毕业论文—等级保护集成管理系统

毕业设计（论文）

题目名称：等级保护集成管理系统 院系名称：计算机学院 班 级： 学 号： 学生姓名： 指导教师：

2013年 5 月

论文编号： 等级保护集成管理系统

Classified protection integrated system

院系名称：计算机学院 班 级： 学 号： 学生姓名：

指导教师：

2013年 5 月

management

摘 要

随着信息技术的高速发展和网络应用的迅速普及，整个社会对信息系统的依赖日益加深，面临的信息安全风险也与日俱增。实施信息系统安全等级保护，能够有效地提高本人国信息系统安全建设的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是本人国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。

本文中所涉及的基于Web的等级保护安全测评集成系统的设计与实现，主要就是从信息安全的等级保护安全测评的国内外形势出发，分析了现阶段国内外对于电子政务安全测评、等级保护的研究现状，特别是对等级保护在电子政务中安全测评的现状分析，提出了用Web的形式来实现电子政务的推广，并分析了其缺点，同时提出了改进的方案，完成了系统的测试与运行及总结。

关键词：信息系统；信息系统安全；等级保护；等级保护测评

I

Abstract

With the rapid development of information technology and the rapid popularization of network applications, the entire society's dependence on information systems deepening, facing increasing information security risks. Implementation of information system security level of protection, can improve the construction of information system security as a whole. Level of protection of information security in today's developed countries to protect critical information infrastructure, information security of the common practice, but also a country that has information security experience. Level of information security protection to safeguard critical information systems is not only an important safety measures, but also a matter of national security, social stability, national interests of the mission.

Involved in this level of protection of Web-based security evaluation and implementation of integrated system design, information security is mainly the level of protection from the safety evaluation of domestic and international situation, analyzes the current domestic and international security for e-government evaluation, grade protection Research, especially the level of protection in e-government status in the Security Assessment analysis, the use of Web-form to achieve the promotion of e-government, and analyzes its shortcomings, and proposed to improve the program, completed the testing of the system and Operation and summary.

Key words: Information system;Information system security;Classified protection; Grading protection evaluation

II

摘 要 ............................................................................................................... I Abstract ........................................................................................................... II 第1章 引言 ..................................................................................................... 1 1.1 研究背景和意义 .................................................................................... 1 1.1.1研究背景 ........................................................................................ 1 1.1.2研究意义 ........................................................................................ 1 1.2 国内外研究现状 .................................................................................... 2 1.2.1国内等级保护研究现状 ................................................................ 2 1.2.2国外等级保护研究现状 ................................................................ 3 1.2.3存在的问题与总结 ........................................................................ 3 1.3研究内容和目标 ..................................................................................... 3 1.3.1研究内容 ........................................................................................ 3 1.3.2研究目标 ........................................................................................ 4 1.4论文的组织结构 ..................................................................................... 4 1.5小结 ......................................................................................................... 5 第2章 系统的需求分析 ................................................................................. 6 2.1被测单位概念和定义 ............................................................................. 6 2.2被测单位申请测评阶段 ......................................................................... 6 2.2.1被测单位申请测评工作流程 ........................................................ 6 2.2.2申请资料阶段的任务 .................................................................... 7 2.2.3申请测评资料数据抽象描述 ........................................................ 7 2.2.4 申请测评阶段需求分析 ............................................................... 9 2.3测评单位概念和定义 ............................................................................. 9 2.4被测单位申请测评工作流程 ................................................................. 9 2.4.1测评单位审核工作流程 ................................................................ 9 2.4.2管理公告阶段的任务 .................................................................. 10 2.4.3审核测评资料数据抽象描述 ...................................................... 11 2.4.4 申请测评阶段需求分析 ............................................................. 12 2.5小结 ....................................................................................................... 12 第3章 等级保护集成管理的系统分析 ....................................................... 13 3.1 系统的总体设计方案 .......................................................................... 13 3.1.1 总体方案 ..................................................................................... 13 3.1.2 被测单位系统分析 ..................................................................... 13 3.1.3测评机构系统分析 ...................................................................... 14 3.2 系统的设计原则与开发平台 .............................................................. 15 3.2.1 设计原则 ..................................................................................... 15 3.2.2 系统的运行环境 ......................................................................... 15 3.2.3 系统的开发平台 ......................................................................... 15

III

3.3 关键技术 .............................................................................................. 15 3.3.1 javaWeb三层框架技术 .............................................................. 15 3.3.2 申请测评活动实现技术 ............................................................. 17 3.3.3 审核测评实现技术 ..................................................................... 19 3.3.4 管理公告实现技术 ..................................................................... 22 3.4小结 ....................................................................................................... 23 第4章 系统的设计与实现 ........................................................................... 24 4.1 设计方案 .............................................................................................. 24 4.1.1 系统用例设计 ............................................................................. 24 4.1.2 系统的功能设计 ......................................................................... 24 4.1.3 系统的详细设计 ......................................................................... 24 4.2 基于Web的等级保护集成管理系统的实现 .................................... 31 4.2.1被测单位注册页面，各个表的关联 .......................................... 31 4.2.2指示灯关联的数据库表 .............................................................. 32 4.2.3公告列表的数据库原理 .............................................................. 33 4.3 小结 ...................................................................................................... 34 第5章 系统运行与测试 ............................................................................... 35 5.1 测试用例的编写 .................................................................................. 35 5.2 测试步骤 .............................................................................................. 38 5.3 测试结果的分析 .................................................................................. 41 第6章 总结 ................................................................................................. 42 6.1 对上文的总结 ...................................................................................... 42 6.2 下一步要完成的工作 .......................................................................... 42 参考文献： ..................................................................................................... 44 致 谢 ............................................................................................................... 45 附 录 ............................................................................................................... 45 附录A: 部分主要源程序 .......................................................................... 45 附录B: 软件使用说明书 .......................................................................... 57 1 软件概述 ............................................................................................. 57 2 软件安装 ............................................................................................. 57 3 运行说明 ............................................................................................. 58 4 疑难解答 ............................................................................................. 58 5 服务与支持 ......................................................................................... 58

IV

第1章 引言

1.1 研究背景和意义

1.1.1研究背景

人类社会正迅速步入信息社会，信息化浪潮席卷全球，己经成为不可抗拒的时代潮流，信息社会正改变着世界的方方面面，国家安全也不例外。在信息时代，信息已成为一个国家最重要、最基础的“战略资源”是国家社会发展的“核心要素”。信息安全对国家安全产生了重要影响，成为国家安全的最突出、最核心的问题。在信息网络时代，一个国家在信息匾乏、信息流失和信息不安全的状况下，国家安全就没有保障。信息安全问题是传统社会中没有的“新问题”[2]，大家应站在全球战略的高度研究信息安全问题。

本人国的信息化已进入以电子政务、电子商务、新闻文化传播、教育娱乐应用、多媒体个人通信和金融、电力等的信息网络化应用为主导的发展阶段. 目前, 这些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁， 包括间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工等等; 安全保障要求的内容极为广泛, 从物理安全、网络安全、系统安全、应用安全、数据安全一直到安全管理、安全组织建设等等；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。凡是涉及到影响正常运行和业务连续性的都是信息安全问题。 1.1.2研究意义

信息安全等级保护，是根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。如何通过等级保护测评，最大限度使组织结构预知存在的安全隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营，已经成为当前本人国信息安全工作的重点。测评准备活动是等级测评工作的前提和基础，是整个等级测评过程有效性的保证，测评准备工作是否充分直接关系到后续工作能否顺利开展，为编制测评方案做好准备；而方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。

由此可见，等级保护测评工作对于加强国信息安全的重要意思，做好测评准备活动和方案编制活动，显得尤为重要。

1

1.2 国内外研究现状

1.2.1国内等级保护研究现状

自从2007年6月份以来，全国范围内的重要系统普遍开展了信息安全等级保护工作，到目前为止，定级工作已经基本结束，将进入整改阶段。回顾本人国的等级保护工作，可以看到：

1、定级保护的定级备案工作成效显著。全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。通过定级备案工作的开展，掌握了关系国计民生重要信息系统的基本情况，为落实信息安全等级保护制度、推动国家信息安全保障共组东阿审图开展奠定了坚实的基础。

2、各种政策标准体系日趋完善。详细信息参考下表1-1所示：

时间 1994 令 2003 2004 2007.6 2007.7 2007 2007 2008 2008 2009 2009 2010 中发办27号文件 公通字66号文件 公通字43号文件 公信安861号文件 公信安[2007]1360号 公信安[2007]736号 发改高技[2008]2071号 公信安[2008]736号 公信安[2009]1429号 公信安[2009]1487号 公信安[2010]303号 需抓紧简历等级保护制度 明确等保原则、内容、要求，等保工作的部门分工、实施计划 规定实施、管理细节，加快推进步伐 确定定级范围，给出定级工作的主要内容和要求 表1-1 有关等级保护政策标准体系完善表 名称 目标 国务院147号需要实施分等级保护 为定级备案工作提供了有力的规范 加强和规范国家电子政务工程建设项目信息安全风险评估 严格规范公安机关信息安全等级保护检查工作，实现检查工作的规范化、制度化 确定了开展信息安全等级保护安全建设整改工作的指导意见 确定了信息系统安全等级测评报告模版（试行） 在全国部署开展信息安全等级保护测评体系建设和等级测评工作 信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作，为保障全面实施信息安全等级保护制度，必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力，多年攻关，目前，已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系，基本能够满足国家信息安全等级保护制度全面实施的需求。

2

1.2.2国外等级保护研究现状

国外从20世纪80年代以来，一直在进行可信安全产品的等级评估准则的研究，其中比较著名的包括美国国防部提出的可信计算机系统安全评价准则(TESEC)、欧洲四国（英、法、德、荷）的信息技术安全评价准则(ITSEC)和国际合作的信息技术安全评价通用准则(CC)。

美国TCSEC（桔皮书）是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC 分为4个方面：安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3 和A 级。欧洲ITSEC与TCSEC不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级，对于每个系统，安全功能可分别定义。ITSEC预定义了10种功能，其中前5种与桔皮书中的C1～B3级相似。CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1999年10月CC v2.1 版发布，并且成为ISO标准。CC的主要思想和框架部分取自ITSEC，并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分, 评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7 共7个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估[2]。 1.2.3存在的问题与总结

对于等级保护系统集成化方面的研究，目前还没有真正的做到系统集成化，等级保

护测评过程中涉及到很多实体，例如被测系统的基本信息，测评机构选取测评对象，等级保护的基本要求，测评过程中需要的各种信息。现阶段对其中实体的关系分析和测评对象与测评指标的关联关系的研究还不广泛，还缺少这方面系统数据库的建立。

另外，等级保护系统集成化设计与实现是为了实现信息系统安全等级保护测评工作的自动化，让测评人员从繁重的手工作业解脱出来，提高等级保护测评工作效率。但是由于测评过程中需要与被测单位部门进行沟通，需要他们提供数据和资料，各部门的协调也会耗费一部分时间。

1.3研究内容和目标

1.3.1研究内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；

3

二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

安全控制测评分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。信息系统安全等级保护测评包括测评指标、指标要求项、测评对象、测评实施之间的关系分析，测评对象确定的方法的分析，测评结果判定的分析，等级测评结论形成的分析。 1.3.2研究目标

等级保护集成系统是以网站的可视化、透明化、人性化形式展示等级保护安全测评的一种实现全自动或半自动化的方便用户使用的应用系统，本人研究的目标是按照信息系统安全等级保护测评过程的要求，为网站管理员、测评机构、委托单位、专家、审核人员等分别为他们提供相应的服务项目，实现信息系统安全等级保护测评的高效性、公正性和自动性，为信息系统未达到相应等级的基本安全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。

1.4论文的组织结构

第一部分是摘要及其译文：摘要部分是对信息安全等级保护和本论文涉及的基于等级保护集成系统设计与实现做了简单介绍和概括。

第二部分是论文目录及其章节内容。各章组织如下：

第1章 引言。论述基于等级保护集成系统设计与实现的研究内容、意义、国内外的研究现状、等级保护测评、以及研究的内容和目标等。

第2章 系统的需求分析。主要介绍的是测评准备子系统所涉及到的基本术语或定义，分析了测评准备子系统的工作流程，对测评准备子系统的数据抽象描述，阐述了其实现技术。

第3章 方案编制子系统设计与实现。主要介绍的是方案编制子系统所涉及到的基本术语或定义，分析了方案编制子系统的工作流程，对方案编制子系统的数据抽象描述，阐述了其实现技术。

第4章 系统运行与测试。分析测试用例的编写，介绍测试步骤，分析测试结果。 第5章总结。对以上四部分的总结，并做了进一步的工作安排。 第三部分是致谢、参考文献、附录。它是对系统和本论文的补充说明。

4

1.5小结

本章主要论述了基于等级保护集成系统的研究背景和意义，阐述了信息安全等级保护的国内外研究现状，介绍了等级保护测评的相关概念，论述了本文的研究内容和目标。

5

第2章 系统的需求分析

2.1被测单位概念和定义

1、被测单位

被测单位是向测评方申请测评的个人，单位和企业机关等机构。 2、被测系统

被测单位申请测评的系统。 3、申请资料

被测单位申请测评所需要提交的资料，这些资料由测评方提供固定格式，再由被测单位填写提交，被测单位必须按照要求，规范填写所有被要求的测评资料。

2.2被测单位申请测评阶段

2.2.1被测单位申请测评工作流程

被测单位申请测评，包括：被测单位注册帐号，登录系统，查看公告，规范填写所有测评资料。如图2-1所示为申请资料流程图：

公告模块查看公告被测单位审核资料委托协议书被测系统情况用例拓扑图对外服务系统承载的业务网络结构管理公告机房情况网络边界网络设备安全设备服务器设备终端设备系统软件应用软件业务数据数据备份业务数据流图安全相关人员图2-1 申请资料工作流程图

6

2.2.2申请资料阶段的任务

(1) 提交申请资料，具体任务内容见下表2-1所示：

表2-1 提交申请任务内容

名称 项目启动 输入 提交申请资料 规范填写各个申请资料表格 填写申请资料表格：委托协议书，被测系统情况，用例拓扑图，对外服务，系统承载的业务，网络结构，机房情况，网络边界，网络设备，安全设备，服务器设备，终端设备，系统软件，应用软件，业务数据，数据备份，业务数据流图，安全相关人员。 任务描述 解释/描述 输出/产品 申请资料列表 2.2.3申请测评资料数据抽象描述

申请资料填写涉及到大量表，现列举部分表如下：

表2-2 用户注册信息表Sys_user详细设计表

说明 用户名 密码 真实姓名 工作单位 地址 联系电话 邮箱 列名 username password name unit address phone email 数据类型 nvarchar(20) nvarchar(15) nvarchar(20) nvarchar(50) nvarchar(100) nvarchar(20) nvarchar(50) 允许空 否 是 是 是 是 是 是

表2-3 被评估系统基本情况表Info_System详细设计表

说明 列名 数据类型 用户名 username nvarchar(20) 被测信息系统的名称 system nvarchar（50） 系统正式上线时间 time datetime 7

允许空 否 是 是

state nvarchar（20） 是 splevel nvarchar（20） 是 industry nvarchar（200） 是 subnumber nvarchar（10） 是 type nvarchar（300） 是 businesstype nvarchar（100） 是 reliance nvarchar（100） 是 servicescope nvarchar（50） 是 number nvarchar（10） 是 nettype nvarchar（500） 是 confidential nvarchar（10） 是 表2-4 系统网络拓扑图表Info_Topology详细设计表

说明 列名 数据类型 允许空 用户名 username nvarchar(20) 否 拓扑图 imgname nvarchar（100） 是 保存路径 imgurl nvarchar（200） 是 表2-5 系统对外服务IP地址及服务表Info_Serviceip详细设计表

说明 列名 数据类型 允许空 用户名 username nvarchar(20) 否 服务 service nvarchar（500） 是 IP地址 ipaddress nvarchar（50） 是 域名 domain nvarchar（50） 是 表2-6 信息系统承载业务表Info_Business详细设计表

说明 列名 数据类型 允许空 用户名 username nvarchar(20) 否 业务名称 name nvarchar（50） 是 业务描述 describe nvarchar（200） 是 业务处理信息类别 type nvarchar（100） 是 用户数量 usernumber nvarchar（50） 是 用户分布范围 distribution nvarchar（10） 是 涉及的应用系统软件 appsoftware nvarchar（200） 是 是否24小时运行 operation nvarchar（10） 是 是否可以脱离系统完成 complete nvarchar（10） 是 重要程度 importantdegree nvarchar（20） 是 系统状态 安全保护等级 承载的主要业务 业务子系统个数 信息系统所属类型 系统业务类型 系统业务依赖程度 信息系统服务范围 跨省域个数 网络类型 是否涉密 表2-7 信息系统网络结构表Info_Netstructure详细设计表

说明 列名 数据类型 用户名 username nvarchar(20) 网络区域名称 netareaname nvarchar（50） 主要业务和信息描述 description nvarchar(200) IP网段地址 ipaddress nvarchar（50） 服务器数量 number1 nvarchar(10) 8

允许空 否 是 是 是 是

终端数量 与其连接的其它网络区域 网络区域边界设备 重要程度 责任部门 备注 number2 otherarea boundaryeq importantdegree department note nvarchar(10) nvarchar(500) nvarchar(500) nvarchar（10） nvarchar（200） nvarchar(1000) 是 是 是 是 是 是 2.2.4 申请测评阶段需求分析

1、申请测评阶段的目的

申请测评阶段的目的是查看测评方发布的最新公告，为被测系统提交申请资料，这是被测单位最主要的工作。如图2-2所示为申请测评阶段的用例图：

登录系统浏览公告查看编辑提交申请资料提交被测单位

图2-2申请测评阶段的用例图

2.3测评单位概念和定义

1、被测单位

被测单位是向测评方申请测评的个人，单位和企业机关等机构。 2、被测系统

被测单位申请测评的系统。 3、申请资料

被测单位申请测评所需要提交的资料，这些资料由测评方提供固定格式，再由被测单位填写提交，被测单位必须按照要求，规范填写所有被要求的测评资料。

2.4被测单位申请测评工作流程

2.4.1测评单位审核工作流程

测评单位进行测评审核，包括：测评方登录系统，发布并管理公告，查看被测单位

9

本文来源：https://www.bwwdw.com/article/ryp3.html