3.3 关键技术 .............................................................................................. 15 3.3.1 javaWeb三层框架技术 .............................................................. 15 3.3.2 申请测评活动实现技术 ............................................................. 17 3.3.3 审核测评实现技术 ..................................................................... 19 3.3.4 管理公告实现技术 ..................................................................... 22 3.4小结 ....................................................................................................... 23 第4章 系统的设计与实现 ........................................................................... 24 4.1 设计方案 .............................................................................................. 24 4.1.1 系统用例设计 ............................................................................. 24 4.1.2 系统的功能设计 ......................................................................... 24 4.1.3 系统的详细设计 ......................................................................... 24 4.2 基于Web的等级保护集成管理系统的实现 .................................... 31 4.2.1被测单位注册页面,各个表的关联 .......................................... 31 4.2.2指示灯关联的数据库表 .............................................................. 32 4.2.3公告列表的数据库原理 .............................................................. 33 4.3 小结 ...................................................................................................... 34 第5章 系统运行与测试 ............................................................................... 35 5.1 测试用例的编写 .................................................................................. 35 5.2 测试步骤 .............................................................................................. 38 5.3 测试结果的分析 .................................................................................. 41 第6章 总结 ................................................................................................. 42 6.1 对上文的总结 ...................................................................................... 42 6.2 下一步要完成的工作 .......................................................................... 42 参考文献: ..................................................................................................... 44 致 谢 ............................................................................................................... 45 附 录 ............................................................................................................... 45 附录A: 部分主要源程序 .......................................................................... 45 附录B: 软件使用说明书 .......................................................................... 57 1 软件概述 ............................................................................................. 57 2 软件安装 ............................................................................................. 57 3 运行说明 ............................................................................................. 58 4 疑难解答 ............................................................................................. 58 5 服务与支持 ......................................................................................... 58
IV
第1章 引言
1.1 研究背景和意义
1.1.1研究背景
人类社会正迅速步入信息社会,信息化浪潮席卷全球,己经成为不可抗拒的时代潮流,信息社会正改变着世界的方方面面,国家安全也不例外。在信息时代,信息已成为一个国家最重要、最基础的“战略资源”是国家社会发展的“核心要素”。信息安全对国家安全产生了重要影响,成为国家安全的最突出、最核心的问题。在信息网络时代,一个国家在信息匾乏、信息流失和信息不安全的状况下,国家安全就没有保障。信息安全问题是传统社会中没有的“新问题”[2],大家应站在全球战略的高度研究信息安全问题。
本人国的信息化已进入以电子政务、电子商务、新闻文化传播、教育娱乐应用、多媒体个人通信和金融、电力等的信息网络化应用为主导的发展阶段. 目前, 这些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多;系统面临着各种性质的安全威胁, 包括间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工等等; 安全保障要求的内容极为广泛, 从物理安全、网络安全、系统安全、应用安全、数据安全一直到安全管理、安全组织建设等等;不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。凡是涉及到影响正常运行和业务连续性的都是信息安全问题。 1.1.2研究意义
信息安全等级保护,是根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。如何通过等级保护测评,最大限度使组织结构预知存在的安全隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,已经成为当前本人国信息安全工作的重点。测评准备活动是等级测评工作的前提和基础,是整个等级测评过程有效性的保证,测评准备工作是否充分直接关系到后续工作能否顺利开展,为编制测评方案做好准备;而方案编制活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
由此可见,等级保护测评工作对于加强国信息安全的重要意思,做好测评准备活动和方案编制活动,显得尤为重要。
1
1.2 国内外研究现状
1.2.1国内等级保护研究现状
自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。回顾本人国的等级保护工作,可以看到:
1、定级保护的定级备案工作成效显著。全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。通过定级备案工作的开展,掌握了关系国计民生重要信息系统的基本情况,为落实信息安全等级保护制度、推动国家信息安全保障共组东阿审图开展奠定了坚实的基础。
2、各种政策标准体系日趋完善。详细信息参考下表1-1所示:
时间 1994 令 2003 2004 2007.6 2007.7 2007 2007 2008 2008 2009 2009 2010 中发办27号文件 公通字66号文件 公通字43号文件 公信安861号文件 公信安[2007]1360号 公信安[2007]736号 发改高技[2008]2071号 公信安[2008]736号 公信安[2009]1429号 公信安[2009]1487号 公信安[2010]303号 需抓紧简历等级保护制度 明确等保原则、内容、要求,等保工作的部门分工、实施计划 规定实施、管理细节,加快推进步伐 确定定级范围,给出定级工作的主要内容和要求 表1-1 有关等级保护政策标准体系完善表 名称 目标 国务院147号需要实施分等级保护 为定级备案工作提供了有力的规范 加强和规范国家电子政务工程建设项目信息安全风险评估 严格规范公安机关信息安全等级保护检查工作,实现检查工作的规范化、制度化 确定了开展信息安全等级保护安全建设整改工作的指导意见 确定了信息系统安全等级测评报告模版(试行) 在全国部署开展信息安全等级保护测评体系建设和等级测评工作 信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作,为保障全面实施信息安全等级保护制度,必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力,多年攻关,目前,已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。
2
1.2.2国外等级保护研究现状
国外从20世纪80年代以来,一直在进行可信安全产品的等级评估准则的研究,其中比较著名的包括美国国防部提出的可信计算机系统安全评价准则(TESEC)、欧洲四国(英、法、德、荷)的信息技术安全评价准则(ITSEC)和国际合作的信息技术安全评价通用准则(CC)。
美国TCSEC(桔皮书)是计算机系统安全评估的第一个正式标准,具有划时代的意义。TCSEC 分为4个方面:安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3 和A 级。欧洲ITSEC与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1~B3级相似。CC是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。1999年10月CC v2.1 版发布,并且成为ISO标准。CC的主要思想和框架部分取自ITSEC,并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分, 评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7 共7个等级。每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估[2]。 1.2.3存在的问题与总结
对于等级保护系统集成化方面的研究,目前还没有真正的做到系统集成化,等级保
护测评过程中涉及到很多实体,例如被测系统的基本信息,测评机构选取测评对象,等级保护的基本要求,测评过程中需要的各种信息。现阶段对其中实体的关系分析和测评对象与测评指标的关联关系的研究还不广泛,还缺少这方面系统数据库的建立。
另外,等级保护系统集成化设计与实现是为了实现信息系统安全等级保护测评工作的自动化,让测评人员从繁重的手工作业解脱出来,提高等级保护测评工作效率。但是由于测评过程中需要与被测单位部门进行沟通,需要他们提供数据和资料,各部门的协调也会耗费一部分时间。
1.3研究内容和目标
1.3.1研究内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;
3
二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。信息系统安全等级保护测评包括测评指标、指标要求项、测评对象、测评实施之间的关系分析,测评对象确定的方法的分析,测评结果判定的分析,等级测评结论形成的分析。 1.3.2研究目标
等级保护集成系统是以网站的可视化、透明化、人性化形式展示等级保护安全测评的一种实现全自动或半自动化的方便用户使用的应用系统,本人研究的目标是按照信息系统安全等级保护测评过程的要求,为网站管理员、测评机构、委托单位、专家、审核人员等分别为他们提供相应的服务项目,实现信息系统安全等级保护测评的高效性、公正性和自动性,为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
1.4论文的组织结构
第一部分是摘要及其译文:摘要部分是对信息安全等级保护和本论文涉及的基于等级保护集成系统设计与实现做了简单介绍和概括。
第二部分是论文目录及其章节内容。各章组织如下:
第1章 引言。论述基于等级保护集成系统设计与实现的研究内容、意义、国内外的研究现状、等级保护测评、以及研究的内容和目标等。
第2章 系统的需求分析。主要介绍的是测评准备子系统所涉及到的基本术语或定义,分析了测评准备子系统的工作流程,对测评准备子系统的数据抽象描述,阐述了其实现技术。
第3章 方案编制子系统设计与实现。主要介绍的是方案编制子系统所涉及到的基本术语或定义,分析了方案编制子系统的工作流程,对方案编制子系统的数据抽象描述,阐述了其实现技术。
第4章 系统运行与测试。分析测试用例的编写,介绍测试步骤,分析测试结果。 第5章总结。对以上四部分的总结,并做了进一步的工作安排。 第三部分是致谢、参考文献、附录。它是对系统和本论文的补充说明。
4