进行现场沟通。

6.4报告编制

在现场测评工作结束后，应对现场测评获得的测评结果进行汇总分析，形成测评结论，并编制测评

报告。报告编制活动包含单项指标判定、整体测评结果汇总、报告编制等。

6.4.1单项结果判定

针对单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，包含

以下内容：

a）通过：与用例中描述的预期结果一致，且在多次测试执行过程中，每次都与预期结果一致；

b）不通过：该用例测试与预期结果不一致，或在多次测试过程中，至少有一次与预期结果不一致；

c）N/A：不适用，受环境或其他客观条件所限用例在软件或系统中无法验证。

6.4.2整体测评结果汇总

整体测评结果汇总指对现场测评的情况进行汇总并分析，包含以下内容：

a）汇总各测评项的测试结果，得出通过与不通过项的数量；

5

[状态]

b）分析不通过项的严重程度、产生原因；

c）形成测评记录，问题列表等书面文档。

6.4.3报告编制

根据报告编制活动各分析过程形成最终的测评报告，包含以下内容：

a）测评报告应包含项目概述、测试对象、测试过程与方法、测试结果、测试结论与建议等内容；

b）测试报告编写完成后，应对测试报告进行评审，并由相关负责人进行签字确认。

7测试方法

电力行业信息技术应用创新基础硬件主要开展功能测试、性能测试、易用性测试、可维护性测试、

兼容性测试、硬件规格测试等测试项。

电力行业信息技术应用创新基础软件主要开展功能测试、性能测试、兼容性测试、可靠测试、安全

测试等测试项。

8安全可控评估规则

8.1评估原则

从科学合理、客观公正、知识产权保护等级方面阐述测评原则。

8.1.1科学合理

评估指标覆盖产品安全可控的关键要素，评估要求科学，评估方法合理。包括桌面终端、防火墙的

整机安全可控要求，桌面终端、防火墙关键元器件的安全可控要求，桌面终端、桌面操作系统、服务器

操作系统、应用软件的安全可控要求，桌面操作系统、服务器操作系统软件提供商资质安全可控要求。

8.1.2客观公正

评估指标客观无歧视，评估过程公平公正。

8.1.3知识产权保护

充分尊重供应方知识产权，保护供应方合法权益，评估过程中心知识产权不受侵害。

8.1.4测评周期

电力行业信息技术应用创新基础软硬件产品，每两年至少进行一次安全可控评估。

8.2评估方法

开展信息技术产品安全可控评估工作中，综合采用证明文件、人工检查和工具测试、信息收集等基

本评估方法，以核实供应方所提供评估材料是否满足指标考察要求内容。并分别从检查和测试等方面提

出具体评估方法：

a）证明文件：由供应商提供安全可控相关的证明材料，对于机密的证明材料，由供应商提出了验

申请；

b）人工检查：根据供应商提供的证明材料检查是否安全可控，对于机密的证明材料，人工检查可

采用厂验的方式检查是否安全可控；

c）工具测试：通过安全可控测试工具测试产品是否安全可控；

d）信息收集：通过互联网等方式对产品安全可控信息（知识产权、软著等）进行收集和分析。

8.3评价等级结果

电力行业信息技术应用创新基础软硬件设备安全可控能力评估结果应采用百分制，评价项目应包

含元器件及软件安全可控、设备研发制造安全可控、企业资质服务安全可控三个大类评价项目，评价满

分为100分，最低得分为0分，未能通过优先评价项的按照最低分计分。在评价过程中，可根据设备涉

及评价内容的实际情况，在参考分值的区间范围内给出各评价指标项的具体分值，也可依据芯片的重要

6

[状态]

程度（参考芯片的价格比或专家评分）进行加权作为设备的安全可控程度得分，并根据评价结果分为完

全安全可控、高度安全可控、基本安全可控、不具备安全可控能力四个等级。

7