【文章內(nèi)容簡介】 析 系 統(tǒng) 管 理查 詢 資 產(chǎn)修 改 資 產(chǎn)刪 除 資 產(chǎn)新 建 資 產(chǎn)設(shè) 置 資 產(chǎn) 輔 管理 員設(shè) 置 資 產(chǎn) 訪 問權(quán) 限停 用 資 產(chǎn)審 核 漏 洞上 傳 漏 洞 信 息更 新 數(shù) 據(jù) 包更 新 漏 洞 庫搜 索 漏 洞上 傳 補(bǔ) 丁 信 息更 新 數(shù) 據(jù) 包審 核 補(bǔ) 丁補(bǔ) 丁 列 表查 看 掃 描 結(jié) 果導(dǎo) 入 掃 描 結(jié) 果查 看 工 單創(chuàng) 建 工 單接 受 工 單查 看 處 理 歷 史處 理 工 單審 核 文 章發(fā) 表 文 章查 詢 安 全 月 刊搜 索 病 毒導(dǎo) 入 病 毒查 看 病 毒 詳 細(xì)信 息審 核 病 毒資 產(chǎn) 漏 洞 統(tǒng) 計(jì)分 析資 產(chǎn) 列 表 統(tǒng) 計(jì)分 析信 息 安 全 風(fēng) 險(xiǎn)統(tǒng) 計(jì) 分 析資 產(chǎn) 所 受 威 脅統(tǒng) 計(jì)安 全 事 件 統(tǒng) 計(jì)分 析參 數(shù) 管 理日 志 管 理角 色 管 理用 戶 管 理設(shè) 置 審 核 策 略禁 忌 詞 管 理專 欄 管 理圖 各功能模塊結(jié)構(gòu)圖 Apiece function module fabric map本信息系統(tǒng)的功能可分八個模塊：資產(chǎn)管理：對資產(chǎn)進(jìn)行新增、刪除、修改、查詢、訪問權(quán)限的設(shè)置等。漏洞庫管理：對漏洞庫進(jìn)行更新、查詢、審核等操作，對補(bǔ)丁信息進(jìn)行更新、審核、查詢的操作。風(fēng)險(xiǎn)管理：對掃描作業(yè)和掃描結(jié)果的導(dǎo)入，從中抽取威脅信息進(jìn)行管理。安全事件：進(jìn)行工單管理、關(guān)鍵字管理和事件管理。安全專欄：安全信息的發(fā)布，瀏覽，審核操作。病毒管理：對病毒信息進(jìn)行搜索，下載，審核等操作。統(tǒng)計(jì)分析：各種數(shù)據(jù)的統(tǒng)計(jì)，報(bào)表的打印。系統(tǒng)管理：用戶管理、角色管理、日志管理、參數(shù)管理、專欄管理、禁忌詞管理等。下圖是涉及本系統(tǒng)的組織結(jié)構(gòu)圖：集團(tuán)公司信息安全管理部門 業(yè)務(wù)管理部門數(shù)據(jù)庫管理員 系統(tǒng)管理員北京分公司浙江分公司系統(tǒng)管理員 系統(tǒng)管理員 … … … …業(yè)務(wù)管理部門資產(chǎn)維護(hù)部門信息安全管理部門 業(yè)務(wù)管理部門資產(chǎn)維護(hù)部門信息安全管理部門圖 組織結(jié)構(gòu)圖 Organize fabric map第 2 章 系統(tǒng)需求分析 現(xiàn)行業(yè)務(wù)系統(tǒng)描述現(xiàn)行的信息安全管理業(yè)務(wù)主要以電子郵件和電子公告欄 BBS 的形式來進(jìn)行管理的，管理的過程和結(jié)果以文檔的形式保存，業(yè)務(wù)和人員的管理比較松散，管理上的漏洞比較多，工作繁重，信息安全很難保證。 信息安全管理人員使用 Inter scanner、Database scanner、System scanner 等掃描工具來掃描業(yè)務(wù)系統(tǒng)中的主機(jī)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫，并以一定的形式（如數(shù)據(jù)庫表的形式）在計(jì)算機(jī)中將掃描結(jié)果保存下來；從互連網(wǎng)上指定的 URL下載最新發(fā)生的病毒信息。 逐一查看數(shù)據(jù)庫表中的內(nèi)容，對每一個掃描作業(yè)中的漏洞和補(bǔ)丁的信息進(jìn)行審核，將必要的信息以電子公告欄告知或電子郵件的形式發(fā)送給每一個資產(chǎn)管理員。 審核每一個病毒的信息，將必要的信息以電子公告欄告知或電子郵件的形式發(fā)送給每一個資產(chǎn)管理員。 每一個資產(chǎn)管理員及時地查看電子公告欄并接收電子郵件，按照電子公告欄和電子郵件中的指示給計(jì)算機(jī)以適當(dāng)?shù)奶幚恚韵畔踩[患。 業(yè)務(wù)流程圖信息安全管理系統(tǒng)業(yè)務(wù)流程圖的符號說明如下：圖 業(yè)務(wù)流程圖的符號說明 The explain for the symbol of the operation flow chart信息安全管理系統(tǒng)業(yè)務(wù)流程圖如圖 ：信息安全管理人員掃描 、 下載 發(fā)布漏洞 、 補(bǔ)丁 、病毒信息信息的導(dǎo)入安全專欄信息漏洞列表補(bǔ)丁列表病毒列表報(bào)表資產(chǎn)管理人員創(chuàng)建工單處理結(jié)果 接受 、 處理工單資產(chǎn)維護(hù)人員圖 業(yè)務(wù)流程圖 Operation flow chart外部環(huán)境物或單據(jù) 物流或數(shù)據(jù)流數(shù)據(jù)存儲處理 現(xiàn)行系統(tǒng)存在的主要問題分析目前信息安全的管理主要依靠電子公告欄和電子郵件，其內(nèi)容均需要管理人員錄入，由于信息量大，并且有大量的重復(fù)信息，錄入的工作量也就可想而知，另外，工單須選擇適當(dāng)?shù)娜诉x來處理，因資產(chǎn)眾多，某資產(chǎn)的維護(hù)人員需查清單才可知道，操作比較復(fù)雜。這樣造成了工作量大卻信息提供不及時，準(zhǔn)確性差，由于現(xiàn)行的管理方式的種種不便和局限，考慮開發(fā)一個信息安全管理系統(tǒng)將整個業(yè)務(wù)流程管理起來，使得管理信息準(zhǔn)確及時，杜絕因信息管理不善的原因而造成不必要的損失。 關(guān)鍵技術(shù)及難點(diǎn)鑒于目前的企業(yè)對信息安全管理系統(tǒng)的需求與實(shí)際情況，本系統(tǒng)方案的重點(diǎn)放在系統(tǒng)的設(shè)計(jì)上，本信息安全管理系統(tǒng)實(shí)現(xiàn)以下幾項(xiàng)功能：系統(tǒng)登錄后，用戶、角色、業(yè)務(wù)系統(tǒng)、資產(chǎn)等情況的輸入、修改和查詢；漏洞、補(bǔ)丁和病毒信息的導(dǎo)入、審核；專欄的創(chuàng)建，文章的輸入；工單的創(chuàng)建，查看，接受，處理；各類數(shù)據(jù)的統(tǒng)計(jì)以及報(bào)表的打印，等等。同時系統(tǒng)還要具備以下幾方面的要求：（1）對每個用戶的權(quán)限進(jìn)行有效的管理，不同角色的用戶具有不同的操作權(quán)限，可以進(jìn)行何種操作，不可以進(jìn)行何種操作都有明確的規(guī)定。（2）考慮大型企業(yè)的需求，企業(yè)在全國各地都有其分公司或辦公場所，每個分公司都有其管理員進(jìn)行信息安全的管理，他受總公司管理員的管理，系統(tǒng)支持在廣域范圍的網(wǎng)絡(luò)上進(jìn)行管理。（3）考慮系統(tǒng)的跨平臺性，對各種數(shù)據(jù)庫的支持。 解決方案（1）開發(fā)權(quán)限管理模塊，考慮到各公司的組織機(jī)構(gòu)的不同，系統(tǒng)對用戶、角色、及對任一資源的訪問權(quán)限均可定制，從而實(shí)現(xiàn)不同用戶具有指定的權(quán)限。（2）本系統(tǒng)采用 B/S 的架構(gòu)，在服務(wù)器端使用 JAVA 語言編制功能模塊，實(shí)現(xiàn)訪問數(shù)據(jù)庫以及與前臺的 JSP+STRUTS 進(jìn)行交互；在客戶端只需要網(wǎng)絡(luò)瀏覽器即可實(shí)現(xiàn)管理的操作。這樣只要有網(wǎng)絡(luò)連通的條件，在廣域范圍內(nèi)均可實(shí)現(xiàn)信息安全管理。（3）本系統(tǒng)使用 JAVA 語言作為開發(fā)工具，實(shí)現(xiàn)其跨平臺性，系統(tǒng)可以方便地從 WINDOWS 操作系統(tǒng)移植到 UNIX/LINUX 操作系統(tǒng)；采用 JDBC（Java DataBase Connectivity）數(shù)據(jù)庫連接的方法，支持 JDBC 的數(shù)據(jù)庫管理系統(tǒng)都可以作為其后臺數(shù)據(jù)庫，由于 JDBC 的數(shù)據(jù)庫連接技術(shù)屏蔽掉了后臺數(shù)據(jù)庫的差異，當(dāng)數(shù)據(jù)處理要求提高時，我們可以相對容易地將數(shù)據(jù)庫升級為處理能力更強(qiáng)的數(shù)據(jù)庫管理系統(tǒng)，如 oracle 數(shù)據(jù)庫等。程序中使用 SQL 語言，用來執(zhí)行各種操作，語句數(shù)目比較少，由系統(tǒng)來進(jìn)行查詢優(yōu)化，效率相對較高，而且不易出錯。 可行性分析和決策（1） 技術(shù)可行性公司在全國范圍內(nèi)已具備辦公大樓，有良好的網(wǎng)絡(luò)布線系統(tǒng)以及專線接入互連網(wǎng)的優(yōu)越條件，各分公司辦公大樓的內(nèi)部局域網(wǎng)也已比較完善；本信息管理系統(tǒng)選用 MSSQLServer2022 作為后臺數(shù)據(jù)庫存放數(shù)據(jù)，位于后臺的 JAVA 程序使用JDBC 數(shù)據(jù)庫連接技術(shù)來訪問數(shù)據(jù)庫，前臺的 JSP 配合 STRUTS TAG 可以方便地與后臺的 JAVA 程序進(jìn)行數(shù)據(jù)的交互，且使得用戶可以在頁面上瀏覽和操作。（2）經(jīng)濟(jì)可行性開辦費(fèi)用：項(xiàng)目咨詢費(fèi)用、設(shè)備費(fèi)用、安裝費(fèi)用、操作系統(tǒng)軟件費(fèi)用、開辦人員費(fèi)用，管理費(fèi)用。項(xiàng)目費(fèi)用：軟件購置費(fèi)用，準(zhǔn)備文檔費(fèi)用，開發(fā)管理費(fèi)用，開發(fā)人員工資費(fèi)用，用戶培訓(xùn)費(fèi)用。運(yùn)行費(fèi)用：系統(tǒng)維護(hù)費(fèi)用，硬件折舊費(fèi)用，信息系統(tǒng)管理費(fèi)用，操作及管理人員費(fèi)用，電費(fèi)，軟盤及打印紙等費(fèi)用。系統(tǒng)產(chǎn)生效益：信息安全管理工作變得簡單而靈活而獲得的管理上的效益。信息安全風(fēng)險(xiǎn)所帶來的危害減少所獲得的效益。工作量減輕，節(jié)省人力資源所帶來的效益。數(shù)據(jù)保存改善所帶來的效益。避免了群發(fā)電子郵件而造成網(wǎng)絡(luò)堵塞所帶來的效益。（3）操作可行性該系統(tǒng)為 B/S 結(jié)構(gòu)，操作在瀏覽器中進(jìn)行，用戶界面友好，只要具備基本的計(jì)算機(jī)知識的人，略加培訓(xùn)即可熟練使用。公司的工作人員熟悉 windows 操作系統(tǒng)，尤其是對 IE 瀏覽器的操作更是熟練有加。這樣使得基于 B/S 的本系統(tǒng)的營運(yùn)成為可能。（4）社會可行性該系統(tǒng)為自主開發(fā)，不盜用任何已有的系統(tǒng)，無侵權(quán)現(xiàn)象。綜上所述，本系統(tǒng)的開發(fā)是可行的。第 3 章 系統(tǒng)邏輯方案 數(shù)據(jù)流圖描述 信息安全管理系統(tǒng)數(shù)據(jù)流圖的符號說明圖 數(shù)據(jù)流圖的符號說明 The explain for the symbol of the operation flow chart 信息安全管理系統(tǒng)關(guān)聯(lián)圖圖 是信息安全管理系統(tǒng)的系統(tǒng)關(guān)聯(lián)圖，描述了系統(tǒng)與資產(chǎn)維護(hù)部門、信息安全管理部門、業(yè)務(wù)管理部門之間的關(guān)系。外部項(xiàng) 數(shù)據(jù)加工數(shù)據(jù)流 數(shù)據(jù)存儲信息安全管理信息安全管理部門F 7 審核結(jié)果F 1 威脅信息F 4 病毒信息F 3 補(bǔ)丁信息F 5 專欄信息F 6 審核信息F 8 原始數(shù)據(jù)查詢條件F 2 漏洞信息F 1 1 統(tǒng)計(jì)數(shù)據(jù)查詢結(jié)果F 9 原始數(shù)據(jù)查詢結(jié)果F 1 0 統(tǒng)計(jì)數(shù)據(jù)查詢條件業(yè)務(wù)管理部門F 1 2 資產(chǎn)信息F 1 3 工單信息F 1 5 工單查詢結(jié)果F 1 4 工單查詢條件F 1 6 原始數(shù)據(jù)查詢條件F 1 7 原始數(shù)據(jù)查詢結(jié)果資產(chǎn)維護(hù)部門F 1 8 工單處理結(jié)果F 1 9 工單查詢條件F 2 0 工單查詢結(jié)果F 2 1 原始數(shù)據(jù)查詢條件F 2 2 原始數(shù)據(jù)查詢結(jié)果圖 信息安全管理系統(tǒng)關(guān)聯(lián)圖 Information security management system associate map 信息安全管理系統(tǒng) DFD 總體圖信息安全管理系統(tǒng)信息安全管理部門業(yè)務(wù)管理部門資產(chǎn)維護(hù)部門F8原始數(shù)據(jù)查詢條件F9原始數(shù)據(jù)查詢結(jié)果F1 0統(tǒng)計(jì)數(shù)據(jù)查詢條件F1 1統(tǒng)計(jì)數(shù)據(jù)查詢結(jié)果F 3補(bǔ)丁信息F 6審核信息F 4病毒信息F 7審核結(jié)果F 5專欄信息F 1 9工單查詢結(jié)果F 2 0工單查詢條件F 1 8工單處理結(jié)果F 2 1原始數(shù)據(jù)查詢條件F 2 2原始數(shù)據(jù)查詢結(jié)果F1 2資產(chǎn)信息F1 7原始數(shù)據(jù)查詢結(jié)果F1 6原始數(shù)據(jù)查詢條件F1 3工單信息F1 5工單查詢結(jié)果F1 4工單查詢條件F 2漏洞信息F 1威脅信息圖 信息安全管理系統(tǒng) DFD 總體圖 Information security management system DFD collectivity map 信息安全管理系統(tǒng) DFD 零級圖原始數(shù)據(jù)管理信息安全管理部門業(yè)務(wù)管理部門資產(chǎn)維護(hù)部門數(shù)據(jù)統(tǒng)計(jì)工單管理威脅D 2資產(chǎn)D 1漏洞D 3補(bǔ)丁D 4病毒D 5專欄D 6F8原始數(shù)據(jù)查詢條件F9原始數(shù)據(jù)查詢結(jié)果F1 0統(tǒng)計(jì)數(shù)據(jù)查詢條件F1 1統(tǒng)計(jì)數(shù)據(jù)查詢結(jié)果F 2漏洞信息F 3補(bǔ)丁信息F 1威脅信息F 6審核信息F 4病毒信息F 7審核結(jié)果F 5專欄信息報(bào)表D 8工單D 7F 1 9工單查詢結(jié)果F 2 0工單查詢條件F 1 8工單處理結(jié)果F 1 4 工單查詢條件F 1 5 工單查詢結(jié)果F 1 3 工單信息F 2 2原始數(shù)據(jù)查詢結(jié)果F 2 1原始數(shù)據(jù)查詢條件F1 2資產(chǎn)信息F1 7原始數(shù)據(jù)查詢結(jié)果F1 6原始數(shù)據(jù)查詢條件圖 信息安全管理系統(tǒng) DFD 零級圖 Information security management system DFD zero level map 信息安全管理系統(tǒng) DFD 細(xì)節(jié)圖威脅導(dǎo)入處理查詢處理信息安全管理部門F 1 威脅信息F 8 . 0 威脅查詢條件F 9 . 0 威脅查詢結(jié)果威脅D 2業(yè)務(wù)管理部門 資產(chǎn)維護(hù)部門F 1 6 . 0 威脅查詢條件F 1 7 . 0 威脅查詢結(jié)果F 2 1 . 0威脅查詢條件F 2 2 . 0威脅查詢結(jié)果圖 信息安全管理系統(tǒng) DFD 細(xì)節(jié)圖(A) Information security management system DFD detail map(A)漏洞導(dǎo)入處理查詢處理信息安全管理部門F 2