政府采购软件的验收测试需要根据 《中华人民共和国政府采购法》、GB/T 25000.51-2016《系统和软件工程 系统和软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品的质量要求和测试细则》 以及招标文件和合同的具体约定来开展。
验收测试应包括几个方面的测试:
1. 功能性测试
测试软件是不是完整、正确地实现了合同和需求规格说明书中约定的所有功能。
功能实现:逐项测试全部业务功能、流程、规则的完整性。
数据准确性:检查数据计算、统计、报表结果的精确度,以及数据输入输出的格式。
互操作性:测试软件和采购人现有指定系统(如 OA、财务系统、大数据平台)之间的接口交互是不是正常。
边界和异常:测试输入域边界值、非法输入、业务异常途径时的程序表现和容错能力。
2. 性能效率测试
测试软件在多用户、高负载场景下的性能标准是不是满足招标要求,如支持 2000 并发,平均响应时间 ≤3 秒。
负载测试:在预期或超过预期最大用户数的压力下,观察系统事务处理能力。
并发测试:模拟大量用户同时执行业务操作(如审批、提交、查询)时的系统表现。
稳定性/疲劳测试:在不断高负载下长时间运行(如 7×24 小时),检测是不是存在内存泄漏、连接不释放等资源消耗问题。
资源利用率:监测服务器 CPU、内存、磁盘 I/O、网络带宽的占用情况。
3. 安全性测试
针对政务信息系统的特殊性,安全性测试常需结合等保测评要求。
身份鉴别和访问控制:测试密码强度方法、多原因认证、越权访问、账号锁定机制等。
Web应用安全:扫描OWASP Top 10漏洞,如SQL 注入、跨站脚本、跨站请求伪造、文件上传漏洞等。
数据安全:检查敏感数据在传输层和存储层的加密情况,接口防篡改/防重放机制。
日志审计:测试用户操作日志的完整性、规范性和不可修改性。
漏洞扫描:对操作系统、数据库、中间件、应用代码进行安全漏洞扫描,保证无中高危漏洞。
渗透测试:模拟黑客攻击途径,对重要业务思路和数据安全进行深入的攻击性测试。
4. 兼容性测试
根据采购环境清单测试兼容性。
硬件兼容性:在采购人指定的服务器(如鲲鹏、飞腾、龙芯等国产芯片服务器)和终端设备上正常安装运行。
软件环境兼容性:和指定的操作系统(麒麟、统信 UOS 等国产系统)、数据库(达梦、人大金仓、南大通用等)、中间件(东方通、中创等)完全适配。
客户端兼容性:B/S 架构的系统需在不同品牌和版本的浏览器(含 360、奇安信等国产浏览器)上布局和功能均正常。
分辨率和打印兼容性:测试不同分辨率的显示屏,以及各类单据、报表的打印输出。
5. 可靠性测试
异常恢复:模拟服务进程崩溃、网络中断、断电后重启等异常,测试系统的自愈能力和数据恢复的完整性。
备份和还原:测试数据备份和恢复机制的有效性,以及还原后数据的完整性和业务可用性。
故障转移:对于高可用架构(如主备、集群),测试在主节点故障时是不是自动切换,业务是不是中断。
6. 易用性测试
用户界面:界面布局、字体、按钮风格是不是符合合同约定和政务系统常见风格,交互是不是一致。
可学习性和可操作性:新用户无需大量培训即可完成基本操作;是不是有清晰的操作指引、提示和帮助文档。
辅助功能:如涉及公众服务,需测试是不是支持无障碍浏览等。
7. 可移植性和安装卸载测试
部署安装:严格按照《部署手册》在空白生产环境下完成安装、配置全流程,测试手册的准确性和完整性。
数据迁移:如果存在新旧系统切换,必须全量测试历史数据迁移的完整性、准确性和迁移耗时。
卸载:测试软件卸载后系统干净无残留。
8. 用户文档验收测试
检查随软件交付的全部文档,保证其内容和最后交付的软件版本完全一致、描述准确、可操作。
常见交付物包括:《需求规格说明书》《系统设计文档》《数据库设计文档》《用户手册》《部署和运维手册》《测试报告(含第三方自测)》、所有正版授权证书等。
9. 合规性和知识产权审查
软件正版:检查操作系统、数据库、中间件、第三方组件(如 OCR、签章控件)的合法授权文件,保证无版权风险。
供应链安全:提供的开源组件清单是不是合规,无传染性开源协议冲突,无已知的 CVE 高危漏洞。
商用密码应用:如果系统中使用了国密算法进行身份认证、电子签章或数据传输加密,需检查是不是通过了商用密码应用安全性考虑。