毕业论文等级保护集成管理系统

毕业设计（论文）题目名称：等级保护集成管理系统院系名称：计算机学院班 级：学 号：学生姓名： 指导教师： 2013 年 5 月等级保护集成管理系统Classified protection integrated management system院系名称：计算机学院班 级： 学 号：学生姓名： 指导教师： 2013 年 5 月论文编号：I摘 要随着信息技术的高速发展和网络应用的迅速普及，整个社会对信息系统的依赖日益加深，面临的信息安全风险也与日俱增。实施信息系统安全等级保护，能够有效地提高本人国信息系统安全建设的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是本人国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。本文中所涉及的基于 Web 的等级保护安全测评集成系统的设计与实现，主要就是从信息安全的等级保护安全测评的国内外形势出发，分析了现阶段国内外对于电子政务安全测评、等级保护的研究现状，特别是对等级保护在电子政务中安全测评的现状分析，提出了用 Web 的形式来实现电子政务的推广，并分析了其缺点，同时提出了改进的方案，完成了系统的测试与运行及总结。关键词：信息系统；信息系统安全；等级保护；等级保护测评IIAbstractWith the rapid development of information technology and the rapid popularization of network applications, the entire societys dependence on information systems deepening, facing increasing information security risks. Implementation of information system security level of protection, can improve the construction of information system security as a whole. Level of protection of information security in todays developed countries to protect critical information infrastructure, information security of the common practice, but also a country that has information security experience. Level of information security protection to safeguard critical information systems is not only an important safety measures, but also a matter of national security, social stability, national interests of the mission.Involved in this level of protection of Web-based security evaluation and implementation of integrated system design, information security is mainly the level of protection from the safety evaluation of domestic and international situation, analyzes the current domestic and international security for e-government evaluation, grade protection Research, especially the level of protection in e-government status in the Security Assessment analysis, the use of Web-form to achieve the promotion of e-government, and analyzes its shortcomings, and proposed to improve the program, completed the testing of the system and Operation and summary.Key words: Information system;Information system security;Classified protection; Grading protection evaluation摘 要 .IIIIAbstract .II第 1 章 引言 .11.1 研究背景和意义 .11.1.1 研究背景 .11.1.2 研究意义 .11.2 国内外研究现状 .21.2.1 国内等级保护研究现状 .21.2.2 国外等级保护研究现状 .31.2.3 存在的问题与总结 .31.3 研究内容和目标 .31.3.1 研究内容 .31.3.2 研究目标 .41.4 论文的组织结构 .41.5 小结 .5第 2 章 系统的需求分析 .62.1 被测单位概念和定义 .62.2 被测单位申请测评阶段 .62.2.1 被测单位申请测评工作流程 .62.2.2 申请资料阶段的任务 .72.2.3 申请测评资料数据抽象描述 .72.2.4 申请测评阶段需求分析 .92.3 测评单位概念和定义 .92.4 被测单位申请测评工作流程 .92.4.1 测评单位审核工作流程 .92.4.2 管理公告阶段的任务 .102.4.3 审核测评资料数据抽象描述 .112.4.4 申请测评阶段需求分析 .112.5 小结 .12第 3 章 等级保护集成管理的系统分析 .123.1 系统的总体设计方案 .123.1.1 总体方案 .123.1.2 被测单位系统分析 .133.1.3 测评机构系统分析 .143.2 系统的设计原则与开发平台 .143.2.1 设计原则 .143.2.2 系统的运行环境 .153.2.3 系统的开发平台 .153.3 关键技术 .15IV3.3.1 javaWeb 三层框架技术 .153.3.2 申请测评活动实现技术 .163.3.3 审核测评实现技术 .193.3.4 管理公告实现技术 .213.4 小结 .22第 4 章 系统的设计与实现 .234.1 设计方案 .234.1.1 系统用例设计 .234.1.2 系统的功能设计 .244.1.3 系统的详细设计 .244.2 基于 Web 的等级保护集成管理系统的实现 .304.2.1 被测单位注册页面，各个表的关联 .304.2.2 指示灯关联的数据库表 .314.2.3 公告列表的数据库原理 .324.3 小结 .33第 5 章 系统运行与测试 .345.1 测试用例的编写 .345.2 测试步骤 .375.3 测试结果的分析 .40第 6 章 总结 .416.1 对上文的总结 .416.2 下一步要完成的工作 .41参考文献： .43致 谢 .44附 录 .45附录 A: 部分主要源程序 .45附录 B: 软件使用说明书 .561 软件概述 .562 软件安装 .573 运行说明 .574 疑难解答 .575 服务与支持 .571第 1 章 引言1.1 研究背景和意义1.1.1 研究背景人类社会正迅速步入信息社会，信息化浪潮席卷全球，己经成为不可抗拒的时代潮流，信息社会正改变着世界的方方面面，国家安全也不例外。在信息时代，信息已成为一个国家最重要、最基础的“战略资源”是国家社会发展的“核心要素” 。信息安全对国家安全产生了重要影响，成为国家安全的最突出、最核心的问题。在信息网络时代，一个国家在信息匾乏、信息流失和信息不安全的状况下，国家安全就没有保障。信息安全问题是传统社会中没有的“新问题”2，大家应站在全球战略的高度研究信息安全问题。本人国的信息化已进入以电子政务、电子商务、新闻文化传播、教育娱乐应用、多媒体个人通信和金融、电力等的信息网络化应用为主导的发展阶段. 目前, 这些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁， 包括间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工等等; 安全保障要求的内容极为广泛, 从物理安全、网络安全、系统安全、应用安全、数据安全一直到安全管理、安全组织建设等等；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。凡是涉及到影响正常运行和业务连续性的都是信息安全问题。1.1.2 研究意义信息安全等级保护，是根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。如何通过等级保护测评，最大限度使组织结构预知存在的安全隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营，已经成为当前本人国信息安全工作的重点。测评准备活动是等级测评工作的前提和基础，是整个等级测评过程有效性的保证，测评准备工作是否充分直接关系到后续工作能否顺利开展，为编制测评方案做好准备；而方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。由此可见，等级保护测评工作对于加强国信息安全的重要意思，做好测评准备活动和方案编制活动，显得尤为重要。21.2 国内外研究现状1.2.1 国内等级保护研究现状自从 2007 年 6 月份以来，全国范围内的重要系统普遍开展了信息安全等级保护工作，到目前为止，定级工作已经基本结束，将进入整改阶段。回顾本人国的等级保护工作，可以看到：1、定级保护的定级备案工作成效显著。全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。通过定级备案工作的开展，掌握了关系国计民生重要信息系统的基本情况，为落实信息安全等级保护制度、推动国家信息安全保障共组东阿审图开展奠定了坚实的基础。2、各种政策标准体系日趋完善。详细信息参考下表 1-1 所示：表 1-1 有关等级保护政策标准体系完善表时间 名称 目标1994 国务院 147 号令需要实施分等级保护2003 中发办 27 号文件需抓紧简历等级保护制度2004 公通字 66 号文件明确等保原则、内容、要求，等保工作的部门分工、实施计划2007.6 公通字 43 号文件规定实施、管理细节，加快推进步伐2007.7 公信安 861 号文件确定定级范围，给出定级工作的主要内容和要求2007 公信安20071360 号2007 公信安2007736 号为定级备案工作提供了有力的规范2008 发改高技20082071 号加强和规范国家电子政务工程建设项目信息安全风险评估2008 公信安2008736 号严格规范公安机关信息安全等级保护检查工作，实现检查工作的规范化、制度化2009 公信安20091429 号确定了开展信息安全等级保护安全建设整改工作的指导意见2009 公信安20091487 号确定了信息系统安全等级测评报告模版（试行）2010 公信安2010303 号在全国部署开展信息安全等级保护测评体系建设和等级测评工作信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作，为保障全面实施信息安全等级保护制度，必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力，多年攻关，目前，已基本形成了由 50 多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系，基本能够满足国家信息安全等级保护制度全面实施3的需求。1.2.2 国外等级保护研究现状国外从 20 世纪 80 年代以来，一直在进行可信安全产品的等级评估准则的研究，其中比较著名的包括美国国防部提出的可信计算机系统安全评价准则(TESEC)、欧洲四国（英、法、德、荷）的信息技术安全评价准则(ITSEC)和国际合作的信息技术安全评价通用准则(CC)。美国 TCSEC（桔皮书）是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC 分为 4 个方面：安全政策、可说明性、安全保障和文档。该标准将以上 4个方面分为 7 个安全级别，从低到高依次为 D、C1、C2、B1、B2、B3 和 A 级。欧洲ITSEC 与 TCSEC 不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。TCSEC 把保密作为安全的重点，而 ITSEC 则把完整性、可用性与保密性作为同等重要的因素。ITSEC 定义了从 E0 级（不满足品质）到 E6 级（形式化验证）的 7 个安全等级，对于每个系统，安全功能可分别定义。ITSEC 预定义了 10 种功能，其中前 5 种与桔皮书中的 C1B3 级相似。CC 是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1999 年 10 月 CC v2.1 版发布，并且成为 ISO 标准。CC 的主要思想和框架部分取自 ITSEC，并充分突出了“保护轮廓”概念。CC 将评估过程划分为功能和保证两部分, 评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6 和 EAL7 共 7 个等级。每一级均需评估 7 个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估2。1.2.3 存在的问题与总结对于等级保护系统集成化方面的研究，目前还没有真正的做到系统集成化，等级保护测评过程中涉及到很多实体，例如被测系统的基本信息，测评机构选取测评对象，等级保护的基本要求，测评过程中需要的各种信息。现阶段对其中实体的关系分析和测评对象与测评指标的关联关系的研究还不广泛，还缺少这方面系统数据库的建立。另外，等级保护系统集成化设计与实现是为了实现信息系统安全等级保护测评工作的自动化，让测评人员从繁重的手工作业解脱出来，提高等级保护测评工作效率。但是由于测评过程中需要与被测单位部门进行沟通，需要他们提供数据和资料，各部门的协调也会耗费一部分时间。1.3 研究内容和目标1.3.1 研究内容4对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。安全控制测评分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全