信息安全风险评价管理软件研究与开发技术报告

国信办信息安全风险评估上海试点工作验收材料之四 信息安全风险评估管理软件信息安全风险评估管理软件 研制报告研制报告 上海市信息安全测评认证中心 二 OO 五 年 八 月 1 目目 录录 一 项目背景一 项目背景 2 二 系统开发目标二 系统开发目标 3 三 设计原则三 设计原则 4 四 研制过程四 研制过程 5 五 下一步工作五 下一步工作 8 2 一 项目背景一 项目背景 纵观国际经济形势 随着信息技术突飞猛进的发展 信息化已成为当今世 界的潮流 信息产业已成为社会经济发展的基础 它的发展正在进一步引起社 会 经济乃至人们生活方式的急剧变革 当前我国的信息化建设已进入高速发 展期 电子政务 电子商务 网络经济等的兴起 这些与国民经济 社会稳定 息息相关的领域急需信息安全保障 随着信息化的发展与应用的普及 信息安全问题越来越突出 许多重要应 用领域越来越依赖于计算机信息系统 这就必不可免地带来很多安全风险 对 系统和组织造成巨大影响 因此实施信息安全风险管理 有效控制安全风险是 建立信息安全保障体系的重要举措 而信息安全风险评估则是实施信息安全风 险管理的基础 也是信息安全建设的有效的评价方法和决策机制 对于完善我 国的信息安全保障体系建设 促进信息化建设具有重大意义 为贯彻落实 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 27 号文 国务院信息化办公室于 2005 年组织在北京 上海 黑龙江 云南等地方以及银行 税务 电力等重要行业开展信息安全风险评估试点工作 根据国务院信息化工作办公室 关于印发的通知 国信办 2005 5 号 上海市选定了上海市信息安全测评认证中 心 以下简称上海测评中心 作为本次风险评估的技术实施主体 上海市医疗 保险信息中心 上海市宝山区信息委 农业银行上海市分行 上海市电力公司 上海市电力股份有限公司等 5 家单位作为本市风险评估的试点单位 沪信息委 安 2005 64 号文 同时制定了 上海市信息安全风险评估试点工作计划 上海市信息安全风险评估试点实施方案 上海市信息安全测评认证中心具体 承担风险评估方法 工具 操作流程的研究 并协助其他试点单位完成风险评 估试点工作 上海测评中心于 2000 年就开始开展信息安全测评及风险评估业务 是国内 最早开展信息安全测评和风险评估的机构之一 在风险评估试点工作之前上海 测评中心已经对风险评估的方法 工具 操作流程做了一定的研究 形成了一 3 定的基础 并已开展实施了天安保险股份有限公司 上海市房地产交易中心 金山石化集团 上海市商品住宅维修基金管理系统 上海旅委信息系统等风险 评估项目 为了更好的完成风险评估试点工作 上海市信息安全测评认证中心对原有 的风险评估方法 工具和操作流程进行了系统地总结和完善 并在此基础上开 发了一套信息安全风险评估管理软件以方便风险评估实施机构或实施者更好地 理解风险评估理念 基本概念 实施方法 操作流程 指导他们进行风险评估 具体操作 规范操作步骤 提高评估效率 减少评估分析计算的工作量 保障 评估结果的一致性 降低风险评估的实施难度 力求实现各系统运行单位由 委托他人 到 自己实施 的转变 本项目是以构建信息安全风险评估操作和管理平台为目标的实用性开发项 目 可用于第三方评估机构 实现风险评估的委托评估 也可用于信息系统所 有者对信息系统进行自评估 二 二 系统开发目标系统开发目标 从信息安全风险评估的目的来看 推动信息系统的所有者实施定期的风险 自评估是提高信息系统安全管理水平的一个有利手段 从目前颁布的风险评估 标准来看 尽管指出了风险评估的原则 流程 意义等方面内容 但从指导系 统所有者操作的角度来看 还缺乏一定的实际操作性 设计 开发一套辅助系 统所有者实施风险自评估的系统软件 是本软件开发的目标 从应用的角度上看 是帮助系统所有单位的系统管理人员实施评估工作 必须满足以下几项目标 1 实现对现有的信息安全风险评估操作 流程 结果的管理 由于其使 用对象是系统管理人员 他们在信息安全风险评估方面的技术不一定很专业 因此 该系统必须满足风险评估全部流程的操作 2 具备对标准的细化问题 辅助评估者实施评估操作 要求集成相关的 判据 案例和选择列表 以便于评估者根据本系统实现评估 同时 应能够完 成风险评估流程中各阶段应输出的各类报表 3 便于对传统数据的管理 实现对风险的控制和管理 由于风险评估是 4 一项定期实施的工作 对历史数据 历史项目的管理是系统管理人员了解系统 安全状况 采取安全控制措施降低风险的基础 4 系统的数据管理具有一定的灵活性 由于风险评估的实施中 资产类 型 脆弱性列表 威胁分类 资产分类等均是可管理的 因此 系统必须具有 一定的开放性 以便于用户直接修改基础数据 5 系统本身应具有一定的开放性 应做到界面友好 操作简便 只要连 接本地或者远程数据库即可使用 本软件的开发正是在上述目标的前提下执行的 实现了从前期的资产识别 到最后的报表输出的相关功能 为从事信息安全风险评估工作的人员提供了极 为便利的信息安全风险评估机制 解决了工作人员用传统方式进行评估带来的 问题 减轻了日常重复的工作量 使评估结果更具有客观性和准确性 同时 该系统的存档机制可以保存更多的历史评估记录 而不需要加重数据库的负担 简单备份 便于传输 三 三 设计原则设计原则 1 先进性 先进性 首先 应保证所采用的软件体系架构和开发工具属业界先进产品 在相应 的运作领域具有较大的用户市场 在相关计算机技术方面处于领导地位 其次 采用大型关系型数据库 能够处理海量数据 适合用户数据的集中 存储和快速检出 2 实用性 实用性 整个风险评估管理评估系统能满足各类用户的评估要求 如第三方评估机 构评估工程师 信息系统风险评估自评估人员 管理层 技术人员 等 在改 进工作方式的同时 也能提高工作效率及决策的科学性 3 开放性 开放性 系统具有良好的开放性 可以支持符合国际标准和业界标准的相关接口 可以与其他相关系统联网和通讯 支持标准的应用开发平台 具有良好的移植 能力 4 可扩充 可扩充性性 5 系统具有良好的可扩充能力 根据不断变化的 增长的业务处理需要 可 以很容易地增减或迁移数据库服务器 自动实现负载动态平衡 四 四 研制过程研制过程 信息安全风险评估管理软件项目于 2005 年 3 月份正式启动 并成立了信息 安全风险评估管理软件开发小组 经过需求分析 研究设计 开发编程 调试 校验 软件试用 功能测试 软件著作权申请等阶段 目前整个项目已基本完 成 1 需求分析 需求分析 对信息安全风险评估管理软件进行调研 针对风险评估方法 流程 步骤 成果进行了现状分析 并根据设计原则确定软件需求 系统结构为单机版软件 应使用较为常用 简单的数据库管理系统 如 SQL SERVER 2000 MYSQL 等 单机版软件 表结构 功能均可修改 可利用系统对同一评估对象的不同数据如 表 视图等 进行数据封装 能够实现数据整体的导入 导出 系统需设立用户管理机制 统一由最高权限用户 Admin 管理 整个评估过程中所输出的数据文件都要以 OFFICE WORD EXCEL 文件格式输 出 且文件内容排版要有一定的格式 不出现乱码 杂乱无章等情况 对在评估过程中 需要用到的一些参考性文件如 资产重要性程度判断准 则 资产三性赋值准则等 除以判据方式在程序中或数据库中 还需以链 接的方式在使用到这些准则的情况下出现 系统中涉及除法运算的结果 都以四舍五入计算 并且只保留整数部分 系统需适当添加一些交互形式的对话框 保证使用者能够较为清楚每一步 工作的结果 保证系统各个功能模块数据衔接紧密 避免同一数据在不同模块中重复输 入 要求系统界面 排版整齐合理 字体大小适中 系统需设有帮助功能 2 结构设计 结构设计 6 根据软件需求分析设计软件架构体系 信息安全风险评估管理软件是一个 以数据库应用为中心的管理软件系统 包括系统管理模块 基础数据维护模块 风险评估模块和项目管理模块等 每个模块又可细分为一定的子功能模块 7 基础数据维护模块基础数据维护模块风险评估模块风险评估模块项目管理模块项目管理模块系统管理模块系统管理模块 信息安全风险评估管理系统信息安全风险评估管理系统 设 置 数 据 库 连 接 模 块 修 改 密 码 模 块 用 户 登 陆 模 块 威 胁 类 型 模 块 资 产 类 型 模 块 脆 弱 性 类 型 模 块 威 胁 脆 弱 关 系 映 射 模 块 脆 弱 性 检 查 内 容 模 块 二 级 资 产 类 型 三 级 资 产 类 型 一 级 威 胁 类 型 二 级 威 胁 类 型 一 级 脆 弱 性 类 型 二 级 脆 弱 性 类 型 一 级 资 产 类 型 重 要 资 产 赋 值 模 块 威 胁 识 别 模 块 资 产 识 别 模 块 脆 弱 性 识 别 模 块 模 糊 查 询 模 块 提 取 项 目 模 块 生 成 报 表 模 块 生 成 统 计 视 图 模 块 修 改 项 目 信 息 模 块 导 出 项 目 模 块 新 建 项 目 模 块 8 3 开发编程 开发编程 信息安全风险评估管理软件项目开发小组根据开发需求和设计思路 采用 Java 编程语言 主要考虑到 Java 是一种纯面向对象的技术 能够为 整个项目的开发带来良好的可扩充性和灵活性 可以在各种系统平台 Windows Unix Linux 等 上运行 另外考虑到降低使用复杂性 本系统 包含了一个标准 JVM 从而使得系统在没有 Java 运行环境的用户机器上也 能运行为 从软件的功能和性能需求分析 中型应用数据库完全可以胜任 Microsoft SQL Server 2000 数据库软件在中小型应用中属于主流产品 使用也比较方便 因此选用 Microsoft SQL Server 2000 很大一部分操 作需要对后台数据库进行访问 这类操作通过使用 Java 的 JDBC Java 数据 库连接 技术实现 很好的屏蔽了不同数据库源的差异 从而为以后系统的 扩充带来了便利 另外考虑到基于 Java 的桌面应用 GUI 工具包 Swing 技术具有强大图 形界面功能 而且能够提供方便的调整整个界面外观风格的功能 基于 Java 的 JFreeChart 图表开发工具包能够较好地实现系统图表统计功能的 开发 Java Excel 能够很好完成系统生成评估 Excel 报表的功能 于是在 开发中选择上述技术用于图形界面 图表统计 Excel 报表生成 总的来说 本软件在选择所使用的技术时 注重技术的实用性 可扩 展性和灵活性 软件编程从 4 月初开始 先设计软件框架和库 表结构 然后在此基 础上进行模块设计开发 最后进行模块整合和界面优化 整个软件主体编程 于 6 月底完成 4 调试校验 调试校验 在基本完成了风险评估管理软件的开发和编程后 对软件主要模块进行调 试校验 并在 DEMO 版的基础上 进行了较大范围的内部测试 主要由风险评估 试点小组的评估工程师按照评估流程 针对不同的模块进行测试 并对发现的 9 一些问题如 某些一级脆弱性与二级脆弱性无法对应 部分风险结果排序异 常 某些模块数据输入出错 风险结果输出文件格式不正确 等以及一些 程序运行过程中的小 BUG 进行了及时地更正 5 软件试用 软件试用 为了更好地检验信息安全风险评估管理软件在实际评估工作环境中的有效 性和效率 以及非专业评估人员在自评估过程利用此软件实施的可操作性 在 宝山区信息委电子政务风险评估试点工作中分别由上海测评中心评估人员和宝 山区信息委系统管理员对该风险评估软件进行了完整地试用 此外 还专门由 非专业人员 实习生 进行了试用 从试用过程和结果来看 整个软件试用效果良好 软件程序运行正确 所 有模块功能工作正常 与设计要求基本一致 没有出现大的问题 但在输入数 据很多时 运行速度出现比较一定的下降 经过开发小组的分析诊断 是部分 软件代码的问题 通过修改 优化了部分软件代码 解决了该问题 6 软件测试 软件测试 在完成了信息安全风险评估管理软件的开发设计 调研校验和软件试用后 将信息安全风险评估管理软件正式版提交上海软件评测中心进行软件测试 测 试结果表明软件功能与设计要求