检测项目
首页加载时间、关键业务响应时间、单用户事务处理时长、高并发用户事务处理时长、系统吞吐量(TPS/QPS)、服务器CPU利用率峰值、服务器内存占用峰值、网络带宽占用率、数据库连接池利用率、SQL查询执行效率、API接口响应时间、API接口错误率、SSL/TLS握手时间、页面渲染性能(FCP/LCP)、用户交互响应延迟(FID)、页面稳定性(CLS)、跨浏览器兼容性(HTML5/CSS3/JS)、移动端适配性(不同分辨率/OS)、辅助功能(WCAG)符合度、表单提交成功率、文件上传下载速率及稳定性、单点登录(SSO)效率与可靠性、搜索功能响应时间与准确率、数据加密传输有效性(TLS1.2+)、敏感信息泄露风险(HTTP头/源码/错误信息)、SQL注入漏洞检测、跨站脚本攻击(XSS)防护能力、跨站请求伪造(CSRF)防护机制验证、身份认证与授权逻辑强度测试、会话管理安全性(超时/固定)、日志审计完整性及合规性检测范围
省级政务服务网门户平台、市级“一网通办”业务系统、“互联网+监管”平台接口服务区、社会保障公共服务在线申报子系统、企业开办全程电子化登记平台移动端应用(Android/iOS)、不动产登记线上统一受理系统数据库集群节点、“跨省通办”数据交换中间件服务实例、“好差评”系统评价数据采集接口模块、“12345”热线智能知识库检索引擎前端页面组件、“一件事一次办”主题集成服务流程引擎配置单元、“赣服通”/“浙里办”等省级APP核心服务模块、“粤省事”小程序公积金查询功能点、“随申办”市民云医疗健康预约挂号服务链、“天府通办”电子证照签发验证服务接口、“鄂汇办”交通违法缴罚支付网关对接模块、“辽事通”核酸检测结果查询缓存服务器集群节点、“津心办”老年人关怀版界面交互组件库、“北京通”预约挂号系统号源同步中间件、“上海一网通办”国际版多语言资源包加载单元、“重庆市政府”APP政策推送智能匹配算法模块、“苏服码”身份认证中心加密传输通道样本检测方法
1.**性能压力测试**:采用LoadRunner/JMeter/Gatling等工具模拟多地域真实用户行为模型,执行梯度加压测试(从基准负载至峰值负载),记录系统在50/100/500/1000并发用户下的响应时间曲线及资源消耗数据。通过分布式压力机集群模拟跨地域访问延迟。2.**前端性能审计**:使用Lighthouse/WebPageTest进行自动化页面性能评分,采集首次内容渲染时间(FCP)、最大内容绘制(LCP)、累积布局偏移(CLS)等WebVitals核心指标;利用ChromeDevTools进行手动深度性能剖析。3.**安全渗透测试**:依据OWASPTop10标准,采用BurpSuite/Acunetix/Nessus执行黑盒扫描与白盒审计。重点验证SQL注入(使用Boolean-based/Time-based盲注技术)、存储型/反射型XSS攻击向量防护有效性;CSRFToken校验机制健壮性;JWT令牌安全配置合规性。4.**兼容性验证矩阵**:基于BrowserStack/SauceLabs云平台构建多维度测试矩阵(涵盖Chrome/Firefox/Safari/Edge主流版本;Android8+/iOS13+移动端;IE11兼容模式),执行UI渲染一致性检查及核心功能可用性验证。5.**无障碍合规检测**:运用axe-core/WAVE工具进行自动化WCAG2.1AA级规则扫描(如色彩对比度≥4.5:1、ARIA属性正确标注),辅以屏幕阅读器(NVDA/JAWS)人工操作验证焦点逻辑与朗读准确性。6.**API接口健壮性测试**:通过Postman/SoapUI构建接口测试集,实施边界值分析(异常参数格式/超大报文)、错误码覆盖测试(4xx/5xx)、依赖服务故障模拟(熔断降级验证)。7.**数据一致性校验**:开发专用数据探针对比业务操作前后台数据库记录一致性;验证分布式事务最终一致性保障机制;检查敏感数据存储加密状态(AES-256)及脱敏展示合规性。8.**高可用性验证**:采用ChaosEngineering方法注入故障(如强制重启服务节点、模拟网络分区),观测集群自愈时间及服务降级策略执行有效性。检测标准
GB/T22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》
GB/T37694-2019《信息技术政府门户网站网页无障碍技术要求》
GB/T38674-2020《信息安全技术应用软件安全编程指南》
GB/T39788-2021《政务服务“一网通办”能力评估指标》
GM/T0054-2018《信息系统密码应用基本要求》
JR/T0167-2020《移动金融客户端应用软件安全管理规范》
DB31/T1291-2021《“一网通办”电子政务服务平台接入规范》(上海地标)
DB44/T2266-2020《数字政府政务服务“好差评”评价工作指引》(广东地标)
ISO/IEC25010:2011《Systemsandsoftwareengineering—SystemsandsoftwareQualityRequirementsandEvaluation(SQuaRE)—Systemandsoftwarequalitymodels》检测仪器
1.**负载测试平台**:MicroFocusLoadRunnerEnterprise支持百万级虚拟用户模拟,集成HPSitescope实时资源监控模块;ApacheJMeter分布式集群配合InfluxDB+Grafana构建实时压测数据可视化看板。2.**应用性能管理(APM)**:Dynatrace全栈式监控套件实现代码级事务追踪(Code-levelTransactionTracing),自动发现服务依赖拓扑图;AppDynamics提供基于业务事务(BusinessTransaction)的性能基线分析。3.**网络安全扫描仪**:QualysWAS云平台执行动态应用安全扫描(DAST),支持OWASPASVS深度验证;FortifyWebInspect实施交互式应用安全测试(IAST),结合运行时插桩技术定位漏洞代码位置。4.**协议分析设备**:KeysightNethawk网络协议分析仪捕获HTTP/HTTPS全量报文流,支持TLS1.3协议解密分析;Wireshark配合TShark命令行工具进行长时抓包及离线流量分析。5.**终端兼容性矩阵**:BrowserStackLive云测试平台提供3000+真实设备浏览器组合环境;SauceLabsExtendedDebugging功能支持自动化测试失败场景的视频录制及日志回溯。6.**无障碍评估工具**:DequeaxeDevToolsPro浏览器插件执行自动化WCAG扫描;JAWS屏幕阅读器配合FreedomScientificPACMate盲文显示器进行辅助设备兼容性实测。7.**数据库性能探针**:SolarWindsDatabasePerformanceAnalyzer监控SQLServer/Oracle查询执行计划;pt-query-digest解析MySQL慢查询日志定位性能瓶颈。8.**混沌工程平台**:Gremlin故障注入平台实现精准服务中断模拟(如CPU过载/内存耗尽);ChaosMesh对Kubernetes集群实施Pod故障/网络延迟攻击。
