四員協同考核激勵項目系統測試與實施

楊淑瓊 周寅晴

摘? 要：隨著信息技術的發展，湖南煙草商業系統在不斷探索信息系統建設的新架構，打通卷煙經營管理及各個應用系統之間的聯系，促進四員協同應用和工作水平提升，促進企業實現高質量發展目標。本文基于對四員協同考核激勵項目進行系統測試，為了進一步加強信息安全管理，在項目建設時，同步開展系統功能、性能及安全測試的設計與實施，確保信息系統安全穩定運行。

關鍵詞：功能測試? 性能測試? 安全測試? 考核激勵

中圖分類號：TL35? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ?文章編號：1674-098X（2020）08（b）-0137-03

Abstract： With the development of information technology， Hunan tobacco business system is constantly exploring the new framework of information system construction， breaking through the links between cigarette management and various application systems， promoting the collaborative application and work level of the four members， and promoting enterprises to achieve high-quality development goals. In order to further strengthen the information security management， the design and implementation of the system function， performance and security test are carried out simultaneously to ensure the safe and stable operation of the information system.

Key Words： Function test; Performance test; Security test; Assessment and incentive

隨著企業信息化飛速發展，網絡安全已上升到前所未有的法制高度。按照網絡安全法三同步要求，四員協同考核激勵項目建設時，考慮對系統功能、性能及安全進行測試，確保安全設計得到正確實施，保障系統上線后能夠安全穩定運行。

1? 系統測試設計

系統測試主要包括功能測試、性能測試及安全測試三個方面。

2? 功能測試需求

2.1 工作考核與激勵測試

四員協同工作考核，對協同時效、質量、事項的考核，協同報表、工作看板等功能是否可用;對超時未辦理協同進行預警，系統自動發送短信或微信提醒待辦人員。

四員協同激勵，一線人員英雄榜對營銷、物流、專賣、內管優秀員工進行展示。

2.2 工作站考核與考勤測試

工作站考核，新建站所績效計劃、績效計劃審核、績效計劃匯總、分管領導審核并下發、指標分解到人、定性考核、考核匯總、日常走訪、考核與英雄榜對接等。

日常考勤管理，應用電子圍欄技術定位檢查，系統自動發送短信提醒用戶打開GPS開關。

2.3 移動標準化應用測試

系統與全省標準化管理平臺進行對接，查詢個人崗位工作職責和崗位詳情，對工作標準、協同標準、考核激勵標準隨時進行查詢、學習和應用，查詢所有崗位工作標準。

2.4 客戶雙向評價測試

系統與微信公眾平臺對接，對客戶經理、市管員、送貨員的服務態度、工作質量等進行評價，并提出咨詢和訴求意見。

系統采用五星級評價，星級分為一星至五星，對應分值為1～5分，五星表示滿意，一星表示不滿意，評價結果納入英雄榜進行展示。

系統與96368平臺對接，如發生零售戶有效投訴，將對三員綜合評價進行相應扣分。

3? 性能測試需求

3.1 運行效率測試

在當前的硬件設備下運行系統，速度快捷，進行系統數據查詢、數據處理、數據統計等操作，能夠響應滿足日常工作的要求，且不依賴于設備的高要求、高標準，使得業務處理的工作效率較高。

系統運行過程中對資源利用率在合理值范圍內，不會占用過高的資源，例如占用較大CPU、內存、磁盤IO等。

3.2 響應速度測試

系統操作快捷，反應速度迅速，正常范圍內的內戶操作時響應及時，沒有停頓的用戶體驗。當超出響應時間要求時，系統提供進度條提醒，反饋等待時間至用戶界面。對網絡流量進行分流，對會話數進行控制，避免響應中斷等服務不暢的情況。

3.3 壓力測試

單獨場景，模擬多個并發用戶操作，在相同的測試背景下采用逐步遞增的加壓策略，查看峰值情況下各個關鍵檢查點的響應時間，以及各服務器的資源占用情況。系統關鍵檢查點選擇原則，選擇系統常用的，以及可能出現性能瓶頸的功能點作為系統關鍵檢查點，如登錄、查詢等操作。

綜合測試場景，模擬多個實際用戶，按照以上描述的各個關鍵檢查點的實際使用比例分配用戶數，進行混合并發測試，檢測客戶端的響應情況以及服務器的資源占用情況。系統關鍵檢查點的具體測試用例，包括測試步驟、用戶并發量，根據用戶性能需求調研結果以及現場測試情況再選定和調整。

4? 安全測試需求

4.1 自動化Web漏洞掃描測試

通過漏洞掃描、威脅感知等技術手段，對目標系統及數據庫的脆弱性進行檢測，發現可利用的漏洞的安全檢測。

4.2 服務器信息收集測試

服務端口是很容易被攻擊的，而默認情況下Web服務器通常會放開一些端口，但是系統服務并不使用，從而為攻擊者留下了攻擊漏洞，需要發現并關閉這些端口。

4.3 注入漏洞測試

SQL注入測試，信息泄漏的一個途徑是通過SQL注入，入侵者可以利用這些漏洞對數據進行修改、刪除，使業務中斷、數據泄漏，要處理好這些注入點。

遠程命令執行測試，某些頁面可能接受類似于文件名的參數用于下載或者顯示內容，或者通過某些暴露的接口以及漏洞，通過第三方工具可執行系統命令，例如JAVA反序列化漏洞攻擊、Struts2遠程代碼執行漏洞、心臟滴血漏洞等。

4.4 跨站腳本測試

包括GET方式跨站腳本測試和POST方式跨站腳本測試，這些跨站腳本可以利用，出現導致會話被劫持、信息泄漏、賬戶被盜，更嚴重的會進行數據修改、刪除，使得業務中斷，系統宕機，所以要發現這些腳本。

4.5 目錄結構安全測試

工具方式的敏感接口遍歷，了解目錄信息才能確定攻擊的目標，一般掃描工具進行掃描前首先要進行目錄查找。其次對于某些隱藏的管理接口（目錄或文件），通過一系列有特定含義的枚舉查看是否可訪問。

Robots方式的敏感接口查找，要防止搜索引擎的爬蟲訪問敏感的目錄接口，Robots文件存放在系統當中，里面會包含一些重要的文件或目錄名稱，攻擊者訪問該文件就可能會獲取一些涉密的重要信息。

Web服務器的控制臺檢查，檢查是否部署了Web服務器的控制臺，控制臺是否存在默認帳號、口令，是否存在弱口令。

4.6 身份鑒別測試

驗證碼測試，查看是否有驗證碼機制，以及驗證碼機制是否完善。

認證錯誤提示，系統在登錄時，如果用戶名賬號錯誤，系統是否會提供明確的信息提示，要避免攻擊者查獲用戶賬號，并以此進行暴力破解。

鎖定策略測試，如果缺少此策略或策略不合理，外部攻擊者可以無限進行比對測試，最終破解密碼。

認證繞過測試，發現目標認證系統是否存在繞過的可能，檢測系統是否可通過特殊方式繞過登錄，從而進行非法操作。

找回密碼測試，系統在密碼重設和密碼找回功能上如果存在著缺陷，可以通過此功能找到指定用戶的密碼，更改指定用戶的密碼讓其不能登陸，造成非法篡改等。

修改密碼測試，如果修改密碼功能存在缺陷，可以通過此缺陷修改其他用戶的密碼。

不安全的數據傳輸，測試Web程序在處理登錄過程中用戶名和口令的傳輸是否采用了加密傳輸的機制。

強口令策略測試，檢查目標系統是否存在強口令策略，不能設置為弱口令的密碼，例如純數字123456、111111此類密碼。

4.7 會話管理測試

身份信息維護方式測試，發現目標系統是否采用參數來進行身份判斷。

Cookie存儲方式測試，某些Web應用將SesssionId放到了URL中進行傳輸，攻擊者能夠誘使被攻擊者訪問特定的資源。

用戶注銷登陸的方式測試，查看是否提供注銷登陸功能。

注銷時會話信息是否清除測試，用戶注銷后會話信息沒有清除，可導致用戶在點擊注銷按鈕之后還能繼續訪問注銷之前才能訪問的頁面。

會話超時時間測試，查看是否存在瀏覽器窗口閑置超時后需重新登錄的機制。

會話標識攜帶，登錄成功后，檢查URL參數中是否攜帶了會話標識，URL的參數和值容易泄漏，如果URL攜帶了會話標識，那么會話標識很容易泄漏，會話容易被盜用。

4.8 訪問控制測試

基于用戶身份處理的橫向越權操作測試，發現頁面中存在的橫向越權操作。

基于菜單URL權限的測試，發現應用中存在的URL縱向越權操作。

4.9 文件上傳下載測試

文件上傳測試，很多信息系統提供文件、圖片上傳功能，如果在服務器端沒有對上傳文件的類型、大小以及保存的路徑及文件名進行嚴格限制，攻擊者就很容易上傳后門程序取得WebShell，從而控制服務器。

文件下載測試，很多信息系統提供文件下載功能，如果系統對下載文件的權限控制不嚴，攻擊者很容易利用目錄跨越、越權下載到本不該下載的文件。

4.10 信息泄漏測試

連接數據庫的帳號密碼加密測試，連接數據庫的帳號密碼在配置文件中如果明文存儲，容易被惡意維護人員獲取，從而直接登陸后臺數據庫進行數據篡改。

客戶端源代碼敏感信息測試，Web頁面的html源代碼中不允許包含口令等敏感信息，特別關注修改口令、帶有星號口令的Web頁面。

客戶端源代碼注釋測試，開發版本的Web程序所帶有的注釋在發布版本中沒有被去掉，而導致一些敏感信息的泄漏，檢測客戶端能看到的頁面源代碼并發現此類安全隱患。

異常處理，Web應用在處理用戶提交的不存在的URL時會返回錯誤信息，通過返回的錯誤信息來確認是否有敏感信息的泄漏問題。

Web服務器狀態信息測試，服務器可能提供重要的參數信息供外部查詢，如果不加以保護，被外部攻擊者利用，就會造成重要信息的泄漏。

不安全的存儲，上傳文件所在的目錄能否直接遠程訪問，服務器配置文件目錄或日志存放目錄能否直接訪問。

4.11 安全審計測試

日志審計，檢查被測系統的日志是否不能被修改和刪除或被非授權人員篡改或刪除，且系統日志審計內容不能被非授權管理員及用戶刪除、更改等。

審計內容，檢查被測系統的日志是否覆蓋每個用戶的活動、每個重要事件。日志記錄非常重要，應該包括事件日期、時間、發起者信息、類型、描述和結果等。

4.12 系統容錯測試

異常告警，當系統受到外部攻擊時，系統是否能采取相應措施，例如告警或阻斷攻擊。

應急恢復，受到攻擊后，當服務中斷或失效后，查看系統能否自動或手動及時回復系統的運行，或者做了哪些相應的安全備份。

輸入數據測試，應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求。

參考文獻

[1] 李昊林.計算機網絡安全的主要隱患及管理措施分析[J].計算機產品與流通，2020（3）：38.

[2] 師戈.基于網絡環境下的計算機硬件安全維護措施研究[J].中國新通信，2019，21（8）：135-136.

[3] 張剛昌，陳常青.網絡環境下計算機硬件安全保障及維護對策研究[J].信息通信，2020（1）：177-178.

[4] 鄧姝.培訓中心移動學習平臺的開發與實現[D].長沙：湖南大學，2018.

[5] 趙永財.中國石油天然氣集團公司綜合授信管理系統的設計與實施[D].長春：吉林大學，2016.

[6] 李健禾.T學校面向智能移動設備的教務管理信息化項目研究[D].成都：西南交通大學，2016.