基于網(wǎng)絡安全等級保護2.0的測評管理系統(tǒng)設計與實現(xiàn)

汪晨旭 姜來為 李婧涵 郭星宇 王文浩 夏渝彧

摘? 要：在傳統(tǒng)的信息安全等級保護測評過程中，當測評人員完成測評工作后，由于人員水平參差，形成的最終報告往往差別較大。為了規(guī)范測評結果報告的生成，并方便測評人員對測評結果進行管理，該文基于網(wǎng)絡安全等級保護2.0（等保2.0）國家標準要求，設計并實現(xiàn)信息安全等級保護測評管理系統(tǒng)。本系統(tǒng)具有創(chuàng)新性的多方參與管理體系，將用戶根據(jù)身份的不同劃分成不同的角色，不同身份級別的角色對系統(tǒng)中的測評結果擁有不同的查看或修改權限。系統(tǒng)基于B/S架構與MVC框架，利用PHP語言開發(fā)，并采用HTML、CSS、JavaScript等前端技術實現(xiàn)系統(tǒng)的可視化、動態(tài)化。

關鍵詞：信息安全；等保2.0；測評管理系統(tǒng)；B/S架構；通信技術

中圖分類號：TP393? ? ? ?文獻標志碼：A? ? ? ? ? 文章編號：2095-2945（2024）06-0028-07

Abstract： In the traditional evaluation process of information security grade protection， when the evaluators complete the evaluation work， the final reports are often quite different due to the differences in the level of personnel. In order to standardize the generation of the evaluation results report and facilitate the evaluators to manage the evaluation results， this paper designs and implements the information security level protection evaluation management system based on the requirements of the national standard of Network Security Level Protection 2.0 （Level Protection 2.0）. The system has an innovative multi-party participation management system， which divides users into different roles according to different identities， and roles with different identity levels have different permissions to view or modify the evaluation results in the system. The system adopts B/S mode and MVC framework and uses PHP to implement this system. HTML， CSS， JavaScript， and other front-end technologies are used to realize the visualization and dynamics of the system.

Keywords： information security; Network Security Level Protection 2.0; evaluation management system; B/S architecture; communication technology

近年來，隨著計算機、通信技術的不斷發(fā)展，信息安全的重要性日益凸顯。信息安全等級保護作為國家一個重要的安全策略，一直以來都是大家關注的焦點。隨著信息化的不斷發(fā)展深入，信息安全等級保護的標準在不斷改變。各個國家組織也積極對計算機信息安全評估和保護工作進行了研究和探索。我國2016年出臺《中華人民共和國網(wǎng)絡安全法》，2019年正式發(fā)布網(wǎng)絡安全等級保護制度2.0國家標準（以下簡稱“等保2.0標準”），對信息安全等級保護進行了更新與完善，體現(xiàn)出新的安全思想，并與當前時代更加聯(lián)系緊密，在信息安全領域得到了廣泛應用。與此同時，我國出臺的《中華人民共和國網(wǎng)絡安全法》中的第二十一條對網(wǎng)絡安全的等級保護制度做出了明確規(guī)定[1-2]，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求履行相應的安全保護義務[3]。隨著等保2.0的出臺，企業(yè)的信息安全等級保護管理也變得愈發(fā)復雜，并且由于測評管理繁瑣，沒有統(tǒng)一的管理流程，企業(yè)難以有效地實施等保測評的管理，因此需要一個系統(tǒng)化的測評管理機制來對其進行管理[4]。

目前，基于等保2.0的信息安全等級保護相關研究和實踐已經(jīng)開展：趙少飛[5]對當前企業(yè)在等保2.0時代到來后面臨的安全風險做了討論；馬玉州[6]在分析普通高校等保測評過程時發(fā)現(xiàn)存在重技術、輕管理的問題；吳寶琦等[7]在分析等保建設過程中存在的問題時提出建設集中管理平臺的理念；張煒等[8]在公共交通領域建議建立安全管理平臺，從而更加符合等保2.0標準要求。等保測評不應僅重視測評過程，更應加強對測評結果的管理，最終實現(xiàn)測評結果的標準化、統(tǒng)一化；而現(xiàn)階段鮮有將各測評機構測評結果體系化的系統(tǒng)?？梢钥闯?，隨著等保2.0時代的到來和信息化的不斷發(fā)展，各行各業(yè)的安全防護與測評標準面臨更加嚴峻的挑戰(zhàn)。

在上述背景下，本文整合并分析等保2.0測評標準；針對現(xiàn)存等保測評管理中出現(xiàn)的問題，設計并實現(xiàn)基于等保2.0的信息安全等級保護測評管理系統(tǒng)；完善等級保護測評管理流程，為現(xiàn)實中等級保護測評機構提供支持，具有一定的實用價值。本系統(tǒng)包括管理模塊與業(yè)務模塊，使用當前市面上較為流行的PHP語言進行開發(fā)，采用HTML、CSS、JavaScript等前端技術實現(xiàn)系統(tǒng)可視化功能，并最大限度地確保其對于各層次測評人員的可用性。此外，本系統(tǒng)基于B/S架構實現(xiàn)，相比于傳統(tǒng)的C/S架構更易于實現(xiàn)與維護，只需要把系統(tǒng)程序配置到服務器上客戶端即可使用瀏覽器來對系統(tǒng)進行訪問，客戶端無需安裝任何軟件[9]。

本文主要內(nèi)容如下：首先分析基于等保2.0測評管理要求，區(qū)分等保2.0與等保1.0主要不同之處；然后研究等保2.0測評方法，明確測評流程與測評得分計算方法；進而設計測評管理系統(tǒng)，并對其進行實現(xiàn)與測試。

1? 基于等保2.0測評管理要求

1.1? 基于等保2.0測評基本要求

基于等保2.0測評基本要求包括通用要求和安全擴展2個方面的全面安全測評。

1.1.1? 通用要求

通用要求是等保2.0中安全測評的基礎。通用要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理5個方面的要求。

1）安全管理制度：企業(yè)或組織的安全管理制度應當明確安全管理的范圍、內(nèi)容、責任、流程和制度等方面的要求。

2）安全管理機構：企業(yè)或組織應當設立專門的安全管理機構，負責制定安全管理制度和安全管理方案等工作。

3）安全管理人員：企業(yè)或組織應當配備專門的安全管理人員，負責組織實施安全管理工作。

4）安全建設管理：企業(yè)或組織應當建立安全建設管理機制，對安全建設的各項工作進行統(tǒng)籌協(xié)調和管理。

5）安全運維管理：企業(yè)或組織應當建立安全運維管理機制，對安全運維的各項工作進行統(tǒng)籌協(xié)調和管理。

1.1.2? 安全擴展

安全擴展是等保2.0中安全測評的重要內(nèi)容。安全擴展包括了安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心5個方面的要求。

1）安全物理環(huán)境：企業(yè)或組織應當建立符合安全要求的物理環(huán)境，保證信息系統(tǒng)的安全。

2）安全通信網(wǎng)絡：企業(yè)或組織應當建立符合安全要求的通信網(wǎng)絡，保證信息傳輸?shù)陌踩?/p>

3）安全區(qū)域邊界：企業(yè)或組織應當建立符合安全要求的區(qū)域邊界，保證信息系統(tǒng)的安全。

4）安全計算環(huán)境：企業(yè)或組織應當建立符合安全要求的計算環(huán)境，保證信息系統(tǒng)的安全。

5）安全管理中心：企業(yè)或組織應當建立符合安全要求的安全管理中心，對信息系統(tǒng)的安全進行全面監(jiān)控和管理。

基于等保2.0測評管理基本要求，不僅要求系統(tǒng)的安全性能達到一定的標準，更要求系統(tǒng)安全建設在整個生命周期中得到有效的管理和保障。

1.2? 等保2.0與等保1.0主要區(qū)別

通過對等保2.0與等保1.0內(nèi)容進行比較分析，以及對標準深度解讀研究，可以將其區(qū)別總結為6個方面，見表1[10-13]。

2? 等保2.0測評方法研究

2.1? 基于等保2.0測評流程

等保2.0測評流程主要分籌備階段、前期準備、安全風險評估、測評實施、測評報告編寫、報告提交和整改6個部分。

2.1.1? 籌備階段

確定測評的范圍、目標、方式和方法，制定測評計劃和安排人員。

2.1.2? 前期準備

進行信息收集和準備工作，包括收集系統(tǒng)的相關資料、了解系統(tǒng)的功能和架構等，以便后續(xù)的安全風險評估和測評實施。

2.1.3? 安全風險評估

對信息系統(tǒng)進行安全風險評估，分析系統(tǒng)存在的安全隱患和漏洞，確定系統(tǒng)的安全要求。

2.1.4? 測評實施

根據(jù)安全要求，對信息系統(tǒng)進行等保2.0測評，評估系統(tǒng)的安全性。具體包括以下3點。

1）安全管理測評：評估系統(tǒng)的安全管理制度、組織、流程等方面的情況，包括安全管理政策、安全管理制度、安全管理組織和安全管理流程等。

2）安全技術測評：評估系統(tǒng)的安全技術措施，包括訪問控制、身份認證、加密技術、防火墻技術和入侵檢測技術等。

3）安全防護測評：評估系統(tǒng)的安全防護措施，包括網(wǎng)絡設備、操作系統(tǒng)、應用軟件等方面的防護措施。

2.1.5? 測評報告編寫

根據(jù)測評結果，編制等保2.0測評報告，匯總系統(tǒng)存在的安全隱患和漏洞，提出相應的安全建議和措施。

2.1.6? 報告提交和整改

將測評報告提交給相關部門，要求對系統(tǒng)存在的安全隱患和漏洞進行整改，并跟蹤整改情況，確保問題得到解決。

2.2? 測評得分計算

當測評師根據(jù)2.1節(jié)中給出的基于等保2.0測評流程完成對任務的測評后，需要利用測評獲取到的數(shù)據(jù)信息根據(jù)式（1）對任務進行得分計算。

式中：n為此任務測評的項數(shù)（n不包括不適用項），f（wk）為第k項的重要程度，xk為第k項的符合程度，符合1分、部分符合0.5分、不符合0分。測評師根據(jù)計算得到測評得分再填寫相關信息，從而獲得最終等級保護報告。

基于上述等保2.0測評方法研究，本文將設計并實現(xiàn)信息安全等級保護測評管理系統(tǒng)：從數(shù)據(jù)庫調取測評任務的記錄數(shù)據(jù)，依據(jù)得分計算公式計算得到測評分數(shù)，然后將其顯示在測評得分管理頁面中，再由測評師更新任務狀態(tài)、填寫相關信息并最終導出等級保護報告。

3? 測評管理系統(tǒng)設計

3.1? 系統(tǒng)架構設計

本文設計并實現(xiàn)的信息安全等級保護測評系統(tǒng)采取B/S架構作為開發(fā)架構便于用戶使用，只需要用戶主機登錄瀏覽器而無需安裝客戶端即可直接登錄系統(tǒng)；且本系統(tǒng)基于MVC的設計思想，將模型（后端）和視圖（前端）在開發(fā)過程中分離為獨立部分，便于開發(fā)人員的設計實現(xiàn)和維護。此外，系統(tǒng)使用PHP語言實現(xiàn)MVC模式框架。MVC架構如圖1所示。

3.2? 系統(tǒng)模塊設計

依據(jù)本文第2章中等保測評方法研究開展系統(tǒng)模塊設計，可將系統(tǒng)分為3大模塊：測評標準庫模塊、管理模塊、業(yè)務模塊。

3.2.1? 測評標準庫模塊

測評標準庫模塊對我國出臺的等級保護標準文件進行展示，以便系統(tǒng)使用人員查看等級保護標準相關文件，實現(xiàn)文件共享，提高協(xié)同效率。

3.2.2? 管理模塊

管理模塊包括人員添加、人員管理2大功能，其中人員管理功能中包括刪除人員和人員信息修改兩部分。管理模塊結構如圖2所示。

系統(tǒng)管理員和機構管理員角色具有人員添加的功能，并且機構管理員只可以添加自身機構的用戶角色。人員管理功能則由系統(tǒng)管理員和機構管理員擁有，能夠對人員信息進行刪除和修改操作，并且機構管理員只能夠對所在測評機構的人員執(zhí)行該操作。

3.2.3? 業(yè)務模塊

業(yè)務模塊結構圖如圖3所示。

測評流程部分包括測評對象添加、測評對象列表、測評記錄添加、測評記錄列表和測評得分計算功能，測評人員在測評過程中添加測評對象和測評記錄，系統(tǒng)根據(jù)測評人員添加的測評記錄計算得到測評得分。

測評任務管理部分包括測評任務列表、測評記錄列表、測評得分計算等功能，可以查看當前已有測評任務列表并對測評任務進行添加，根據(jù)測評流程子模塊中添加的測評記錄計算相應得分，進而查看當前任務信息、測評完成情況和任務得分，最終從系統(tǒng)直接導出pdf或word格式的測評報告。

3.3? 數(shù)據(jù)庫設計

本系統(tǒng)采用MySQL數(shù)據(jù)庫，根據(jù)前文等級保護測評功能要求分析各數(shù)據(jù)表中所需字段并保證不同表之間的數(shù)據(jù)關聯(lián)性，數(shù)據(jù)庫E-R圖如圖4所示。主要包括以下內(nèi)容。

3.3.1? 測評機構表

測評機構表用于存儲可以對系統(tǒng)進行測評的機構。主要參數(shù)包括：機構名稱、測評任務、管理員和測評師。

3.3.2? 測評人員表

測評人員表用于存儲和管理可參與測評的人員信息，主要參數(shù)包括：登錄賬號、登錄密碼、姓名、角色和所屬機構。

3.3.3? 測評任務表

測評任務表用于存儲該系統(tǒng)的已建立任務，主要參數(shù)包括：任務編號、任務名稱、所屬機構、創(chuàng)建時間、測評等級、負責人和任務狀態(tài)。

3.3.4? 測評記錄表

測評記錄表用于存儲該系統(tǒng)所有測評記錄信息，主要參數(shù)包括：對象任務編號、層面名稱、控制點名稱、測評項內(nèi)容、對應測評對象、重要程度、符合程度、記錄結果和測評日期。

3.3.5? 測評對象表

測評對象表用于存儲測評對象的多種屬性，主要參數(shù)包括：對象描述、測評內(nèi)容、重要系數(shù)、對象名稱、對象所屬層面、所屬任務、備注。

3.3.6? 測評標準信息表

測評標準信息表用于存儲等保測評2.0規(guī)定的標準要求，主要參數(shù)包括：層面名稱、控制點名稱、測評等級、測評對象和測評內(nèi)容。

在得分計算頁面選擇要計算分數(shù)的任務后，系統(tǒng)在數(shù)據(jù)庫中獲取該任務的測評記錄中的數(shù)據(jù)后根據(jù)公式計算出該任務的得分，顯示在頁面中，如圖5所示。然后系統(tǒng)會將此任務的得分顯示到測評任務管理模塊中的測評得分管理頁面中，最后由測評師更新任務狀態(tài)、填寫相關信息并導出等級保護報告，如圖6所示。

4? 測評管理系統(tǒng)實現(xiàn)與測試

4.1? 系統(tǒng)開發(fā)環(huán)境

本系統(tǒng)在Windows系統(tǒng)環(huán)境下運行，便于后期維護、開發(fā)效率高的PHP語言作為開發(fā)語言，并使用了PHPthink5.0開發(fā)框架，同時使用MySQL數(shù)據(jù)庫進行數(shù)據(jù)的存儲，利用FireFox瀏覽器進行訪問。整個項目開發(fā)平臺選用PHP集成開發(fā)工具PhpStorm實現(xiàn)。

4.2? 系統(tǒng)實現(xiàn)與測試

本系統(tǒng)為信息安全等級保護管理提供了統(tǒng)一、系統(tǒng)的測評管理平臺，便于其有效地完成信息安全保護測評的功能。

首先，測評師登錄系統(tǒng)，在測評任務管理模塊中添加測評任務，如圖7所示。然后輸入測評任務的編號、名稱和所屬機構。接下來選擇創(chuàng)建時間和測評等級，其中測評等級分為二級、三級和四級。系統(tǒng)獲取信息后將其儲存在mysql數(shù)據(jù)庫中的hb_mission表中，再將信息回顯到測評任務列表中，如圖8所示。

測評任務添加成功后，測評師繼續(xù)在測評流程模塊中添加測評對象，如圖9所示。針對已有的任務，選擇測評對象的所屬層面、對象名稱和重要程度，其中重要程度分為一般、重要和關鍵3個級別，并注明對象類別，簡要描述被測對象承載的業(yè)務功能等基本情況，以及被測對象安全技術情況和安全管理情況。系統(tǒng)獲取這些信息后將其儲存到數(shù)據(jù)庫中的hb_mission_object表中并將信息回顯到測評對象列表中，如圖10所示。

測評對象添加成功后，進行測評工作。測評師在測評記錄添加頁面選擇已有的任務編號，并選擇對應層面下的控制點下的測評項內(nèi)容，當層面、控制點和測評項內(nèi)容選擇完成后，根據(jù)任務的測評等級其對應的測評對象將是唯一確定的，因此系統(tǒng)將會在測評對象的hb_mission_object數(shù)據(jù)表中查詢該對象。如果此對象未被添加到系統(tǒng)中則會提示“添加測評記錄失敗，該測評任務下不存在該測評對象，請先添加測評對象”。因此在測評前需要先添加該測評對象。當對已有測評對象進行測評時，測評師需要根據(jù)此對象的實際情況，根據(jù)等保2.0安全通用要求權重賦值表輸入其重要程度并根據(jù)其符合程度選擇符合、部分符合或不符合，對應的測評項得分為1分、0.5分和0分，最后注明記錄結果和測評日期。系統(tǒng)將這些獲取到的信息存儲到hb_record數(shù)據(jù)表中并將其回顯到測評記錄列表頁面供測評師查看，如圖11所示。

測評師在本系統(tǒng)中按照上述流程開展測評工作，與系統(tǒng)前后端數(shù)據(jù)多次交互，從而系統(tǒng)、規(guī)范地完成測評工作。

由于信息安全等級保護測評需要嚴格參考國家標準的信息安全等級保護第二級、三級、四級測評要求，包括對應層面下控制點的測評指標、測評對象和測評實施要求，本系統(tǒng)特別設置了一個標準信息管理模塊。由系統(tǒng)管理員在此模塊里的標準信息添加頁面中，按照國家標準信息安全等級保護文件添加層面名稱、控制點名稱、測評等級、測評對象和測評內(nèi)容。系統(tǒng)將這些信息存到db_standard數(shù)據(jù)表中并回顯到標準信息列表供管理員查看，并且提供檢索信息功能方便管理員進行信息的檢索添加功能，如圖12所示。

為了生成等級保護pdf報告，本系統(tǒng)采用mpdf技術將數(shù)據(jù)庫中的數(shù)據(jù)信息和測評師填寫的信息導入到靜態(tài)文件html，從而生成pdf等級保護報告。由用戶在測評得分管理頁面點擊“導出報告[pdf]”或“導出報告[word]”即可下載得到等級保護報告。

5? 結束語

本文從標準分析、系統(tǒng)設計、關鍵技術的設計與實現(xiàn)幾個方面詳細介紹了本系統(tǒng)的開發(fā)過程，重點闡述了本系統(tǒng)的模塊劃分、應用方式及關鍵技術。本文基于等保2.0標準設計并實現(xiàn)了一個信息安全等級保護測評管理系統(tǒng)。本系統(tǒng)能夠實現(xiàn)等級保護測評過程中的測評任務管理，生成測評報告，并提供人員管理功能。相比于傳統(tǒng)的等級保護測評管理方式，本系統(tǒng)能夠幫助測評人員更好地計算測評得分，降低了由于不同人員計算偏差導致的結果不準確，并且測評人員能夠導出測評任務報告，大大減輕了撰寫報告的難度。通過可視化、交互式、友好的用戶界面，實現(xiàn)了測評數(shù)據(jù)的直觀展示、動態(tài)調整、快速反饋，提升了系統(tǒng)的易用性并降低了測評機構對測評結果的管理難度，幫助企業(yè)有效實施等級保護測評管理。

參考文獻：

[1] 夏冰.網(wǎng)絡安全法和網(wǎng)絡安全等級保護2.0[M].北京：電子工業(yè)出版社，2017.

[2] 趙力.網(wǎng)絡安全法[M].西安：西安電子科技大學出版社，2020.

[3] 龍柳行海.淺析新時代基層央行等級保護工作[J].金融科技時代，2020（7）：76-78.

[4] 金金.基于等保2.0標準的企業(yè)網(wǎng)絡安全管理應對研究[J].網(wǎng)絡空間安全，2022，13（4）：7-11.

[5] 趙少飛.淺談等保測評中企業(yè)面臨的安全風險和應對措施[J].網(wǎng)絡安全技術與應用，2022（10）：98-99.

[6] 馬玉州.等保2.0時代普通高校等級保護工作實踐[J].網(wǎng)絡安全技術與應用，2021，247（7）：97-98.

[7] 吳寶琦，李若琛.信息網(wǎng)絡安全等保建設的思考[J].信息系統(tǒng)工程，2023（1）：125-127.

[8] 張煒，宋海萍，袁博.等保2.0要求下的城軌云內(nèi)部管理網(wǎng)信息系統(tǒng)安全管理工作的思考[J].網(wǎng)絡安全技術與應用，2022（9）：113-114.

[9] 石安，張卓若，代立云.基于B/S架構的實時系統(tǒng)建模驗證工具[J].計算機應用與軟件，2022，39（10）：11-17，34.

[10] 公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室.信息安全等級保護管理辦法[Z].2007-06-22.

[11] 馬力，陳廣勇，祝國邦.網(wǎng)絡安全等級保護2.0國家標準解讀[J].保密科學技術，2019，6（7）：14-19.

[12] 全國信息與文獻標準化技術委員會.信息安全技術 網(wǎng)絡安全等級保護基本要求：GB/T 22239—2019[S].北京：中國標準出版社，2019.

[13] 王國麗.論網(wǎng)絡安全等級保護的演變及主要變化[J].數(shù)字通信世界，2022（2）：91-93.