毕业论文等级保护集成管理系统.docx
《毕业论文等级保护集成管理系统.docx》由会员分享,可在线阅读,更多相关《毕业论文等级保护集成管理系统.docx(57页珍藏版)》请在冰点文库上搜索。
毕业论文等级保护集成管理系统
毕业设计(论文)
题目名称:
等级保护集成管理系统
院系名称:
计算机学院
班级:
学号:
学生姓名:
指导教师:
2013年5月
论文编号:
等级保护集成管理系统
Classifiedprotectionintegratedmanagementsystem
院系名称:
计算机学院
班级:
学号:
学生姓名:
指导教师:
2013年5月
摘要
随着信息技术的高速发展和网络应用的迅速普及,整个社会对信息系统的依赖日益加深,面临的信息安全风险也与日俱增。
实施信息系统安全等级保护,能够有效地提高本人国信息系统安全建设的整体水平。
信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是本人国多年来信息安全工作经验的总结。
开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
本文中所涉及的基于Web的等级保护安全测评集成系统的设计与实现,主要就是从信息安全的等级保护安全测评的国内外形势出发,分析了现阶段国内外对于电子政务安全测评、等级保护的研究现状,特别是对等级保护在电子政务中安全测评的现状分析,提出了用Web的形式来实现电子政务的推广,并分析了其缺点,同时提出了改进的方案,完成了系统的测试与运行及总结。
关键词:
信息系统;信息系统安全;等级保护;等级保护测评
Abstract
Withtherapiddevelopmentofinformationtechnologyandtherapidpopularizationofnetworkapplications,theentiresociety'sdependenceoninformationsystemsdeepening,facingincreasinginformationsecurityrisks.Implementationofinformationsystemsecuritylevelofprotection,canimprovetheconstructionofinformationsystemsecurityasawhole.Levelofprotectionofinformationsecurityintoday'sdevelopedcountriestoprotectcriticalinformationinfrastructure,informationsecurityofthecommonpractice,butalsoacountrythathasinformationsecurityexperience.Levelofinformationsecurityprotectiontosafeguardcriticalinformationsystemsisnotonlyanimportantsafetymeasures,butalsoamatterofnationalsecurity,socialstability,nationalinterestsofthemission.
InvolvedinthislevelofprotectionofWeb-basedsecurityevaluationandimplementationofintegratedsystemdesign,informationsecurityismainlythelevelofprotectionfromthesafetyevaluationofdomesticandinternationalsituation,analyzesthecurrentdomesticandinternationalsecurityfore-governmentevaluation,gradeprotectionResearch,especiallythelevelofprotectionine-governmentstatusintheSecurityAssessmentanalysis,theuseofWeb-formtoachievethepromotionofe-government,andanalyzesitsshortcomings,andproposedtoimprovetheprogram,completedthetestingofthesystemandOperationandsummary.
Keywords:
Informationsystem;Informationsystemsecurity;Classifiedprotection;Gradingprotectionevaluation
第1章引言
1.1研究背景和意义
人类社会正迅速步入信息社会,信息化浪潮席卷全球,己经成为不可抗拒的时代潮流,信息社会正改变着世界的方方面面,国家安全也不例外。
在信息时代,信息已成为一个国家最重要、最基础的“战略资源”是国家社会发展的“核心要素”。
信息安全对国家安全产生了重要影响,成为国家安全的最突出、最核心的问题。
在信息网络时代,一个国家在信息匾乏、信息流失和信息不安全的状况下,国家安全就没有保障。
信息安全问题是传统社会中没有的“新问题”[2],大家应站在全球战略的高度研究信息安全问题。
本人国的信息化已进入以电子政务、电子商务、新闻文化传播、教育娱乐应用、多媒体个人通信和金融、电力等的信息网络化应用为主导的发展阶段.目前,这些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多;系统面临着各种性质的安全威胁,包括间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工等等;安全保障要求的内容极为广泛,从物理安全、网络安全、系统安全、应用安全、数据安全一直到安全管理、安全组织建设等等;不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。
凡是涉及到影响正常运行和业务连续性的都是信息安全问题。
信息安全等级保护,是根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
如何通过等级保护测评,最大限度使组织结构预知存在的安全隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,已经成为当前本人国信息安全工作的重点。
测评准备活动是等级测评工作的前提和基础,是整个等级测评过程有效性的保证,测评准备工作是否充分直接关系到后续工作能否顺利开展,为编制测评方案做好准备;而方案编制活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
由此可见,等级保护测评工作对于加强国信息安全的重要意思,做好测评准备活动和方案编制活动,显得尤为重要。
1.2国内外研究现状
自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。
回顾本人国的等级保护工作,可以看到:
1、定级保护的定级备案工作成效显著。
全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。
通过定级备案工作的开展,掌握了关系国计民生重要信息系统的基本情况,为落实信息安全等级保护制度、推动国家信息安全保障共组东阿审图开展奠定了坚实的基础。
2、各种政策标准体系日趋完善。
详细信息参考下表1-1所示:
表1-1有关等级保护政策标准体系完善表
时间
名称
目标
1994
国务院147号令
需要实施分等级保护
2003
中发办27号文件
需抓紧简历等级保护制度
2004
公通字66号文件
明确等保原则、内容、要求,等保工作的部门分工、实施计划
2007.6
公通字43号文件
规定实施、管理细节,加快推进步伐
2007.7
公信安861号文件
确定定级范围,给出定级工作的主要内容和要求
2007
公信安[2007]1360号
为定级备案工作提供了有力的规范
2007
公信安[2007]736号
2008
发改高技[2008]2071号
加强和规范国家电子政务工程建设项目信息安全风险评估
2008
公信安[2008]736号
严格规范公安机关信息安全等级保护检查工作,实现检查工作的规范化、制度化
2009
公信安[2009]1429号
确定了开展信息安全等级保护安全建设整改工作的指导意见
2009
公信安[2009]1487号
确定了信息系统安全等级测评报告模版(试行)
2010
公信安[2010]303号
在全国部署开展信息安全等级保护测评体系建设和等级测评工作
信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作,为保障全面实施信息安全等级保护制度,必须建立信息安全等级保护标准体系。
经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力,多年攻关,目前,已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。
国外从20世纪80年代以来,一直在进行可信安全产品的等级评估准则的研究,其中比较著名的包括美国国防部提出的可信计算机系统安全评价准则(TESEC)、欧洲四国(英、法、德、荷)的信息技术安全评价准则(ITSEC)和国际合作的信息技术安全评价通用准则(CC)。
美国TCSEC(桔皮书)是计算机系统安全评估的第一个正式标准,具有划时代的意义。
TCSEC分为4个方面:
安全政策、可说明性、安全保障和文档。
该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级。
欧洲ITSEC与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。
TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。
ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。
ITSEC预定义了10种功能,其中前5种与桔皮书中的C1~B3级相似。
CC是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。
1999年10月CCv2.1版发布,并且成为ISO标准。
CC的主要思想和框架部分取自ITSEC,并充分突出了“保护轮廓”概念。
CC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共7个等级。
每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估[2]。
对于等级保护系统集成化方面的研究,目前还没有真正的做到系统集成化,等级保护测评过程中涉及到很多实体,例如被测系统的基本信息,测评机构选取测评对象,等级保护的基本要求,测评过程中需要的各种信息。
现阶段对其中实体的关系分析和测评对象与测评指标的关联关系的研究还不广泛,还缺少这方面系统数据库的建立。
另外,等级保护系统集成化设计与实现是为了实现信息系统安全等级保护测评工作的自动化,让测评人员从繁重的手工作业解脱出来,提高等级保护测评工作效率。
但是由于测评过程中需要与被测单位部门进行沟通,需要他们提供数据和资料,各部门的协调也会耗费一部分时间。
1.3研究内容和目标
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:
一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评分为安全技术测评和安全管理测评两大类。
安全技术测评包括:
物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
等级测评过程分为四个基本测评活动:
测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
信息系统安全等级保护测评包括测评指标、指标要求项、测评对象、测评实施之间的关系分析,测评对象确定的方法的分析,测评结果判定的分析,等级测评结论形成的分析。
等级保护集成系统是以网站的可视化、透明化、人性化形式展示等级保护安全测评的一种实现全自动或半自动化的方便用户使用的应用系统,本人研究的目标是按照信息系统安全等级保护测评过程的要求,为网站管理员、测评机构、委托单位、专家、审核人员等分别为他们提供相应的服务项目,实现信息系统安全等级保护测评的高效性、公正性和自动性,为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
1.4论文的组织结构
第一部分是摘要及其译文:
摘要部分是对信息安全等级保护和本论文涉及的基于等级保护集成系统设计与实现做了简单介绍和概括。
第二部分是论文目录及其章节内容。
各章组织如下:
第1章引言。
论述基于等级保护集成系统设计与实现的研究内容、意义、国内外的研究现状、等级保护测评、以及研究的内容和目标等。
第2章系统的需求分析。
主要介绍的是测评准备子系统所涉及到的基本术语或定义,分析了测评准备子系统的工作流程,对测评准备子系统的数据抽象描述,阐述了其实现技术。
第3章方案编制子系统设计与实现。
主要介绍的是方案编制子系统所涉及到的基本术语或定义,分析了方案编制子系统的工作流程,对方案编制子系统的数据抽象描述,阐述了其实现技术。
第4章系统运行与测试。
分析测试用例的编写,介绍测试步骤,分析测试结果。
第5章总结。
对以上四部分的总结,并做了进一步的工作安排。
第三部分是致谢、参考文献、附录。
它是对系统和本论文的补充说明。
1.5小结
本章主要论述了基于等级保护集成系统的研究背景和意义,阐述了信息安全等级保护的国内外研究现状,介绍了等级保护测评的相关概念,论述了本文的研究内容和目标。
第2章系统的需求分析
2.1被测单位概念和定义
1、被测单位
被测单位是向测评方申请测评的个人,单位和企业机关等机构。
2、被测系统
被测单位申请测评的系统。
3、申请资料
被测单位申请测评所需要提交的资料,这些资料由测评方提供固定格式,再由被测单位填写提交,被测单位必须按照要求,规范填写所有被要求的测评资料。
2.2被测单位申请测评阶段
被测单位申请测评,包括:
被测单位注册帐号,登录系统,查看公告,规范填写所有测评资料。
如图2-1所示为申请资料流程图:
图2-1申请资料工作流程图
(1)提交申请资料,具体任务内容见下表2-1所示:
表2-1提交申请任务内容
名称
解释/描述
项目启动
提交申请资料
输入
规范填写各个申请资料表格
任务描述
填写申请资料表格:
委托协议书,被测系统情况,用例拓扑图,对外服务,系统承载的业务,网络结构,机房情况,网络边界,网络设备,安全设备,服务器设备,终端设备,系统软件,应用软件,业务数据,数据备份,业务数据流图,安全相关人员。
输出/产品
申请资料列表
申请资料填写涉及到大量表,现列举部分表如下:
表2-2用户注册信息表Sys_user详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
密码
password
nvarchar(15)
是
真实姓名
name
nvarchar(20)
是
工作单位
unit
nvarchar(50)
是
地址
address
nvarchar(100)
是
联系电话
phone
nvarchar(20)
是
邮箱
email
nvarchar(50)
是
表2-3被评估系统基本情况表Info_System详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
被测信息系统的名称
system
nvarchar(50)
是
系统正式上线时间
time
datetime
是
系统状态
state
nvarchar(20)
是
安全保护等级
splevel
nvarchar(20)
是
承载的主要业务
industry
nvarchar(200)
是
业务子系统个数
subnumber
nvarchar(10)
是
信息系统所属类型
type
nvarchar(300)
是
系统业务类型
businesstype
nvarchar(100)
是
系统业务依赖程度
reliance
nvarchar(100)
是
信息系统服务范围
servicescope
nvarchar(50)
是
跨省域个数
number
nvarchar(10)
是
网络类型
nettype
nvarchar(500)
是
是否涉密
confidential
nvarchar(10)
是
表2-4系统网络拓扑图表Info_Topology详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
拓扑图
imgname
nvarchar(100)
是
保存路径
imgurl
nvarchar(200)
是
表2-5系统对外服务IP地址及服务表Info_Serviceip详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
服务
service
nvarchar(500)
是
IP地址
ipaddress
nvarchar(50)
是
域名
domain
nvarchar(50)
是
表2-6信息系统承载业务表Info_Business详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
业务名称
name
nvarchar(50)
是
业务描述
describe
nvarchar(200)
是
业务处理信息类别
type
nvarchar(100)
是
用户数量
usernumber
nvarchar(50)
是
用户分布范围
distribution
nvarchar(10)
是
涉及的应用系统软件
appsoftware
nvarchar(200)
是
是否24小时运行
operation
nvarchar(10)
是
是否可以脱离系统完成
complete
nvarchar(10)
是
重要程度
importantdegree
nvarchar(20)
是
表2-7信息系统网络结构表Info_Netstructure详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
网络区域名称
netareaname
nvarchar(50)
是
主要业务和信息描述
description
nvarchar(200)
是
IP网段地址
ipaddress
nvarchar(50)
是
服务器数量
number1
nvarchar(10)
是
终端数量
number2
nvarchar(10)
是
与其连接的其它网络区域
otherarea
nvarchar(500)
是
网络区域边界设备
boundaryeq
nvarchar(500)
是
重要程度
importantdegree
nvarchar(10)
是
责任部门
department
nvarchar(200)
是
备注
note
nvarchar(1000)
是
2.2.4申请测评阶段需求分析
1、申请测评阶段的目的
申请测评阶段的目的是查看测评方发布的最新公告,为被测系统提交申请资料,这是被测单位最主要的工作。
如图2-2所示为申请测评阶段的用例图:
图2-2申请测评阶段的用例图
2.3测评单位概念和定义
1、被测单位
被测单位是向测评方申请测评的个人,单位和企业机关等机构。
2、被测系统
被测单位申请测评的系统。
3、申请资料
被测单位申请测评所需要提交的资料,这些资料由测评方提供固定格式,再由被测单位填写提交,被测单位必须按照要求,规范填写所有被要求的测评资料。
2.4被测单位申请测评工作流程
测评单位进行测评审核,包括:
测评方登录系统,发布并管理公告,查看被测单位提交的申请资料,进行测评审核。
如表3-5所示为测评方审核的工作流程:
图2-3测评方审核的工作流程见图
(1)管理公告,具体任务内容见下表
表2-8项目启动具体任务内容
名称
解释/描述
项目启动
管理公告模块
输入
点击“发布”按钮,发布新公告
任务描述
1.发布新公告。
点击“发布公告”按钮,进入发布公告界面,编辑公告内容,发布新公告。
2.
3.管理新公告。
查看公告列表,每条记录后面都有一个“更多”按钮,点击后出现操作下拉列表,这里可以进行“查看”和“删除”操作。
输出/产品
与测评方关联的数据库主要有:
审核资料方面数据库表和管理公告方面的数据库表。
现列举部分数据库表如下:
表2-9项目计划书信息表user_Projectplan详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
项目概述
overview
nvarchar(MAX)
是
工作依据
basis
nvarchar(MAX)
是
技术思路
ideas
nvarchar(MAX)
是
工作内容
contents
nvarchar(MAX)
是
项目组织
organization
nvarchar(MAX)
是
其他
other
nvarchar(MAX)
是
表2-10测评工具表user_toolForm详细设计表
说明
列名
数据类型
允许空
用户名
username
nvarchar(20)
否
漏洞扫描工具
tools1
nvarchar(600)
是
渗透性测试工具
tools2
nvarchar(600)
是
性能测试工具
tools3
nvarchar(600)
是
协议分析工具
tools4
nvarchar(600)
是
网络拓扑发现工具
tools5
nvarchar(600)
是
非法外联检测设备
tools6
nvarchar(600)
是
其他
o
升级会员 