信息安全風(fēng)險(xiǎn)評(píng)價(jià)管理軟件研制報(bào)告上海信息安全測(cè)評(píng)認(rèn)證中心

信息安全風(fēng)險(xiǎn)評(píng)價(jià)治理軟件研制報(bào)告-上海信息安全測(cè)評(píng)認(rèn)證中心國(guó)信辦信息安全風(fēng)險(xiǎn)評(píng)估上海試點(diǎn)工作驗(yàn)收材料之四 ——信息安全風(fēng)險(xiǎn)評(píng)估治理軟件研制報(bào)告OO五年八月1目 錄\l“_TOC_250004“一、工程背景 2\l“_TOC_250003“二、系統(tǒng)開發(fā)目標(biāo) 3\l“_TOC_250002“三、設(shè)計(jì)原則 4\l“_TOC_250001“四、研制過(guò)程 5\l“_TOC_250000“五、下一步工作 9一、工程背景縱觀國(guó)際經(jīng)濟(jì)形勢(shì)，隨著信息技術(shù)突飛猛進(jìn)的進(jìn)展，信息化已成為當(dāng)今世界的潮流，信息產(chǎn)業(yè)已成為社會(huì)經(jīng)濟(jì)進(jìn)展的根底。它的進(jìn)展正在進(jìn)一步引起社會(huì)、經(jīng)濟(jì)乃至人們生活方式的急劇變革。當(dāng)前我國(guó)的信息化建設(shè)已進(jìn)入高速進(jìn)展期，電子政務(wù)，電子商務(wù)，網(wǎng)絡(luò)經(jīng)濟(jì)等的興起，這些與國(guó)民經(jīng)濟(jì)、社會(huì)穩(wěn)定息息相關(guān)的領(lǐng)域急需信息安全保障。隨著信息化的進(jìn)展與應(yīng)用的普及，信息安全問(wèn)題越來(lái)越突出，很多重要應(yīng)用領(lǐng)域越來(lái)越依靠于計(jì)算機(jī)信息系統(tǒng)，這就必不行免地帶來(lái)很多安全風(fēng)險(xiǎn)，對(duì)系統(tǒng)和組織造成巨大影響。因此實(shí)施信息安全風(fēng)險(xiǎn)治理，有效把握安全風(fēng)險(xiǎn)是建立信息安全保障體系的重要舉措，而信息安全風(fēng)險(xiǎn)評(píng)估則是實(shí)施信息安全風(fēng)險(xiǎn)治理的根底，也是信息安全建設(shè)的有效的評(píng)價(jià)方法和決策機(jī)制，對(duì)于完善我國(guó)的信息安全保障體系建設(shè)，促進(jìn)信息化建設(shè)具有重大意義。為貫徹落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見〔中辦發(fā)27號(hào)文，國(guó)務(wù)院信息化辦公室于2023年組織在北京、上海、黑龍江、云南等地方以及銀行、稅務(wù)、電力等重要行業(yè)開展信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。<信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作方案>〔國(guó)信辦【2023】5號(hào)，上海市選定了上海市信息安全測(cè)評(píng)認(rèn)證中心〔以下簡(jiǎn)稱上海測(cè)評(píng)中心〕作為本次風(fēng)險(xiǎn)評(píng)估的技術(shù)實(shí)施主體，上海市醫(yī)療保險(xiǎn)信息中心、上海市寶山區(qū)信息委、農(nóng)業(yè)銀行上海市分行、上海市電力公司、上海市電力股份等5家單位作為本市風(fēng)險(xiǎn)評(píng)估的試點(diǎn)單位〔滬信息委安【2023】64號(hào)文。同時(shí)制定了《上海市信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作打算》、擔(dān)當(dāng)風(fēng)險(xiǎn)評(píng)估方法、工具、操作流程的爭(zhēng)論，并幫助其他試點(diǎn)單位完成風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。上海測(cè)評(píng)中心于2023年就開頭開展信息安全測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)，是國(guó)內(nèi)最早開展信息安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估的機(jī)構(gòu)之一。在風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作之前上海測(cè)評(píng)中心已經(jīng)對(duì)風(fēng)險(xiǎn)評(píng)估的方法、工具、操作流程做了確定的爭(zhēng)論，形成了確定的根底，并已開展實(shí)施了天安保險(xiǎn)股份、上海市房地產(chǎn)交易中心、金山石化集團(tuán)、上海市商品住宅修理基金治理系統(tǒng)、上海旅委信息系統(tǒng)等風(fēng)險(xiǎn)評(píng)估工程。為了更好的完成風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，上海市信息安全測(cè)評(píng)認(rèn)證中心對(duì)原有的風(fēng)險(xiǎn)評(píng)估方法、工具和操作流程進(jìn)展了系統(tǒng)地總結(jié)和完善，并在此根底上開發(fā)了一套信息安全風(fēng)險(xiǎn)評(píng)估治理軟件以便利風(fēng)險(xiǎn)評(píng)估實(shí)施機(jī)構(gòu)或?qū)嵤┱吒玫乩斫怙L(fēng)險(xiǎn)評(píng)估理念、根本概念、實(shí)施方法、操作流程，指導(dǎo)他們進(jìn)展風(fēng)險(xiǎn)評(píng)估具體操作、標(biāo)準(zhǔn)操作步驟、提高評(píng)估效率、削減評(píng)估分析計(jì)算的工作量、保障評(píng)估結(jié)果的全都性、降低風(fēng)險(xiǎn)評(píng)估的實(shí)施難度，力求實(shí)現(xiàn)各系統(tǒng)運(yùn)行單位由“委托他人”到“自己實(shí)施”的轉(zhuǎn)變。本工程是以構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)估操作和治理平臺(tái)為目標(biāo)的有用性開發(fā)項(xiàng)目，可用于第三方評(píng)估機(jī)構(gòu)，實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估的托付評(píng)估，也可用于信息系統(tǒng)所有者對(duì)信息系統(tǒng)進(jìn)展自評(píng)估。二、系統(tǒng)開發(fā)目標(biāo)評(píng)估是提高信息系統(tǒng)安全治理水平的一個(gè)有利手段。從目前公布的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)來(lái)看，盡管指出了風(fēng)險(xiǎn)評(píng)估的原則、流程、意義等方面內(nèi)容，但從指導(dǎo)系統(tǒng)全部者操作的角度來(lái)看，還缺乏確定的實(shí)際操作性。設(shè)計(jì)、開發(fā)一套關(guān)心系統(tǒng)全部者實(shí)施風(fēng)險(xiǎn)自評(píng)估的系統(tǒng)軟件，是本軟件開發(fā)的目標(biāo)。從應(yīng)用的角度上看，是幫助系統(tǒng)全部單位的系統(tǒng)治理人員實(shí)施評(píng)估工作，必須滿足以下幾工程標(biāo)：實(shí)現(xiàn)對(duì)現(xiàn)有的信息安全風(fēng)險(xiǎn)評(píng)估操作、流程、結(jié)果的治理。由于其使用對(duì)象是系統(tǒng)治理人員，他們?cè)谛畔踩L(fēng)險(xiǎn)評(píng)估方面的技術(shù)不愿定很專業(yè)，因此，該系統(tǒng)必需滿足風(fēng)險(xiǎn)評(píng)估全部流程的操作。具備對(duì)標(biāo)準(zhǔn)的細(xì)化問(wèn)題，關(guān)心評(píng)估者實(shí)施評(píng)估操作。要求集成相關(guān)的判據(jù)、案例和選擇列表，以便于評(píng)估者依據(jù)本系統(tǒng)實(shí)現(xiàn)評(píng)估。同時(shí)，應(yīng)能夠完成風(fēng)險(xiǎn)評(píng)估流程中各階段應(yīng)輸出的各類報(bào)表。便于對(duì)傳統(tǒng)數(shù)據(jù)的治理，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的把握和治理。由于風(fēng)險(xiǎn)評(píng)估是一項(xiàng)定期實(shí)施的工作，對(duì)歷史數(shù)據(jù)、歷史工程的治理是系統(tǒng)治理人員了解系統(tǒng)安全狀況，實(shí)行安全把握措施降低風(fēng)險(xiǎn)的根底。系統(tǒng)的數(shù)據(jù)治理具有確定的靈敏性。由于風(fēng)險(xiǎn)評(píng)估的實(shí)施中，資產(chǎn)類型、脆弱性列表、威逼分類、資產(chǎn)分類等均是可治理的。因此，系統(tǒng)必需具有確定的開放性，以便于用戶直接修改根底數(shù)據(jù)。系統(tǒng)本身應(yīng)具有確定的開放性。應(yīng)做到界面友好，操作簡(jiǎn)便，只要連接本地或者遠(yuǎn)程數(shù)據(jù)庫(kù)即可使用。最終的報(bào)表輸出的相關(guān)功能，為從事信息安全風(fēng)險(xiǎn)評(píng)估工作的人員供給了極為便利的信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，解決了工作人員用傳統(tǒng)方式進(jìn)展評(píng)估帶來(lái)的問(wèn)題，減輕了日常重復(fù)的工作量，使評(píng)估結(jié)果更具有客觀性和準(zhǔn)確性。同時(shí)，該系統(tǒng)的存檔機(jī)制可以保存更多的歷史評(píng)估記錄，而不需要加重?cái)?shù)據(jù)庫(kù)的負(fù)擔(dān)，簡(jiǎn)潔備份，便于傳輸。三、設(shè)計(jì)原則1、先進(jìn)性首先，應(yīng)保證所承受的軟件體系架構(gòu)和開發(fā)工具屬業(yè)界先進(jìn)產(chǎn)品，在相應(yīng)的運(yùn)作領(lǐng)域具有較大的用戶市場(chǎng)，在相關(guān)計(jì)算機(jī)技術(shù)方面處于領(lǐng)導(dǎo)地位。其次，承受大型關(guān)系型數(shù)據(jù)庫(kù)，能夠處理海量數(shù)據(jù)，適合用戶數(shù)據(jù)的集中存儲(chǔ)和快速檢出。2、有用性整個(gè)風(fēng)險(xiǎn)評(píng)估治理評(píng)估系統(tǒng)能滿足各類用戶的評(píng)估要求，如第三方評(píng)估機(jī)構(gòu)評(píng)估工程師、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估自評(píng)估人員〔治理層、技術(shù)人員〕等，在改進(jìn)工作方式的同時(shí)，也能提高工作效率及決策的科學(xué)性。3、開放性系統(tǒng)具有良好的開放性，可以支持符合國(guó)際標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)的相關(guān)接口，可以與其他相關(guān)系統(tǒng)聯(lián)網(wǎng)和通訊，支持標(biāo)準(zhǔn)的應(yīng)用開發(fā)平臺(tái)，具有良好的移植力氣。4、可擴(kuò)大性系統(tǒng)具有良好的可擴(kuò)大力氣，依據(jù)不斷變化的、增長(zhǎng)的業(yè)務(wù)處理需要，可以很簡(jiǎn)潔地增減或遷移數(shù)據(jù)庫(kù)效勞器，自動(dòng)實(shí)現(xiàn)負(fù)載動(dòng)態(tài)平衡。四、研制過(guò)程信息安全風(fēng)險(xiǎn)評(píng)估治理軟件工程于2023年3月份正式啟動(dòng)，并成立了信息安全風(fēng)險(xiǎn)評(píng)估治理軟件開發(fā)小組，經(jīng)過(guò)需求分析、爭(zhēng)論設(shè)計(jì)、開發(fā)編程、調(diào)試校驗(yàn)、軟件試用、功能測(cè)試、軟件著作權(quán)申請(qǐng)等階段，目前整個(gè)工程已根本完成。1、需求分析對(duì)信息安全風(fēng)險(xiǎn)評(píng)估治理軟件進(jìn)展調(diào)研，針對(duì)風(fēng)險(xiǎn)評(píng)估方法、流程、步驟、成果進(jìn)展了現(xiàn)狀分析，并依據(jù)設(shè)計(jì)原則確定軟件需求：〔如SQLSERVER2023、MYSQL〕單機(jī)版軟件，表構(gòu)造、功能均可修改?？衫孟到y(tǒng)對(duì)同一評(píng)估對(duì)象的不同數(shù)據(jù)如：表、視圖等，進(jìn)展數(shù)據(jù)封裝，能夠?qū)崿F(xiàn)數(shù)據(jù)整體的導(dǎo)入、導(dǎo)出。系統(tǒng)需設(shè)立用戶治理機(jī)制，統(tǒng)一由最高權(quán)限用戶〔Admin〕治理。整個(gè)評(píng)估過(guò)程中所輸出的數(shù)據(jù)文件都要以O(shè)FFICEWORD/EXCEL文件格式輸出，且文件內(nèi)容排版要有確定的格式，不消滅亂碼、雜亂無(wú)章等狀況。資產(chǎn)三性賦值準(zhǔn)則等，除以判據(jù)方式在程序中或數(shù)據(jù)庫(kù)中，還需以鏈接的方式在使用到這些準(zhǔn)則的狀況下消滅。系統(tǒng)中涉及除法運(yùn)算的結(jié)果，都以四舍五入計(jì)算，并且只保存整數(shù)局部。作的結(jié)果。保證系統(tǒng)各個(gè)功能模塊數(shù)據(jù)連接嚴(yán)密，避開同一數(shù)據(jù)在不同模塊中重復(fù)輸入。要求系統(tǒng)界面、排版整齊合理，字體大小適中。系統(tǒng)需設(shè)有幫助功能。2．構(gòu)造設(shè)計(jì)依據(jù)軟件需求分析設(shè)計(jì)軟件架構(gòu)體系，信息安全風(fēng)險(xiǎn)評(píng)估治理軟件是一個(gè)以數(shù)據(jù)庫(kù)應(yīng)用為中心的治理軟件系統(tǒng)，包括系統(tǒng)治理模塊、根底數(shù)據(jù)維護(hù)模塊、風(fēng)險(xiǎn)評(píng)估模塊和工程治理模塊等，每個(gè)模塊又可細(xì)分為確定的子功能模塊。信息安全風(fēng)險(xiǎn)評(píng)估治理系統(tǒng)

工程治理模塊用戶修用戶修改設(shè)置登密數(shù)模查 模關(guān) 型碼據(jù) 容 映陸模庫(kù)塊模塊射模塊一二三一二一二級(jí)級(jí)級(jí)級(jí)級(jí)級(jí)級(jí)資資資威威脆脆產(chǎn)產(chǎn)產(chǎn)脅脅弱弱類類類類類性性型型型型型類型類型7內(nèi) 系 模

生資脆資脆威威脆提修生產(chǎn)弱脅脅弱取改成類性類脆性項(xiàng)項(xiàng)統(tǒng)型檢型弱類目目計(jì)視 項(xiàng)報(bào)圖模模目表塊 模模83、開發(fā)編程信息安全風(fēng)險(xiǎn)評(píng)估治理軟件工程開發(fā)小組依據(jù)開發(fā)需求和設(shè)計(jì)思路，承受Java編程語(yǔ)言，主要考慮到Java是一種純面對(duì)對(duì)象的技術(shù)，平臺(tái)(Windows,Unix,LinuxJVMJava戶機(jī)器上也能運(yùn)行為；從軟件的功能和性能需求分析，中型應(yīng)用數(shù)據(jù)庫(kù)完全可以勝任，MicrosoftSQLServer2023數(shù)據(jù)庫(kù)軟件在中小型應(yīng)用中屬于主流產(chǎn)品，MicrosoftSQLServer2023，很大一局部Java的JDBC(Java數(shù)據(jù)庫(kù)連接)技術(shù)實(shí)現(xiàn)，很好的屏蔽了不同數(shù)據(jù)庫(kù)源的差異，從而為以后系統(tǒng)的擴(kuò)大帶來(lái)了便利。Java的桌面應(yīng)用GUI工具包Swing圖形界面功能，而且能夠供給便利的調(diào)整整個(gè)界面外觀風(fēng)格的功能；基于Java的JFreeChart圖表開發(fā)工具包能夠較好地實(shí)現(xiàn)系統(tǒng)圖表統(tǒng)計(jì)功能的開發(fā)；JavaExcelExcelExcel總的來(lái)說(shuō)，本軟件在選擇所使用的技術(shù)時(shí)，留意技術(shù)的有用性，可擴(kuò)展性和靈敏性。軟件編程從4月初開頭，先設(shè)計(jì)軟件框架和庫(kù)、表構(gòu)造，然后在此64、調(diào)試校驗(yàn)在根本完成了風(fēng)險(xiǎn)評(píng)估治理軟件的開發(fā)和編程后，對(duì)軟件主要模塊進(jìn)展調(diào)試校驗(yàn)，并在DEMO版的根底上，進(jìn)展了較大范圍的內(nèi)部測(cè)試。主要由風(fēng)險(xiǎn)評(píng)估試點(diǎn)小組的評(píng)估工程師依據(jù)評(píng)估流程，針對(duì)不同的模塊進(jìn)展測(cè)試，并對(duì)覺察的BUG5、軟件試用為了更好地檢驗(yàn)信息安全風(fēng)險(xiǎn)評(píng)估治理軟件在實(shí)際評(píng)估工作環(huán)境中的有效性和效率，以及非專業(yè)評(píng)估人員在自評(píng)估過(guò)程利用此軟件實(shí)施的可操作性。在寶山區(qū)信息委電子政務(wù)風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作中分別由上海測(cè)評(píng)中心評(píng)估人員和寶山區(qū)信息委系統(tǒng)治理員對(duì)該風(fēng)險(xiǎn)評(píng)估軟件進(jìn)展了完整地試用。此外，還特地由非專業(yè)人員〔實(shí)習(xí)生〕進(jìn)展了試用。從試用過(guò)程和結(jié)果來(lái)看，整個(gè)軟件試用效果良好，軟件程序運(yùn)行正確、全部模塊功能工作正常、與設(shè)計(jì)要求根本全都，沒有消滅大的問(wèn)題。但在輸入數(shù)據(jù)很多時(shí)，運(yùn)行速度消滅比較確定的下降，經(jīng)過(guò)開發(fā)小組的分析診斷，是局部軟件代碼的問(wèn)題，通過(guò)修改、優(yōu)化了局部軟件代碼，解決了該問(wèn)題。6、軟件測(cè)試在完成了信息安全風(fēng)險(xiǎn)評(píng)估治理軟件的開發(fā)設(shè)計(jì)、調(diào)研校驗(yàn)和軟件試用后，將信息安全風(fēng)險(xiǎn)評(píng)估治理軟件正式版提交上海軟件評(píng)測(cè)中心進(jìn)展軟件測(cè)試，測(cè)試結(jié)