公安交通管理综合应用平台和平台专网服务系统外挂软件安全测试流程

《公安交通管理综合应用平台外挂软件安全测试流程介绍》

一、受理流程 

（一）提交资料 

按照《公安交通管理信息系统外挂软件安全管理规定》的要求，申请公安交通管理综合应用平台外挂软件（以下简称综合平台外挂软件）安全检测的企业，应提交如下资料： 

1、综合平台外挂软件委托检测申请表（模板见附件1）(下载)； 

2、生产企业营业执照副本扫描件（盖公章）； 

3、系统安全需求分析报告（模板见附件2）(下载)，内容包括但不限于：针对风险分析发现的每一项安全风险和隐患确认安全需求；分析并确认外挂软件的整体安全需求；分析并确认应用软件安全运行的环境条件需求；分析并确认应用软件所实现的安全功能需求；列出可能的不期望事件，分析导致这些不期望事件的可能原因，提出相应的软件处理要求； 

4、系统技术方案（模板见附件3）(下载)，内容包括但不限于：针对安全需求分析中确认的每一项安全需求制定相应的安全策略和安全机制，并对其进行详细描述；外挂软件功能，业务流程；调用接口及该接口在外挂软件中调用的地方、作用；软件网络拓扑结构，软件运行环境（公安网、互联网、智能交通专网、财政等政府专网、银行等企业专网，或者不同网络分别部署进行数据交换中转等）；不同网络数据交换的，说明数据交换方式（手工交换、边界接入平台等）； 

5、系统操作使用说明书一份； 

6、外挂软件请求服务接口调用情况说明（模板见附件4）(下载)； 

7、产品自检表（模板见附件5）(下载)及调试工具（附件6下载链接）(下载)； 

8、关于外挂软件网络接入方式的申明（模板见附件7）(下载)； 

9、生产企业联系人、联系方式和联系地址； 

10、对上述材料做出真实性声明扫描件（加盖公章，模板见附件1）。 

注：电子档文件资料发邮箱 jczx001@126.com，邮件标题格式：【外挂安全】XXXX公司-XXXXX系统送检材料。 

（二）资料审核 

检测中心对材料的符合性进行审核，并在2个工作日内将审核结果通过邮件反馈给委托单位。 

对于资料审核不通过的，委托单位应按照邮件反馈的审核结果整改后重新提交送检资料。 

对于资料审核通过的，委托单位根据邮件反馈的审核结果直接联系检测中心办理检测合同。 

联系电话：0510-85505281，联系人：刘铭豪。 

二、检测流程 

（一）检测准备 

1、《产品检测合同书》签订后，检测中心检测人员根据手上任务情况，与客户约定检测时间，原则上首次检测时间与合同签订日期间隔不得超过5个工作日。 

2、委托单位按照约定的检测时间将综合平台外挂软件样品送至检测中心进行检测。样品以光盘形式提供，其中包括但不限于：软件安装程序、可执行程序、需要安装的插件、数据库、测试所需的模拟数据等，光盘上需明确标注受测单位名称、软件名称和版本号。测试样品以送样光盘中的内容为准，原则上测试过程中不接受光盘以外的数据、插件及程序。 

3、委托单位根据检测中心要求，派技术人员至检测中心构建完整的综合平台外挂软件，并配合检测中心测试人员进行检测，必要时根据检测中心要求提供综合平台外挂软件应用现场的过程数据和视频资料。 

4、委托单位技术人员至检测中心现场检测时提供加盖公司公章（首页及骑缝）的最终版纸质文档，具体如下： 

1）综合平台外挂软件委托检测申请表一份； 

2）生产企业营业执照副本复印件一份； 

3）系统技术方案一份； 

4）外挂软件请求服务接口调用情况说明一份； 

5）关于外挂软件网络接入方式的申明一份。 

（二）检测执行 

1、构建综合平台外挂软件 

委托单位协助检测中心测试组使用提交的送检样品光盘构建综合平台外挂软件。测试所需的计算机类通用设备由检测中心提供，包括：公安交通管理综合应用平台服务器（已安装公安交通管理综合应用平台）、服务器一台（Windows Server 2008或Windows Server 2010）、台式计算机一台（Windows XP或Windows 7或Linux）、交换机等。测试时如需其他专用硬件设备，经检测中心测试组同意后，由委托单位提供。综合平台外挂软件使用的网络环境为局域网。 

2、系统检测 

检测中心测试组按照已编制的原始记录表逐项测试，包括安全测试、漏洞扫描和外挂接口调用需求确认，如实记录原始测试结果，并填写测试缺陷汇总表。测试时委托单位应提供技术支持，确保测试组完成测试任务。（测试过程中如发现软件实际功能与软件自检表描述明显不符，检测中心有权终止测试并要求委托单位重新送检） 

3、整改复测 

由于委托单位自身原因（如软件测试项目不通过、不能按时参加测试等）导致测试没有通过的，给予2次补测机会，委托单位根据检测中心出具的缺陷汇总表，在1个工作日内提交整改复测申请表，明确下次复测时间，并在复测时重新提供测试样品光盘。2次补测后测试仍未通过的，检测中心直接出具不合格报告。 

4、测试样品存档 

所有测试项目全部测试完毕后，测试组将所有测试样品光盘交给软件测试室样品保管人存档并填写样品存档登记表。 

5、编写测试报告 

测试组根据测试结果进行综合评价，编写测试报告，测试报告一式三份，两份交送检客户，一份检测中心存档。

《公安交通管理综合应用平台专网服务系统外挂软件测试流程介绍》

一、受理流程 

（一）外挂软件分类 

公安交通管理综合应用平台专网服务系统外挂软件（以下简称“专网服务系统外挂软件”）一般包括以下软件名称： 

1、机动车查验类 

(1)机动车查验管理系统 

(2)机动车查验音视频管理系统 

2、机动车检验类 

(1)机动车安全技术检验业务信息系统（线内） 

(2)机动车检验智能终端系统 

(3)机动车检验视频监控系统 

(4)机动车安全技术检验业务智能审核系统 

3、机动车登记业务类 

(1)机动车登记业务系统 

(2)机动车业务收费系统 

（二）提交资料 

申请公安交通管理综合应用平台专网服务系统外挂软件（以下简称“专网服务系统外挂软件”）检测的企业，应提交如下资料： 

1、专网服务系统外挂软件委托检测申请表（模板见附件1）(下载)； 

2、生产企业营业执照副本扫描件（盖公章）； 

3、软件著作权证书（软件名称、版本号、著作权人等内容与送检系统软件一致）； 

4、系统安全需求分析报告（模板见附件2）(下载)，内容包括但不限于：针对风险分析发现的每一项安全风险和隐患确认安全需求；分析并确认外挂软件的整体安全需求；分析并确认应用软件安全运行的环境条件需求；分析并确认应用软件所实现的安全功能需求；列出可能的不期望事件，分析导致这些不期望事件的可能原因，提出相应的软件处理要求； 

5、系统技术方案（模板见附件3）(下载)，内容包括但不限于：针对安全需求分析中确认的每一项安全需求制定相应的安全策略和安全机制，并对其进行详细描述；外挂软件功能，业务流程；调用接口及该接口在外挂软件中调用的地方、作用；软件网络拓扑结构，软件运行环境（公安网、互联网、智能交通专网、财政等政府专网、银行等企业专网，或者不同网络分别部署进行数据交换中转等）；不同网络数据交换的，说明数据交换方式（手工交换、边界接入平台等）； 

6、系统操作使用说明书一份； 

7、外挂软件请求服务接口调用情况说明（模板见附件4）(下载)； 

8、产品自检表（模板见附件5）(下载)及调试工具（附件6下载链接）(下载)； 

9、生产企业联系人、联系方式和联系地址； 

10、对上述材料做出真实性声明扫描件（加盖公章，模板见附件1）。 

【注】：电子档文件请打压缩包资料发邮箱 jczx001@126.com，邮件标题及压缩包名称格式：外挂软件分类名称+XXXX公司+日期。 

（三）资料审核 

检测中心对材料的符合性进行审核，并在2个工作日内将审核结果通过邮件反馈给委托单位。 

对于资料审核不通过的，委托单位应按照邮件反馈的审核结果整改后重新提交送检资料。 

对于资料审核通过的，委托单位根据邮件反馈的审核结果直接联系检测中心办理检测合同。 

联系电话：0510-85505281，联系人：刘铭豪。 

二、检测流程 

（一）检测准备 

1、《产品检测合同书》签订后，检测中心检测人员根据手上任务情况，与客户约定检测时间，原则上首次检测时间与合同签订日期间隔不得超过5个工作日。 

2、委托单位按照约定的检测时间将机动车安全技术检验业务信息系统样品送至检测中心进行检测。样品以光盘形式提供，其中包括但不限于：软件安装程序、可执行程序、需要安装的插件、数据库、测试所需的模拟数据等，光盘上需明确标注受测单位名称、软件名称和版本号。测试样品以送样光盘中的内容为准，原则上测试过程中不接受光盘以外的数据、插件及程序。 

3、委托单位根据检测中心要求，派技术人员至检测中心构建完整的机动车安全技术检验业务信息系统，并配合检测中心测试人员进行检测，必要时根据检测中心要求提供机动车安全技术检验业务信息系统应用现场的过程数据和视频资料。 

4、委托单位技术人员至检测中心现场检测时提供加盖公司公章（首页及骑缝）的最终版纸质文档，具体如下： 

1）机动车安全技术检验业务信息系统委托检测申请表一份； 

2）生产企业营业执照副本复印件一份； 

3）系统技术方案一份； 

4）外挂软件请求服务接口调用情况说明一份； 

5）软件著作权证书一份。 

（二）检测执行 

1、构建专网服务系统外挂软件 

委托单位协助检测中心测试组使用提交的送检样品光盘构建机动车安全技术检验业务信息系统。测试所需的计算机类通用设备由检测中心提供，包括：机动车检验监管平台服务器（已安装机动车检验监管平台）、服务器一台（Windows Server 2008或Windows Server 2010）、台式计算机一台（Windows XP或Windows 7或Linux）、交换机等。测试时如需其他专用硬件设备，经检测中心测试组同意后，由委托单位提供。系统检测使用的网络环境为局域网。 

2、系统检测 

检测中心测试组按照已编制的原始记录表逐项测试，包括功能测试、安全测试、漏洞扫描和外挂接口调用需求确认，如实记录原始测试结果，并填写测试缺陷汇总表。测试时委托单位应提供技术支持，确保测试组完成测试任务。（测试过程中如发现软件实际功能与软件自检表描述明显不符，检测中心有权终止测试并要求委托单位重新送检） 

3、整改复测 

由于委托单位自身原因（如软件测试项目不通过、不能按时参加测试等）导致测试没有通过的，给予2次补测机会，委托单位根据检测中心出具的缺陷汇总表，在1个工作日内提交整改复测申请表，明确下次复测时间，并在复测时重新提供测试样品光盘。2次补测后测试仍未通过的，检测中心直接出具不合格报告。 

4、测试样品存档 

所有测试项目全部测试完毕后，测试组将所有测试样品光盘交给软件测试室样品保管人存档并填写样品存档登记表。 

5、编写测试报告 

测试组根据测试结果进行综合评价，编写测试报告，测试报告一式三份，两份交送检客户，一份检测中心存档。