一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台的制作方法
一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台的制作方法
【专利摘要】本发明公开了一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端;所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块和系统设置模块;所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统。本发明能够形成基于电力企业的测评工具库,创立电力生产系统的评估与测评体系、评估与测评方法和管理模型。
【专利说明】—种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台
【技术领域】
[0001]本发明涉及一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台。
【背景技术】
[0002]随着国家信息化的发展,以及国家和行业对信息安全的日益重视,信息安全风险评估与安全测评在信息化过程中起着基础性、规范性和战略性的关键作用。国家以及行业主管部门都明确提出建立信息安全测评体系的重要性。
[0003]当前,针对电力信息通信系统安全测评与研究工作尚未完全展开。此外,基于质量管理体系的风险评估和安全测评体系建设也未得到完善。由此可见,如何建设出基于电力系统质量管理体系的安全测评和管理平台,还没有一套合理、科学、完整的解决方案。
[0004]网络与信息安全是我国信息产业发展的战略目标之一。《国家中长期科学和技术发展规划纲要(2006 — 2020)》中明确提出:“开发网络信息安全技术及相关产品,建立信息安全技术保障体系”。电力作为国家重要能源工业,是国民经济的关键性基础产业。因此,需建立常态化、流程化、专业化的安全能力,对电力信息系统安全进行测评,从管理和技术两大方面提高电力信息系统的安全防护能力,有效降低电力信息与生产系统的安全风险,将对信息系统的稳定和可靠运行,及至国民经济的平稳运行具有重大的意义。
[0005]在国家和行业的政策要求下,电力企业对信息化和信息安全服务水平日益重视,以保障电力企业信息系统风险评估、安全测评、应用安全等技术问题,为安全生产和经营管理提供信息化支撑和安全护航。
【发明内容】
[0006]本发明的目的在于克服现有技术的不足,提供形成一套基于实验室质量管理体系并适用于电力生产系统与管理信息系统的脆弱性、威胁、控制措施、安全测评和管理的综合平台,能够形成基于电力企业的测评工具库,创立电力生产系统的评估与测评体系、评估与测评方法和管理模型。
[0007]本发明的目的是通过以下技术方案来实现的:一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端;
所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块;统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能;统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析;权限管理模块主要对用户的权限进行划分,对于不同等级的用户分配不同的权限;用户管理模块主要管理用户的基本信息和用户的角色分配;系统设置模块主要用户对系统一些基本设置的管理;文件管理模块主要实现文件的分类设置、版本管理、存储空间的分配与回收,对文件各种操作的管理,并实现文件信息的共享以及审计管理。
[0008]所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统;安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理,包括缺陷的跟踪监控和统计分析;信息安全风险评估子系统按照评估流程,从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试,为风险评估工作提供全过程管理。信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评;二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估,安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理;
所述指标库具有级别属性,支持自由设置,且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项;
所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件;
所述对象层包括被测单位和业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等;
所述的移动客户端还包括流程控制、数据安全性和完整性验证、访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
[0009]所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件,岗位管理模块用于管理分配用户岗位角色和操作权限,报表报告模块主要用于测评作业报表报告的自动生成和管理,消息管理模块用于管理用户收发的消息。
[0010]所述的主体功能层还包括通知公告模块、知识库管理模块、入网安评管理子系统、信息安全合规性管理子系统和信息安全应急响应管理子系统,通知公告模块用于对用户发送通知和公告。
[0011]所述的移动客户端还包括访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
[0012]所述的安全整改管理子系统能够对信息系统的软硬件缺陷进行全生命周期进行综合管理并支持提交缺陷处理请求的,具体功能包括缺陷的跟踪监控和统计分析。
[0013]所述缺陷来自自测、评估、自查中发现的问题。
[0014]所述缺陷来自用户主动创建。
[0015]所述缺陷包括软件缺陷、硬件缺陷和管理缺陷。
[0016]本发明的有益效果是:
(I)形成了基于电力企业的测评工具库,创立了电力生产系统的评估与测评体系、评估与测评方法和管理模型。
[0017](2)形成了一套基于实验室质量管理体系并适用于电力生产系统与管理信息系统的脆弱性、威胁、控制措施、安全测评和管理的综合平台。[0018](3)数据库服务接口主要采用数据库持久化框架,提高了数据库访问层的开发效率,并且通过对数据访问中各种资源和数据的缓存调度,实现了更佳的性能。
[0019](4)平台采用了先进的基于java的J2EE技术,构造了稳定的、开放的、安全的技术
T D O
[0020](5)平台提供了多个用户视图,从统计分析信息可视化、工作服务台可视化、审工作流程可视化等多个方面满足了用户展现层需求。
[0021](6)实现了包括流程控制、移动式系统测评、现场录音、拍照取证、离线数据同步等功能,为用户提供最大的便利。
【专利附图】
【附图说明】
[0022]图1为本发明结构示意图;
图2为本发明指标库结构示意图;
图3为本发明统计分析模块示意图;
图4为本发明风险评估统计流程图;
图5为本发明缺陷查询流程图;
图6为本发明二次安防评估子系统结构示意图。
【具体实施方式】
[0023]下面结合附图进一步详细描述本发明的技术方案:
如图1所示,一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端;
所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块;统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能;统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析;权限管理模块主要对用户的权限进行划分,对于不同等级的用户分配不同的权限;用户管理模块主要管理用户的基本信息;系统设置模块主要用户对系统一些基本设置的管理;
所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统;安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理,包括缺陷的跟踪监控和统计分析;信息安全风险评估子系统按照评估流程,从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试,为风险评估工作提供全过程管理。信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评;二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估,安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理;
所述指标库具有级别属性,支持自由设置,且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项; 所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件;
所述对象层包括被测单位和业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等;
所述移动客户端包括流程控制模块、移动作业测评模块、信息收集管理模块和自身安全管理模块;信息收集管理模块用于收集和管理用户的需求信息。
[0024]所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件,岗位管理模块用于管理分配用户岗位角色和操作权限,报表报告模块主要用于测评作业报表报告的自动生成和管理,消息管理模块用于管理用户收发的消息。
[0025]所述的主体功能层还包括通知公告模块、知识库管理模块、入网安评管理子系统、信息安全合规性管理子系统和信息安全应急响应管理子系统,通知公告模块用于对用户发送通知和公告。
[0026]所述的移动客户端还包括数据安全性和完整性验证模块、访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
[0027]所述的安全整改管理子系统能够对信息系统的软硬件缺陷进行全生命周期进行综合管理并支持提交缺陷处理请求的,具体功能包括缺陷的跟踪监控和统计分析。
[0028]所述缺陷来自自测、评估、自查中发现的问题。
[0029]所述缺陷来自用户主动创建。
[0030]所述缺陷包括软件缺陷、硬件缺陷和管理缺陷。
[0031]所述安全综合管理平台详细功能如下:
一、测评对象属性管理功能
安全综合管理平台测评对象包括以下通用属性:
I)测评对象名称:设备或系统在系统中的名称。
[0032]2)测评对象编号:设备或系统的编号,如果企业制定了统一的编号规范,则参考此规范,否则建议同测评对象名称;
3)标准系统:标准系统是运行在测评对象上的操作系统,例如windows2000server>IBM AIX 等;
4)测评对象类别:测评对象类别包括安全设备、网络设备、服务器、终端等;
5)IP地址:设备的IP地址;
6)风险相对改善度:说明测评对象风险持续改善的程度,初始值为0,后面计算为风险改善的百分比;
7)响应人:对测评对象进行维护的相关人员;
8)责任人:负责管理测评对象的人员;
9)所属业务系统:测评对象所在业务系统,业务系统的含义见5.1.2 ;
10)地理位置:测评对象所在的物理地理位置,例如北京、南京、上海等
II)自动确认阀值:测评对象风险自动确认阀值,处于阀值以下的安全事件系统可以自动确认,处于阀值以上的安全事件必要要人工进行手工确认处理; 12)测评对象价值:测评对象在风险计算中的价值体现值;
13)资产三性:完整性,机密性,可用性。
[0033]二、业务系统管理功能
在开展业务时所使用或依赖的、通过信息技术实现的具有某类功能的系统。从安全管理角度看,业务系统为通过业务逻辑划分的测评对象集合。
[0034]三、测评对象管理功能
测评对象管理模块包括对单个测评对象的管理和对业务系统树的管理,测评对象管理包括但不限以下功能:
O新增测评对象:增加一个测评对象,只有拥有业务系统权限的人才能在某个业务系统之下新增一个测评对象;
2)删除测评对象:逻辑删除一个测评对象,只有拥有业务系统权限的人才能在某个业务系统之下新增一个测评对象;
3)修改测评对象:对测评对象信息进行修改,只有拥有业务系统权限的人才能在某个业务系统之下新增一个测评对象;
4)停用测评对象:该测评对象被划入被停用的测评对象,被停用测评对象可以恢复或者转移到另外一个业务系统;
5)启用测评对象:该停用测评对象恢复到正常状态;
6)业务系统树管理:系统支持无限深度的自定义业务系统树状结构,通过本功能,可以对业务系统进行增删改维护,删除某个业务系统节点必须保证该业务系统下为空;
7)查看测评对象风险:安全运行管理系统是以测评对象为基础的安全管理中心,因此通过测评对象管理模块与风险管理模块之间的接口,在测评对象状态一览中,不仅可以看到该测评对象的信息,还可以看到该测评对象的漏洞情况、事件情况等风险信息;
8)测评对象导入:批量导入测评对象数据,应支持EXCEL导入;
9)测评对象导出:批量导出指定业务系统的测评对象信息,应支持EXCEL导出;
10)测评对象查询:允许通过灵活的方式根据测评对象的各个字段来进行查询,允许指定IP地址段来进行查询;
11)测评对象发现:允许对指定IP地址段发现活动的IP设备,并扫描其系统;
12)预备测评对象管理:测评对象发现得到的结果中没有登记的IP设备作为预备测评对象,预备测评对象可以新增为新的测评对象,也可以合并到现有测评对象;
13)测评对象授权:可以针对具体的测评对象赋给不同用户管理权限;
14)测评对象在录入系统后,必须经过安全管理员的确认才能作为正式测评对象进行管理。
[0035]如图2所示,本平台形成了一套适用于电力生产系统设备、电力生产系统与管理信息系统的脆弱性、威胁、控制措施指标、安全测评指标体系,最终为安全测评、风险评估模块服务,同时支持指标库的更新维护,指标库具有级别属性,支持自由设置,初期至少包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创等七个选择项。
[0036]安全测评指标库,提供电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评指标体系,指标分为3个层次:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理机、安全管理制度、人员安全管理、系统建设管理和系统运维管理为第一层次;控制点如物理位置选择、物理访问控制、防盗窃和防破坏等为第二层次;要求项如“a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内”为第三层次。测评三个层次的测评指标均继承指标库的级别属性,可自由设置。
[0037]风险评估指标库,从网络、系统、业务、数据、通信、业务连续性和安全管理组织等方面提供信息系统面临的内外部威胁项和其常见的资产脆弱性漏洞项,以及脆弱项的检查方法和推荐的控制措施手段,包括资产指标、威胁指标、脆弱性指标和信息安全态势评估指标。信息安全风险评估的指标均继承指标库的级别属性,且保存在与安全测评指标属性不同的Table中,可自由设置。
[0038]如图3所示,所述的统计分析模块主要实现安全测评、风险评估、缺陷控制等活动的汇总统计和综合分析。
[0039]如图4所示,所述的统计分析模块主要实现安全测评、风险评估、缺陷控制等活动的汇总统计和综合分析。
[0040]风险分布:不同组织的风险值。
[0041]风险趋势分析:通过多次风险评估的结果可以分析出组织的信息安全风险发展趋势,高风险的变化情况,控制措施对风险的改进情况等。
[0042]风险排名:业务系统闻风险排名。
[0043]如图5所示,所述的缺陷查询主要根据缺陷等级、缺陷状态进行查询统计;
如图6所示,所述的二次安防主要根据国家等级保护相关标准要求,结合电力二次系统具有实时运行控制的特点,具有“安全分区、网络专用、横向隔离、纵向认证”的特殊防护要求,结合行业要求,对电力二次设备、电力调度二次系统不同安全级别的安全防护评估。
[0044]以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
【权利要求】
1.一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端; 所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块;统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能;统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析;权限管理模块主要对用户的权限进行划分,对于不同等级的用户分配不同的权限;用户管理模块主要管理用户的基本信息和用户的角色分配;系统设置模块主要用户对系统一些基本设置的管理;文件管理模块主要实现文件的分类设置、版本管理、存储空间的分配与回收,对文件各种操作的管理,并实现文件信息的共享以及审计管理; 所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统;安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理,包括缺陷的跟踪监控和统计分析;信息安全风险评估子系统按照评估流程,从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试,为风险评估工作提供全过程管理。
2.信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评;二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估,安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理; 所述指标库具有级别属性,支持自由设置,且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项; 所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件; 所述对象层包括被测单位、业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等; 所述移动客户端包括流程控制模块、移动作业测评模块、信息收集管理模块和自身安全管理模块;信息收集管理模块用于收集和管理用户的需求信息。
3.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件,岗位管理模块用于管理分配用户岗位角色和操作权限,报表报告模块主要用于测评作业报表报告的自动生成和管理,消息管理模块用于管理用户收发的消息。
4.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的主体功能层还包括通知公告模块、知识库管理模块、入网安评管理子系统 、信息安全合规性管理子系统和信息安全应急响应管理子系统,通知公告模块用于对用户发送通知和公告。
5.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的移动客户端还包括数据安全性和完整性验证模块、访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
6.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的安全整改管理子系统能够对信息系统的软硬件缺陷进行全生命周期进行综合管理并支持提交缺陷处理请求的,具体功能包括缺陷的跟踪监控和统计分析。
7.根据权利要求5所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述缺陷来自自测、评估、自查中发现的问题。
8.根据权利要求5所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述缺陷来自用户主动创建。
9.根据权利要求5所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述缺陷包括软件缺陷、硬件缺陷和管理缺陷。
【文档编号】G06Q50/06GK103927631SQ201410180450
【公开日】2014年7月16日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】蒋屹新, 关泽武, 蒙家晓, 文红, 郭晓斌, 许爱东, 李鹏, 陈华军, 任梦吟 申请人:南方电网科学研究院有限责任公司, 电子科技大学
【专利摘要】本发明公开了一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端;所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块和系统设置模块;所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统。本发明能够形成基于电力企业的测评工具库,创立电力生产系统的评估与测评体系、评估与测评方法和管理模型。
【专利说明】—种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台
【技术领域】
[0001]本发明涉及一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台。
【背景技术】
[0002]随着国家信息化的发展,以及国家和行业对信息安全的日益重视,信息安全风险评估与安全测评在信息化过程中起着基础性、规范性和战略性的关键作用。国家以及行业主管部门都明确提出建立信息安全测评体系的重要性。
[0003]当前,针对电力信息通信系统安全测评与研究工作尚未完全展开。此外,基于质量管理体系的风险评估和安全测评体系建设也未得到完善。由此可见,如何建设出基于电力系统质量管理体系的安全测评和管理平台,还没有一套合理、科学、完整的解决方案。
[0004]网络与信息安全是我国信息产业发展的战略目标之一。《国家中长期科学和技术发展规划纲要(2006 — 2020)》中明确提出:“开发网络信息安全技术及相关产品,建立信息安全技术保障体系”。电力作为国家重要能源工业,是国民经济的关键性基础产业。因此,需建立常态化、流程化、专业化的安全能力,对电力信息系统安全进行测评,从管理和技术两大方面提高电力信息系统的安全防护能力,有效降低电力信息与生产系统的安全风险,将对信息系统的稳定和可靠运行,及至国民经济的平稳运行具有重大的意义。
[0005]在国家和行业的政策要求下,电力企业对信息化和信息安全服务水平日益重视,以保障电力企业信息系统风险评估、安全测评、应用安全等技术问题,为安全生产和经营管理提供信息化支撑和安全护航。
【发明内容】
[0006]本发明的目的在于克服现有技术的不足,提供形成一套基于实验室质量管理体系并适用于电力生产系统与管理信息系统的脆弱性、威胁、控制措施、安全测评和管理的综合平台,能够形成基于电力企业的测评工具库,创立电力生产系统的评估与测评体系、评估与测评方法和管理模型。
[0007]本发明的目的是通过以下技术方案来实现的:一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端;
所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块;统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能;统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析;权限管理模块主要对用户的权限进行划分,对于不同等级的用户分配不同的权限;用户管理模块主要管理用户的基本信息和用户的角色分配;系统设置模块主要用户对系统一些基本设置的管理;文件管理模块主要实现文件的分类设置、版本管理、存储空间的分配与回收,对文件各种操作的管理,并实现文件信息的共享以及审计管理。
[0008]所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统;安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理,包括缺陷的跟踪监控和统计分析;信息安全风险评估子系统按照评估流程,从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试,为风险评估工作提供全过程管理。信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评;二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估,安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理;
所述指标库具有级别属性,支持自由设置,且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项;
所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件;
所述对象层包括被测单位和业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等;
所述的移动客户端还包括流程控制、数据安全性和完整性验证、访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
[0009]所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件,岗位管理模块用于管理分配用户岗位角色和操作权限,报表报告模块主要用于测评作业报表报告的自动生成和管理,消息管理模块用于管理用户收发的消息。
[0010]所述的主体功能层还包括通知公告模块、知识库管理模块、入网安评管理子系统、信息安全合规性管理子系统和信息安全应急响应管理子系统,通知公告模块用于对用户发送通知和公告。
[0011]所述的移动客户端还包括访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
[0012]所述的安全整改管理子系统能够对信息系统的软硬件缺陷进行全生命周期进行综合管理并支持提交缺陷处理请求的,具体功能包括缺陷的跟踪监控和统计分析。
[0013]所述缺陷来自自测、评估、自查中发现的问题。
[0014]所述缺陷来自用户主动创建。
[0015]所述缺陷包括软件缺陷、硬件缺陷和管理缺陷。
[0016]本发明的有益效果是:
(I)形成了基于电力企业的测评工具库,创立了电力生产系统的评估与测评体系、评估与测评方法和管理模型。
[0017](2)形成了一套基于实验室质量管理体系并适用于电力生产系统与管理信息系统的脆弱性、威胁、控制措施、安全测评和管理的综合平台。[0018](3)数据库服务接口主要采用数据库持久化框架,提高了数据库访问层的开发效率,并且通过对数据访问中各种资源和数据的缓存调度,实现了更佳的性能。
[0019](4)平台采用了先进的基于java的J2EE技术,构造了稳定的、开放的、安全的技术
T D O
[0020](5)平台提供了多个用户视图,从统计分析信息可视化、工作服务台可视化、审工作流程可视化等多个方面满足了用户展现层需求。
[0021](6)实现了包括流程控制、移动式系统测评、现场录音、拍照取证、离线数据同步等功能,为用户提供最大的便利。
【专利附图】
【附图说明】
[0022]图1为本发明结构示意图;
图2为本发明指标库结构示意图;
图3为本发明统计分析模块示意图;
图4为本发明风险评估统计流程图;
图5为本发明缺陷查询流程图;
图6为本发明二次安防评估子系统结构示意图。
【具体实施方式】
[0023]下面结合附图进一步详细描述本发明的技术方案:
如图1所示,一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端;
所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块;统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能;统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析;权限管理模块主要对用户的权限进行划分,对于不同等级的用户分配不同的权限;用户管理模块主要管理用户的基本信息;系统设置模块主要用户对系统一些基本设置的管理;
所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统;安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理,包括缺陷的跟踪监控和统计分析;信息安全风险评估子系统按照评估流程,从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试,为风险评估工作提供全过程管理。信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评;二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估,安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理;
所述指标库具有级别属性,支持自由设置,且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项; 所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件;
所述对象层包括被测单位和业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等;
所述移动客户端包括流程控制模块、移动作业测评模块、信息收集管理模块和自身安全管理模块;信息收集管理模块用于收集和管理用户的需求信息。
[0024]所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件,岗位管理模块用于管理分配用户岗位角色和操作权限,报表报告模块主要用于测评作业报表报告的自动生成和管理,消息管理模块用于管理用户收发的消息。
[0025]所述的主体功能层还包括通知公告模块、知识库管理模块、入网安评管理子系统、信息安全合规性管理子系统和信息安全应急响应管理子系统,通知公告模块用于对用户发送通知和公告。
[0026]所述的移动客户端还包括数据安全性和完整性验证模块、访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
[0027]所述的安全整改管理子系统能够对信息系统的软硬件缺陷进行全生命周期进行综合管理并支持提交缺陷处理请求的,具体功能包括缺陷的跟踪监控和统计分析。
[0028]所述缺陷来自自测、评估、自查中发现的问题。
[0029]所述缺陷来自用户主动创建。
[0030]所述缺陷包括软件缺陷、硬件缺陷和管理缺陷。
[0031]所述安全综合管理平台详细功能如下:
一、测评对象属性管理功能
安全综合管理平台测评对象包括以下通用属性:
I)测评对象名称:设备或系统在系统中的名称。
[0032]2)测评对象编号:设备或系统的编号,如果企业制定了统一的编号规范,则参考此规范,否则建议同测评对象名称;
3)标准系统:标准系统是运行在测评对象上的操作系统,例如windows2000server>IBM AIX 等;
4)测评对象类别:测评对象类别包括安全设备、网络设备、服务器、终端等;
5)IP地址:设备的IP地址;
6)风险相对改善度:说明测评对象风险持续改善的程度,初始值为0,后面计算为风险改善的百分比;
7)响应人:对测评对象进行维护的相关人员;
8)责任人:负责管理测评对象的人员;
9)所属业务系统:测评对象所在业务系统,业务系统的含义见5.1.2 ;
10)地理位置:测评对象所在的物理地理位置,例如北京、南京、上海等
II)自动确认阀值:测评对象风险自动确认阀值,处于阀值以下的安全事件系统可以自动确认,处于阀值以上的安全事件必要要人工进行手工确认处理; 12)测评对象价值:测评对象在风险计算中的价值体现值;
13)资产三性:完整性,机密性,可用性。
[0033]二、业务系统管理功能
在开展业务时所使用或依赖的、通过信息技术实现的具有某类功能的系统。从安全管理角度看,业务系统为通过业务逻辑划分的测评对象集合。
[0034]三、测评对象管理功能
测评对象管理模块包括对单个测评对象的管理和对业务系统树的管理,测评对象管理包括但不限以下功能:
O新增测评对象:增加一个测评对象,只有拥有业务系统权限的人才能在某个业务系统之下新增一个测评对象;
2)删除测评对象:逻辑删除一个测评对象,只有拥有业务系统权限的人才能在某个业务系统之下新增一个测评对象;
3)修改测评对象:对测评对象信息进行修改,只有拥有业务系统权限的人才能在某个业务系统之下新增一个测评对象;
4)停用测评对象:该测评对象被划入被停用的测评对象,被停用测评对象可以恢复或者转移到另外一个业务系统;
5)启用测评对象:该停用测评对象恢复到正常状态;
6)业务系统树管理:系统支持无限深度的自定义业务系统树状结构,通过本功能,可以对业务系统进行增删改维护,删除某个业务系统节点必须保证该业务系统下为空;
7)查看测评对象风险:安全运行管理系统是以测评对象为基础的安全管理中心,因此通过测评对象管理模块与风险管理模块之间的接口,在测评对象状态一览中,不仅可以看到该测评对象的信息,还可以看到该测评对象的漏洞情况、事件情况等风险信息;
8)测评对象导入:批量导入测评对象数据,应支持EXCEL导入;
9)测评对象导出:批量导出指定业务系统的测评对象信息,应支持EXCEL导出;
10)测评对象查询:允许通过灵活的方式根据测评对象的各个字段来进行查询,允许指定IP地址段来进行查询;
11)测评对象发现:允许对指定IP地址段发现活动的IP设备,并扫描其系统;
12)预备测评对象管理:测评对象发现得到的结果中没有登记的IP设备作为预备测评对象,预备测评对象可以新增为新的测评对象,也可以合并到现有测评对象;
13)测评对象授权:可以针对具体的测评对象赋给不同用户管理权限;
14)测评对象在录入系统后,必须经过安全管理员的确认才能作为正式测评对象进行管理。
[0035]如图2所示,本平台形成了一套适用于电力生产系统设备、电力生产系统与管理信息系统的脆弱性、威胁、控制措施指标、安全测评指标体系,最终为安全测评、风险评估模块服务,同时支持指标库的更新维护,指标库具有级别属性,支持自由设置,初期至少包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创等七个选择项。
[0036]安全测评指标库,提供电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评指标体系,指标分为3个层次:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理机、安全管理制度、人员安全管理、系统建设管理和系统运维管理为第一层次;控制点如物理位置选择、物理访问控制、防盗窃和防破坏等为第二层次;要求项如“a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内”为第三层次。测评三个层次的测评指标均继承指标库的级别属性,可自由设置。
[0037]风险评估指标库,从网络、系统、业务、数据、通信、业务连续性和安全管理组织等方面提供信息系统面临的内外部威胁项和其常见的资产脆弱性漏洞项,以及脆弱项的检查方法和推荐的控制措施手段,包括资产指标、威胁指标、脆弱性指标和信息安全态势评估指标。信息安全风险评估的指标均继承指标库的级别属性,且保存在与安全测评指标属性不同的Table中,可自由设置。
[0038]如图3所示,所述的统计分析模块主要实现安全测评、风险评估、缺陷控制等活动的汇总统计和综合分析。
[0039]如图4所示,所述的统计分析模块主要实现安全测评、风险评估、缺陷控制等活动的汇总统计和综合分析。
[0040]风险分布:不同组织的风险值。
[0041]风险趋势分析:通过多次风险评估的结果可以分析出组织的信息安全风险发展趋势,高风险的变化情况,控制措施对风险的改进情况等。
[0042]风险排名:业务系统闻风险排名。
[0043]如图5所示,所述的缺陷查询主要根据缺陷等级、缺陷状态进行查询统计;
如图6所示,所述的二次安防主要根据国家等级保护相关标准要求,结合电力二次系统具有实时运行控制的特点,具有“安全分区、网络专用、横向隔离、纵向认证”的特殊防护要求,结合行业要求,对电力二次设备、电力调度二次系统不同安全级别的安全防护评估。
[0044]以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
【权利要求】
1.一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端; 所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块;统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能;统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析;权限管理模块主要对用户的权限进行划分,对于不同等级的用户分配不同的权限;用户管理模块主要管理用户的基本信息和用户的角色分配;系统设置模块主要用户对系统一些基本设置的管理;文件管理模块主要实现文件的分类设置、版本管理、存储空间的分配与回收,对文件各种操作的管理,并实现文件信息的共享以及审计管理; 所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统;安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理,包括缺陷的跟踪监控和统计分析;信息安全风险评估子系统按照评估流程,从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试,为风险评估工作提供全过程管理。
2.信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评;二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估,安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理; 所述指标库具有级别属性,支持自由设置,且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项; 所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件; 所述对象层包括被测单位、业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等; 所述移动客户端包括流程控制模块、移动作业测评模块、信息收集管理模块和自身安全管理模块;信息收集管理模块用于收集和管理用户的需求信息。
3.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件,岗位管理模块用于管理分配用户岗位角色和操作权限,报表报告模块主要用于测评作业报表报告的自动生成和管理,消息管理模块用于管理用户收发的消息。
4.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的主体功能层还包括通知公告模块、知识库管理模块、入网安评管理子系统 、信息安全合规性管理子系统和信息安全应急响应管理子系统,通知公告模块用于对用户发送通知和公告。
5.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的移动客户端还包括数据安全性和完整性验证模块、访谈录音模块、拍照取证模块和离线同步模块,访谈录音模块用于对用户的访谈进行录音,拍照取证模块可将用户拍下的照片进行存储备份。
6.根据权利要求1所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述的安全整改管理子系统能够对信息系统的软硬件缺陷进行全生命周期进行综合管理并支持提交缺陷处理请求的,具体功能包括缺陷的跟踪监控和统计分析。
7.根据权利要求5所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述缺陷来自自测、评估、自查中发现的问题。
8.根据权利要求5所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述缺陷来自用户主动创建。
9.根据权利要求5所述的一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台,其特征在于:所述缺陷包括软件缺陷、硬件缺陷和管理缺陷。
【文档编号】G06Q50/06GK103927631SQ201410180450
【公开日】2014年7月16日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】蒋屹新, 关泽武, 蒙家晓, 文红, 郭晓斌, 许爱东, 李鹏, 陈华军, 任梦吟 申请人:南方电网科学研究院有限责任公司, 电子科技大学
最新回复(0)