汪晨旭 姜來(lái)為 李婧涵 郭星宇 王文浩 夏渝彧

摘? 要：在傳統(tǒng)的信息安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，當(dāng)測(cè)評(píng)人員完成測(cè)評(píng)工作后，由于人員水平參差，形成的最終報(bào)告往往差別較大。為了規(guī)范測(cè)評(píng)結(jié)果報(bào)告的生成，并方便測(cè)評(píng)人員對(duì)測(cè)評(píng)結(jié)果進(jìn)行管理，該文基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（等保2.0）國(guó)家標(biāo)準(zhǔn)要求，設(shè)計(jì)并實(shí)現(xiàn)信息安全等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)。本系統(tǒng)具有創(chuàng)新性的多方參與管理體系，將用戶根據(jù)身份的不同劃分成不同的角色，不同身份級(jí)別的角色對(duì)系統(tǒng)中的測(cè)評(píng)結(jié)果擁有不同的查看或修改權(quán)限。系統(tǒng)基于B/S架構(gòu)與MVC框架，利用PHP語(yǔ)言開發(fā)，并采用HTML、CSS、JavaScript等前端技術(shù)實(shí)現(xiàn)系統(tǒng)的可視化、動(dòng)態(tài)化。

關(guān)鍵詞：信息安全；等保2.0；測(cè)評(píng)管理系統(tǒng)；B/S架構(gòu)；通信技術(shù)

中圖分類號(hào)：TP393? ? ? ?文獻(xiàn)標(biāo)志碼：A? ? ? ? ? 文章編號(hào)：2095-2945（2024）06-0028-07

Abstract： In the traditional evaluation process of information security grade protection， when the evaluators complete the evaluation work， the final reports are often quite different due to the differences in the level of personnel. In order to standardize the generation of the evaluation results report and facilitate the evaluators to manage the evaluation results， this paper designs and implements the information security level protection evaluation management system based on the requirements of the national standard of Network Security Level Protection 2.0 （Level Protection 2.0）. The system has an innovative multi-party participation management system， which divides users into different roles according to different identities， and roles with different identity levels have different permissions to view or modify the evaluation results in the system. The system adopts B/S mode and MVC framework and uses PHP to implement this system. HTML， CSS， JavaScript， and other front-end technologies are used to realize the visualization and dynamics of the system.

Keywords： information security; Network Security Level Protection 2.0; evaluation management system; B/S architecture; communication technology

近年來(lái)，隨著計(jì)算機(jī)、通信技術(shù)的不斷發(fā)展，信息安全的重要性日益凸顯。信息安全等級(jí)保護(hù)作為國(guó)家一個(gè)重要的安全策略，一直以來(lái)都是大家關(guān)注的焦點(diǎn)。隨著信息化的不斷發(fā)展深入，信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)在不斷改變。各個(gè)國(guó)家組織也積極對(duì)計(jì)算機(jī)信息安全評(píng)估和保護(hù)工作進(jìn)行了研究和探索。我國(guó)2016年出臺(tái)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，2019年正式發(fā)布網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)（以下簡(jiǎn)稱“等保2.0標(biāo)準(zhǔn)”），對(duì)信息安全等級(jí)保護(hù)進(jìn)行了更新與完善，體現(xiàn)出新的安全思想，并與當(dāng)前時(shí)代更加聯(lián)系緊密，在信息安全領(lǐng)域得到了廣泛應(yīng)用。與此同時(shí)，我國(guó)出臺(tái)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的第二十一條對(duì)網(wǎng)絡(luò)安全的等級(jí)保護(hù)制度做出了明確規(guī)定[1-2]，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行相應(yīng)的安全保護(hù)義務(wù)[3]。隨著等保2.0的出臺(tái)，企業(yè)的信息安全等級(jí)保護(hù)管理也變得愈發(fā)復(fù)雜，并且由于測(cè)評(píng)管理繁瑣，沒(méi)有統(tǒng)一的管理流程，企業(yè)難以有效地實(shí)施等保測(cè)評(píng)的管理，因此需要一個(gè)系統(tǒng)化的測(cè)評(píng)管理機(jī)制來(lái)對(duì)其進(jìn)行管理[4]。

目前，基于等保2.0的信息安全等級(jí)保護(hù)相關(guān)研究和實(shí)踐已經(jīng)開展：趙少飛[5]對(duì)當(dāng)前企業(yè)在等保2.0時(shí)代到來(lái)后面臨的安全風(fēng)險(xiǎn)做了討論；馬玉州[6]在分析普通高校等保測(cè)評(píng)過(guò)程時(shí)發(fā)現(xiàn)存在重技術(shù)、輕管理的問(wèn)題；吳寶琦等[7]在分析等保建設(shè)過(guò)程中存在的問(wèn)題時(shí)提出建設(shè)集中管理平臺(tái)的理念；張煒等[8]在公共交通領(lǐng)域建議建立安全管理平臺(tái)，從而更加符合等保2.0標(biāo)準(zhǔn)要求。等保測(cè)評(píng)不應(yīng)僅重視測(cè)評(píng)過(guò)程，更應(yīng)加強(qiáng)對(duì)測(cè)評(píng)結(jié)果的管理，最終實(shí)現(xiàn)測(cè)評(píng)結(jié)果的標(biāo)準(zhǔn)化、統(tǒng)一化；而現(xiàn)階段鮮有將各測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)結(jié)果體系化的系統(tǒng)?？梢钥闯?，隨著等保2.0時(shí)代的到來(lái)和信息化的不斷發(fā)展，各行各業(yè)的安全防護(hù)與測(cè)評(píng)標(biāo)準(zhǔn)面臨更加嚴(yán)峻的挑戰(zhàn)。

在上述背景下，本文整合并分析等保2.0測(cè)評(píng)標(biāo)準(zhǔn)；針對(duì)現(xiàn)存等保測(cè)評(píng)管理中出現(xiàn)的問(wèn)題，設(shè)計(jì)并實(shí)現(xiàn)基于等保2.0的信息安全等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)；完善等級(jí)保護(hù)測(cè)評(píng)管理流程，為現(xiàn)實(shí)中等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)提供支持，具有一定的實(shí)用價(jià)值。本系統(tǒng)包括管理模塊與業(yè)務(wù)模塊，使用當(dāng)前市面上較為流行的PHP語(yǔ)言進(jìn)行開發(fā)，采用HTML、CSS、JavaScript等前端技術(shù)實(shí)現(xiàn)系統(tǒng)可視化功能，并最大限度地確保其對(duì)于各層次測(cè)評(píng)人員的可用性。此外，本系統(tǒng)基于B/S架構(gòu)實(shí)現(xiàn)，相比于傳統(tǒng)的C/S架構(gòu)更易于實(shí)現(xiàn)與維護(hù)，只需要把系統(tǒng)程序配置到服務(wù)器上客戶端即可使用瀏覽器來(lái)對(duì)系統(tǒng)進(jìn)行訪問(wèn)，客戶端無(wú)需安裝任何軟件[9]。

本文主要內(nèi)容如下：首先分析基于等保2.0測(cè)評(píng)管理要求，區(qū)分等保2.0與等保1.0主要不同之處；然后研究等保2.0測(cè)評(píng)方法，明確測(cè)評(píng)流程與測(cè)評(píng)得分計(jì)算方法；進(jìn)而設(shè)計(jì)測(cè)評(píng)管理系統(tǒng)，并對(duì)其進(jìn)行實(shí)現(xiàn)與測(cè)試。

1? 基于等保2.0測(cè)評(píng)管理要求

1.1? 基于等保2.0測(cè)評(píng)基本要求

基于等保2.0測(cè)評(píng)基本要求包括通用要求和安全擴(kuò)展2個(gè)方面的全面安全測(cè)評(píng)。

1.1.1? 通用要求

通用要求是等保2.0中安全測(cè)評(píng)的基礎(chǔ)。通用要求包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理5個(gè)方面的要求。

1）安全管理制度：企業(yè)或組織的安全管理制度應(yīng)當(dāng)明確安全管理的范圍、內(nèi)容、責(zé)任、流程和制度等方面的要求。

2）安全管理機(jī)構(gòu)：企業(yè)或組織應(yīng)當(dāng)設(shè)立專門的安全管理機(jī)構(gòu)，負(fù)責(zé)制定安全管理制度和安全管理方案等工作。

3）安全管理人員：企業(yè)或組織應(yīng)當(dāng)配備專門的安全管理人員，負(fù)責(zé)組織實(shí)施安全管理工作。

4）安全建設(shè)管理：企業(yè)或組織應(yīng)當(dāng)建立安全建設(shè)管理機(jī)制，對(duì)安全建設(shè)的各項(xiàng)工作進(jìn)行統(tǒng)籌協(xié)調(diào)和管理。

5）安全運(yùn)維管理：企業(yè)或組織應(yīng)當(dāng)建立安全運(yùn)維管理機(jī)制，對(duì)安全運(yùn)維的各項(xiàng)工作進(jìn)行統(tǒng)籌協(xié)調(diào)和管理。

1.1.2? 安全擴(kuò)展

安全擴(kuò)展是等保2.0中安全測(cè)評(píng)的重要內(nèi)容。安全擴(kuò)展包括了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心5個(gè)方面的要求。

1）安全物理環(huán)境：企業(yè)或組織應(yīng)當(dāng)建立符合安全要求的物理環(huán)境，保證信息系統(tǒng)的安全。

2）安全通信網(wǎng)絡(luò)：企業(yè)或組織應(yīng)當(dāng)建立符合安全要求的通信網(wǎng)絡(luò)，保證信息傳輸?shù)陌踩?/p>

3）安全區(qū)域邊界：企業(yè)或組織應(yīng)當(dāng)建立符合安全要求的區(qū)域邊界，保證信息系統(tǒng)的安全。

4）安全計(jì)算環(huán)境：企業(yè)或組織應(yīng)當(dāng)建立符合安全要求的計(jì)算環(huán)境，保證信息系統(tǒng)的安全。

5）安全管理中心：企業(yè)或組織應(yīng)當(dāng)建立符合安全要求的安全管理中心，對(duì)信息系統(tǒng)的安全進(jìn)行全面監(jiān)控和管理。

基于等保2.0測(cè)評(píng)管理基本要求，不僅要求系統(tǒng)的安全性能達(dá)到一定的標(biāo)準(zhǔn)，更要求系統(tǒng)安全建設(shè)在整個(gè)生命周期中得到有效的管理和保障。

1.2? 等保2.0與等保1.0主要區(qū)別

通過(guò)對(duì)等保2.0與等保1.0內(nèi)容進(jìn)行比較分析，以及對(duì)標(biāo)準(zhǔn)深度解讀研究，可以將其區(qū)別總結(jié)為6個(gè)方面，見(jiàn)表1[10-13]。

2? 等保2.0測(cè)評(píng)方法研究

2.1? 基于等保2.0測(cè)評(píng)流程

等保2.0測(cè)評(píng)流程主要分籌備階段、前期準(zhǔn)備、安全風(fēng)險(xiǎn)評(píng)估、測(cè)評(píng)實(shí)施、測(cè)評(píng)報(bào)告編寫、報(bào)告提交和整改6個(gè)部分。

2.1.1? 籌備階段

確定測(cè)評(píng)的范圍、目標(biāo)、方式和方法，制定測(cè)評(píng)計(jì)劃和安排人員。

2.1.2? 前期準(zhǔn)備

進(jìn)行信息收集和準(zhǔn)備工作，包括收集系統(tǒng)的相關(guān)資料、了解系統(tǒng)的功能和架構(gòu)等，以便后續(xù)的安全風(fēng)險(xiǎn)評(píng)估和測(cè)評(píng)實(shí)施。

2.1.3? 安全風(fēng)險(xiǎn)評(píng)估

對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，分析系統(tǒng)存在的安全隱患和漏洞，確定系統(tǒng)的安全要求。

2.1.4? 測(cè)評(píng)實(shí)施

根據(jù)安全要求，對(duì)信息系統(tǒng)進(jìn)行等保2.0測(cè)評(píng)，評(píng)估系統(tǒng)的安全性。具體包括以下3點(diǎn)。

1）安全管理測(cè)評(píng)：評(píng)估系統(tǒng)的安全管理制度、組織、流程等方面的情況，包括安全管理政策、安全管理制度、安全管理組織和安全管理流程等。

2）安全技術(shù)測(cè)評(píng)：評(píng)估系統(tǒng)的安全技術(shù)措施，包括訪問(wèn)控制、身份認(rèn)證、加密技術(shù)、防火墻技術(shù)和入侵檢測(cè)技術(shù)等。

3）安全防護(hù)測(cè)評(píng)：評(píng)估系統(tǒng)的安全防護(hù)措施，包括網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件等方面的防護(hù)措施。

2.1.5? 測(cè)評(píng)報(bào)告編寫

根據(jù)測(cè)評(píng)結(jié)果，編制等保2.0測(cè)評(píng)報(bào)告，匯總系統(tǒng)存在的安全隱患和漏洞，提出相應(yīng)的安全建議和措施。

2.1.6? 報(bào)告提交和整改

將測(cè)評(píng)報(bào)告提交給相關(guān)部門，要求對(duì)系統(tǒng)存在的安全隱患和漏洞進(jìn)行整改，并跟蹤整改情況，確保問(wèn)題得到解決。

2.2? 測(cè)評(píng)得分計(jì)算

當(dāng)測(cè)評(píng)師根據(jù)2.1節(jié)中給出的基于等保2.0測(cè)評(píng)流程完成對(duì)任務(wù)的測(cè)評(píng)后，需要利用測(cè)評(píng)獲取到的數(shù)據(jù)信息根據(jù)式（1）對(duì)任務(wù)進(jìn)行得分計(jì)算。

式中：n為此任務(wù)測(cè)評(píng)的項(xiàng)數(shù)（n不包括不適用項(xiàng)），f（wk）為第k項(xiàng)的重要程度，xk為第k項(xiàng)的符合程度，符合1分、部分符合0.5分、不符合0分。測(cè)評(píng)師根據(jù)計(jì)算得到測(cè)評(píng)得分再填寫相關(guān)信息，從而獲得最終等級(jí)保護(hù)報(bào)告。

基于上述等保2.0測(cè)評(píng)方法研究，本文將設(shè)計(jì)并實(shí)現(xiàn)信息安全等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)：從數(shù)據(jù)庫(kù)調(diào)取測(cè)評(píng)任務(wù)的記錄數(shù)據(jù)，依據(jù)得分計(jì)算公式計(jì)算得到測(cè)評(píng)分?jǐn)?shù)，然后將其顯示在測(cè)評(píng)得分管理頁(yè)面中，再由測(cè)評(píng)師更新任務(wù)狀態(tài)、填寫相關(guān)信息并最終導(dǎo)出等級(jí)保護(hù)報(bào)告。

3? 測(cè)評(píng)管理系統(tǒng)設(shè)計(jì)

3.1? 系統(tǒng)架構(gòu)設(shè)計(jì)

本文設(shè)計(jì)并實(shí)現(xiàn)的信息安全等級(jí)保護(hù)測(cè)評(píng)系統(tǒng)采取B/S架構(gòu)作為開發(fā)架構(gòu)便于用戶使用，只需要用戶主機(jī)登錄瀏覽器而無(wú)需安裝客戶端即可直接登錄系統(tǒng)；且本系統(tǒng)基于MVC的設(shè)計(jì)思想，將模型（后端）和視圖（前端）在開發(fā)過(guò)程中分離為獨(dú)立部分，便于開發(fā)人員的設(shè)計(jì)實(shí)現(xiàn)和維護(hù)。此外，系統(tǒng)使用PHP語(yǔ)言實(shí)現(xiàn)MVC模式框架。MVC架構(gòu)如圖1所示。

3.2? 系統(tǒng)模塊設(shè)計(jì)

依據(jù)本文第2章中等保測(cè)評(píng)方法研究開展系統(tǒng)模塊設(shè)計(jì)，可將系統(tǒng)分為3大模塊：測(cè)評(píng)標(biāo)準(zhǔn)庫(kù)模塊、管理模塊、業(yè)務(wù)模塊。

3.2.1? 測(cè)評(píng)標(biāo)準(zhǔn)庫(kù)模塊

測(cè)評(píng)標(biāo)準(zhǔn)庫(kù)模塊對(duì)我國(guó)出臺(tái)的等級(jí)保護(hù)標(biāo)準(zhǔn)文件進(jìn)行展示，以便系統(tǒng)使用人員查看等級(jí)保護(hù)標(biāo)準(zhǔn)相關(guān)文件，實(shí)現(xiàn)文件共享，提高協(xié)同效率。

3.2.2? 管理模塊

管理模塊包括人員添加、人員管理2大功能，其中人員管理功能中包括刪除人員和人員信息修改兩部分。管理模塊結(jié)構(gòu)如圖2所示。

系統(tǒng)管理員和機(jī)構(gòu)管理員角色具有人員添加的功能，并且機(jī)構(gòu)管理員只可以添加自身機(jī)構(gòu)的用戶角色。人員管理功能則由系統(tǒng)管理員和機(jī)構(gòu)管理員擁有，能夠?qū)θ藛T信息進(jìn)行刪除和修改操作，并且機(jī)構(gòu)管理員只能夠?qū)λ跍y(cè)評(píng)機(jī)構(gòu)的人員執(zhí)行該操作。

3.2.3? 業(yè)務(wù)模塊

業(yè)務(wù)模塊結(jié)構(gòu)圖如圖3所示。

測(cè)評(píng)流程部分包括測(cè)評(píng)對(duì)象添加、測(cè)評(píng)對(duì)象列表、測(cè)評(píng)記錄添加、測(cè)評(píng)記錄列表和測(cè)評(píng)得分計(jì)算功能，測(cè)評(píng)人員在測(cè)評(píng)過(guò)程中添加測(cè)評(píng)對(duì)象和測(cè)評(píng)記錄，系統(tǒng)根據(jù)測(cè)評(píng)人員添加的測(cè)評(píng)記錄計(jì)算得到測(cè)評(píng)得分。

測(cè)評(píng)任務(wù)管理部分包括測(cè)評(píng)任務(wù)列表、測(cè)評(píng)記錄列表、測(cè)評(píng)得分計(jì)算等功能，可以查看當(dāng)前已有測(cè)評(píng)任務(wù)列表并對(duì)測(cè)評(píng)任務(wù)進(jìn)行添加，根據(jù)測(cè)評(píng)流程子模塊中添加的測(cè)評(píng)記錄計(jì)算相應(yīng)得分，進(jìn)而查看當(dāng)前任務(wù)信息、測(cè)評(píng)完成情況和任務(wù)得分，最終從系統(tǒng)直接導(dǎo)出pdf或word格式的測(cè)評(píng)報(bào)告。

3.3? 數(shù)據(jù)庫(kù)設(shè)計(jì)

本系統(tǒng)采用MySQL數(shù)據(jù)庫(kù)，根據(jù)前文等級(jí)保護(hù)測(cè)評(píng)功能要求分析各數(shù)據(jù)表中所需字段并保證不同表之間的數(shù)據(jù)關(guān)聯(lián)性，數(shù)據(jù)庫(kù)E-R圖如圖4所示。主要包括以下內(nèi)容。

3.3.1? 測(cè)評(píng)機(jī)構(gòu)表

測(cè)評(píng)機(jī)構(gòu)表用于存儲(chǔ)可以對(duì)系統(tǒng)進(jìn)行測(cè)評(píng)的機(jī)構(gòu)。主要參數(shù)包括：機(jī)構(gòu)名稱、測(cè)評(píng)任務(wù)、管理員和測(cè)評(píng)師。

3.3.2? 測(cè)評(píng)人員表

測(cè)評(píng)人員表用于存儲(chǔ)和管理可參與測(cè)評(píng)的人員信息，主要參數(shù)包括：登錄賬號(hào)、登錄密碼、姓名、角色和所屬機(jī)構(gòu)。

3.3.3? 測(cè)評(píng)任務(wù)表

測(cè)評(píng)任務(wù)表用于存儲(chǔ)該系統(tǒng)的已建立任務(wù)，主要參數(shù)包括：任務(wù)編號(hào)、任務(wù)名稱、所屬機(jī)構(gòu)、創(chuàng)建時(shí)間、測(cè)評(píng)等級(jí)、負(fù)責(zé)人和任務(wù)狀態(tài)。

3.3.4? 測(cè)評(píng)記錄表

測(cè)評(píng)記錄表用于存儲(chǔ)該系統(tǒng)所有測(cè)評(píng)記錄信息，主要參數(shù)包括：對(duì)象任務(wù)編號(hào)、層面名稱、控制點(diǎn)名稱、測(cè)評(píng)項(xiàng)內(nèi)容、對(duì)應(yīng)測(cè)評(píng)對(duì)象、重要程度、符合程度、記錄結(jié)果和測(cè)評(píng)日期。

3.3.5? 測(cè)評(píng)對(duì)象表

測(cè)評(píng)對(duì)象表用于存儲(chǔ)測(cè)評(píng)對(duì)象的多種屬性，主要參數(shù)包括：對(duì)象描述、測(cè)評(píng)內(nèi)容、重要系數(shù)、對(duì)象名稱、對(duì)象所屬層面、所屬任務(wù)、備注。

3.3.6? 測(cè)評(píng)標(biāo)準(zhǔn)信息表

測(cè)評(píng)標(biāo)準(zhǔn)信息表用于存儲(chǔ)等保測(cè)評(píng)2.0規(guī)定的標(biāo)準(zhǔn)要求，主要參數(shù)包括：層面名稱、控制點(diǎn)名稱、測(cè)評(píng)等級(jí)、測(cè)評(píng)對(duì)象和測(cè)評(píng)內(nèi)容。

在得分計(jì)算頁(yè)面選擇要計(jì)算分?jǐn)?shù)的任務(wù)后，系統(tǒng)在數(shù)據(jù)庫(kù)中獲取該任務(wù)的測(cè)評(píng)記錄中的數(shù)據(jù)后根據(jù)公式計(jì)算出該任務(wù)的得分，顯示在頁(yè)面中，如圖5所示。然后系統(tǒng)會(huì)將此任務(wù)的得分顯示到測(cè)評(píng)任務(wù)管理模塊中的測(cè)評(píng)得分管理頁(yè)面中，最后由測(cè)評(píng)師更新任務(wù)狀態(tài)、填寫相關(guān)信息并導(dǎo)出等級(jí)保護(hù)報(bào)告，如圖6所示。

4? 測(cè)評(píng)管理系統(tǒng)實(shí)現(xiàn)與測(cè)試

4.1? 系統(tǒng)開發(fā)環(huán)境

本系統(tǒng)在Windows系統(tǒng)環(huán)境下運(yùn)行，便于后期維護(hù)、開發(fā)效率高的PHP語(yǔ)言作為開發(fā)語(yǔ)言，并使用了PHPthink5.0開發(fā)框架，同時(shí)使用MySQL數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)的存儲(chǔ)，利用FireFox瀏覽器進(jìn)行訪問(wèn)。整個(gè)項(xiàng)目開發(fā)平臺(tái)選用PHP集成開發(fā)工具PhpStorm實(shí)現(xiàn)。

4.2? 系統(tǒng)實(shí)現(xiàn)與測(cè)試

本系統(tǒng)為信息安全等級(jí)保護(hù)管理提供了統(tǒng)一、系統(tǒng)的測(cè)評(píng)管理平臺(tái)，便于其有效地完成信息安全保護(hù)測(cè)評(píng)的功能。

首先，測(cè)評(píng)師登錄系統(tǒng)，在測(cè)評(píng)任務(wù)管理模塊中添加測(cè)評(píng)任務(wù)，如圖7所示。然后輸入測(cè)評(píng)任務(wù)的編號(hào)、名稱和所屬機(jī)構(gòu)。接下來(lái)選擇創(chuàng)建時(shí)間和測(cè)評(píng)等級(jí)，其中測(cè)評(píng)等級(jí)分為二級(jí)、三級(jí)和四級(jí)。系統(tǒng)獲取信息后將其儲(chǔ)存在mysql數(shù)據(jù)庫(kù)中的hb_mission表中，再將信息回顯到測(cè)評(píng)任務(wù)列表中，如圖8所示。

測(cè)評(píng)任務(wù)添加成功后，測(cè)評(píng)師繼續(xù)在測(cè)評(píng)流程模塊中添加測(cè)評(píng)對(duì)象，如圖9所示。針對(duì)已有的任務(wù)，選擇測(cè)評(píng)對(duì)象的所屬層面、對(duì)象名稱和重要程度，其中重要程度分為一般、重要和關(guān)鍵3個(gè)級(jí)別，并注明對(duì)象類別，簡(jiǎn)要描述被測(cè)對(duì)象承載的業(yè)務(wù)功能等基本情況，以及被測(cè)對(duì)象安全技術(shù)情況和安全管理情況。系統(tǒng)獲取這些信息后將其儲(chǔ)存到數(shù)據(jù)庫(kù)中的hb_mission_object表中并將信息回顯到測(cè)評(píng)對(duì)象列表中，如圖10所示。

測(cè)評(píng)對(duì)象添加成功后，進(jìn)行測(cè)評(píng)工作。測(cè)評(píng)師在測(cè)評(píng)記錄添加頁(yè)面選擇已有的任務(wù)編號(hào)，并選擇對(duì)應(yīng)層面下的控制點(diǎn)下的測(cè)評(píng)項(xiàng)內(nèi)容，當(dāng)層面、控制點(diǎn)和測(cè)評(píng)項(xiàng)內(nèi)容選擇完成后，根據(jù)任務(wù)的測(cè)評(píng)等級(jí)其對(duì)應(yīng)的測(cè)評(píng)對(duì)象將是唯一確定的，因此系統(tǒng)將會(huì)在測(cè)評(píng)對(duì)象的hb_mission_object數(shù)據(jù)表中查詢?cè)搶?duì)象。如果此對(duì)象未被添加到系統(tǒng)中則會(huì)提示“添加測(cè)評(píng)記錄失敗，該測(cè)評(píng)任務(wù)下不存在該測(cè)評(píng)對(duì)象，請(qǐng)先添加測(cè)評(píng)對(duì)象”。因此在測(cè)評(píng)前需要先添加該測(cè)評(píng)對(duì)象。當(dāng)對(duì)已有測(cè)評(píng)對(duì)象進(jìn)行測(cè)評(píng)時(shí)，測(cè)評(píng)師需要根據(jù)此對(duì)象的實(shí)際情況，根據(jù)等保2.0安全通用要求權(quán)重賦值表輸入其重要程度并根據(jù)其符合程度選擇符合、部分符合或不符合，對(duì)應(yīng)的測(cè)評(píng)項(xiàng)得分為1分、0.5分和0分，最后注明記錄結(jié)果和測(cè)評(píng)日期。系統(tǒng)將這些獲取到的信息存儲(chǔ)到hb_record數(shù)據(jù)表中并將其回顯到測(cè)評(píng)記錄列表頁(yè)面供測(cè)評(píng)師查看，如圖11所示。

測(cè)評(píng)師在本系統(tǒng)中按照上述流程開展測(cè)評(píng)工作，與系統(tǒng)前后端數(shù)據(jù)多次交互，從而系統(tǒng)、規(guī)范地完成測(cè)評(píng)工作。

由于信息安全等級(jí)保護(hù)測(cè)評(píng)需要嚴(yán)格參考國(guó)家標(biāo)準(zhǔn)的信息安全等級(jí)保護(hù)第二級(jí)、三級(jí)、四級(jí)測(cè)評(píng)要求，包括對(duì)應(yīng)層面下控制點(diǎn)的測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象和測(cè)評(píng)實(shí)施要求，本系統(tǒng)特別設(shè)置了一個(gè)標(biāo)準(zhǔn)信息管理模塊。由系統(tǒng)管理員在此模塊里的標(biāo)準(zhǔn)信息添加頁(yè)面中，按照國(guó)家標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)文件添加層面名稱、控制點(diǎn)名稱、測(cè)評(píng)等級(jí)、測(cè)評(píng)對(duì)象和測(cè)評(píng)內(nèi)容。系統(tǒng)將這些信息存到db_standard數(shù)據(jù)表中并回顯到標(biāo)準(zhǔn)信息列表供管理員查看，并且提供檢索信息功能方便管理員進(jìn)行信息的檢索添加功能，如圖12所示。

為了生成等級(jí)保護(hù)pdf報(bào)告，本系統(tǒng)采用mpdf技術(shù)將數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息和測(cè)評(píng)師填寫的信息導(dǎo)入到靜態(tài)文件html，從而生成pdf等級(jí)保護(hù)報(bào)告。由用戶在測(cè)評(píng)得分管理頁(yè)面點(diǎn)擊“導(dǎo)出報(bào)告[pdf]”或“導(dǎo)出報(bào)告[word]”即可下載得到等級(jí)保護(hù)報(bào)告。

5? 結(jié)束語(yǔ)

本文從標(biāo)準(zhǔn)分析、系統(tǒng)設(shè)計(jì)、關(guān)鍵技術(shù)的設(shè)計(jì)與實(shí)現(xiàn)幾個(gè)方面詳細(xì)介紹了本系統(tǒng)的開發(fā)過(guò)程，重點(diǎn)闡述了本系統(tǒng)的模塊劃分、應(yīng)用方式及關(guān)鍵技術(shù)。本文基于等保2.0標(biāo)準(zhǔn)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)信息安全等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)。本系統(tǒng)能夠?qū)崿F(xiàn)等級(jí)保護(hù)測(cè)評(píng)過(guò)程中的測(cè)評(píng)任務(wù)管理，生成測(cè)評(píng)報(bào)告，并提供人員管理功能。相比于傳統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)管理方式，本系統(tǒng)能夠幫助測(cè)評(píng)人員更好地計(jì)算測(cè)評(píng)得分，降低了由于不同人員計(jì)算偏差導(dǎo)致的結(jié)果不準(zhǔn)確，并且測(cè)評(píng)人員能夠?qū)С鰷y(cè)評(píng)任務(wù)報(bào)告，大大減輕了撰寫報(bào)告的難度。通過(guò)可視化、交互式、友好的用戶界面，實(shí)現(xiàn)了測(cè)評(píng)數(shù)據(jù)的直觀展示、動(dòng)態(tài)調(diào)整、快速反饋，提升了系統(tǒng)的易用性并降低了測(cè)評(píng)機(jī)構(gòu)對(duì)測(cè)評(píng)結(jié)果的管理難度，幫助企業(yè)有效實(shí)施等級(jí)保護(hù)測(cè)評(píng)管理。

參考文獻(xiàn)：

[1] 夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M].北京：電子工業(yè)出版社，2017.

[2] 趙力.網(wǎng)絡(luò)安全法[M].西安：西安電子科技大學(xué)出版社，2020.

[3] 龍柳行海.淺析新時(shí)代基層央行等級(jí)保護(hù)工作[J].金融科技時(shí)代，2020（7）：76-78.

[4] 金金.基于等保2.0標(biāo)準(zhǔn)的企業(yè)網(wǎng)絡(luò)安全管理應(yīng)對(duì)研究[J].網(wǎng)絡(luò)空間安全，2022，13（4）：7-11.

[5] 趙少飛.淺談等保測(cè)評(píng)中企業(yè)面臨的安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（10）：98-99.

[6] 馬玉州.等保2.0時(shí)代普通高校等級(jí)保護(hù)工作實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021，247（7）：97-98.

[7] 吳寶琦，李若琛.信息網(wǎng)絡(luò)安全等保建設(shè)的思考[J].信息系統(tǒng)工程，2023（1）：125-127.

[8] 張煒，宋海萍，袁博.等保2.0要求下的城軌云內(nèi)部管理網(wǎng)信息系統(tǒng)安全管理工作的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（9）：113-114.

[9] 石安，張卓若，代立云.基于B/S架構(gòu)的實(shí)時(shí)系統(tǒng)建模驗(yàn)證工具[J].計(jì)算機(jī)應(yīng)用與軟件，2022，39（10）：11-17，34.

[10] 公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室.信息安全等級(jí)保護(hù)管理辦法[Z].2007-06-22.

[11] 馬力，陳廣勇，祝國(guó)邦.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0國(guó)家標(biāo)準(zhǔn)解讀[J].保密科學(xué)技術(shù)，2019，6（7）：14-19.

[12] 全國(guó)信息與文獻(xiàn)標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：GB/T 22239—2019[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[13] 王國(guó)麗.論網(wǎng)絡(luò)安全等級(jí)保護(hù)的演變及主要變化[J].數(shù)字通信世界，2022（2）：91-93.