大型企業(yè)信息安全管理工作平臺的設(shè)計與實現(xiàn)

發(fā)布時間：2020-11-03 11:47

　　大型企業(yè)運營著涉及國家能源安全、國計民生的重要信息系統(tǒng),既要符合來自國家主管部門的監(jiān)管要求,也有保障核心業(yè)務應用系統(tǒng)平穩(wěn)安全運行的內(nèi)在安全需求。因此迫切需要建設(shè)一套信息安全管理工作平臺,以在企業(yè)內(nèi)部有效地開展和落實等級保護工作、多標準合規(guī)工作、風險管理工作、安全檢查工作等,并促進相應工作在整個企業(yè)范圍內(nèi)的落實。本文從大型企業(yè)信息安全現(xiàn)狀及自身需求出發(fā),設(shè)計開發(fā)了適應該企業(yè)需求的信息安全管理工作平臺。首先,對平臺所采用的應用架構(gòu)、開發(fā)架構(gòu)、數(shù)據(jù)庫環(huán)境、軟件環(huán)境、主要技術(shù)指標和硬件配置進行了詳細分析,明確了平臺設(shè)計、實現(xiàn)、部署的基礎(chǔ)環(huán)境。其次,對平臺的業(yè)務需求、業(yè)務功能、總體架構(gòu)及各個模塊業(yè)務流程進行了詳細的分析和設(shè)計,并實現(xiàn)了主要功能。平臺的主要功能模塊包括定義平臺的組織體系及人員角色的組織機構(gòu)管理模塊、存儲企業(yè)基本信息的基礎(chǔ)數(shù)據(jù)管理模塊、對企業(yè)開展重要信息保護和管理工作的等級保護模塊、對企業(yè)風險評估過程進行管理的風險管理模塊、控制企業(yè)安全事件通報流程管理的安全事件通報模塊、管理企業(yè)應急預案以及演練信息的應急響應模塊、對整改工作進行追蹤的整改規(guī)劃模塊和對安全檢查工作過程管理的安全檢查模塊等功能模塊。企業(yè)信息管理部門可通過該平臺監(jiān)督、檢查、指導其他部門及子公司和分公司的信息安全管理工作。平臺采用當前業(yè)界流行的J2EE相關(guān)技術(shù)標準來實現(xiàn),選擇目前流行的Spring作為輕量級容器架構(gòu)的實現(xiàn)方案,采用Struts輕量級開源MVC框架,選用MySQL5.0作為數(shù)據(jù)庫管理軟件。平臺采用B/S結(jié)構(gòu),以通用瀏覽器作為客戶端,采用J2EE構(gòu)建系統(tǒng)服務器端。平臺在設(shè)計上利用風險點數(shù)量、安全事件數(shù)量、安全檢查發(fā)現(xiàn)點的數(shù)量、高風險的比例、整改任務完成情況等信息,匯總出信息安全績效指標KPI來進行風險評估,并進行圖形化展示。改進了RBAC,添加了“群組”功能,引入了角色模板概念,授權(quán)細分到資源狀態(tài)。根據(jù)WFMC對工作流的規(guī)范,還自行開發(fā)了工作流引擎。為了保證系統(tǒng)運行時的安全性,在設(shè)計上防止了跨站腳本攻擊、SQL注入攻擊、惡意文件的執(zhí)行、對象的直接引用等,并對頁面組件、敏感數(shù)據(jù)進行了安全防范。同時為了保證系統(tǒng)穩(wěn)定運行,對系統(tǒng)進行了BVT測試、版本測試、性能測試、并發(fā)測試、壓力測試、大數(shù)據(jù)量測試、穩(wěn)定性測試和安全測試。通過測試,保證了系統(tǒng)各模塊功能完善、性能穩(wěn)定,具有良好的可行性與可用性,以滿足平臺設(shè)計需求與大型企業(yè)信息安全管理工作相關(guān)需求。
【學位單位】：河北大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP309
【部分圖文】：

架構(gòu)圖,角色,架構(gòu),平臺

圖 2-1 平臺角色架構(gòu)圖2.1.3 大型企業(yè)信息管理部門領(lǐng)導視圖在平臺上，大型企業(yè)信息管理部門領(lǐng)導可以查閱大型企業(yè)各下屬單位信息安全運行狀況、信息安全風險態(tài)勢等。平臺提供大型企業(yè)信息管理部門領(lǐng)導視圖，形成“信息安全風險儀表盤”。信息安全風險視圖包括：大型企業(yè)及下屬單位安全績效指標 KPI 大型企業(yè)及下屬單位 Top10 信息安全風險大型企業(yè)及下屬單位信息安全風險趨勢分析大型企業(yè)及下屬單位信息安全整改建設(shè)工作概覽大型企業(yè)及下屬單位信息系統(tǒng)概要

流程圖,信息系統(tǒng),流程,業(yè)務應用軟件