大型企业信息安全管理工作平台的设计与实现

发布时间：2020-11-03 11:47

　　大型企业运营着涉及国家能源安全、国计民生的重要信息系统,既要符合来自国家主管部门的监管要求,也有保障核心业务应用系统平稳安全运行的内在安全需求。因此迫切需要建设一套信息安全管理工作平台,以在企业内部有效地开展和落实等级保护工作、多标准合规工作、风险管理工作、安全检查工作等,并促进相应工作在整个企业范围内的落实。本文从大型企业信息安全现状及自身需求出发,设计开发了适应该企业需求的信息安全管理工作平台。首先,对平台所采用的应用架构、开发架构、数据库环境、软件环境、主要技术指标和硬件配置进行了详细分析,明确了平台设计、实现、部署的基础环境。其次,对平台的业务需求、业务功能、总体架构及各个模块业务流程进行了详细的分析和设计,并实现了主要功能。平台的主要功能模块包括定义平台的组织体系及人员角色的组织机构管理模块、存储企业基本信息的基础数据管理模块、对企业开展重要信息保护和管理工作的等级保护模块、对企业风险评估过程进行管理的风险管理模块、控制企业安全事件通报流程管理的安全事件通报模块、管理企业应急预案以及演练信息的应急响应模块、对整改工作进行追踪的整改规划模块和对安全检查工作过程管理的安全检查模块等功能模块。企业信息管理部门可通过该平台监督、检查、指导其他部门及子公司和分公司的信息安全管理工作。平台采用当前业界流行的J2EE相关技术标准来实现,选择目前流行的Spring作为轻量级容器架构的实现方案,采用Struts轻量级开源MVC框架,选用MySQL5.0作为数据库管理软件。平台采用B/S结构,以通用浏览器作为客户端,采用J2EE构建系统服务器端。平台在设计上利用风险点数量、安全事件数量、安全检查发现点的数量、高风险的比例、整改任务完成情况等信息,汇总出信息安全绩效指标KPI来进行风险评估,并进行图形化展示。改进了RBAC,添加了“群组”功能,引入了角色模板概念,授权细分到资源状态。根据WFMC对工作流的规范,还自行开发了工作流引擎。为了保证系统运行时的安全性,在设计上防止了跨站脚本攻击、SQL注入攻击、恶意文件的执行、对象的直接引用等,并对页面组件、敏感数据进行了安全防范。同时为了保证系统稳定运行,对系统进行了BVT测试、版本测试、性能测试、并发测试、压力测试、大数据量测试、稳定性测试和安全测试。通过测试,保证了系统各模块功能完善、性能稳定,具有良好的可行性与可用性,以满足平台设计需求与大型企业信息安全管理工作相关需求。
【学位单位】：河北大学
【学位级别】：硕士
【学位年份】：2018
【中图分类】：TP309
【部分图文】：

架构图,角色,架构,平台

图 2-1 平台角色架构图2.1.3 大型企业信息管理部门领导视图在平台上，大型企业信息管理部门领导可以查阅大型企业各下属单位信息安全运行状况、信息安全风险态势等。平台提供大型企业信息管理部门领导视图，形成“信息安全风险仪表盘”。信息安全风险视图包括：大型企业及下属单位安全绩效指标 KPI 大型企业及下属单位 Top10 信息安全风险大型企业及下属单位信息安全风险趋势分析大型企业及下属单位信息安全整改建设工作概览大型企业及下属单位信息系统概要

流程图,信息系统,流程,业务应用软件