審計(jì)信息平臺軟件測評的研究

1、審計(jì)信息平臺軟件測評的研究 當(dāng)前企業(yè)信息化建設(shè)迅猛發(fā)展，做好企業(yè)審計(jì)信息平臺的軟件測評工作是十分重要的，該項(xiàng)工作影響到系統(tǒng)的功能、效率、安全等質(zhì)量指標(biāo)。本文從對被測系統(tǒng)和軟件測評技術(shù)介紹入手，詳細(xì)闡述了軟件測評的過程和方法。 【關(guān)鍵詞】軟件測評 測評過程 測評方法 1 審計(jì)信息平臺介紹 為了落實(shí)制約機(jī)制和監(jiān)督權(quán)力作為審計(jì)的核心，加強(qiáng)反腐敗體制機(jī)制創(chuàng)新和制度保障的要求，需要建設(shè)審計(jì)信息平臺。該平臺的總體目標(biāo)是建立一個“統(tǒng)一、高效、實(shí)用”的工作信息系統(tǒng)，使其成為總公司及所屬單位審計(jì)人員開展日常審計(jì)的平臺，成為總公司和所屬單位信息共享和信息交互的通道。審計(jì)信息平臺系統(tǒng)主要是以信息化手段實(shí)現(xiàn)總公司及所

2、屬單位部分審計(jì)流程的規(guī)范化和標(biāo)準(zhǔn)化，固化業(yè)務(wù)流程，輔助各級領(lǐng)導(dǎo)和審計(jì)人員管理業(yè)務(wù)工作，銜接工作界面，細(xì)化操作實(shí)務(wù)，輔助審計(jì)工作，提升工作質(zhì)量。 對于這樣大規(guī)模的應(yīng)用系統(tǒng)，具備了相當(dāng)高的復(fù)雜程度、技術(shù)水平和開發(fā)成本。如果該系統(tǒng)存在缺陷，在使用過程中發(fā)生故障，都將造成不良影響。軟件測評就是幫助用戶解決應(yīng)用系統(tǒng)的質(zhì)量問題，作為系統(tǒng)上線前檢查必要的質(zhì)量保證手段，從而提高系統(tǒng)質(zhì)量。軟件測評不是系統(tǒng)開發(fā)方內(nèi)部測試，也不是用戶測試，而是由具有相關(guān)資質(zhì)的獨(dú)立的第三方測評機(jī)構(gòu)，根據(jù)被測系統(tǒng)方的需求，依據(jù)相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)對被測軟件的質(zhì)量進(jìn)行全面的測試和評價(jià)。 2 軟件測評 軟件測評主要是利用人工或

3、者自動化的方式，站在客觀、第三方的角度，系統(tǒng)的盡可能多的發(fā)現(xiàn)被測系統(tǒng)中的錯誤，檢查被測系統(tǒng)是否滿足需求規(guī)格說明書或是達(dá)到預(yù)期結(jié)果，從而提高被測系統(tǒng)的質(zhì)量。 軟件測評相比軟件測試更注重評審過程，在測試的每個階段以及產(chǎn)生的相關(guān)文檔都需要組織專家對其結(jié)果進(jìn)行評審，對測試結(jié)果進(jìn)行深入分析總結(jié)，制定應(yīng)對措施積累經(jīng)驗(yàn)。根據(jù)軟件測試質(zhì)量控制體系對測評活動全過程進(jìn)行質(zhì)量控制。因此要確保軟件測評的充分性，獲得良好的測評效果，建立一個完善的軟件測評體系具有現(xiàn)實(shí)的緊迫性和重要性。 3 審計(jì)信息平臺軟件測評過程 針對審計(jì)信息平臺的項(xiàng)目特點(diǎn)，根據(jù)越早測試越好的原則，本次軟件測評的過程按照：軟件需求制定、測評項(xiàng)目建立、測

4、試需求分析和策劃、測試設(shè)計(jì)和實(shí)踐、測試執(zhí)行和回歸測試、測試總結(jié)和交付歸檔來進(jìn)行。 3.1 軟件需求制定 軟件需求為軟件開發(fā)奠定了基礎(chǔ)，也是軟件測評的重要依據(jù)，一份完善的需求規(guī)格說明書對開發(fā)和測試工作都是至關(guān)重要的。測評項(xiàng)目組引入了軟件需求規(guī)格說明書的國家標(biāo)準(zhǔn)，并根據(jù)本企業(yè)和本項(xiàng)目特點(diǎn)對國家標(biāo)準(zhǔn)的需求規(guī)格說明書進(jìn)行了落地，通過多方評審確定了最終版本。通過討論會對需求規(guī)格說明書反復(fù)修改，協(xié)助研制方按照系統(tǒng)功能模塊的劃分逐步完成需求規(guī)格說明書。 3.2 測評項(xiàng)目建立 測評項(xiàng)目組按照測評任務(wù)和合同情況建立測評項(xiàng)目。首先項(xiàng)目組制定項(xiàng)目計(jì)劃；項(xiàng)目組長與質(zhì)量保證人員共同制定質(zhì)量保證計(jì)劃；項(xiàng)目組長與項(xiàng)目組配置

5、管理員共同制定配置管理計(jì)劃。然后項(xiàng)目組接受被測件，梳理測評需求，建立需求基線并進(jìn)行配置管理。同時(shí)，質(zhì)量保證人員對項(xiàng)目建立階段進(jìn)行符合性檢查。 3.3 測試需求分析和策劃 測評項(xiàng)目組開展測試需求分析，確定測試類型及其測試要求，分解測試項(xiàng)。建立測試項(xiàng)與測評需求的追溯關(guān)系，通過需求追溯表的形式實(shí)施。項(xiàng)目組進(jìn)行測試策劃，確定測試策略、技術(shù)方法、測試工作產(chǎn)品等。 3.4 測試設(shè)計(jì)和實(shí)踐 該階段主要是設(shè)計(jì)并編寫測試用例。建立測試用例與測試項(xiàng)的追溯關(guān)系，通過需求追溯表的形式實(shí)施。按文檔編制要求進(jìn)行測試計(jì)劃文檔的編寫。測試計(jì)劃完成后需進(jìn)行評審，并對經(jīng)評審的測試計(jì)劃進(jìn)行修訂，填寫測試問題處理單進(jìn)行變更控制。此外

6、要對測試環(huán)境、測試工具等測試設(shè)備進(jìn)行確認(rèn)，對測試設(shè)備的配置、狀態(tài)進(jìn)行確認(rèn)。還需開展就緒評審工作，對測評需求、項(xiàng)目進(jìn)度、測試設(shè)備等情況進(jìn)行跟蹤，確定是否可以轉(zhuǎn)入測試執(zhí)行階段。 3.5 測試執(zhí)行和回歸測試 測試執(zhí)行階段由測試執(zhí)行人員在系統(tǒng)實(shí)際測試環(huán)境中執(zhí)行測試用例，并記錄測試結(jié)果。測試人員需判定測試用例是否通過，對不通過的測試用例進(jìn)行判定，確認(rèn)是否為軟件問題。對于確認(rèn)為軟件問題的測試用例，經(jīng)研制方修改后，測試方接收修改后的被測件。測試項(xiàng)目組復(fù)用或新增回歸測試用例，開展軟件更改的影響域分析，實(shí)施回歸測試。質(zhì)量保證人員對測試執(zhí)行階段進(jìn)行符合性檢查。 3.6 測試總結(jié)和交付歸檔 全部測試執(zhí)行完畢，測試項(xiàng)

7、目組整理測試記錄并分析測試結(jié)果：編制需求追溯表，建立測試執(zhí)行情況、軟件缺陷與測試用例的追溯關(guān)系。之后測試項(xiàng)目組對測試工作和被測系統(tǒng)進(jìn)行分析評價(jià)以及測試總結(jié)評審工作，包括對測評需求、項(xiàng)目進(jìn)度、測試設(shè)備等情況進(jìn)行跟蹤，為編寫測試報(bào)告做準(zhǔn)備。準(zhǔn)備完畢按照文檔編制要求進(jìn)行編寫測試報(bào)告，并對報(bào)告評審。最終向客戶交付測試報(bào)告正本，測試項(xiàng)目組對本項(xiàng)目全部文檔記錄進(jìn)行整理歸檔。 4 審計(jì)信息平臺軟件測評方法 由于審計(jì)工作流程的復(fù)雜度高，因此對該平臺的易用性要求也相應(yīng)提高。故測評的測試類型主要體現(xiàn)在功能性、效率性、安全性、兼容性和易用性等質(zhì)量特征上。 4.1 功能性測試 功能性測試主要檢測軟件是否符合審計(jì)信息平

8、臺業(yè)務(wù)藍(lán)圖設(shè)計(jì)報(bào)告和審計(jì)信息平臺系統(tǒng)開發(fā)需求規(guī)格說明書中提出的用戶功能需求。對于一般的用戶測試而言，用戶僅測試自己關(guān)心的功能點(diǎn)，且是正常使用，測試覆蓋率往往只能達(dá)到20%左右。而對于非用戶方和非開發(fā)方的第三方測試者來說，需要盡可能多的發(fā)現(xiàn)和使用軟件的全部功能，對需求文檔中的功能性需求逐項(xiàng)進(jìn)行測試，要求輸入值覆蓋正常值的等價(jià)類、非正常值的等價(jià)類和邊界值。因此，測試者不但要深入了解審計(jì)信息平臺的各項(xiàng)功能用法和目的，還要熟悉審計(jì)業(yè)務(wù)流程。 根據(jù)審計(jì)信息平臺系統(tǒng)功能特點(diǎn)，本系統(tǒng)分為綜合管理模塊、審計(jì)模塊、內(nèi)控制度管理模塊和信訪舉報(bào)模塊四部分。根據(jù)該軟件需求規(guī)格說明書，為了保證測試的充分性，經(jīng)過分析共有

9、功能性需求27項(xiàng)。其中，審計(jì)模塊為該系統(tǒng)的核心功能，在加強(qiáng)反腐敗治理工作的今天，審計(jì)業(yè)務(wù)流程更為復(fù)雜、重要。審計(jì)管理主要包括審計(jì)項(xiàng)目管理、審計(jì)作業(yè)管理、審計(jì)治理管理、基礎(chǔ)數(shù)據(jù)和統(tǒng)計(jì)報(bào)告五個功能。由此設(shè)計(jì)的測試項(xiàng)共16個，包括審計(jì)計(jì)劃、項(xiàng)目歸檔、項(xiàng)目啟動、人員考核、審前調(diào)查等。 4.2 效率性測試 效率性測試也就是我們平常所說的性能測試。性能測試的目的主要是獲取審計(jì)信息平臺在不同壓力下系統(tǒng)的性能數(shù)據(jù)，尋找系統(tǒng)的瓶頸點(diǎn)；驗(yàn)證審計(jì)信息平臺在30并發(fā)用戶下系統(tǒng)的性能表現(xiàn)。在測試之前需要進(jìn)行需求訪談，根據(jù)訪談結(jié)果制定測試計(jì)劃和測試方案。根據(jù)用戶提供系統(tǒng)交易量占比最高的前10個功能、業(yè)務(wù)邏輯比較復(fù)雜的功能

10、，設(shè)定測試場景。例如：用戶登錄響應(yīng)情況，大小附件上傳下載，審批業(yè)務(wù)流程，以及上述場景的混合場景，混合場景的測試更能模擬系統(tǒng)在實(shí)際使用時(shí)的情景。測試時(shí)的環(huán)境也是至關(guān)重要的，測試環(huán)境要求與生產(chǎn)環(huán)境一致，否則測試結(jié)果就失去意義。因此需要在系統(tǒng)開發(fā)完畢，功能測試之后系統(tǒng)上線之前，在生產(chǎn)系統(tǒng)進(jìn)行測試，且測試時(shí)測試系統(tǒng)需要與其他系統(tǒng)隔離，避免對其他系統(tǒng)造成影響。 4.3 安全性測試 企業(yè)的生產(chǎn)運(yùn)行活動越來越離不開網(wǎng)絡(luò)，很多重要的信息資料都在網(wǎng)絡(luò)上傳輸，由此安全問題也越來越得到人們關(guān)注。不論是為了設(shè)計(jì)，還是為了實(shí)現(xiàn)所產(chǎn)生的安全漏洞，對于用戶來講都是無法容忍的。在審計(jì)信息平臺系統(tǒng)上線前，對其進(jìn)行安全測試是十分

11、必要的。采取的測試安全測試方法主要有兩種：利用fortify進(jìn)行靜態(tài)的代碼安全掃描，找出底層代碼中存在的安全漏洞；利用appscan進(jìn)行動態(tài)滲透測試，這種方法是利用自動化測試工具模擬黑客入侵，從而找到系統(tǒng)在運(yùn)行時(shí)會出現(xiàn)的安全漏洞，找出的問題真實(shí)有效。 4.4 兼容性測試 目前大多數(shù)辦公軟件都不需要安裝，通過瀏覽器使用。審計(jì)信息平臺用戶只需在瀏覽器輸入系統(tǒng)地址可直接登陸系統(tǒng)。因此對該系統(tǒng)的兼容性測試需測試：操作系統(tǒng)的兼容性和瀏覽器的兼容性。 操作系統(tǒng)的兼容性主要是測試windows平臺和linux平臺。瀏覽器的兼容性主要是測試ie瀏覽器、火狐瀏覽器、谷歌瀏覽器。一般在測試時(shí)，在不同平臺和瀏覽器上，首先系統(tǒng)功能能夠正常使用，其次界面和操作應(yīng)基本相同。 4.5 易用性測試 審計(jì)信息平臺作為審計(jì)監(jiān)察部日常的辦公軟件，其易用性是不可忽視的。用戶之前習(xí)慣使用監(jiān)察管理系統(tǒng)、風(fēng)險(xiǎn)管理系統(tǒng)和內(nèi)審作業(yè)管理系統(tǒng)。整合、統(tǒng)一后的審計(jì)信息平臺應(yīng)該符合用戶已經(jīng)形成的使用習(xí)慣。同時(shí)是否滿足相關(guān)文檔如軟件需求規(guī)格說明書中規(guī)定的易用性要求，符合一般軟件操作的隱含易用性要求也是需要測試的。在測試中從用戶的角度出發(fā)，考查人機(jī)交換界面的設(shè)計(jì)，以非常規(guī)操作、誤操作、快速操作來檢驗(yàn)人機(jī)界面的健壯性。 參考文獻(xiàn) 1王峰，鄭彥興，包陽.軟件第三方測評j.計(jì)算機(jī)研究與發(fā)展，2008（45）：345-350. 2古樂，