DoCare麻醉临床信息系统V50-安全测试总结报告.doc

苏州麦迪斯顿医疗科技有限公司 Suzhou MedicalSystem Technology Co., Ltd. 扬州市第一人民医院 DoCare麻醉临床信息系统 安全测试总结报告 修订一览表 权责单位 EPG 立案者 徐智渊 项次 修订日期 版次 页次 修 订 内 容 摘 要 修订 审核 核准 1 2011-4-16 1.0 5 新建立 2 2014-4-25 1.4 5 创建DoCare麻醉临床信息系统功能测试总结报告 徐杰 赵志成 目录 1 项目说明 4 2 术语定义 4 3 测试依据 4 4 人员及进度 4 5 测试概要 4 5.1 测试环境 4 5.2 测试用例 4 5.3 测试方法 4 6 覆盖分析 4 6.1 需求覆盖 4 6.2 测试覆盖 5 7 缺陷统计 5 7.1 缺陷汇总 5 7.2 缺陷分析 5 7.3 遗留缺陷 5 8 测试结论与建议 5 8.1 测试结论 5 8.2 测试建议 5 9 评审意见 6 项目说明 测试对象：DoCare麻醉临床信息系统； 测试范围包括：系统级安全，数据存储安全和系统流程安全等。 术语定义 DoCare：系统名称前缀 HIS：医院信息系统 测试依据 本次测试依据的相关项目文档： 《系统需求规格说明书》 《详细设计说明书》 《安全设计方案》 通用标准: 测试用例执行率达到100%，没有遗留的“非常严重”和“严重”类型 葛晓凤 2013-10-06 2013-10-15 完成测试报告 徐杰 2013-10-15 2013-10-15 测试概要 测试环境 客户端： 硬件环境 CPU INTEL-CORE i3-2310M 2.1G RAM 4G HD 500G 网络环境 局域网交换机 软件环境 OS windows7 专业版 文档编辑 WPS DB oracle10g 系统组件 IIS 6.0/IIS8.0 系统组件 .Net Framework 软件开发 PLSQL 服务器端： 硬件环境 CPU 1GHz 32位或64位处理器 RAM 2G HD 500G 网络环境 网卡1张 软件环境 OS Windows2008server DB oracle10g 软件开发 PLSQL 测试用例 参考DoCare麻醉临床信息系统测试用例 用例内容举例： 系统级别安全性，架构是否安全； DoCare麻醉临床信息系统采用三层构架的设计模式，对于系统数据的传输均采用专门的加密方式。三层架构的最大优点是它的安全性，用户端只能通过逻辑层来访问数据层，减少了入口点，用户通过逻辑层访问数据时需要相应的访问权限，同时所有数据采用密文传输，一些本地配置信息尤其是敏感的数据库配置均通过密文加密。 访问控制是否有安全设计； DoCare麻醉临床信息系统采用多级权限管理，用户、角色、权限严格区分。所有系统用户访问控制需要严格授权，访问过程中账户密码采用加密方式存储在数据库中，再加上医院网络具有内外分隔的特性，增加了系统的访问安全性。 系统功能和流程是否后安全设计； DoCare麻醉临床信息系统的业务场景为手术室，手术室的业务流程有严格的质量控制要求。譬如手术时间流程控制，麻醉质控，麻醉交接班的检查，具体有麻醉药及处方交接班，手术交接班，值班交接班，麻醉术前会诊，麻醉记录单的规范化书写,繁琐麻醉质量的检查。 数据质量上，DoCare麻醉临床信息系统增加了规范化字典，严格控制用户输入， 为麻醉系统后期科研分析提供基础。同时系统提供完整的数据安全管理措施，提供数据库级安全保障，通过登录和连接数据的分离，保障数据库端数据安全，并需要对用户信息加密处理。需提供集中的用户及权限管理程序，通过系统管理员为用户授权，不同权限管理不同的内容。提供用户分组、权限角色组管理机制，简化用户授权。 系统程序是否存在源代码泄露； DoCare麻醉临床信息系统发送到现场的系统版本是经过混淆器等处理过的，程序进行重新组织和处理，使得处理后的代码与处理前代码完成相同的功能，而混淆后的代码很难被反编译，即使反编译成功也很难得出程序的真正语义。被混淆过的程序代码，仍然遵照原来的档案格式和指令集，执行结果也与混淆前一样，只是混淆器将代码中的所有变量、函数、类的名称变为简短的英文字母代号，在缺乏相应的函数名和程序注释的况下，即使被反编译，也将难