标题 | 等保测评项目管理及报告生成系统设计与实现 |
范文 | 刘林 何晟 彭亚雄 摘 要: 为了克服传统的等级保护测评项目实施过程中人工分析和计算工作量大,报告编制任务繁重等问题,文章设计了基于Delphi 7开发平台的等保测评项目管理及报告生成系统,旨在汇总测评信息,自动化地分析数据并计算出测评结果,生成测评报告。系统设计采用C/S体系架构,SQL Server2008作为数据库管理系统。实践表明,该系统自动化地实现了等级保护测评的项目管理和报告生成功能,极大地提高了工作效率、降低了成本。 关键词: 等级保护; 测评报告; 信息系统; Delphi 7 中图分类号:TP319 文献标志码:A 文章编号:1006-8228(2017)12-35-04 Design and implementation of project management and report generation system of testing and evaluation of classified protection Liu Lin1, He Sheng2, Peng Yaxiong1 (1. College of Big Data and Information Eegineering, Guizhou University, Guiyang, Guizhou 550025, China; 2. Guizhou Province Network and Information Security Evaluation and Certification Center) Abstract: In order to overcome the problems of heavy workload of manual analysis and calculation in the traditional project process of testing and evaluation of classified protection, this paper designs the project management and report generation system for testing and evaluation of classified protection based on Delphi 7 development platform, to summarize the evaluation information, automatically analyze data and calculate the evaluation result, and generate the evaluation report. System design adopts C/S architecture, and SQL Server2008 is used as database management system. The practice shows that the system automatically realizes the project management and report generation functions of testing and evaluation of classified protection, which greatly improves the work efficiency and reduces the cost. Key words: classified protection; testing and evaluation report; information system; Delphi 7 0 引言 信息系統安全等级保护测评工作涉及到管理、主机、数据、网络、物理等多方面的安全测评内容。等级保护测评的工作流程分四个阶段实施,具体包括了测评准备、方案编制、现场测评、分析与报告四个阶段[1],在整个测评流程中,活动分析与报告编制阶段是核心阶段,该阶段需要对测评工程师现场采集的数据进行分析,对照测评指标逐一的进行结果判定,最后生成《信息系统安全等级测评报告》。整个分析与报告编制活动涉及到的资产较多,分析内容较复杂,传统的依靠人工开展此项活动不仅花费时间长,而且往往出错率高,这样给后期报告的审核带来非常大的困难。如何解决传统测评过程中出现的问题将是本次系统设计的目标所在。 1 系统总体设计 1.1 系统设计思路 为了应对传统测评过程中人工管理项目及编制报告过程中存在的不足,本文系统的设计将实现自动化的项目管理和报告生成。该系统基于C/S模式采用Delphi 7进行开发,选用SQL Server 2008数据库对数据信息进行存储和管理,Delphi 7开发环境通过ADO数据访问技术连接数据库。测评报告中对测评单元的分值计算主要通过采用加权平均算法求得。 1.2 系统功能模块设计 本文系统采用模块化设计,模块化设计既简化了系统的开发,也便于以后的维护和升级。本次系统设计主要的功能模块包括四个模块:测评立项区、现场测评区、测评报告区、系统配置区。系统功能模块结构及各个模块基本的功能如图1所示。 测评立项区:该模块分为两个子模块,包括项目管理和资产管理模块,主要功能是实现对项目和资产的添加、查询、修改、删除、复制、锁定等操作。添加项目的信息需要项目经理手动录入,录入之后会保存到数据库中,作为整个测评项目的核心数据。 现场测评区:该模块实现的功能主要是将所有单项测评结果判定数据导入到系统中,负责不同测评层面的测评工程师可以同时在线的录入测评数据,也可将测评数据通过Excel表格离线填写完成后再导入系统。 测评报告区:该模块是系统的核心模块,其功能是自动化的分析计算测评数据并导出测评报告,导出报告的内容包括了具体的测评内容及测评结论。 系统配置区:该模块主要功能是对相关的测评参数及账户进行配置管理,包括了控制点和要求项的权重、状态进行设置、账号登录锁定次数等设置内容。 1.3 系统数据库设计 根据对系统的需求和结构进行分析后,对存储的信息进行分析,将数据与数据之间逻辑加以建模分析出它们之间的关联性,设计出该系统的ER图。如图2所示列举出了测评资产工程库這个较为重要的数据实体ER图。 数据库在设计过程中,参照数据库设计流程,在逻辑结构设计阶段,按照第三范式(3NF)的设计原则对数据表进行规范化的处理,在第三范式设计原则的指导下设计数据库,不仅可以减少冗余数据,也能提高系统的性能。关系范式规范化过程如图3所示。 2 关键技术介绍 2.1 C/S体系结构 C/S(Client/Server)体系结构,即客户机和服务器结构。一般的C/S体系结构都是在局域网环境中运行,而随着互联网的迅猛发展,单纯的局域网已经不能满足用户对网络的需求,B/S体系结构受到了许多人的青睐。事实上,B/S体系架构可以看成是特殊的一种基于HTTP通信协议的C/S体系构架,也就是说,B/S体系架构其实是一种特殊的C/S体系构架[4]。 对于一般的测评机构而言,测评工程师人数不会太多,并且测评的数据有许多都是涉及到被测单位的重要敏感信息,出于安全性的考虑,本次系统的设计主要部署在企业内部网络环境中,因此C/S架构更为适宜本系统的需求。 2.2 Delphi技术 Delphi是由Borland公司推出的可视化编程环境,它是一种既方便又比较容易入门的可供全平台使用的开发工具。Delphi拥有一个可视化的集成开发环境(IDE),采用面向对象的编程语Object Pascal和基于部件的开发结构框架。 “真正的程序员用VC,聪明的程序员用Delphi”,这句经典的名言无疑是对Delphi最为贴切的描述[3]。与VC相比,Delphi对开发者的要求更低,易学易懂,而在功能上,Delphi却完全不逊色于VC;而和VB相比,Delphi的功能则要强大实用的多。正是因为Delphi既具备强大的功能,又很容易入门,才让其受到众多程序员的青睐。 2.3 数据库及ADO数据访问技术 SQL Server是美国微软公司在数据管理系统上最流行的关系型数据库,SQL Server 2008作为SQL Server版本中目前比较稳定、应用较多的版本,其基于策略的管理、多重服务查询功能、数据收集及高效的数据处理,为日常负责管理大型的复杂数据库环境的数据库管理员提供了强大的功能[5]。本次系统的设计选用SQL Server 2008 R2版本,经验证测试,完全可以满足系统的需求。 ADO(ActiveX Date Objects)是由微软公司推出的以ActiveX技术为基础的数据访问规范,使用简单,功能强大,是一组基于OLE DB数据的高级自动化应用层接口[6]。通过ADO可以方便快速地通过统一数据接口API,对关系或非关系数据库、电子邮件和文件系统、文本和图形、自定义和业务对象进行访问和存取,这非常适合系统数据库管理系统的建立和应用。 3 系统实现 3.1 登录模块 登录模块是验证用户能否进入系统的惟一通道,只有具有合法身份的用户才能登陆系统,当验证通过会直接跳转到控制界面,根据系统设计模块进行相应操作。系统的用户名和密码由系统管理员进行分配,同时出于安全因素的考虑,该登录模块设计了登录失败处理功能,当某个用户连续登录失次数超过设定的登录限制次数时,系统将立即结束会话,退出连接。 3.2 报告生成模块 报告生成系统采用修改模板的方法。鉴于测评报告的格式大体上都是相同的,在分析测评报告的基础上总结出一套空白测评报告作为模板,不同的被测系统可以根据具体的测评内容由系统动态修改模板,从而自动地生成报告。动态修改模板的基本思路是在需要添加内容的地方加上标签,然后系统根据测评工程师录入的测评信息,将标签处的内容替换为实际需要添加的内容,但是部分标签需要在表格中完成添加和修改内容,但表格的行列数是不定的,需要系统动态的创建Word表格,并将相应的经过分析和计算的数据填入到表格中。下面列举一个系统中的自定义函数,功能是查找并替换函数传入的实参值: 1. procedure TMyWord.ReplaceSource, Target: string); 2. var 3. FindText,PWrap,ReplaceWith,Replace: olevariant; 4. begin 5. FWord.Selection.Find.ClearFormatting; 6. FWord.Selection.Find.Replacement.ClearFormatting; 7. FindText := Source; //查找到内容 8. PWrap := wdFindContinue; 9. ReplaceWith := Target; //将查找的内容替换为目标内容 10. Replace := wdReplaceAll; //替换属性为全部替换 11. FWord.Selection.Find.Execute(FindText, EmptyParam, EmptyParam, EmptyParam, EmptyParam, EmptyParam, EmptyParam, PWrap, EmptyParam, ReplaceWith, 12. Replace, EmptyParam, EmptyParam, EmptyParam, EmptyParam) 13. end; 3.3 主界面模块 系统登录成功后,会跳转到主界面模块中的测评立项区子模块,主界面模块是系统实现各种功能核心模块,其基本功能已经在1.3节系统功能模块设计中进行了分析。 4 结束语 本文系统的设计实现了等级保护测评项目中自动化的数据分析、计算及报告生成功能,不仅极大地减少了测评报告编制的时间,而且编制出来的报告更加客观、准确和规范。目前系统已经应用在实际的测评工作中,根据使用后的反馈结果来看,测评报告编制时间从传统的一周以上缩短到二小时以内,极大地提高了测评效率,非常值得推广给全国的测评机构借鉴和使用。下一步将进一步优化系统扩展功能,美化界面,加入对主机、网络、数据库、中间件等方面的安全测评自动检查及结果分析功能,更好的服务于等级保护测评实施工作。 参考文献(References): [1] GB/T 22239-2008信息安全技术.信息系统安全等级保护 基本要求[S].全国信息安全标准化协议委员会,2008. [2] GB/T 28449-2012信息安全技术.信息系统安全等级保护 测评过程指南[S].中国标准出版社,2012. [3] 程诚.超声图文报告系统的设计与实现[D].电子科技大学硕 士学位论文,2014. [4] 张帅.基于.NET的信息系统安全评估系统的设计与实现[D]. 贵州师范大学硕士学位论文,2016. [5]苗凤华.SQL Server 2008数据管理系统的优势研究[J].长春 师范大学学报(自然科学版),2014.6. [6] 刘顺.农药实验信息管理及报告自动生成系统开发与应用[D]. 浙江大学硕士学位论文,2014. [7] GB/T 28448-2012信息安全技术.信息系统安全等级保护 测评要求[S].中国标准出版社,2012. |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。