论信息通信安全评价管理平台建设

论信息通信安全评价管理平台建设

刘庆孟德伟

刘庆孟德伟

（锡林郭勒电业局信息通信处锡林郭勒盟锡林浩特市026000）

摘要：本文以信息通信安全性评价管理体系为标准，建立了一套以客观评价为准则，标准化、统一化、规范化、流程化的安全评价管理平台。实现信息通信安全性评价及时、准确、客观的要求，实现评价结果易分析、可追踪的目标。

关键词：信息通信；安全性评价动态管理；数据分析

一、项目研究目标

1.建立数字化的信息通信安全性评价管理体系。通过建立信息通信安全性评价管理体系数据库实现信息通信安全性评价对应标准的数字化、信息化。实现信息通信安全性评价管理体系对应标准的动态管理的目标。优化管理手段，提升管理效率。

2.建立以客观评价为主的信息通信安全性评价管理体系检查体系。通过已建立的数字化信息通信安全性评价管理体系对应标准，通过信息化手段建立以客观评价为主的信息通信安全性评价体系检查方式。实现信息通信安全性评价管理100%全覆盖。降低被检查人员对体系的学习难度，缩短被检查人员对体系的学习时间。提高信息通信安全性评价工作的可行性，促进信息通信安全性评价工作的开展。

3.建立有针对性的信息通信安全性评价管理模式。通过组织机构、角色、权限与信息通信安全性评价标准的对应关系，提高信息通信安全性评价的针对性，有的放矢地进行信息通信安全性评价检查。减少被评价部门开展信息通信安全性评价的工作量，提升被评价部门开展此项工作的积极性。

4.制定信息通信安全性评价管理工作的流程。通过信息化手段建立信息通信安全性评价管理体系的流程，实现信息通信安全性评价管理工作各环节的标准化、统一化管理。

5.建立信息通信安全性评价状况数据库。通过建立信息通信安全性评价状况数据库，实现对信息通信安全性评价结果的数字化管理，实现对评价结果的动态追踪。提升信息通信安全性评价管理工作效率与效果。

6.实现信息通信安全性评价的综合分析。由于信息通信安全性评价对应标准的数据大，通过人工手段很难做到对某一维度的统计分析。而通过信息化技术的接入，能够实现对数量巨大的安全性评价技术标准的统一收集，存档，统计与分析。为相关部门日后开展工作以及领导的决策分析提供相关数据支撑。

7.建立缺陷管理数据库，实现缺陷的全生命周期动态管理。缺陷管理是信息通信安全性评价工作中的重要组成部分，是各相关部门在开展日常工作时开展自查自检的主要方法，是避免不安全事故发生的重要手段。建立缺陷管理数据库，对每一个缺陷实行上报、检查、消缺、存档的标准化的全生命周期动态管理。有助于提升缺陷管理工作的效果。

二、平台架构

1.系统管理

“系统管理”为系统的基础功能模块之一，主要为提供了以系统用户管理为主的基础功能模块，主要功能如下：组织机构管理：用户内部组织机构信息的维护管理模块，系统支持不限层级的树形结构。用户管理：系统使用人员的信息维护管理模块，主要包括系统使用者的用户名、密码、密码重置、主要信息等，系统可根据用户实际需要设置必填与选填信息。每一个用户需要与组织机构、角色对应。角色管理：系统用户的角色信息维护管理模块，系统以角色来区分权限，不同的角色具有不同的访问权限。权限管理：系统个角色权限的维护管理模块，用户可通过勾选操作指定某一类角色对系统各功能模块的访问权限，无访问权限的模块不显示。

2.安全评价标准管理

安全评价标准录入：“安全评价标准录入”模块主要为用户提供了安全评价标准各检查项内容的新增。其中包含了安全评价标准的目录、内容、解释、选项以及对应分数等相关信息。安全评价标准修改：“安全评价标准修改”模块主要为用户提供了安全评价标准各检查项内容的修改。当安全评价标准发生变化后用户可通过此模块进行标准调整。其中包含了安全评价标准的目录、内容、解释、选项以及对应分数等相关信息。安全评价标准删除：“安全评价标准删除”模块主要为用户提供了安全评价标准各检查项内容的删除。当安全评价标准发生变化后用户可通过此模块删除对应标准。安全评价标准针对性管理：“安全评价针对性管理”模块主要为用户提供了标准各项与被检查部门的对应管理。通过此模块可设置被检查部门在进行安全性评价时是否需要进行此项检查。安全评价标准查询：用户通过“安全评价标准查询”模块查询安全评价体系的各项内容。安全评价开关：用户通过“安全评价开关”管理安全评价管理的开始时间与结束时间。只有在开始进行时安全评价时被检查部门才能在系统进行安全评价。

3.安全评价管理

“安全评价管理”模块主要包含在开展安全评价工作时所涉及到的各功能。安全评价上报。“安全评价上报”模块向所有开展安全评价的部门开放访问权限。用户可通过此模块填写安全评价内容，并上传佐证材料。填写完成后系统自动进行分数统计。系统为安全评价上报设置了两种状态。“保存未提交”状态：用户可继续填写或修改之前填写的内容；“已提交”状态：用户仅能够查看到填写内容，但不能进行修改。安全评价审核。“安全评价审核”模块向安全评价主管部门开放，当被评价部门提交了此次安全评价内容后安全评价主管部门可通过此模块进行安全评价内容审核。用户可在此模块直接修改上报的安全评价内容，系统将会根据结果重新打分。系统为安全评价审核设置了三种状态：“待审核”：已上报未审核；“审核中”：用户可继续审核或重新审核；“审核结束”：审核结果发布，等待申诉。安全评价申诉。“安全评价申诉”模块向所有开展安全评价的部门开放访问权限，被评价部门可以通过此模块向安全评价主管部门对某一项安全评价内容进行申诉，填写申诉理由并提交安全评价主管部门审核。审核结束后此次安全评价结果为最终结果。用户可进行多次申诉。系统为申诉设置了两种状态：“可申诉”：被评价部门可进行申诉；“待审核”：主管部门可进行申诉审核；安全评价统计。系统提供不同维度的数据统计。此模块向安全评价主管部门开放。安全评价分析。系统提供不同维度的数据分析，并支持曲线图、饼图的显示。此模块向安全评价主管部门开放。

4.缺陷管理

“缺陷管理”是进行缺陷上报、检查、消缺、存档的标准化的全生命周期动态管理的功能模块。系统未“缺陷”设置了六种状态：“已上报”：已上报主管部门的缺陷，不可修改；“待审核”：已上报未审核的缺陷；“未消缺”：已经主管部门审核但未销缺的缺陷，此时可对此缺陷进行销缺处理；“消缺未审核”：已提交消缺但未经主管部门未审核的缺陷；“消缺待审核”：已进行销缺处理，但未经主管部门审核的缺陷；“已消缺”：已经主管部门确认消缺的缺陷。缺陷上报。“缺陷上报模块”向各部门开放，各部门可通过此功能模块进行缺陷信息的录入，并通过此模块上报至主管部门。缺陷审核。“缺陷上报模块”向主管部门开放，主管部门可在此模块中进行已上报缺陷的审核处理。历史缺陷。“历史缺陷”模块显示所有已经上报的缺陷，用户可通过缺陷各种状态进行分类查看。主管部门能够查看到所有部门提交的缺陷，各部门能够查看到本部门的所有缺陷。此模块提供缺陷查询功能。

结束语

项目通过“科技研发-示范工程”的技术路线，将使项目成果在实践中得到检验，能够尽快地为信息通信安全性评价管理工作提供信息化支撑。成果的推广应用将为电网公司信息通信安全性评价管理实现信息化、数字化、统一化、规范化、流程化带来示范效应，进一步提高电网信息通信安全性评价管理水平。

参考文献：

[1]IBM，PonemonInstitute.2016年数据泄露成本研究：全球分析[Z].2016.

[2]国家电网公司信息系统运维体系规范[S].信息运安〔2009〕41号.

[3]刘德金，刘青.计算机网络安全隐患分析及其防范错的的探讨[J].计算机软件与应用，2013，28（1）：86-87.