信息安全风险评价管理软件研制报告上海信息安全测评认证中心

信息安全风险评价治理软件研制报告-上海信息安全测评认证中心国信办信息安全风险评估上海试点工作验收材料之四 ——信息安全风险评估治理软件研制报告OO五年八月1目 录\l“_TOC_250004“一、工程背景 2\l“_TOC_250003“二、系统开发目标 3\l“_TOC_250002“三、设计原则 4\l“_TOC_250001“四、研制过程 5\l“_TOC_250000“五、下一步工作 9一、工程背景纵观国际经济形势，随着信息技术突飞猛进的进展，信息化已成为当今世界的潮流，信息产业已成为社会经济进展的根底。它的进展正在进一步引起社会、经济乃至人们生活方式的急剧变革。当前我国的信息化建设已进入高速进展期，电子政务，电子商务，网络经济等的兴起，这些与国民经济、社会稳定息息相关的领域急需信息安全保障。随着信息化的进展与应用的普及，信息安全问题越来越突出，很多重要应用领域越来越依靠于计算机信息系统，这就必不行免地带来很多安全风险，对系统和组织造成巨大影响。因此实施信息安全风险治理，有效把握安全风险是建立信息安全保障体系的重要举措，而信息安全风险评估则是实施信息安全风险治理的根底，也是信息安全建设的有效的评价方法和决策机制，对于完善我国的信息安全保障体系建设，促进信息化建设具有重大意义。为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见〔中办发27号文，国务院信息化办公室于2023年组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。<信息安全风险评估试点工作方案>〔国信办【2023】5号，上海市选定了上海市信息安全测评认证中心〔以下简称上海测评中心〕作为本次风险评估的技术实施主体，上海市医疗保险信息中心、上海市宝山区信息委、农业银行上海市分行、上海市电力公司、上海市电力股份等5家单位作为本市风险评估的试点单位〔沪信息委安【2023】64号文。同时制定了《上海市信息安全风险评估试点工作打算》、担当风险评估方法、工具、操作流程的争论，并帮助其他试点单位完成风险评估试点工作。上海测评中心于2023年就开头开展信息安全测评及风险评估业务，是国内最早开展信息安全测评和风险评估的机构之一。在风险评估试点工作之前上海测评中心已经对风险评估的方法、工具、操作流程做了确定的争论，形成了确定的根底，并已开展实施了天安保险股份、上海市房地产交易中心、金山石化集团、上海市商品住宅修理基金治理系统、上海旅委信息系统等风险评估工程。为了更好的完成风险评估试点工作，上海市信息安全测评认证中心对原有的风险评估方法、工具和操作流程进展了系统地总结和完善，并在此根底上开发了一套信息安全风险评估治理软件以便利风险评估实施机构或实施者更好地理解风险评估理念、根本概念、实施方法、操作流程，指导他们进展风险评估具体操作、标准操作步骤、提高评估效率、削减评估分析计算的工作量、保障评估结果的全都性、降低风险评估的实施难度，力求实现各系统运行单位由“委托他人”到“自己实施”的转变。本工程是以构建信息安全风险评估操作和治理平台为目标的有用性开发项目，可用于第三方评估机构，实现风险评估的托付评估，也可用于信息系统所有者对信息系统进展自评估。二、系统开发目标评估是提高信息系统安全治理水平的一个有利手段。从目前公布的风险评估标准来看，尽管指出了风险评估的原则、流程、意义等方面内容，但从指导系统全部者操作的角度来看，还缺乏确定的实际操作性。设计、开发一套关心系统全部者实施风险自评估的系统软件，是本软件开发的目标。从应用的角度上看，是帮助系统全部单位的系统治理人员实施评估工作，必须满足以下几工程标：实现对现有的信息安全风险评估操作、流程、结果的治理。由于其使用对象是系统治理人员，他们在信息安全风险评估方面的技术不愿定很专业，因此，该系统必需满足风险评估全部流程的操作。具备对标准的细化问题，关心评估者实施评估操作。要求集成相关的判据、案例和选择列表，以便于评估者依据本系统实现评估。同时，应能够完成风险评估流程中各阶段应输出的各类报表。便于对传统数据的治理，实现对风险的把握和治理。由于风险评估是一项定期实施的工作，对历史数据、历史工程的治理是系统治理人员了解系统安全状况，实行安全把握措施降低风险的根底。系统的数据治理具有确定的灵敏性。由于风险评估的实施中，资产类型、脆弱性列表、威逼分类、资产分类等均是可治理的。因此，系统必需具有确定的开放性，以便于用户直接修改根底数据。系统本身应具有确定的开放性。应做到界面友好，操作简便，只要连接本地或者远程数据库即可使用。最终的报表输出的相关功能，为从事信息安全风险评估工作的人员供给了极为便利的信息安全风险评估机制，解决了工作人员用传统方式进展评估带来的问题，减轻了日常重复的工作量，使评估结果更具有客观性和准确性。同时，该系统的存档机制可以保存更多的历史评估记录，而不需要加重数据库的负担，简洁备份，便于传输。三、设计原则1、先进性首先，应保证所承受的软件体系架构和开发工具属业界先进产品，在相应的运作领域具有较大的用户市场，在相关计算机技术方面处于领导地位。其次，承受大型关系型数据库，能够处理海量数据，适合用户数据的集中存储和快速检出。2、有用性整个风险评估治理评估系统能满足各类用户的评估要求，如第三方评估机构评估工程师、信息系统风险评估自评估人员〔治理层、技术人员〕等，在改进工作方式的同时，也能提高工作效率及决策的科学性。3、开放性系统具有良好的开放性，可以支持符合国际标准和业界标准的相关接口，可以与其他相关系统联网和通讯，支持标准的应用开发平台，具有良好的移植力气。4、可扩大性系统具有良好的可扩大力气，依据不断变化的、增长的业务处理需要，可以很简洁地增减或迁移数据库效劳器，自动实现负载动态平衡。四、研制过程信息安全风险评估治理软件工程于2023年3月份正式启动，并成立了信息安全风险评估治理软件开发小组，经过需求分析、争论设计、开发编程、调试校验、软件试用、功能测试、软件著作权申请等阶段，目前整个工程已根本完成。1、需求分析对信息安全风险评估治理软件进展调研，针对风险评估方法、流程、步骤、成果进展了现状分析，并依据设计原则确定软件需求：〔如SQLSERVER2023、MYSQL〕单机版软件，表构造、功能均可修改。可利用系统对同一评估对象的不同数据如：表、视图等，进展数据封装，能够实现数据整体的导入、导出。系统需设立用户治理机制，统一由最高权限用户〔Admin〕治理。整个评估过程中所输出的数据文件都要以OFFICEWORD/EXCEL文件格式输出，且文件内容排版要有确定的格式，不消灭乱码、杂乱无章等状况。资产三性赋值准则等，除以判据方式在程序中或数据库中，还需以链接的方式在使用到这些准则的状况下消灭。系统中涉及除法运算的结果，都以四舍五入计算，并且只保存整数局部。作的结果。保证系统各个功能模块数据连接严密，避开同一数据在不同模块中重复输入。要求系统界面、排版整齐合理，字体大小适中。系统需设有帮助功能。2．构造设计依据软件需求分析设计软件架构体系，信息安全风险评估治理软件是一个以数据库应用为中心的治理软件系统，包括系统治理模块、根底数据维护模块、风险评估模块和工程治理模块等，每个模块又可细分为确定的子功能模块。信息安全风险评估治理系统

工程治理模块用户修用户修改设置登密数模查 模关 型码据 容 映陆模库块模块射模块一二三一二一二级级级级级级级资资资威威脆脆产产产胁胁弱弱类类类类类性性型型型型型类型类型7内 系 模

生资脆资脆威威脆提修生产弱胁胁弱取改成类性类脆性项项统型检型弱类目目计视 项报图模模目表块 模模83、开发编程信息安全风险评估治理软件工程开发小组依据开发需求和设计思路，承受Java编程语言，主要考虑到Java是一种纯面对对象的技术，平台(Windows,Unix,LinuxJVMJava户机器上也能运行为；从软件的功能和性能需求分析，中型应用数据库完全可以胜任，MicrosoftSQLServer2023数据库软件在中小型应用中属于主流产品，MicrosoftSQLServer2023，很大一局部Java的JDBC(Java数据库连接)技术实现，很好的屏蔽了不同数据库源的差异，从而为以后系统的扩大带来了便利。Java的桌面应用GUI工具包Swing图形界面功能，而且能够供给便利的调整整个界面外观风格的功能；基于Java的JFreeChart图表开发工具包能够较好地实现系统图表统计功能的开发；JavaExcelExcelExcel总的来说，本软件在选择所使用的技术时，留意技术的有用性，可扩展性和灵敏性。软件编程从4月初开头，先设计软件框架和库、表构造，然后在此64、调试校验在根本完成了风险评估治理软件的开发和编程后，对软件主要模块进展调试校验，并在DEMO版的根底上，进展了较大范围的内部测试。主要由风险评估试点小组的评估工程师依据评估流程，针对不同的模块进展测试，并对觉察的BUG5、软件试用为了更好地检验信息安全风险评估治理软件在实际评估工作环境中的有效性和效率，以及非专业评估人员在自评估过程利用此软件实施的可操作性。在宝山区信息委电子政务风险评估试点工作中分别由上海测评中心评估人员和宝山区信息委系统治理员对该风险评估软件进展了完整地试用。此外，还特地由非专业人员〔实习生〕进展了试用。从试用过程和结果来看，整个软件试用效果良好，软件程序运行正确、全部模块功能工作正常、与设计要求根本全都，没有消灭大的问题。但在输入数据很多时，运行速度消灭比较确定的下降，经过开发小组的分析诊断，是局部软件代码的问题，通过修改、优化了局部软件代码，解决了该问题。6、软件测试在完成了信息安全风险评估治理软件的开发设计、调研校验和软件试用后，将信息安全风险评估治理软件正式版提交上海软件评测中心进展软件测试，测试结