毕业设计（论文）40

1、PAGEII / NUMPAGES54 毕业设计（论文）题目名称：等级保护集成管理系统院系名称：计算机学院班 级：学 号：学生姓名： 指导教师： 2013年 5 月论文编号：等级保护集成管理系统 HYPERLINK app:ds:classified Classified HYPERLINK app:ds:protection protection HYPERLINK app:ds:integrated integrated HYPERLINK app:ds:management management HYPERLINK app:ds:system system院系名称：计算机学院班 级： 学

2、 号：学生姓名： 指导教师： 2013年 5 月 摘 要随着信息技术的高速发展和网络应用的迅速普及，整个社会对信息系统的依赖日益加深，面临的信息安全风险也与日俱增。实施信息系统安全等级保护，能够有效地提高本人国信息系统安全建设的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是本人国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。本文中所涉及的基于Web的等级保护安全测评集成系统的设计与实现，主要就是从信息安全的等级保护安全测评的国内外形势出发，分析了现阶段国

3、内外对于电子政务安全测评、等级保护的研究现状，特别是对等级保护在电子政务中安全测评的现状分析，提出了用Web的形式来实现电子政务的推广，并分析了其缺点，同时提出了改进的方案，完成了系统的测试与运行及总结。关键词：信息系统；信息系统安全；等级保护；等级保护测评AbstractWith the rapid development of information technology and the rapid popularization of network applications, the entire societys dependence on information systems de

4、epening, facing increasing information security risks. Implementation of information system security level of protection, can improve the construction of information system security as a whole. Level of protection of information security in todays developed countries to protect critical information

5、infrastructure, information security of the common practice, but also a country that has information security experience. Level of information security protection to safeguard critical information systems is not only an important safety measures, but also a matter of national security, social stabil

6、ity, national interests of the mission.Involved in this level of protection of Web-based security evaluation and implementation of integrated system design, information security is mainly the level of protection from the safety evaluation of domestic and international situation, analyzes the current

7、 domestic and international security for e-government evaluation, grade protection Research, especially the level of protection in e-government status in the Security Assessment analysis, the use of Web-form to achieve the promotion of e-government, and analyzes its shortcomings, and proposed to imp

8、rove the program, completed the testing of the system and Operation and summary.Key words: Information system;Information system security;Classified protection; Grading protection evaluation TOC o 1-3 h z u HYPERLINK l _Toc358218942 摘 要 PAGEREF _Toc358218942 h I HYPERLINK l _Toc358218943 Abstract PA

9、GEREF _Toc358218943 h II HYPERLINK l _Toc358218944 第1章 引言 PAGEREF _Toc358218944 h 1 HYPERLINK l _Toc358218945 1.1 研究背景和意义 PAGEREF _Toc358218945 h 1 HYPERLINK l _Toc358218946 1.1.1研究背景 PAGEREF _Toc358218946 h 1 HYPERLINK l _Toc358218947 1.1.2研究意义 PAGEREF _Toc358218947 h 1 HYPERLINK l _Toc358218948 1.

10、2 国内外研究现状 PAGEREF _Toc358218948 h 2 HYPERLINK l _Toc358218949 1.2.1国内等级保护研究现状 PAGEREF _Toc358218949 h 2 HYPERLINK l _Toc358218950 1.2.2国外等级保护研究现状 PAGEREF _Toc358218950 h 3 HYPERLINK l _Toc358218951 1.2.3存在的问题与总结 PAGEREF _Toc358218951 h 3 HYPERLINK l _Toc358218952 1.3研究内容和目标 PAGEREF _Toc358218952 h 3

11、 HYPERLINK l _Toc358218953 1.3.1研究内容 PAGEREF _Toc358218953 h 3 HYPERLINK l _Toc358218954 1.3.2研究目标 PAGEREF _Toc358218954 h 4 HYPERLINK l _Toc358218955 1.4论文的组织结构 PAGEREF _Toc358218955 h 4 HYPERLINK l _Toc358218956 1.5小结 PAGEREF _Toc358218956 h 5 HYPERLINK l _Toc358218957 第2章 系统的需求分析 PAGEREF _Toc3582

12、18957 h 6 HYPERLINK l _Toc358218958 2.1被测单位概念和定义 PAGEREF _Toc358218958 h 6 HYPERLINK l _Toc358218959 2.2被测单位申请测评阶段 PAGEREF _Toc358218959 h 6 HYPERLINK l _Toc358218960 2.2.1被测单位申请测评工作流程 PAGEREF _Toc358218960 h 6 HYPERLINK l _Toc358218961 2.2.2申请资料阶段的任务 PAGEREF _Toc358218961 h 7 HYPERLINK l _Toc358218

13、962 2.2.3申请测评资料数据抽象描述 PAGEREF _Toc358218962 h 7 HYPERLINK l _Toc358218963 2.2.4 申请测评阶段需求分析 PAGEREF _Toc358218963 h 9 HYPERLINK l _Toc358218964 2.3测评单位概念和定义 PAGEREF _Toc358218964 h 9 HYPERLINK l _Toc358218965 2.4被测单位申请测评工作流程 PAGEREF _Toc358218965 h 9 HYPERLINK l _Toc358218966 2.4.1测评单位审核工作流程 PAGEREF

14、_Toc358218966 h 9 HYPERLINK l _Toc358218967 2.4.2管理公告阶段的任务 PAGEREF _Toc358218967 h 10 HYPERLINK l _Toc358218968 2.4.3审核测评资料数据抽象描述 PAGEREF _Toc358218968 h 11 HYPERLINK l _Toc358218969 2.4.4 申请测评阶段需求分析 PAGEREF _Toc358218969 h 11 HYPERLINK l _Toc358218970 2.5小结 PAGEREF _Toc358218970 h 12 HYPERLINK l _T

15、oc358218971 第3章 等级保护集成管理的系统分析 PAGEREF _Toc358218971 h 12 HYPERLINK l _Toc358218972 3.1 系统的总体设计方案 PAGEREF _Toc358218972 h 12 HYPERLINK l _Toc358218973 3.1.1 总体方案 PAGEREF _Toc358218973 h 12 HYPERLINK l _Toc358218974 3.1.2 被测单位系统分析 PAGEREF _Toc358218974 h 13 HYPERLINK l _Toc358218975 3.1.3测评机构系统分析 PAGE

16、REF _Toc358218975 h 14 HYPERLINK l _Toc358218976 3.2 系统的设计原则与开发平台 PAGEREF _Toc358218976 h 14 HYPERLINK l _Toc358218977 3.2.1 设计原则 PAGEREF _Toc358218977 h 14 HYPERLINK l _Toc358218978 3.2.2 系统的运行环境 PAGEREF _Toc358218978 h 15 HYPERLINK l _Toc358218979 3.2.3 系统的开发平台 PAGEREF _Toc358218979 h 15 HYPERLINK

17、 l _Toc358218980 3.3 关键技术 PAGEREF _Toc358218980 h 15 HYPERLINK l _Toc358218981 3.3.1 javaWeb三层框架技术 PAGEREF _Toc358218981 h 15 HYPERLINK l _Toc358218982 3.3.2 申请测评活动实现技术 PAGEREF _Toc358218982 h 16 HYPERLINK l _Toc358218983 3.3.3 审核测评实现技术 PAGEREF _Toc358218983 h 19 HYPERLINK l _Toc358218984 3.3.4 管理公告

18、实现技术 PAGEREF _Toc358218984 h 21 HYPERLINK l _Toc358218985 3.4小结 PAGEREF _Toc358218985 h 22 HYPERLINK l _Toc358218986 第4章 系统的设计与实现 PAGEREF _Toc358218986 h 23 HYPERLINK l _Toc358218987 4.1 设计方案 PAGEREF _Toc358218987 h 23 HYPERLINK l _Toc358218988 4.1.1 系统用例设计 PAGEREF _Toc358218988 h 23 HYPERLINK l _To

19、c358218989 4.1.2 系统的功能设计 PAGEREF _Toc358218989 h 24 HYPERLINK l _Toc358218990 4.1.3 系统的详细设计 PAGEREF _Toc358218990 h 24 HYPERLINK l _Toc358218991 4.2 基于Web的等级保护集成管理系统的实现 PAGEREF _Toc358218991 h 30 HYPERLINK l _Toc358218992 4.2.1被测单位注册页面，各个表的关联 PAGEREF _Toc358218992 h 30 HYPERLINK l _Toc358218993 4.2.

20、2指示灯关联的数据库表 PAGEREF _Toc358218993 h 31 HYPERLINK l _Toc358218994 4.2.3公告列表的数据库原理 PAGEREF _Toc358218994 h 32 HYPERLINK l _Toc358218995 4.3 小结 PAGEREF _Toc358218995 h 33 HYPERLINK l _Toc358218996 第5章 系统运行与测试 PAGEREF _Toc358218996 h 34 HYPERLINK l _Toc358218997 5.1 测试用例的编写 PAGEREF _Toc358218997 h 34 HY

21、PERLINK l _Toc358218998 5.2 测试步骤 PAGEREF _Toc358218998 h 37 HYPERLINK l _Toc358218999 5.3 测试结果的分析 PAGEREF _Toc358218999 h 40 HYPERLINK l _Toc358219000 第6章 总结 PAGEREF _Toc358219000 h 41 HYPERLINK l _Toc358219001 6.1 对上文的总结 PAGEREF _Toc358219001 h 41 HYPERLINK l _Toc358219002 6.2 下一步要完成的工作 PAGEREF _To

22、c358219002 h 41 HYPERLINK l _Toc358219003 参考文献： PAGEREF _Toc358219003 h 43 HYPERLINK l _Toc358219004 致 谢 PAGEREF _Toc358219004 h 44 HYPERLINK l _Toc358219005 附 录 PAGEREF _Toc358219005 h 45 HYPERLINK l _Toc358219006 附录A: 部分主要源程序 PAGEREF _Toc358219006 h 45 HYPERLINK l _Toc358219007 附录B: 软件使用说明书 PAGERE

23、F _Toc358219007 h 56 HYPERLINK l _Toc358219008 1 软件概述 PAGEREF _Toc358219008 h 56 HYPERLINK l _Toc358219009 2 软件安装 PAGEREF _Toc358219009 h 57 HYPERLINK l _Toc358219010 3 运行说明 PAGEREF _Toc358219010 h 57 HYPERLINK l _Toc358219011 4 疑难解答 PAGEREF _Toc358219011 h 57 HYPERLINK l _Toc358219012 5 服务与支持 PAGER

24、EF _Toc358219012 h 57第1章 引言1.1 研究背景和意义1.1.1研究背景人类社会正迅速步入信息社会，信息化浪潮席卷全球，己经成为不可抗拒的时代潮流，信息社会正改变着世界的方方面面，国家安全也不例外。在信息时代，信息已成为一个国家最重要、最基础的“战略资源”是国家社会发展的“核心要素”。信息安全对国家安全产生了重要影响，成为国家安全的最突出、最核心的问题。在信息网络时代，一个国家在信息匾乏、信息流失和信息不安全的状况下，国家安全就没有保障。信息安全问题是传统社会中没有的“新问题”2，大家应站在全球战略的高度研究信息安全问题。本人国的信息化已进入以电子政务、电子商务、新闻文化

25、传播、教育娱乐应用、多媒体个人通信和金融、电力等的信息网络化应用为主导的发展阶段. 目前, 这些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁， 包括间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工等等; 安全保障要求的内容极为广泛, 从物理安全、网络安全、系统安全、应用安全、数据安全一直到安全管理、安全组织建设等等；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。凡是涉及到影响正常运行和业务连续性的都是信息安全问题。1.1.2研究意义信息安全等级保护，是根据

26、其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。如何通过等级保护测评，最大限度使组织结构预知存在的安全隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营，已经成为当前本人国信息安全工作的重点。测评准备活动是等级测评工作的前提和基础，是整个等级测评过程有效性的保证，测评准备工作是否充分直接关系到后续工作能否顺利开展，为编制测评方案做好准备；而方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导

27、方案。由此可见，等级保护测评工作对于加强国信息安全的重要意思，做好测评准备活动和方案编制活动，显得尤为重要。1.2 国内外研究现状1.2.1国内等级保护研究现状自从2007年6月份以来，全国范围内的重要系统普遍开展了信息安全等级保护工作，到目前为止，定级工作已经基本结束，将进入整改阶段。回顾本人国的等级保护工作，可以看到：1、定级保护的定级备案工作成效显著。全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。通过定级备案工作的开展，掌握了关系国计民生重要信息系统的基本情况，为落实信息安全等级保护制度、推动国家信息安全保障共组东阿审图开展奠定了坚实的基础。2、各种政策标准体系日趋完善

28、。详细信息参考下表1-1所示：表1-1 有关等级保护政策标准体系完善表时间名称目标1994国务院147号令需要实施分等级保护2003中发办27号文件需抓紧简历等级保护制度2004公通字66号文件明确等保原则、内容、要求，等保工作的部门分工、实施计划2007.6公通字43号文件规定实施、管理细节，加快推进步伐2007.7公信安861号文件确定定级范围，给出定级工作的主要内容和要求2007公信安20071360号为定级备案工作提供了有力的规范2007公信安2007736号2008发改高技20082071号加强和规范国家电子政务工程建设项目信息安全风险评估2008公信安2008736号严格规范公安机

29、关信息安全等级保护检查工作，实现检查工作的规范化、制度化2009公信安20091429号确定了开展信息安全等级保护安全建设整改工作的指导意见2009公信安20091487号确定了信息系统安全等级测评报告模版（试行）2010公信安2010303号在全国部署开展信息安全等级保护测评体系建设和等级测评工作信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作，为保障全面实施信息安全等级保护制度，必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力，多年攻关，目前，已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信

30、息安全等级保护标准体系，基本能够满足国家信息安全等级保护制度全面实施的需求。1.2.2国外等级保护研究现状国外从20世纪80年代以来，一直在进行可信安全产品的等级评估准则的研究，其中比较著名的包括美国国防部提出的可信计算机系统安全评价准则(TESEC)、欧洲四国（英、法、德、荷）的信息技术安全评价准则(ITSEC)和国际合作的信息技术安全评价通用准则(CC)。美国TCSEC（桔皮书）是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC 分为4个方面：安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3 和A 级。

31、欧洲ITSEC与TCSEC不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级，对于每个系统，安全功能可分别定义。ITSEC预定义了10种功能，其中前5种与桔皮书中的C1B3级相似。CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1999年10月CC v2.1 版发布，并且成为ISO标准。CC的主要思想和框架部分取自ITSEC，并充分突出了“保护轮廓”概念。CC将评估过

32、程划分为功能和保证两部分, 评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7 共7个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估2。1.2.3存在的问题与总结对于等级保护系统集成化方面的研究，目前还没有真正的做到系统集成化，等级保护测评过程中涉及到很多实体，例如被测系统的基本信息，测评机构选取测评对象，等级保护的基本要求，测评过程中需要的各种信息。现阶段对其中实体的关系分析和测评对象与测评指标的关联关系的研究还不广泛，还缺少这方面系统数据库的建立。另外，等级保护系统集成化设计与实现是为了实现信

33、息系统安全等级保护测评工作的自动化，让测评人员从繁重的手工作业解脱出来，提高等级保护测评工作效率。但是由于测评过程中需要与被测单位部门进行沟通，需要他们提供数据和资料，各部门的协调也会耗费一部分时间。1.3研究内容和目标1.3.1研究内容对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。安全控制测评分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和

34、数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。信息系统安全等级保护测评包括测评指标、指标要求项、测评对象、测评实施之间的关系分析，测评对象确定的方法的分析，测评结果判定的分析，等级测评结论形成的分析。1.3.2研究目标等级保护集成系统是以网站的可视化、透明化、人性化形式展示等级保护安全测评的一种实现全自动或半自动化的方便用户使用的应用系统，本人研究的目标是按照信息系统安全等级保护测评过程的要求，为网

35、站管理员、测评机构、委托单位、专家、审核人员等分别为他们提供相应的服务项目，实现信息系统安全等级保护测评的高效性、公正性和自动性，为信息系统未达到相应等级的基本安全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。1.4论文的组织结构第一部分是摘要及其译文：摘要部分是对信息安全等级保护和本论文涉及的基于等级保护集成系统设计与实现做了简单介绍和概括。第二部分是论文目录及其章节内容。各章组织如下： 第1章 引言。论述基于等级保护集成系统设计与实现的研究内容、意义、国内外的研究现状、等级保护测评、以及研究的内容和目标等。第2章 系统的需求分析。主要介绍

36、的是测评准备子系统所涉及到的基本术语或定义，分析了测评准备子系统的工作流程，对测评准备子系统的数据抽象描述，阐述了其实现技术。第3章 方案编制子系统设计与实现。主要介绍的是方案编制子系统所涉及到的基本术语或定义，分析了方案编制子系统的工作流程，对方案编制子系统的数据抽象描述，阐述了其实现技术。第4章 系统运行与测试。分析测试用例的编写，介绍测试步骤，分析测试结果。第5章总结。对以上四部分的总结，并做了进一步的工作安排。第三部分是致谢、参考文献、附录。它是对系统和本论文的补充说明。1.5小结本章主要论述了基于等级保护集成系统的研究背景和意义，阐述了信息安全等级保护的国内外研究现状，介绍了等级保护

37、测评的相关概念，论述了本文的研究内容和目标。第2章 系统的需求分析2.1被测单位概念和定义1、被测单位 被测单位是向测评方申请测评的个人，单位和企业机关等机构。2、被测系统被测单位申请测评的系统。3、申请资料 被测单位申请测评所需要提交的资料，这些资料由测评方提供固定格式，再由被测单位填写提交，被测单位必须按照要求，规范填写所有被要求的测评资料。2.2被测单位申请测评阶段2.2.1被测单位申请测评工作流程被测单位申请测评，包括：被测单位注册帐号，登录系统，查看公告，规范填写所有测评资料。如图2-1所示为申请资料流程图：图2-1 申请资料工作流程图2.2.2申请资料阶段的任务(1) 提交申请资料

38、，具体任务内容见下表2-1所示：表2-1 提交申请任务内容名称解释/描述项目启动提交申请资料输入规范填写各个申请资料表格任务描述填写申请资料表格：委托协议书，被测系统情况，用例拓扑图，对外服务，系统承载的业务，网络结构，机房情况，网络边界，网络设备，安全设备，服务器设备，终端设备，系统软件，应用软件，业务数据，数据备份，业务数据流图，安全相关人员。输出/产品申请资料列表2.2.3申请测评资料数据抽象描述申请资料填写涉及到大量表，现列举部分表如下：表2-2 用户注册信息表Sys_user详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否密码passwordnvarc

39、har(15)是真实姓名namenvarchar(20)是工作单位unitnvarchar(50)是地址addressnvarchar(100)是联系电话phonenvarchar(20)是邮箱emailnvarchar(50)是表2-3 被评估系统基本情况表Info_System详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否被测信息系统的名称systemnvarchar（50）是系统正式上线时间timedatetime是系统状态statenvarchar（20）是安全保护等级splevelnvarchar（20）是承载的主要业务industrynvarcha

40、r（200）是业务子系统个数subnumbernvarchar（10）是信息系统所属类型typenvarchar（300）是系统业务类型businesstypenvarchar（100）是系统业务依赖程度reliancenvarchar（100）是信息系统服务范围servicescopenvarchar（50）是跨省域个数numbernvarchar（10）是网络类型nettypenvarchar（500）是是否涉密confidentialnvarchar（10）是表2-4 系统网络拓扑图表Info_Topology详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)

41、否拓扑图imgnamenvarchar（100）是保存路径imgurlnvarchar（200）是表2-5 系统对外服务IP地址及服务表Info_Serviceip详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否服务servicenvarchar（500）是IP地址ipaddressnvarchar（50）是域名domainnvarchar（50）是表2-6 信息系统承载业务表Info_Business详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否业务名称namenvarchar（50）是业务描述describenvarchar

42、（200）是业务处理信息类别typenvarchar（100）是用户数量usernumbernvarchar（50）是用户分布范围distributionnvarchar（10）是涉及的应用系统软件appsoftwarenvarchar（200）是是否24小时运行operationnvarchar（10）是是否可以脱离系统完成completenvarchar（10）是重要程度importantdegreenvarchar（20）是表2-7 信息系统网络结构表Info_Netstructure详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否网络区域名称netare

43、anamenvarchar（50）是主要业务和信息描述descriptionnvarchar(200)是IP网段地址ipaddressnvarchar（50）是服务器数量number1nvarchar(10)是终端数量number2nvarchar(10)是与其连接的其它网络区域otherareanvarchar(500)是网络区域边界设备boundaryeqnvarchar(500)是重要程度importantdegreenvarchar（10）是责任部门departmentnvarchar（200）是备注notenvarchar(1000)是2.2.4 申请测评阶段需求分析1、申请测评阶段

44、的目的申请测评阶段的目的是查看测评方发布的最新公告，为被测系统提交申请资料，这是被测单位最主要的工作。如图2-2所示为申请测评阶段的用例图：图2-2申请测评阶段的用例图2.3测评单位概念和定义1、被测单位 被测单位是向测评方申请测评的个人，单位和企业机关等机构。2、被测系统被测单位申请测评的系统。3、申请资料 被测单位申请测评所需要提交的资料，这些资料由测评方提供固定格式，再由被测单位填写提交，被测单位必须按照要求，规范填写所有被要求的测评资料。2.4被测单位申请测评工作流程2.4.1测评单位审核工作流程测评单位进行测评审核，包括：测评方登录系统，发布并管理公告，查看被测单位提交的申请资料，进

45、行测评审核。如表3-5所示为测评方审核的工作流程：图2-3 测评方审核的工作流程见图2.4.2管理公告阶段的任务(1) 管理公告，具体任务内容见下表2.4.1所示：表2-8 项目启动具体任务内容名称解释/描述项目启动管理公告模块输入点击“发布”按钮，发布新公告任务描述发布新公告。点击“发布公告”按钮，进入发布公告界面，编辑公告内容，发布新公告。管理新公告。查看公告列表，每条记录后面都有一个“更多”按钮，点击后出现操作下拉列表，这里可以进行“查看”和“删除”操作。输出/产品2.4.3审核测评资料数据抽象描述与测评方关联的数据库主要有：审核资料方面数据库表和管理公告方面的数据库表。现列举部分数据库

46、表如下：表2-9 项目计划书信息表user_Projectplan详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否项目概述overviewnvarchar(MAX)是工作依据basisnvarchar(MAX)是技术思路ideasnvarchar(MAX)是工作内容contentsnvarchar(MAX)是项目组织organizationnvarchar(MAX)是其他othernvarchar(MAX)是表2-10 测评工具表user_toolForm详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否漏洞扫描工具tools1nv

47、archar(600)是渗透性测试工具tools2nvarchar(600)是性能测试工具tools3nvarchar(600)是协议分析工具tools4nvarchar(600)是网络拓扑发现工具tools5nvarchar(600)是非法外联检测设备tools6nvarchar(600)是其他othernvarchar(1000)是表2-11 公告notice详细设计表说明列名数据类型允许空标题(主键)titlechar(50)否发布的时间timechar(50)是内容Contentstext是大分类Label1char(50)是小分类Label2char(50)是2.4.4 申请测评阶段

48、需求分析1、审核测评阶段的目的审核测评阶段的目的是，对被测单位提交的资料一一查看审核，填写项目计划书，填写工具和表单，选择测评工具,上传测评指导书。 图2-4 审核测评资料阶段的用力图：2.5小结本章主要论述了基于等级保护系统集成管理系统的需求分析。主要介绍的是等级保护集成管理系统所涉及到的基本术语或定义，分别分析了申请测评资料阶段的工作流程和用例和审核测评资料阶段的工作流程和用例。第3章 等级保护集成管理的系统分析3.1 系统的总体设计方案3.1.1 总体方案系统的总体设计方案即网站的功能设计，其中该网站的功能包括：首页(用户登录、注册)、测评须知、被测单位测评申请、查看公告；测评方查看申请

49、资料，对测评资料进行审核，管理公告模块。如表3-1所示为系统总体方案功能结构图：图3-1 系统总体方案功能结构图3.1.2 被测单位系统分析 被测单位系统分析即该系统的功能设计，其中该系统的功能即为被测单位提交申请资料，查看网站最新公告：被测单位申请系统结构图如下图3-2所示：图3-2 被测单位申请系统结构图3.1.3测评机构系统分析测评方登录系统后，就会得到被测单位列表和公告列表。点击被测单位列表进入对特定被测单位的后台操作；点击公告连接进入公告后台界面，这里可以发布公告，查看删除公告。审核测评资料的工作流程：图3-3审核测评资料流程图3.2 系统的设计原则与开发平台3.2.1 设计原则随着

50、国家发展和实现办公自动化的需要，越来越多的政府正在组建自己的动态网站或将原来的静态网站升级为动态网站，以提高自己与民众的互动和对社会的影响。其中网站系统的设计就是一个很重要的环节，大家应遵循如下几个设计原则：1、目的性明确原则；2、先进性与成熟性原则；3、实用性原则；4、互动性原则；5、开发与扩展性原则；6、以管理与易用性原则；7、可靠性与安全性原则；8、高性能原则。3.2.2 系统的运行环境系统的工作平台是针对所有的Windows系列的Windows平台，具体包括Windows XP系列和Windows 2003系列以及Windows 7系列、Vista、Linux等。3.2.3 系统的开发

51、平台基于Web的等级保护安全测评集成系统主要是在Windows7 平台上采用软件dreamwear，myeclipse，tomcat等，并利用jsp、HTML语言编程、JavaScript、CSS等作为主要的开发工具。3.3 关键技术3.3.1 javaWeb三层框架技术 Jsp技术作为一种网络应用的商业开发模式，涉及许多网络应用方面的知识。自从有了互联网，各种网络开发技术可谓“锣鼓喧天鞭炮齐鸣红旗招展人山人海”。在众多网站开发技术中，jsp技术算得上是最流行最成熟的技术了。动态网页提供用户和网站的交互功能，为了实现这种交互，动态网站从浏览器获取用户输入的数据，通过后台处理代码操作数据库，再根

52、据操作的结果在网页上显示不同的内容。如表3-4所示为动态网页的结构图：图 3-4 动态网页的结构图所谓三层体系结构，是在客户端与数据库之间加入了一个“中间层”，也叫组件层。这里所说的三层体系，不是指物理上的三层，不是简单地放置三台机器就是三层体系结构，也不仅仅有B/S应用才是三层体系结构，三层是指逻辑上的三层，即使这三个层放置到一台机器上。三层体系的应用程序将业务规则、数据访问、合法性校验等工作放到了中间层进行处理。通常情况下，客户端不直接与数据库进行交互，而是通过COM/DCOM通讯与中间层建立连接，再经由中间层与数据库进行交互。 通常意义上的三层架构就是将整个业务应用划分为：表现层（UI）

53、、业务逻辑层（BLL）、数据访问层（DAL）。区分层次的目的即为了“高内聚，低耦合”的思想。1、表现层（UI）：通俗讲就是展现给用户的界面，即用户在使用一个系统的时候他的所见所得。位于最外层（最上层），离用户最近。用于显示数据和接收用户输入的数据，为用户提供一种交互式操作的界面。2、业务逻辑层（BLL）：针对具体问题的操作，也可以说是对数据层的操作，对数据业务逻辑处理。业务逻辑层（Business Logic Layer）无疑是系统架构中体现核心价值的部分。它的关注点主要集中在业务规则的制定、业务流程的实现等与业务需求有关的系统设计，也即是说它是与系统所应对的领域（Domain）逻辑有关，很多

54、时候，也将业务逻辑层称为领域层。业务逻辑层在体系架构中的位置很关键，它处于数据访问层与表示层中间，起到了数据交换中承上启下的作用。由于层是一种弱耦合结构，层与层之间的依赖是向下的，底层对于上层而言是“无知”的，改变上层的设计对于其调用的底层而言没有任何影响。如果在分层设计时，遵循了面向接口设计的思想，那么这种向下的依赖也应该是一种弱依赖关系。因而在不改变接口定义的前提下，理想的分层式架构，应该是一个支持可抽取、可替换的“抽屉”式架构。正因为如此，业务逻辑层的设计对于一个支持可扩展的架构尤为关键，因为它扮演了两个不同的角色。对于数据访问层而言，它是调用者；对于表示层而言，它却是被调用者。 3、数

55、据访问层（DAL）：该层所做事务直接操作数据库，针对数据的增添、删除、修改、更新、查找等。有时候也称为是持久层，其功能主要是负责数据库的访问，可以访问数据库系统、二进制文件、文本文档或是XML文档。如表3-5所示为JSP程序结构图：图3-5 JSP程序结构图3.3.2 申请测评活动实现技术1、申请测评资料等工作流程：申请测评资料的目标是被测单位为了获取测评而向测评系统提交申请测评资料。这个流程是被测单位最重要的活动内容。这个工作流程见图：图3-6 测评准备活动基本工作流程图2、申请资料的主要任务：(1) 申请测评： 表3-1 申请测评任务内容名称解释/描述项目启动申请测评输入提交测评资料任务描

56、述a) 被测单位点击树形结构，iframe界面会展示对应的网页。被测单位被要求填写这些设计好的表格。树形结构上有对应的“灯泡”来做指示灯。如果指示灯为“黄色”,表示数据库中已有响应记录，用户已经提交了对应了的申请资料。如果指示灯为“青色”的，表示数据库中没有对应记录，用户没有向服务器提交过对应的资料。用户必须按照要求填写所有资料，直到所有指示灯全为“黄色”时，测评方后台才能看到提交的全部申请资料，才有权限对其进行测评。输出/产品测评资料3、对以上任务在编程过程中所涉及的对象可抽取成表如下(列举部分)：(1) 被测系统情况，抽取成如下图3-7：(2) 系统承载的业务，抽取成表如下图3-8：(2服

57、务器设备，抽取成表如下图3-9：（4）数据备份，抽取成表如下图3-10；图3-7 被测系统情况设计表图3-8 系统承载的业务设计表图3-9 服务器设备设计表图3-10 数据备份设计表3.3.3 审核测评实现技术1、审核测评等工作流程：审核测评工作是测评方对被测单位提交的申请资料进行审核，被测单位按照要求填写所有资料后，测评方在后台就可以得到被测单位列表，点击连接就进入对特定被测单位的审核界面，这里的主要工作是：一 一查看提交的测评资料，填写项目计划书，填写工具和表单，选择测评对象，上传测评指导书。如表3-5所示为申请测评工作的基本工作流程图： 图3-11 申请测评工作的基本工作流程图2、审核测

58、评工作的主要任务：(1)填写测评资料：表3-2 申请测评资料的具体任务内容名称解释/描述审核测评对被测单位提交的申请资料进行审核输入查看资料项目计划书工具和表单选择测评对象测评指导书任务描述a) 查看资料对被测单位提交的申请资料一一查看，这是后续的测评工作的基础。b) 根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等c)测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或

59、上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等输出/产品3、对以上任务在编程过程中所涉及的对象可抽取成表如下(列举部分)：(1) 项目计划书,如下左图3-14所示：(2) 工具和表单,如下右图3-15所示：(3) 选择测评对象，如下右图3-16所示：(4) 测评指导书,如下右图3-17所示:图3-12 项目计划书设计图图3-13 工具和表单设计图图3-14 选择测评对象设计图图3-15 测评指导书设计图3.3.4 管理公告实现技术1.管理公告各工作流程：公告模块是为了加强测评方和被测单位交流设定的。测评方可以发布新公告，查看公告，删除公告等。这三项任务的基本工作流

60、程见图3-20所示：图3-16 管理公告基本流程图2.管理公告的的主要任务： (1) 发布公告，具体任务内容见下表3-3所示：表3-3 现场测评准备具体任务内容名称解释/描述发布公告更新公告，向被测单位提供最新信息。输入公告标题和公告正文任务描述a) 编辑公告标题，这里公告标题是notice表的标识符，每次输入标题后离开标题输入框，会进行一个ajax验证，如果标题内容重复，ajax会返回一个0，并给用户一个提示，说明，这个标题已经重复。点击确认按钮后，输入框的内容会自动清空。b) 编辑公告正文，这里用到了大名鼎鼎的kindeditor富文本编辑器，实现了即见即所得的文本编辑效果，可以插入图片表