北京電大信息安全風險評價系統(tǒng)的設計與實現.pdf

1、北京電大是一所以城域校園網和互聯網為主要學習環(huán)境的大規(guī)模遠程教育機構,各種教學和管理業(yè)務主要使用局域網和互聯網環(huán)境。由于其業(yè)務和管理系統(tǒng)都很復雜并且信息基礎設施規(guī)模較大,涉及更多信息安全問題,面臨更復雜的信息安全風險。信息安全風險評估是信息安全保障的基礎性工作,因此北京電大通過開發(fā)簡便實用的風險評價軟件,使風險評估工作具有持續(xù)性并使它成為檢查信息系統(tǒng)本身有力手段。本文詳細敘述了北京電大風險評價系統(tǒng)的設計和實現過程。 本文首先介紹

2、了信息安全風險評估的一般方法和流程,并依據《信息安全風險評估指南》、《信息安全風險管理指南》等國家標準和規(guī)范對系統(tǒng)進行用戶需求分析、可行性分析和系統(tǒng)總體設計,給出了系統(tǒng)模塊圖。 本文依據系統(tǒng)需求和總體設計,進一步細化系統(tǒng)設計,包括數據庫和數據表設計、技術選擇、流程設計等。在詳細設計的基礎上,本文詳細敘述了系統(tǒng)的實現。系統(tǒng)實現的重點包括資產、威脅、脆弱性等評估關鍵要素的識別,風險分析計算過程,處理意見專家決策系統(tǒng)、評估過程和最終報

3、告的動態(tài)報表輸出等。 評估關鍵要素的識別采用數據源定義為基礎的多元數據處理技術。對于資產管理情況、安全管理文件數據庫等使用通用數據管理平臺的數據可以直接定義數據源；網絡設備狀態(tài)、運行時間等數據通過SNMP協(xié)議獲得；已知威脅和脆弱點的影響分類分級情況、可能性、應對策略表等其他數據,都存儲在系統(tǒng)的數據表中。 風險處理意見專家系統(tǒng)根據風險分析評估得到結果,即各個設備的威脅、脆弱性、風險值分析給出相應的處理意見。專家系統(tǒng)還具有學

4、習能力,主要通過專家主動補充更新意見庫和采納評估人員向專家系統(tǒng)反饋意見兩種途徑提高專家系統(tǒng)解決問題的能力。 風險評估過程文檔和評估報告都采用MS-SQLServer報表輸出的方式實現,主要采用報表設計器。報表可以通過報表管理器、SharePoint Web組件、Visual Studio控件和定制的用戶界面顯示,還可以文件、打印等方式輸出。 本文最后對系統(tǒng)的設計和實現過程進行了總結,歸納了主要的設計思想和實現技術,明確了