电力能源招标网

沈阳局集团公司信息技术所特货机保段检修调车系统第三方测试业务外包公开竞争性谈判采购公告

（ 项目编号： ZTSYJCGS2025-0266 ）

1 ．采购条件

本采购项目沈阳局集团公司信息技术所特货机保段检修调车系统第三方测试业务外包采购人为中国铁路沈阳局集团有限公司中国铁路沈阳局集团有限公司信息技术所，采购项目资金来自其他业务，已落实，具备采购条件，现对本项目采购进行公开竞争性谈判。

2 ．采购 范围及相关要求

采购业务外包的名称、类别、工作量、交工验收地点、包件划分等详见本公告附件 1 。

1. 执行的技术标准：无

2. 铁路专用配件维修（服务）执行的相关文件、规定：无

3. 维保条款：质履约期内提供 7*24 小时远程技术支持及咨询、故障受理服务。

4. 售后服务及要求： 1) 按要求安装测试软件，调试服务。 2) 服务商在合同履约期内收到招标方相关服务请求后，需在 48 小时内响应并提供技术服务。 3) 质保期内发生问题时，中标人无条件解决问题。 5. 其他需具体明确的技术要求：详见技术规格书。

技术规格书

一、服务内容

• 服务范围：

《特货机保段检修调车系统》系统需提供第三方专业测评机构出具的功能、性能和安全测试报告以及源代码审计和恶意代码检测报告，根据项目进度安排，自合同签订之日起至2个月内，出具全部正式测试报告，在合同有效期内提供技术咨询服务，达到软件试用评审要求。

（二）技术服务内容及标准：

1 、功能测试: 客观、全面的检查被测系统功能，验证软件产品提供满足明确和隐含要求的功能的能力，是否满足系统上线应用要求。包括从软件的功能适合性、准确性、依从性方面进行测试。

适合性是指软件产品为指定的任务和用户目标提供一组合适的功能的能力。

准确性是指软件产品提供具有所需精度的正确或相符的结果或效果的能力。

依从性是指软件产品遵循与功能性相关的标准、约定或法规以及类似规定的能力。

2 、性能测试: 分析被测系统性能需求，提取性能指标要求及被测性能点；通过模拟多种正常、峰值以及异常负载条件来对被测系统开展性能测试，验证其并发量、响应时间、吞吐量、TPS值、资源利用率等性能指标是否满足要求。性能测试应至少依据《GBT25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》等标准。应从时间特性、资源利用率以及效率的依从性方面进行测试。（4个主要业务场景/每系统）。

2.1 时间特性是指在规定条件下，软件产品执行其功能时，提供适当的响应和处理时间以及吞吐率的能力，主要包括响应时间、平均响应时间、吞吐量、平均吞吐量等指标。

测试项目	测试细目
响应时间	·测试完成一项规定任务所花费的时间。 ·依据需求规格说明书，选取数据量较大和用户操作最频繁的测试点，制定测试用户，记录软件的响应时间。
平均响应时间	·就并发任务及系统运算来说，在一个特定计算机系统负载中，并发出请求到请求完成为止，用户经历的平均等待时间。 ·依据需求规格说明书，选取执行若干个并发任务，记录平均响应时间。
吞吐量	·测试有多少个任务能在给定时间周期内成功执行。 ·设计用例，开始几项作业任务，记录完成测量任务而进行的操作花费的时间
平均吞吐量	·测试在一个设定的单位时间内，系统能处理的并发任务的平均数量 ·设计用例，并发几项作业任务，测量给定流量中完成选定任务所花费的时间。

2.2 资源利用率是指在规定条件下，软件产品执行其功能时，使用合适数量和类别的资源的能力，主要包括CPU负载、I/0设备的利用性、剩余内存数、最大内存利用数、传输能力的利用等指标。

测试项目	测试细目
CPU 负载	·测试在执行并发操作下，记录CPU负载情况，并与设计目标、实际要求进行比较。
I/0 设备的利用 性	·测试I/0设备利用是否过高，造成效率不高。 ·执行大量的并发任务，记录I/0设备利用情况，并与设计目标进行比较。
剩余内存数	·测量在某个并发任务下，服务器的剩余内存是否足够，
最大内存利用数	·测量在完成某个功能时，需要的内存绝对限度是多少， ·执行任务，针对不同的操作系统，采用不同的内存查看工具观察软件对内存的使用情况。
传输能力的利用	·测试软件系统能否在期望的传输能力下执行任务。 ·采用测试工具，由多个用户并发执行规定的数个任务，观察传输能力并与规定值比较。

效率依从性是指软件产品遵循与效率相关的标准或约定的能力，主要验证并记录软件效率不符合所实施法规、标准和约定的内容。

3 、安全测试: 根据系统在设计阶段定义的信息安全保护等级、安全设计方案、公司规定的安全防护等相关要求，对于信息系统进行安全测评。安全测试应从软件保密性、完整性、抗抵赖性、可核查性、真实性、依从性等方面开展。

3.1 保密性是指产品或系统确保数据只有在被授权时才能被访问的程度。保密性测试一般从以下细目进行：

（1） 验证软件产品是否具有对系统正常访问的控制能力，依据安全策略和用户角色设置访问控制矩阵，用户权限应遵循“最小权限原则”。

（2） 测试系统是否进行用户身份鉴别，并在每次用户登录系统时进行鉴别。

（3） 测试软件鉴别信息是否为不可见，且具有相应的抗攻击能力，并在存储或传输时用加密方法／具有相同安全强度的其他方法进行安全保护。

（4） 验证数据在传输过程中不被窃听，对整个通信过程中的整个报文或会话过程进行加密。

（5） 明确区分系统中不同用户权限，系统不会因用户的权限的改变造成混乱。

（6） 合适的身份认证方式，用户登陆密码是否是可见、可复制，密码的存储和传输安全，密码策略保证密码安全。

（7） 测试系统是否对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时是否采取了具有规范性和安全性的措施来实现鉴别失败的处理。

（8） 软件应能防止对程序和数据的未授权访问。

3.2 完整性是指系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度。完整性测试一般从以下细目进行：

（1） 验证对软件产品是否具有对未授权用户非法访问的控制能力。

（2） 采用专业测试工具，开展“渗透测试”、“漏洞扫描”等手段，在模拟非法入侵攻击事件的条件下，验证软件产品是否有控制和处理能力。

3.3 抗抵赖性要求活动或事件发生后可以被证实且不可被否认的程度。启用安全审计功能对活动或事件进行追踪。抗抵赖性测试一般从以下细目进行：

（1） 测试软件是否使用数字证书等方式保证用户的身份认证，在收到请求的情况下为数据原发者或接受者提供数据原发和接收的证据。

（2） 测试软件是否具备完整且无法篡改的审计记录，确保用户操作可经过审计及追踪。系统操作日志／审计、异常日志、告警日志，审计／日志的完整性、保密性。

（3） 验证审计日志的管理，日志不能被任何人修改和删除，能够形成完整的证据链。

3.4 可核查性要求实体的活动可以被唯一地追溯到该实体的程度。可核查性测试一般从以下细目进行：

（1） 测试系统或软件的审计模块，检查模块是否具有完善的安全审计功能。考察启用安全审计功能后，覆盖用户的多少和安全事件的程度，覆盖到每个用户活动，日志记录内容至少应包括事件日期、事件、发起者信息、类型、描述和结果等，审计跟踪设置是否定义了审计跟踪极限的阈值，当存储空间被耗尽时，能否采取必要的保护措施。

（2） 账户管理，包括账户唯一性、登录机制、密码管理策略。

3.5 真实性是对象或资源的身份标识能否被证实符合其声明的程度。真实性测试一般从以下细目进行：

（1） 验证软件是否具有当前使用系统的用户列表。

（2） 验证软件在系统的访问历史数据中记录的访问登录记录是否完整.

（3） 检查软件是否具有用户使用系统的历史日志及日志管理功能。

（4） 在模拟攻击事件的入侵的情况下，验证软件的日志内容是否有相关记录。

4 、源代码审计: 通过静态和动态分析技术，识别源代码中的安全缺陷和编程错误。

（1） 确保代码遵循安全编程规范，识别常见漏洞（如 SQL 注入、跨站脚本攻击、缓冲区溢出等）。分析代码结构、逻辑流、复杂度和可维护性，确保代码符合最佳实践。

（2） 审查第三方库和组件确保其安全性和版本的最新性，避免引入已知漏洞。检查内存管理、文件处理和网络链接，确保资源的正确试用和释放，避免泄露和滥用。

（3） 精通多种静态和动态审计工具的使用，如安信代码卫士、北大库博源代码审计系统。

（4） 具备一套完整且科学的源代码审计流程，从前期准备、代码扫描、结果分析、漏洞验证到最终报告生成，每个环节都有明确的操作步骤和质量标准。

（5） 在审计前，要对项目的架构、业务逻辑进行充分了解，制定详细的审计计划，明确重点审计区域。

（6） 审计报告需清晰、准确地描述每个漏洞，包括漏洞名称、代码位置、危害程度、详细的复现步骤以及修复建议。修复建议应具有可操作性，能够直接指导开发人员进行代码修改。

（7） 提供可视化的审计结果展示，如漏洞分布热力图、风险趋势图等，便于委托方直观了解项目整体的安全状况。

5 、恶意代码检测： 通过动态分析和行为监测技术，识别和隔离潜在的恶意代码。

（1） 检测代码中的隐藏恶意功能，防止未授权访问。识别可能的代码注入攻击向量，确保代码的完整性和安全性。分析使用的所有库和脚本，确保其来源可靠且未被篡改。

（2） 使用工具进行自动化检测，确保审计的准确性和全面性。例如奇安信代码卫士、北大库博源代码审计系统等。

（3） 审计覆盖率确保审计覆盖至少 95% 的代码行。按照 OWASP Top 10 和 CWE/SANS Top 25 标准分类识别和报告漏洞。

（4） 在检测到恶意代码后，能迅速做出响应，第一时间通知委托方，并提供紧急处理方案，将损失和影响降到最低。

（5） 对于恶意代码的传播途径和感染范围进行快速溯源分析，帮助委托方及时采取隔离、清除等措施，防止恶意代码进一步扩散。

（6） 对检测工具和系统进行严格的安全防护，防止因工具或系统自身的安全漏洞导致委托方数据泄露。

二、保密条款

投标方在履行合同过程中知悉招标方的业务信息、技术资料等非公开信息、投标方应承担保密义务，不得以任何方式向任何第三方透漏、传播或转让。参与现场测评的投标方人员须签订安全保密协议，并遵守招标方的机房、设备、运维安全等管理规定。

3 ．供应商资格要求

3.1 本次采购供应商须具备的资格要求：

1.资质要求：依照中国法律登记、注册，具备独立法人资格的服务商。

2.行政许可及认证：无

3.质量保证能力：须提供有效的中国合格评定国家认可委员会颁发的CNAS软件检测资质证书复印件和省部级及以上市场监督管理局颁发的CMA检验检测机构资质认定证书复印件

4.业绩要求：无

5.经营违法记录要求：（1）未被工商行政管理机关列为严重违法失信企业。（网址：“www.gsxt.gov.cn”） （2）未被人民法院列为失信被执行人。（网址：“www.creditchina.gov.cn”） （3）在近三年内，企业或法定代表人不存在被司法机关认定的行贿犯罪行为。（网址：“wenshu.court.gov.cn”） （4）在近三年内，企业或法定代表人不存在被纪检监察组织认定的违规向铁路企业人员送礼金、礼品和各种有价证券、支付凭证等行为；未被行政主管部门责令停业，或被暂停、取消报价资格；拟供外包业务未被行政主管部门责令暂时停产或停止使用。 （5）未被国铁集团或集团公司暂停接受参与采购活动，或暂停采购、使用相应物资（设备）。 （6）未与中国铁路沈阳局集团有限公司及其附属企业、分支机构等存在诉讼案件。 以上内容（1）—（3）投标人提供截图，（4）—（6）投标人须提供承诺函响应。

3.2 本次采购 不接受 联合体投标。