電子政務系統“云+端”測評工業和信息化部微電子發展研究中心2提綱一二

三電子政務系統“于+端”發展趨勢

“于+端”系統的質量問題

我們的“于+端”測評服務

傳統信息系統正在由B/S、C/S結構逐步向“于+端”架構演變

各級政府機構的信息化建設呈現出平臺化和移勱化的趨勢電子政務系統向“云+端”架構演變云計算的產生背景

需求驅動

+技術牽引?挑戰舊體系的創新動力?互聯網經濟的形成?IT成本控制的要求?IT服務質量與服務交付速度的要求?專業化分工的趨勢

帶寬不再是障礙

分布式計算、集群技術、虛擬化技術等關鍵技術的逐漸成熟4美國國家標準技術研究院（NIST）定義的云計算模型

云計算關鍵特征?????按需自服務寬帶接入資源池化快速彈性架構可測量的服務

云計算服務模式?

SaaS?

PaaS?

IaaS

云計算部署類型????公共云私有云社區云混合云云計算是一種基于互聯網的商業計算模型，它將計算任務分布到由大量計算機構成的資源池上，從而使用戶能夠根據需要獲取和使用計算資源、存儲資源和軟件服務。云計算的定義5云計算簡介——分層結構

云應用（應用軟件）

云平臺（管理平臺）

云基礎設施（數據中心）6政策支持7“探索電子政務云計算發展新模式”“鼓勵應用云計算技術整合改造現有電子政務信息系統，實現各領域政務信息系統整體部署和共建共用，大幅減少政府自建數據中心的數量。政府部門要加大采購云計算服務的力度，積極開展試點示范，探索基于云計算的政務信息化建設運行新機制，推動政務信息資源共享和業務協同，促進簡政放權，加強事中事后監管”社會公眾對移動互聯網的迫切需求

2015年1月《中國互聯網絡發展狀況統計報告》：截至2014年12月，我國網民規模達6.49億，手機網民規模達到5.57億，網民中使用手機上網的比例也繼續提升，由81.0%上升至85.8%，其第一大上網終端的地位更加穩固。

移動互聯網用戶群體的改變（需求、使用習慣等）對電子政務提出了新的挑戰。社會公眾對移動互聯網的迫切需求

Flurry最新報告顯示，2014年用戶在使用手機時86%的時間在使用app，而只有14%的

時間在使用瀏覽器。

用戶對政府提供移動APP服務的需求正變得日益迫切，用戶不僅希望通過PC端獲取政

府信息，也希望通過移動APP獲取政府信息和服務。。

政府提升服務水平的重要手段

移動APP服務

VS

Web門戶App

VS

Web

?用戶：需求迫切，發展趨勢；登陸：更加便捷（不需輸入網址）；服務：更加豐富、實用（查詢服務、LBS服務、互聯互通服務）；界面：更加美觀，更加人性化；成本：開發和運維成本相對較高。用戶：反應平淡，需求量不大；登陸：需要在瀏覽器中輸入網址；服務：信息類服務（LBS等涉及地理位置的服務不易實現）；界面：不夠美觀費用：開發和運維成本相對較低。移動APP

4體驗更加人性

3形式更加新穎

基于政務系統提供移動APP服務的優勢

提供移動APP服務是提升政務系統人性化服務水平的重要手段

2服務更加多樣

1接入更加便捷基于智能終端的移動APP服務在聽、說、讀、寫和感知等用戶體驗方面都擁有傳統PC無法比擬的優勢，受到用戶的青睞。用戶可通過智能手機、平板電腦、掌上電腦等多種終端，隨時隨地接入互聯網，使用移動APP獲取服務。不僅可以提供傳統的政府發布的信息，還可提供更加實用的查詢、互動、推送等服務，服務更加實用、便捷、高效。更加豐富的圖形和動畫。定制了特定的個性窗口界面方便了用戶對自己愛好信息數據的方便快捷訪問。政府網站APP服務實踐

我國國務院新聞辦第一個推出移動App以來，北京市、吉林省、深圳市、廈門、禪城區等地紛紛推出移動App客戶端。13提綱一二

三電子政務系統“于+端”發展趨勢

“于+端”系統的質量問題

我們的“于+端”測評服務

功能和性能問題

安全性問題

可靠性問題

數據中心管理與節能

遺留系統（legacy

system）的遷移問題

服務水平協商（SLA）

......云計算的問題

云計算是目前IT產業的主流理念與模式

云計算所倡導XaaS、資源池化、彈性擴展、按需

收費等技術特征的是IT產業發展的大趨勢

云計算同樣存在一些問題示例一：安全性問題示例二：虛擬化安全問題WindowsOS

Linux

OSHypervisorMac

OSHardwareAppAppAppAppAppApp

App

Hypervisor漏洞

從上層虛擬機攻擊Hypervisor，比如虛擬機逃逸，獲得Hypervisor層的控制權，就完全可能對運行其中的所有虛擬

機實施控制從虛擬化平臺管理網絡攻擊Hypervisor，比如緩沖區溢出

、拒絕服務攻擊

VM運行中的風險

同一物理機上VM之間的信息交互在機器內部進行，不經過物理安全設備

VM動態遷移中遭篡改

當攻擊者控制了主機上的一個VM后，可能通過在該VM上執行計算資源或

IO密集型操作，過多地占用物理主機上的計算、存儲、網絡資源，從而對

其它VM帶來性能降低

16

示例三：系統可靠性問題

云計算是一個網絡化、開放的、軟硬結合、人機交

互的的復雜系統（

complex

system

）

傳統的軟件可

靠性方法和過

程不適用于云

計算系統

現實的需求

電信系統的云化改造——NVF（Network

FunctionVirtualization）使用標準的x86服務器、存儲和交換設備，來取代通信網的那些私有專用的網元設備，不再依賴于專用硬件，資源可以充分靈活共享，實現新業務的快速開發和部署，并基于實際業務需求進行自動部署、彈性伸縮、故障隔離和自愈等。現有的電信系統云化之后，如何度量和保障其可靠性？

17

云計算的基礎是大型的、綠

色的、易運維的數據中心（

機房）

數據中心整體費用越來越高

，其中管理費用及能耗費用

占得比重也越來越大，只有

降低數據中心運維管理成本

、能耗成本，才能實現云計

算服務的低成本

傳統的數據中心PUE值在2左

右，只有對數據中心合理的

規劃、系統性的建設，科學

的運維管理，才能使數據中

心達到“綠色”水平18示例四：數據中心節能問題

移動終端應用軟件面臨風險根據國家計算機病毒應急處理中心發布的《第十三次全

1.

惡意扣費：發送短信、定制業務、撥打聲訊臺等國信息網絡安全狀況暨計算

2.

涉黃涉非：垃圾短信、色情信息等機和移動終端病毒疫情調查活動分析報告》（2014年），3.

隱私泄露：通訊錄、郵件、照片、竊聽等垃圾短信和釣魚（欺詐）信

4.

系統破壞：頻繁死機、刪除資料、損壞芯片等息是造成移動終端安全問題的主要途徑，分別占調查總

5.

支付安全：間諜軟件、釣魚詐騙等數的65.8％和64.7%，比上一年上漲了26.3%，網站瀏覽和騷擾電話分列第三第四位，分別占53.1%和43.5%，與去年相比有較大幅度的提升。19

無法將訂閱欄目加到導航條

無法通過左右滑動切換幻燈片圖片

圖說欄目無法向下滑動頁面可以刷新最新內容

Logo、首頁、閱微欄目視頻內容、觀點欄目內容詳情、

訪談欄目訪談內容信息公開欄目領導簡介和介紹頁無法

顯示

無法分享到微信好友、微信朋友圈

字號調節、緩存清除等功能無法正常工作

性能

視頻內容在非Wifi環境下無提示

未對搜索字符串有效性進行校驗政務移動終端應用軟件的典型問題

功能性

無完整性校驗

無法完全卸載

可以被動態調試

可以被反編譯

可以被篡改

未使用標準安全通信協議

未校驗傳輸數據的完整性政務移動終端應用軟件的典型問題

安全性22提綱一二

三電子政務系統“于+端”發展趨勢

“于+端”系統的質量問題

我們的“于+端”測評服務級技術平臺，開發了具有自主知識產權的30余種專業測試工具，獲得了50余項軟件著作權，擁有16個國家級質量體系認證證書，主持了7項質量領域國家標準和行業標準的制定。

中國軟件評測中心簡介

中國軟件評測中心成立亍1990年，是直屬亍工信部的一類科研事業單位和國內最權威的第三方軟件產品及系統質量檢測機構。

自成立二十余年來，中國評測秉承“專業就

是實力”的宗旨，共承擔了18000余款軟硬件產

品和1700余項信息系統工程的測試任務，業務網

絡覆蓋全國500多個大中型城市，所出具的測試

報告在61個國家和地區實現虧認。

中國評測先后申請了40余個國家科研項目，

先后建立了包括國家于計算公共技術服務平臺、

國家物聯網公共技術服務平臺等在內的17個國家成立了深圳、廣州、上海、大連、山東、無錫、安徽、重慶八個分中心，服務范圍涵蓋了全國26個省及直轄市。主要資質與質量管理體系

中國合格評定國家認可委員會實驗室認可證書

工業和信息化部產品質量監督檢驗中心授權證書主要資質質量體系

工信部工業產品質量控制和技術評價實驗室

一級保密資格單位證書

總裝備部軍用軟件測評實驗室

總后軍工產品檢測試驗機構

政府信息安全檢查和等保檢測機構

文化部國產進口游戲內容審查機構……

ISO

17025《檢測和校準實驗室能力的通用要求》

ISO

17020《檢查機構認可的通用要求》

ISO

9001質量管理體系認證證書

GJB

9001B-2009（國軍標）國家電子政務重要信息系統全國人大辦公業務資源信息系統驗收測試國家工商總局金信工

程驗收測試國務院應急辦應急管理平臺系統驗收測試

29屆北京奧運會組織委員會票務系統測

試全國政協辦公業務資源信息系統驗收測試國家質檢總局金質工

程驗收測試衛生部應急指揮系統

驗收測試中國人民銀行國庫信

息處理系統測試國家發改委金宏工程

驗收測試國家海關總署金關工

程驗收測試國家信訪局全國信訪

系統驗收測試最高人民檢察院詢問同步錄音錄像系統選

型測試國土資源部金土工程

驗收測試國家稅務總局金稅三

期驗收測試國家計生委人口宏觀管理與決策系統測試最高人民法院人民審判系統軟件選型測試國家農業部金農工程

驗收測試國家海洋局數字海洋

工程驗收測試國家煙草專賣局卷煙生產經營決策管理系

統測試國家稅務總局省級集中管理平臺選型測試云平臺管理虛擬化管理物理基礎設施公有云接口測試環境配置與管

理中國測試于平臺

測試服務漏洞掃描服務性

大能

規測

模試

分服

布務

式數據中心環境及能效監測服務

軟

件服

登務

記

測

試

政監府測網服站務運

行

中信

國息

工平

業臺

強

基

政評

府估

網平

站臺

績

效物聯網公共服務平臺多晶硅行業檢測平臺云監理服務平臺中國測試云門戶

應用系統任務調度模塊分布式塊存儲模塊多重實時副本模塊資源計量

模塊運行監控

模塊虛擬機管

理虛擬存儲管

理虛擬網絡管

理虛擬環境安

全管理計算型服務器存儲型服務器路由器交換機防火墻2626國家智能終端產品質量監督檢驗中心

《國家產品質量監督檢驗中心授權管

理辦法》1.2.3.承擔政府部門組織實施的產品質量監督抽查中的產品質量檢驗、產品質量爭議仲裁檢驗等工作；以國家產品質量監督檢驗中心的名義向社會出具具有證明作用的數據和結果；及時向政府有關部門反映產品質量情況和問題，提出產品質量監督建議。中國移勱虧聯網應用軟件檢測平臺（利貓網）29

案例一：新華社全球云平臺測試

測試背景

中國軟件評測中心于2014年對新華社

全球云平臺實施了系統測試

測試內容

本測試針對新華社全球云平臺存儲子

平臺、新華社全球云平臺虛擬化子平

臺、新華社全球云平臺PAAS子平臺

和新華社全球云平臺大數據分析子平

臺進行了技術鑒定測試

測試中解決的問題

通過本次測試，幫助新華社全球

云平臺PAAS子平臺發現了40個功

能問題，并提出了修復建議

通過本次測試，幫助新華社全球

云平臺虛擬化子平臺發現了2個易

用性問題，并提出了修改建議

通過本次測試，幫助新華社全球

云平臺大數據分析子平臺發現了2

個功能問題，并提出了修復建議監測內容可用性網站可用性HTTP協議可用性網頁元素可用性內容可用性HTTP請求、DNS查詢次數、URL重定向、Ajax請求緩存、DOM元素數量、HTTP404錯誤COOKIE可用性Cookie大小、使用無Cookie域名CSS可用性CSS放置頁頭、CSS表達式、JS和CSS位置、JS和CSS大小、JS和CSS重復性、使用濾鏡圖片可用性圖片縮放、網站圖標JS可用性JS放置頁尾、JS和CSS位置、JS和CSS大小、JS和CSS重復性服務可用性CDN的使用、空鏈接、添加過期頭、Gzip壓縮、配置ETags、Ajax使用響應時間網站響應時間網頁元素響應時間安全性Apache漏洞、Web漏洞、數據庫漏洞、CGI漏洞、IBMz/OS系統漏洞、NT應用程序漏洞、FTP漏洞、SNMP漏洞、DNS漏洞等案例二：某省政務網站和移動政務應用的監測、測評服務為某省71個政府部門以及部分市、縣（區）電子政務網站提供了監測服務，為該省的39個移動政務應用提供了評測服務使用67個運營商骨干網監測點，持續監測30天：

可用率低于90%的有11家網站，占被監測網站的16%

響應時間區間處于3秒~5秒之間的有9家網站，響應時間大于5秒的有17家網站，約占被監測網站的24%

電子政務網站普遍存在靜態資源未加速、圖片未壓縮、靜態資源分布的域名太多等問題，影響運行效率

26家電子政務網站存在不同程度的安全風險，約占被監測網站的37%安全性評測內容評測要點完整性校驗檢查應用是否具有完整性校驗的功能卸載清除檢查應用是否能夠被完全卸載清除版本升級檢查應用是否具備在線新版本檢查和升級功能登錄控制檢查應用登錄時是否需要輸入登錄密碼，登錄時是否有錯誤密碼嘗試次數限制密碼強度檢查應用的密碼是否可以包含除字母和數字外的其他字符，密碼長度是否可以多于8位反編譯防范檢查應用是否可以被反編譯為明文的代碼邏輯文件篡改防范檢查應用的代碼、資源文件、配置文件等被篡改后，是否可以重新打包并正常運行第三方SDK安全檢查應用是否使用了存在已知安全風險的第三方SDK敏感信息顯示檢查在輸入密碼時，應用界面是否始終使用掩碼顯示，應用顯示賬戶號碼、證件號時是否部分使用掩碼顯示敏感數據截獲檢查在用戶輸入密碼、證件號或卡號過程中，信息是否可以被scanmem工具明文獲取關鍵組件訪問保護檢查應用是否使用自定義權限保護