【正文】 F 8 . 1 漏洞查詢條件F 9 . 1 漏洞查詢結(jié)果漏洞D 3業(yè)務(wù)管理部門 資產(chǎn)維護(hù)部門F 1 6 . 1 漏洞查詢條件F 1 7 . 1 漏洞查詢結(jié)果F 2 1 . 1漏洞查詢條件F 2 2 . 1漏洞查詢結(jié)果圖 信息安全管理系統(tǒng) DFD 細(xì)節(jié)圖(B) Information security management system DFD detail map(B)補(bǔ)丁導(dǎo)入處理查詢處理信息安全管理部門F 3 補(bǔ)丁信息F 8 . 2 補(bǔ)丁查詢條件F 9 . 2 補(bǔ)丁查詢結(jié)果補(bǔ)丁D 4業(yè)務(wù)管理部門 資產(chǎn)維護(hù)部門F 1 6 . 2 補(bǔ)丁查詢條件F 1 7 . 2 補(bǔ)丁查詢結(jié)果F 2 1 . 2補(bǔ)丁查詢條件F 2 2 . 2補(bǔ)丁查詢結(jié)果圖 信息安全管理系統(tǒng) DFD 細(xì)節(jié)圖（C） Information security management system DFD detail map(C)病毒導(dǎo)入處理查詢處理信息安全管理部門F 4 病毒信息F 8 . 3 病毒查詢條件F 9 . 3 病毒查詢結(jié)果病毒D 5業(yè)務(wù)管理部門 資產(chǎn)維護(hù)部門F 1 6 . 3 病毒查詢條件F 1 7 . 3 病毒查詢結(jié)果F 2 1 . 3病毒查詢條件F 2 2 . 3病毒查詢結(jié)果圖 信息安全管理系統(tǒng) DFD 細(xì)節(jié)圖（D） Information security management system DFD detail map(D)專欄導(dǎo)入處理查詢處理信息安全管理部門F 5 專欄信息F 8 . 4 專欄查詢條件F 9 . 4 專欄查詢結(jié)果專欄D 6業(yè)務(wù)管理部門 資產(chǎn)維護(hù)部門F 1 6 . 4 專欄查詢條件F 1 7 . 4 專欄查詢結(jié)果F 2 1 . 4專欄查詢條件F 2 2 . 4專欄查詢結(jié)果圖 信息安全管理系統(tǒng) DFD 細(xì)節(jié)圖（E） Information security management system DFD detail map(E) 數(shù)據(jù)字典描述本系統(tǒng)數(shù)據(jù)流圖中，數(shù)據(jù)項(xiàng)“資產(chǎn)代碼”的數(shù)據(jù)元素如表 ： 數(shù)據(jù)項(xiàng) “資產(chǎn)代碼”數(shù)據(jù)元素 The table for data item‘a(chǎn)sset code’data element數(shù)據(jù)元素系統(tǒng)名：信息安全管理系統(tǒng) 編號(hào)：條目名：資產(chǎn)代碼 別名：資產(chǎn)編碼屬于數(shù)據(jù)流：F12 存儲(chǔ)處：資產(chǎn)表數(shù)據(jù)元素值：代碼類型：字符型 取值范圍：字母、數(shù)字、下劃線長(zhǎng)度：4 意義：簡(jiǎn)要說明：每個(gè)資產(chǎn)都有一個(gè)唯一的資產(chǎn)代碼。編寫：葉花 日期：2022/11/01修改記錄：審核：葉花 日期 ：2022/11/01本系統(tǒng)數(shù)據(jù)流圖中， “漏洞導(dǎo)入處理”的數(shù)據(jù)流數(shù)據(jù)加工處理卡片如表 ：表 數(shù)據(jù)項(xiàng) “漏洞導(dǎo)入處理”數(shù)據(jù)加工 The table for data item‘hole lead in manage ’data process數(shù)據(jù)加工系統(tǒng)名：信息安全管理系統(tǒng) 編號(hào)：條目名：漏洞導(dǎo)入處理 別名： 輸入：漏洞信息 輸出：漏洞簡(jiǎn)要說明：將漏洞信息從已經(jīng)生成的 XML 文件中導(dǎo)入數(shù)據(jù)庫中。 漏洞的導(dǎo)入獲取漏洞代碼；獲取漏洞名稱；獲取漏洞嚴(yán)重性；獲取影響平臺(tái)；獲取簡(jiǎn)要描述；獲取詳細(xì)描述；獲取是否審核；獲取審核日期；將漏洞信息存入數(shù)據(jù)庫。漏洞庫 對(duì)漏洞信息進(jìn)行導(dǎo)入、查看、搜索、列表、審核操作，對(duì)補(bǔ)丁信息進(jìn)行導(dǎo)入、查看、列表、審核的操作。輸入： 輸出：漏洞信息、補(bǔ)丁信息、漏洞查詢條件、審核信息漏洞查詢結(jié)果、審核結(jié)果處理內(nèi)容：如要搜索漏洞信息，調(diào)用搜索漏洞模塊；如要更新漏洞庫信息，調(diào)用更新漏洞庫模塊；如要上傳漏洞信息更新數(shù)據(jù)包，調(diào)用上傳漏洞信息更新數(shù)據(jù)包模塊；如要審核漏洞信息，調(diào)用審核漏洞模塊；如要審核補(bǔ)丁信息，調(diào)用審核補(bǔ)丁模塊；如要上傳補(bǔ)丁信息更新數(shù)據(jù)包，調(diào)用上傳補(bǔ)丁信息更新數(shù)據(jù)包模塊安全事件模塊的功能是進(jìn)行工單管理、關(guān)鍵字管理和事件管理。有屬性資產(chǎn)代碼、資產(chǎn)名稱、資產(chǎn)描述、完整性賦值、可用性賦值、機(jī)密性賦值、資產(chǎn)價(jià)值。每個(gè)漏洞都有一個(gè)唯一的代碼，所以直接使用它作為這個(gè)實(shí)體的主鍵。（4）補(bǔ)丁實(shí)體補(bǔ)丁代碼 補(bǔ)丁描述審核日期是否審核補(bǔ)丁補(bǔ)丁明細(xì)圖 補(bǔ)丁實(shí)體圖 Mend entity map實(shí)體補(bǔ)丁，在資產(chǎn)中打補(bǔ)丁以避免漏洞引起的風(fēng)險(xiǎn)，用來存放補(bǔ)丁代碼、描述信息。有屬性病毒代碼、病毒名稱、病毒別名、病毒類型、如何除去、影響的平臺(tái)、是否加密、破壞性、是否審核、審核日期。每個(gè)用戶都有一個(gè)唯一的號(hào)，所以直接使用它作為這個(gè)實(shí)體的主鍵。（8）訪問權(quán)限實(shí)體 權(quán)限代碼權(quán)限權(quán)限描述圖 訪問權(quán)限實(shí)體圖 Visit privilege entity map實(shí)體權(quán)限，用戶對(duì)資產(chǎn)的訪問是有權(quán)限的限制的，存放權(quán)限代碼、描述信息。每個(gè)工單都有一個(gè)唯一的號(hào)，所以直接使用它作為這個(gè)實(shí)體的主鍵。漏洞和補(bǔ)丁之間是 1 : N 聯(lián)系，一個(gè)漏洞可以有多個(gè)補(bǔ)丁可以彌補(bǔ)，而一個(gè)補(bǔ)丁只能彌補(bǔ)一個(gè)漏洞。一個(gè)資產(chǎn)可以有多種威脅，一種威脅可以存在與多個(gè)不同的資產(chǎn)中。而多個(gè)工單可以分配個(gè)同一個(gè)用戶，創(chuàng)建人也可以是同一個(gè)，監(jiān)督者也可以是同一個(gè)。 計(jì)算機(jī)系統(tǒng)方案的選擇硬件：采用 HP NetServer LH3000 服務(wù)器處理器： 2 個(gè) Intel Pentium III 933MHz 或 1GHz 處理器，前端總線均為133MHz高速緩存：內(nèi)置 256KB 回寫式高速緩存ECC 內(nèi)存：2GB 高性能 PC133 ECC SDRAM控制器：集成雙通道 RAID 磁盤陣列控制器，帶 128MB 高速緩存和可選電池備份集成雙通道 Ultra2 SCSI 控制器 7200rpm Ultra2 SCSI 硬盤驅(qū)動(dòng)器 4 個(gè)網(wǎng)絡(luò)接口：集成 10/100TX 網(wǎng)卡。第五章 系統(tǒng)實(shí)現(xiàn)系統(tǒng)實(shí)現(xiàn)包括詳細(xì)設(shè)計(jì)和程序設(shè)計(jì)兩個(gè)部分。 數(shù)據(jù)庫中表的詳細(xì)描述邏輯結(jié)構(gòu)設(shè)計(jì)的任務(wù)就是把基本 ER 圖轉(zhuǎn)換為與選用的具體機(jī)器上的數(shù)據(jù)庫管理系統(tǒng)產(chǎn)品所支持的數(shù)據(jù)模型相符合的邏輯結(jié)構(gòu)。在程序設(shè)計(jì)中，將軟件的過程性描述翻譯成用選定的程序設(shè)計(jì)語言書寫的源程序。為了防范公司以外的非法人員破壞信息系統(tǒng)的運(yùn)行，或非法使用信息資源，對(duì)信息系統(tǒng)采用的安全保護(hù)措施除了物理上的安全措施外，系統(tǒng)的技術(shù)措施主要是口令設(shè)置，對(duì)用戶的合法身份進(jìn)行確認(rèn)和校驗(yàn)。（10）角色與訪問權(quán)限之間的關(guān)系：角色號(hào)，權(quán)限代碼（11）用戶、角色和資產(chǎn)之間的關(guān)系：用戶號(hào)，角色號(hào)，資產(chǎn)代碼（12）資產(chǎn)與病毒之間的關(guān)系：資產(chǎn)代碼，病毒號(hào)，狀態(tài)，發(fā)現(xiàn)日期（13）資產(chǎn)、漏洞和威脅之間的關(guān)系：資產(chǎn)代碼，漏洞代碼，威脅號(hào)，嚴(yán)重程度，可能性，影響度，風(fēng)險(xiǎn)值，狀態(tài)。資產(chǎn)與工單之間是 1：N 的關(guān)系，針對(duì)一個(gè)資產(chǎn)可以創(chuàng)建多個(gè)工單，但一個(gè)工單只能在一個(gè)資產(chǎn)上創(chuàng)建。資產(chǎn)、漏洞和威脅是一個(gè)三元聯(lián)系 M : N : P，一個(gè)資產(chǎn)可以有多個(gè)漏洞，一個(gè)漏洞可以存在于多個(gè)不同的資產(chǎn)中。用戶、角色和資產(chǎn)之間是一個(gè)三元聯(lián)系 M : N : P，一個(gè)用戶可以具有多個(gè)不同的角色，一個(gè)角色可以被不同的用戶所具有，一個(gè)用戶可訪問多個(gè)資產(chǎn)，而一個(gè)資產(chǎn)可以被多個(gè)用戶訪問，一個(gè)角色可以對(duì)應(yīng)多個(gè)資產(chǎn)，而一個(gè)資產(chǎn)也可以對(duì)應(yīng)多個(gè)角色。每個(gè)權(quán)限都有一個(gè)唯一的代碼，所以直接使用它作為這個(gè)實(shí)體的主鍵。有屬性角色號(hào)、角色名稱、角色描述。（6）用戶實(shí)體用戶號(hào) 用戶標(biāo)識(shí)所屬部門狀態(tài)是否管理員手機(jī)號(hào)碼用戶用戶口令E M A I L 地址用戶名稱圖 用戶實(shí)體圖 User entity map實(shí)體用戶，以某身份登陸系統(tǒng)，對(duì)某資產(chǎn)來講，他屬于某種角色，存放用戶號(hào)、用戶標(biāo)識(shí)、用戶口令、用戶真實(shí)姓名、EMAIL 地址、手機(jī)號(hào)碼、是否管理員等信息。每個(gè)補(bǔ)丁都有一個(gè)唯一的代碼，所以直接使用它作為這個(gè)實(shí)體的主鍵。有屬性威脅號(hào)、威脅描述。（2）漏洞實(shí)體漏洞代碼 漏洞名稱影響平臺(tái)審核日期是否審核詳細(xì)描述簡(jiǎn)要描述漏洞嚴(yán)重性圖 漏洞實(shí)體圖 Hole entity map實(shí)體漏洞，是資產(chǎn)中存在的漏洞，用來存放漏洞代碼、名稱、嚴(yán)重程度、廠商標(biāo)記、影響的平臺(tái)等信息。表 病毒管理模塊 IPO 圖 The table for virus management module IPO mapIPO 圖系統(tǒng)名：信息安全管理系統(tǒng) 制圖者：葉花模塊圖：病毒管理 日期：由下列模塊調(diào)用： 調(diào)用下列模塊：主模塊 導(dǎo)入病毒、搜索病毒、審核病毒、查看病毒詳細(xì)信息輸入： 輸出：病毒信息、病毒查詢條件、審核信息 病毒查詢結(jié)果、審核結(jié)果處理內(nèi)容：如要導(dǎo)入病毒，調(diào)用導(dǎo)入病毒模塊；如要搜索病毒信息，調(diào)用搜索病毒模塊；如要審核病毒，調(diào)用審核病毒模塊；如要查看病毒詳細(xì)信息，調(diào)用查看病毒詳細(xì)信息模塊；系統(tǒng)管理模塊的功能是對(duì)用戶管理、角色管理、日志管理、參數(shù)管理、專欄管理、禁忌詞管理等。表 資產(chǎn)管理模塊 IPO 圖 The table for asset management module IPO mapIPO 圖系統(tǒng)名：信息安全管理系統(tǒng) 制圖者：葉花模塊圖：資產(chǎn)管理 日期：由下列模塊調(diào)用： 調(diào)用下列模塊：主模塊 新建資產(chǎn)、刪除資產(chǎn)、修改資產(chǎn)、查詢資產(chǎn)、停用資產(chǎn)、設(shè)置資產(chǎn)訪問權(quán)限、設(shè)置資產(chǎn)輔管理員輸入： 輸出：資產(chǎn)信息、資產(chǎn)查詢條件、庫中的用戶、角色、權(quán)限信息資產(chǎn)查詢結(jié)果、權(quán)限設(shè)置信息處理內(nèi)容：如要新建資產(chǎn)信息，調(diào)用新建資產(chǎn)模塊；如要?jiǎng)h除資產(chǎn)信息，調(diào)用刪除資產(chǎn)模塊；如要修改資產(chǎn)信息，調(diào)用修改資產(chǎn)模塊；如要查詢資產(chǎn)信息，調(diào)用查詢資產(chǎn)模塊；如要停用資產(chǎn)信息，調(diào)用停用資產(chǎn)模塊；如要設(shè)置資產(chǎn)訪問權(quán)限信息，調(diào)用設(shè)置資產(chǎn)訪問權(quán)限模塊漏洞庫模塊的功能是對(duì)漏洞、補(bǔ)丁信息進(jìn)行導(dǎo)入、查詢、審核等操作。第 4 章 系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì) 軟件模塊結(jié)構(gòu)設(shè)計(jì) 模塊結(jié)構(gòu)圖根據(jù)系統(tǒng)分析的結(jié)果，按照結(jié)構(gòu)化的系統(tǒng)設(shè)計(jì)方法，信息安全管理系統(tǒng)從功能上可分成：資產(chǎn)管理子系統(tǒng)、漏洞庫子系統(tǒng)、風(fēng)險(xiǎn)管理子系統(tǒng)、安全事件子系統(tǒng)、安全專欄子系統(tǒng)、病毒管理子系統(tǒng)、統(tǒng)計(jì)分析子系統(tǒng)、系統(tǒng)管理子系統(tǒng)。簡(jiǎn)要說明：該部門的用戶負(fù)責(zé)資產(chǎn)的錄入、工單的創(chuàng)建等。簡(jiǎn)要說明：一個(gè)資產(chǎn)條目。綜上所述，本系統(tǒng)的開發(fā)是可行的。（3）操作可行性該系統(tǒng)為 B/S 結(jié)構(gòu)，操作在瀏覽器中進(jìn)行，用戶界面友好，只要具備基本的計(jì)算機(jī)知識(shí)的人，略加培訓(xùn)即可熟練使用。信息安全風(fēng)險(xiǎn)所帶來的危害減少所獲得的效益。（2）經(jīng)濟(jì)可行性開辦費(fèi)用：項(xiàng)目咨詢費(fèi)用、設(shè)備費(fèi)用、安裝費(fèi)用、操作系統(tǒng)軟件費(fèi)用、開辦人員費(fèi)用，管理費(fèi)用。這樣只要有網(wǎng)絡(luò)連通的條件，在廣域范圍內(nèi)均可實(shí)現(xiàn)信息安全管理。（2）考慮大型企業(yè)的需求，企業(yè)在全國(guó)各地都有其分公司或辦公場(chǎng)所，每個(gè)分公司都有其管理員進(jìn)行信息安全的管理，他受總公司管理員的管理，系統(tǒng)支持在廣域范圍的網(wǎng)絡(luò)上進(jìn)行管理。 業(yè)務(wù)流程圖信息安全管理系統(tǒng)業(yè)務(wù)流程圖的符號(hào)說明如下：圖 業(yè)務(wù)流程圖的符號(hào)說明 The explain for the symbol of the operation flow chart信息安全管理系統(tǒng)業(yè)務(wù)流程圖如圖 ：信息安全管理人員掃描 、 下載 發(fā)布漏洞 、 補(bǔ)丁 、病毒信息信息的導(dǎo)入安全專欄信息漏洞列表補(bǔ)丁列表病毒列表報(bào)表資產(chǎn)管理人員創(chuàng)建工單處理結(jié)果 接受 、 處理工單資產(chǎn)維護(hù)人員圖 業(yè)務(wù)流程圖 Operation flow chart外部環(huán)境物或單據(jù) 物流或數(shù)據(jù)流數(shù)據(jù)存儲(chǔ)處理 現(xiàn)行系統(tǒng)存在的主要問題分析目前信息安全的管理主要依靠電子公告欄和電子郵件，其內(nèi)容均需要管理人員錄入，由于信息量大，并且有大量的重復(fù)信息，錄入的工作量也就可想而知，另外，工單須選擇適當(dāng)?shù)娜诉x來處理，因資產(chǎn)眾多，某資產(chǎn)的維護(hù)人員需查清單才可知道，操作比較復(fù)雜。 信息安全管理人員使用 Inter scanner、Database scanner、System scanner 等掃描工具來掃描業(yè)務(wù)系統(tǒng)中的主機(jī)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫，并以一定的形式（如數(shù)據(jù)庫表的形式）在計(jì)算機(jī)中將掃描結(jié)果保存下來；從互連網(wǎng)上指定的 URL下載最新發(fā)生的病毒信息。病毒管理：對(duì)病毒信息進(jìn)行搜索，下載，審核等操作。漏洞庫管理：對(duì)漏洞庫進(jìn)行更新、查詢、審核等操作，對(duì)補(bǔ)丁信息進(jìn)行更新、審核、查詢的操作。這樣大大減輕了各子公司、部門的安全管理人員的工作負(fù)荷。實(shí)踐證明，信息安全的管理是一項(xiàng)十分繁瑣的工作，舉一個(gè)簡(jiǎn)單的例子，當(dāng)公司的信息安全管理人員得知系統(tǒng)中的漏洞后，要通知企業(yè)中各部門，各子公司的安全管理人員進(jìn)行補(bǔ)丁的下載，給企業(yè)中使用該系統(tǒng)存在該漏洞的所有計(jì)算機(jī)系統(tǒng)打上補(bǔ)丁程序。他們所采取的方法大同小異，比如安裝防火墻來抵御黑客攻擊，安裝殺毒軟件來抵抗病毒的侵襲，定期地更新其升級(jí)包，定期地查閱、下載最新的漏洞、病毒信息，為計(jì)算機(jī)軟件系統(tǒng)下載并安裝相應(yīng)的補(bǔ)丁，防止計(jì)算機(jī)系統(tǒng)受到攻擊。如今的計(jì)算機(jī)系統(tǒng)中存在著眾多的漏洞，有已經(jīng)發(fā)現(xiàn)的，有還未發(fā)現(xiàn)的，互連網(wǎng)上也經(jīng)常有不法分子散播病毒、木馬等有害程序，從而對(duì)計(jì)算機(jī)系統(tǒng)造成危害，企業(yè)面臨著各種各樣的信息安全的風(fēng)險(xiǎn)，計(jì)算機(jī)系統(tǒng)一旦遭受侵襲，企業(yè)將會(huì)受到無法估計(jì)的損失。第三部分對(duì)系統(tǒng)的邏輯方案，數(shù)據(jù)流圖，數(shù)據(jù)字典進(jìn)行