苏州麦迪斯顿医疗科技有限公司
Suzhou MedicalSystem Technology Co., Ltd.
扬州市第一人民医院
DoCare麻醉临床信息系统
安全测试总结报告
本资料为苏州麦迪斯顿医疗科技有限公司之财产，非经书面许可，不准透露或使用本数据，亦不准翻印、复印或转变成任何其它形式使用。

The information is the property of MDSD. Use reproduction, copying, transfer and disclosure to others are strictly prohibited except by written permission of MDSD.
本资料为苏州麦迪斯顿医疗科技有限公司之财产，非经书面许可，不准透露或使用本数据，亦不准翻印、复印或转变成任何其它形式使用。

The information is the property of MDSD. Use reproduction, copying, transfer and disclosure to others are strictly prohibited except by written permission of MDSD.
文件修撰者：徐杰
修撰日期：2014/04/25 第 1.0 版 页次：2 总页数：5
修订一览表
权责单位
EPG
立案者 徐智渊 项次 修订日期 版次 页次 修 订 内 容 摘 要
修订 审核 核准 1 2011-4-16 1.0 5 新建立
2 2014-4-25 1.4 5 创建DoCare 麻醉临床信息系统功能
测试总结报告
徐杰 赵志成
目录
1 项目说明 (4)
2 术语定义 (4)
3 测试依据 (4)
4 人员及进度 (4)
5 测试概要 (4)
5.1测试环境 (4)
5.2测试用例 (5)
5.3测试方法 (6)
6 覆盖分析 (6)
6.1需求覆盖 (6)
6.2测试覆盖 (6)
7 缺陷统计 (6)
7.1缺陷汇总 (6)
7.2缺陷分析 (7)
7.3遗留缺陷 (7)
8 测试结论与建议 (7)
8.1测试结论 (7)
8.2测试建议 (7)
9 评审意见 (7)
1项目说明
测试对象：DoCare麻醉临床信息系统；
测试范围包括：系统级安全，数据存储安全和系统流程安全等。

2术语定义
DoCare：系统名称前缀
HIS：医院信息系统
3测试依据
本次测试依据的相关项目文档：
《系统需求规格说明书》
《详细设计说明书》
《安全设计方案》
通用标准:
测试用例执行率达到100%，没有遗留的“非常严重”和“严重”类型的缺陷本阶段所有输出项都已经输出。

按照客户要求，系统正式使用一般等级缺陷不超过5个。

4人员及进度
活动人员开始时间结束时间制定计划徐杰2013-09-25 2013-09-25 测试环境葛晓凤2013-09-28 2013-10-01 设计测试用例葛晓凤2013-10-02 2013-10-02 执行测试葛晓凤2013-10-06 2013-10-15 完成测试报告徐杰2013-10-15 2013-10-15 5测试概要
5.1测试环境
客户端：
硬件环境CPU INTEL-CORE i3-2310M 2.1G RAM 4G
HD 500G
网络环境局域网交换机
软件环境OS windows7 专业版文档编辑WPS
DB oracle10g
系统组件IIS 6.0/IIS8.0 系统组件.Net Framework 软件开发PLSQL
服务器端：
硬件环境CPU 1GHz 32位或64位处理器RAM 2G
HD 500G
网络环境网卡1张
软件环境OS Windows2008server DB oracle10g
软件开发PLSQL
5.2测试用例
参考DoCare麻醉临床信息系统测试用例
用例内容举例：
1.系统级别安全性，架构是否安全；
D oCare麻醉临床信息系统采用三层构架的设计模式，对于系统数据的传输均采用专门的加密方式。

三层架构的最大优点是它的安全性，用户端只能通过逻辑层来访问数据层，减少了入口点，用户通过逻辑层访问数据时需要相应的访问权限，同时所有数据采用密文传输，一些本地配置信息尤其是敏感的数据库配置均通过密文加密。

2.访问控制是否有安全设计；
DoCare麻醉临床信息系统采用多级权限管理，用户、角色、权限严格区分。

所有系统用户访问控制需要严格授权，访问过程中账户密码采用加密方式存储在数据库中，再加上医院网络具有内外分隔的特性，增加了系统的访问安全性。

3.系统功能和流程是否后安全设计；
DoCare麻醉临床信息系统的业务场景为手术室，手术室的业务流程有严格的质量控制要求。

譬如手术时间流程控制，麻醉质控，麻醉交接班的检查，具体有麻醉药及处方交接班，手术交接班，值班交接班，麻醉术前会诊，麻醉记录单的规范化书写,繁琐麻醉质量的检查。

数据质量上，DoCare麻醉临床信息系统增加了规范化字典，严格控制用户输入，为麻醉系统后期科研分析提供基础。

同时系统提供完整的数据安全管理措施，提供数据库级安全保障，通过登录和连接数据的分离，保障数据库端数据安全，并需要对用户信息加密处理。

需
提供集中的用户及权限管理程序，通过系统管理员为用户授权，不同权限管理不同的内容。

提供用户分组、权限角色组管理机制，简化用户授权。

4.系统程序是否存在源代码泄露；
DoCare麻醉临床信息系统发送到现场的系统版本是经过混淆器等处理过的，程序进行重新组织和处理，使得处理后的代码与处理前代码完成相同的功能，而混淆后的代码很难被反编译，即使反编译成功也很难得出程序的真正语义。

被混淆过的程序代码，仍然遵照原来的档案格式和指令集，执行结果也与混淆前一样，只是混淆器将代码中的所有变量、函数、类的名称变为简短的英文字母代号，在缺乏相应的函数名和程序注释的况下，即使被反编译，也将难以阅读。

同时混淆是不可逆的，在混淆的过程中一些不影响正常运行的信息将永久丢失，这些信息的丢失使程序变得更加难以理解。

5.数据是否可有备份和恢复机制；
对存储的数据，有冗余保护措施，保证用户数据的随时可提取性，对于容错及冗余都有相应的安全保护机制。

5.3测试方法
测试中采用的方法主要是黑盒测试，测试的重点是按照系统安全设计中的要求，采用的测试模式是手动执行测试用例，并整理缺陷。

6覆盖分析
6.1需求覆盖
需求覆盖率是指经过测试的需求/功能和需求规格说明书中所有需求/功能的比值，通常情需求/功能测试类型是否通过备注
100% 性能测试是
6.2测试覆盖
覆盖率用例个数执行总数未执行未/漏测分析和原因
100% 2303 2303 无无
7缺陷统计
7.1缺陷汇总
按缺陷严重程度
非常严重严重一般微小优化建议
0 0 0 0 0 7.2缺陷分析
缺陷编号简要描述分析结果备注无无无无
7.3遗留缺陷
缺陷编号简要描述测试结果与预
期结果偏差
分析原因预防改进措施
无无无无无
8测试结论与建议
8.1测试结论
1.测试执行充分，包括系统级安全性、数据存储安全性和系统流程安全性描述的全面测试；
2.按照系统实际工作环境的经验，给出了相应的改进性建议；
3.测试目标已完成；
4.测试已通过；
5.可以进入下一阶段项目目标。

8.2测试建议
1.系统登录用户需要经常更换登录密码并妥善保管；
2.密码需要一定的健壮性，建议使用组合型密码，如特殊符号+字母+数字；
3.离开系统时请使用锁定系统功能或关闭系统；
4.系统平台安装正版的操作系统杀毒软件，并自动更新；
5.产品设计可尽量考虑到使用者实际的工作环境情况。

9评审意见:
符合安全测试要求，审核通过。

审核人签名日期
项目经理赵志成2013/10/25。