網(wǎng)絡(luò)與信息安全管理系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)

中博信息技術(shù)研究院有限公司 朱云杰

網(wǎng)絡(luò)與信息安全管理系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)

中博信息技術(shù)研究院有限公司 朱云杰

網(wǎng)絡(luò)與信息安全管理系統(tǒng)，通過對KPI（關(guān)鍵性能指標(biāo)）各項(xiàng)指標(biāo)進(jìn)行分解，制定考核標(biāo)準(zhǔn)，實(shí)現(xiàn)對網(wǎng)絡(luò)與信息安全的主要工作進(jìn)行有效地跟蹤管控；系統(tǒng)的任務(wù)分發(fā)模塊通過派發(fā)各種任務(wù)單的形式實(shí)現(xiàn)安全指揮調(diào)度的作用，及時(shí)有效地推動(dòng)工作的開展，并實(shí)現(xiàn)工作留痕；系統(tǒng)通過實(shí)現(xiàn)與安全生產(chǎn)系統(tǒng)的對接，第一時(shí)間獲得安全相關(guān)的關(guān)鍵數(shù)據(jù)，掌握安全生產(chǎn)關(guān)節(jié)的狀態(tài)，為安全人員工作提供有力的幫助；另外系統(tǒng)提供一些公文資料管理、安全培訓(xùn)、專項(xiàng)工作、日常作業(yè)計(jì)劃、應(yīng)急預(yù)案等功能。

網(wǎng)絡(luò)安全；信息安全；關(guān)鍵性能指標(biāo)

新形勢下電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作存在的問題突出表現(xiàn)在：重發(fā)展、輕安全思想普遍存在，網(wǎng)絡(luò)安全工作體制機(jī)制不健全，網(wǎng)絡(luò)安全技術(shù)能力和手段不足，關(guān)鍵軟硬件安全可控程度低等。如何有效應(yīng)對日益嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，切實(shí)加強(qiáng)和改進(jìn)網(wǎng)絡(luò)安全工作，進(jìn)一步提高電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全保障能力和水平，黨中央、國務(wù)院及工業(yè)和信息化部相繼下達(dá)了若干重要文件。根據(jù)工信部?！?014〕368號(hào)文件《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》的精神，建立網(wǎng)絡(luò)與信息安全管理系統(tǒng)勢在必行、迫在眉睫。

1 系統(tǒng)實(shí)現(xiàn)目標(biāo)

1）高效地開展各項(xiàng)網(wǎng)絡(luò)與信息安全相關(guān)的工作，對工信部、集團(tuán)下發(fā)的KPI（關(guān)鍵性能指標(biāo)）考核，按照評(píng)分規(guī)則人工打分的方式和部分定量指標(biāo)通過系統(tǒng)打分的方式，較客觀地對指標(biāo)完成情況給予準(zhǔn)確評(píng)價(jià)；

2）通過任務(wù)單派發(fā)流程，使得網(wǎng)絡(luò)信息安全工作能夠以嚴(yán)謹(jǐn)?shù)?、?guī)范的方式進(jìn)行開展，任務(wù)單實(shí)現(xiàn)閉環(huán)，工作完成情況也得到較真實(shí)的反應(yīng)，工作過程得以留痕；

3）通過制定自動(dòng)任務(wù)作業(yè)計(jì)劃，對網(wǎng)絡(luò)信息安全中的日常維護(hù)等工作進(jìn)行有效的管控；

4）網(wǎng)絡(luò)信息安全有關(guān)的制度、規(guī)范、政策法規(guī)以及工信部和集團(tuán)下發(fā)的公文進(jìn)行歸檔整理，供學(xué)習(xí)和查閱；

5）實(shí)現(xiàn)對網(wǎng)絡(luò)信息安全人員的有效管理，人員入職、離職必須經(jīng)過嚴(yán)格的審核，提供相關(guān)的上崗證、網(wǎng)絡(luò)信息安全培訓(xùn)證書、學(xué)歷證書、工作經(jīng)歷等，同時(shí)系統(tǒng)為在職人員的培訓(xùn)、學(xué)習(xí)提供一定的幫助；

6）數(shù)據(jù)共享，實(shí)現(xiàn)與生產(chǎn)系統(tǒng)對接，獲取安全有關(guān)的關(guān)鍵數(shù)據(jù)，為網(wǎng)絡(luò)信息安全工作人員實(shí)時(shí)的提供第一手?jǐn)?shù)據(jù)；

7）移動(dòng)應(yīng)用，系統(tǒng)部分功能實(shí)現(xiàn)移動(dòng)互聯(lián)網(wǎng)應(yīng)用；

8）應(yīng)急指揮調(diào)度，制定網(wǎng)絡(luò)安全各種應(yīng)急預(yù)案，定期進(jìn)行應(yīng)急演練活動(dòng)，如遇突發(fā)緊急情況，能夠完成應(yīng)急指揮調(diào)度；

9）統(tǒng)計(jì)分析，對關(guān)鍵指標(biāo)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，能夠發(fā)現(xiàn)工作中存在的問題，為以后的工作提供參考價(jià)值。

2 系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)架構(gòu)說明如下。

網(wǎng)絡(luò)與信息安全管理系統(tǒng)的人機(jī)界面采用B/S（瀏覽器/服務(wù)器）交互方式，界面采用JSP（Java服務(wù)器頁面）、Java script、page office、easyUI（用戶接口）組件頁面開發(fā)技術(shù)。

業(yè)務(wù)層采用MVC（模型—視圖—控制器）設(shè)計(jì)模式的應(yīng)用構(gòu)架（struts、spring、mybatis），struts實(shí)現(xiàn)頁面控制，用來處理用戶的請求和請求后返回給用戶的模型數(shù)據(jù)；spring完成業(yè)務(wù)服務(wù)器端業(yè)務(wù)層開發(fā)，spring提供一個(gè)輕量級(jí)控制反轉(zhuǎn)（IoC）和面向方面編程（AOP）的容器框架，使用基本的Java bean來完成以前只能由EJB（enterprise Java bean）完成的事情，提高Java開發(fā)簡單性、可測試性和松耦合性；業(yè)務(wù)層的接口服務(wù)采用Web service技術(shù)。

中間層的流程引擎采用Activiti，它是一個(gè)新興的基于Apache許可的支持BPMN（業(yè)務(wù)流程建模標(biāo)注）2.0標(biāo)準(zhǔn)的開源產(chǎn)品，是一個(gè)輕量級(jí)，可嵌入的BPMN引擎，并且提供了功能豐富的開發(fā)和流程設(shè)計(jì)工具；FTP（文件傳輸協(xié)議）服務(wù)采用Linux系統(tǒng)自帶服務(wù)；數(shù)據(jù)庫持久層開發(fā)采用開源的my batis （即：iBatis），my batis提供的持久層框架包括SQL（結(jié)構(gòu)化查詢語言）maps和數(shù)據(jù)訪問對象（DAO），同時(shí)還提供一個(gè)使用該框架的一個(gè)實(shí)例JPetStore，使用my batis提供的ORM（對象關(guān)系映射）機(jī)制，SQL寫在XML（可擴(kuò)展標(biāo)記語言）配置文件里，解除SQL與程序代碼的耦合，提供映射標(biāo)簽，支持對象與數(shù)據(jù)庫的ORM字段關(guān)系映射，為數(shù)據(jù)庫的可移植性和系統(tǒng)設(shè)計(jì)帶來更大的靈活度。系統(tǒng)架構(gòu)見圖1。

數(shù)據(jù)層采用開源的數(shù)據(jù)庫MYSQL（結(jié)構(gòu)化查詢語言）和文件服務(wù)器。

1）表示層：前端頁面接收用戶的信息輸入并提交到后端調(diào)用相應(yīng)的業(yè)務(wù)層邏輯，業(yè)務(wù)層執(zhí)行完畢將運(yùn)算結(jié)果數(shù)據(jù)利用表示層展現(xiàn)。

2）業(yè)務(wù)層：完成系統(tǒng)功能的復(fù)雜的業(yè)務(wù)邏輯，是系統(tǒng)的核心部分。接收來自表示層的業(yè)務(wù)數(shù)據(jù)和指令進(jìn)行處理，并將結(jié)果返回。

3）中間層：由第三方提供的組件容器組成的，為業(yè)務(wù)層提供支撐服務(wù)，如：業(yè)務(wù)流程服務(wù)、數(shù)據(jù)庫持久化服務(wù)、文件上傳和下載服務(wù)等。

4）數(shù)據(jù)層：負(fù)責(zé)數(shù)據(jù)的存儲(chǔ)，維護(hù)數(shù)據(jù)間的關(guān)系，存儲(chǔ)各種文檔資料、圖片，保障整個(gè)系統(tǒng)數(shù)據(jù)源的安全性、準(zhǔn)確性。

采用四層體系架構(gòu)，系統(tǒng)的邏輯層次結(jié)構(gòu)更加清晰，增強(qiáng)了系統(tǒng)的可擴(kuò)展性、可維護(hù)性、松耦合性和穩(wěn)定性，是目前業(yè)界廣泛采用的架構(gòu)體系。

3 系統(tǒng)功能設(shè)計(jì)

網(wǎng)絡(luò)與信息安全管理系統(tǒng)包括系統(tǒng)管理、KPI考核、任務(wù)分發(fā)、公文管理和網(wǎng)絡(luò)信息安全應(yīng)急指揮調(diào)度5個(gè)主要部分的功能，其功能機(jī)構(gòu)如圖2所示。

3.1 系統(tǒng)管理

系統(tǒng)管理包括人員賬號(hào)及口令管理、角色權(quán)限管理、機(jī)構(gòu)崗位設(shè)置、系統(tǒng)使用日志、公告欄通知管理。為統(tǒng)一管理用戶賬號(hào)口令，系統(tǒng)實(shí)現(xiàn)與OA（辦公自動(dòng)化）同步。

3.2 KPI考核

KPI考核功能是系統(tǒng)的重要功能，包括考核項(xiàng)配置、考核評(píng)分規(guī)則配置、考核權(quán)限配置、附件管理、量化指標(biāo)考核、非量化指標(biāo)考核、指標(biāo)統(tǒng)計(jì)分析。

網(wǎng)絡(luò)信息安全每年工信部、電信集團(tuán)的考核項(xiàng)目都略有變化，因此考核的項(xiàng)目必須實(shí)現(xiàn)動(dòng)態(tài)可配置化的。每個(gè)考核項(xiàng)的分值和打分標(biāo)準(zhǔn)、規(guī)則，每個(gè)年度不可避免的發(fā)生變化，因此評(píng)分的規(guī)則、標(biāo)準(zhǔn)也必須實(shí)現(xiàn)可配置化?？己藛雾?xiàng)被分解到相關(guān)的部門崗位和責(zé)任人，所以考核打分必須有權(quán)限控制。考核指標(biāo)盡量做到可以量化打分，直接從生產(chǎn)系統(tǒng)中獲得考核打分的數(shù)據(jù)，由系統(tǒng)進(jìn)行自動(dòng)打分，對于非量化指標(biāo)的考核盡可能的實(shí)現(xiàn)公正、透明。對于重要的關(guān)鍵考核指標(biāo)，采用圖表的方式進(jìn)行統(tǒng)計(jì)分析，直觀地分析過去的工作中存在的問題，為今后工作的開展提供一些參考。

3.3 公文管理

公文管理包括政府政策法規(guī)、行業(yè)規(guī)范標(biāo)準(zhǔn)、工信部發(fā)文、電信集團(tuán)發(fā)文。實(shí)現(xiàn)文件的上傳/下載、文件的搜索，文件格式支持圖片、Word、Excel、PDF、txt，采用page office技術(shù)實(shí)現(xiàn)文檔的在線閱覽。設(shè)置好的時(shí)間里，系統(tǒng)自動(dòng)將日常工作任務(wù)單推送到相關(guān)的網(wǎng)絡(luò)安全日常維護(hù)人員。

對于某些突發(fā)應(yīng)急事件，任務(wù)派發(fā)可以直接派發(fā)到操作崗，不用經(jīng)過層層審批。

3.5 應(yīng)急指揮調(diào)度

3.4 任務(wù)分發(fā)

任務(wù)分發(fā)是本系統(tǒng)另外一個(gè)重要的核心功能，包括任務(wù)流程模板定制、任務(wù)單模板定制、日常維護(hù)工作計(jì)劃配置、任務(wù)的發(fā)送管控、短信發(fā)送和重要任務(wù)領(lǐng)導(dǎo)審核功能。

任務(wù)流程模板包括設(shè)置流程的功能節(jié)點(diǎn)，節(jié)點(diǎn)上能處理的相關(guān)崗位和人。將任務(wù)單分成不同的類型，對每個(gè)類型定制流程模板，這樣就規(guī)定了任務(wù)單的處理邏輯、處理崗位、流轉(zhuǎn)方向。

不同類型的任務(wù)單，其內(nèi)容格式也不完全相同，本系統(tǒng)采用任務(wù)單模板，可以采用配置的方式應(yīng)對各種類型的任務(wù)單，增加系統(tǒng)的通用性。

日常維護(hù)工作是網(wǎng)絡(luò)信息安全工作人員平時(shí)的一項(xiàng)重要工作，其特點(diǎn)是周期性反復(fù)的，系統(tǒng)采用作業(yè)計(jì)劃配置方式，在

應(yīng)急指揮調(diào)度是網(wǎng)絡(luò)信息安全工作的重中之重，包括應(yīng)急預(yù)案庫、應(yīng)急預(yù)案演練、指揮調(diào)度。應(yīng)對網(wǎng)絡(luò)信息安全各種突發(fā)情況，必須備有應(yīng)急預(yù)案庫，一套預(yù)案涵蓋：應(yīng)急方案的類型、相關(guān)文檔、相關(guān)的流程、相關(guān)的硬件軟件資源、備用方案等。應(yīng)急演練包括演練的時(shí)間、地點(diǎn)、人員、啟用的應(yīng)急預(yù)案、演練效果、存在的問題。

4 關(guān)鍵模塊和算法設(shè)計(jì)

4.1 KPI考核項(xiàng)及評(píng)分規(guī)則

網(wǎng)絡(luò)與信息安全KPI考核指標(biāo)，工信部、電信集團(tuán)每年的要求都略有不同，通過研究考核指標(biāo)及評(píng)分的特點(diǎn)，系統(tǒng)采用樹形結(jié)構(gòu)對考核項(xiàng)和評(píng)分規(guī)則進(jìn)行配置，這里稱為“KPI考核樹”，如圖3所示。

采用考核樹的設(shè)計(jì)算法靈活方便的將KPI考核項(xiàng)進(jìn)行分解，將相關(guān)的工作分解到對應(yīng)的部門崗位。父節(jié)點(diǎn)的分值等于它所有子節(jié)點(diǎn)的分值之和，圖中的分值比實(shí)際分值擴(kuò)大100倍，便于打分。考核樹的第二層為考核項(xiàng)類型，第三層為考核項(xiàng)，第四層為考核單項(xiàng)?？己藰渖瞎?jié)點(diǎn)設(shè)置的主要屬性有：考核項(xiàng)名稱、考核分值、權(quán)限等。評(píng)分規(guī)則：打分分為“自評(píng)分”、“核算分”，“最終得分”，葉節(jié)點(diǎn)上的打分分為量化打分和非量化打分，非量化打分由不同的本地網(wǎng)或部門打分，再求平均值，量化打分通過配置打分算法完成。

量化指標(biāo)打分設(shè)計(jì)采用數(shù)據(jù)表、數(shù)據(jù)定義表及打分定義表，數(shù)據(jù)表用于存放各種采集到的用于打分的基本源數(shù)據(jù)，由于數(shù)據(jù)表中數(shù)據(jù)來自不用數(shù)據(jù)源，數(shù)據(jù)的格式、大小都不一樣，這里使用一張數(shù)據(jù)定義表定義不同數(shù)據(jù)源的數(shù)據(jù)，打分定義表存放打分的規(guī)則。

4.2 任務(wù)單流程模板

任務(wù)分發(fā)是網(wǎng)絡(luò)信息安全管理工作中的一項(xiàng)重要內(nèi)容，使得日常的許多工作納入流程化管理方式，工作模式更加規(guī)范化，工作考核也更加公平、公正、透明。

任務(wù)流程模板配置包括過程模型的搭建、人員組織機(jī)構(gòu)的配置和任務(wù)單模板的定制。見圖4。過程模型有3種活動(dòng)節(jié)點(diǎn)：任務(wù)、邏輯和標(biāo)志。過程模型中任務(wù)節(jié)點(diǎn)的可重用性是提高配置化程度和減少開發(fā)工作的關(guān)鍵。任務(wù)節(jié)點(diǎn)上的一項(xiàng)主要的工作就是任務(wù)單的填寫、資料的上傳。因工作項(xiàng)的不同，任務(wù)單的內(nèi)容和格式也不一樣。傳統(tǒng)的方式，不同任務(wù)單就要開發(fā)相應(yīng)的頁面，后臺(tái)數(shù)據(jù)入庫處理也要開發(fā)。

這里我們采用任務(wù)單模板配置的技術(shù)解決了上面的問題，模板使用page office制作Word表格，這樣在任務(wù)節(jié)點(diǎn)上頁面數(shù)據(jù)的處理被統(tǒng)一放在office組件中完成。通過在任務(wù)單模板上設(shè)置數(shù)據(jù)標(biāo)簽，不同的任務(wù)節(jié)點(diǎn)只處理任務(wù)單模板中對應(yīng)標(biāo)簽的數(shù)據(jù)，任務(wù)單處理結(jié)束進(jìn)行打分、存檔，可以通過配置將任務(wù)單上的有關(guān)數(shù)據(jù)提取出來保存入庫。

5 結(jié)束語

網(wǎng)絡(luò)與信息安全管理系統(tǒng)目前已經(jīng)完成了工信部和集團(tuán)下達(dá)的KPI各項(xiàng)考核指標(biāo)的工作，包括非定量指標(biāo)和定量指標(biāo)的項(xiàng)目配置、評(píng)分規(guī)則配置以及指標(biāo)的統(tǒng)計(jì)分析；完成任務(wù)的分發(fā)，包括任務(wù)的下達(dá)、上報(bào)、日常維護(hù)作業(yè)任務(wù)自動(dòng)分發(fā)；完成安全人員的管理、培訓(xùn)。

系統(tǒng)后續(xù)工作有：網(wǎng)絡(luò)與信息安全專項(xiàng)工作、應(yīng)急預(yù)案、系統(tǒng)的移動(dòng)應(yīng)用、與相關(guān)生產(chǎn)系統(tǒng)對接實(shí)現(xiàn)數(shù)據(jù)共享等，使其更加有力的支撐網(wǎng)絡(luò)信息安全工作。 ◆