劉林　何晟　彭亞雄

摘 要： 為了克服傳統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目實(shí)施過(guò)程中人工分析和計(jì)算工作量大，報(bào)告編制任務(wù)繁重等問題，文章設(shè)計(jì)了基于Delphi 7開發(fā)平臺(tái)的等保測(cè)評(píng)項(xiàng)目管理及報(bào)告生成系統(tǒng)，旨在匯總測(cè)評(píng)信息，自動(dòng)化地分析數(shù)據(jù)并計(jì)算出測(cè)評(píng)結(jié)果，生成測(cè)評(píng)報(bào)告。系統(tǒng)設(shè)計(jì)采用C/S體系架構(gòu)，SQL Server2008作為數(shù)據(jù)庫(kù)管理系統(tǒng)。實(shí)踐表明，該系統(tǒng)自動(dòng)化地實(shí)現(xiàn)了等級(jí)保護(hù)測(cè)評(píng)的項(xiàng)目管理和報(bào)告生成功能，極大地提高了工作效率、降低了成本。

關(guān)鍵詞： 等級(jí)保護(hù)； 測(cè)評(píng)報(bào)告； 信息系統(tǒng)； Delphi 7

中圖分類號(hào)：TP319 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2017）12-35-04

Design and implementation of project management and report generation system

of testing and evaluation of classified protection

Liu Lin1， He Sheng2， Peng Yaxiong1

（1. College of Big Data and Information Eegineering， Guizhou University， Guiyang， Guizhou 550025， China；

2. Guizhou Province Network and Information Security Evaluation and Certification Center）

Abstract： In order to overcome the problems of heavy workload of manual analysis and calculation in the traditional project process of testing and evaluation of classified protection， this paper designs the project management and report generation system for testing and evaluation of classified protection based on Delphi 7 development platform， to summarize the evaluation information， automatically analyze data and calculate the evaluation result， and generate the evaluation report. System design adopts C/S architecture， and SQL Server2008 is used as database management system. The practice shows that the system automatically realizes the project management and report generation functions of testing and evaluation of classified protection， which greatly improves the work efficiency and reduces the cost.

Key words： classified protection； testing and evaluation report； information system； Delphi 7

0 引言

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作涉及到管理、主機(jī)、數(shù)據(jù)、網(wǎng)絡(luò)、物理等多方面的安全測(cè)評(píng)內(nèi)容。等級(jí)保護(hù)測(cè)評(píng)的工作流程分四個(gè)階段實(shí)施，具體包括了測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析與報(bào)告四個(gè)階段[1]，在整個(gè)測(cè)評(píng)流程中，活動(dòng)分析與報(bào)告編制階段是核心階段，該階段需要對(duì)測(cè)評(píng)工程師現(xiàn)場(chǎng)采集的數(shù)據(jù)進(jìn)行分析，對(duì)照測(cè)評(píng)指標(biāo)逐一的進(jìn)行結(jié)果判定，最后生成《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告》。整個(gè)分析與報(bào)告編制活動(dòng)涉及到的資產(chǎn)較多，分析內(nèi)容較復(fù)雜，傳統(tǒng)的依靠人工開展此項(xiàng)活動(dòng)不僅花費(fèi)時(shí)間長(zhǎng)，而且往往出錯(cuò)率高，這樣給后期報(bào)告的審核帶來(lái)非常大的困難。如何解決傳統(tǒng)測(cè)評(píng)過(guò)程中出現(xiàn)的問題將是本次系統(tǒng)設(shè)計(jì)的目標(biāo)所在。

1 系統(tǒng)總體設(shè)計(jì)

1.1 系統(tǒng)設(shè)計(jì)思路

為了應(yīng)對(duì)傳統(tǒng)測(cè)評(píng)過(guò)程中人工管理項(xiàng)目及編制報(bào)告過(guò)程中存在的不足，本文系統(tǒng)的設(shè)計(jì)將實(shí)現(xiàn)自動(dòng)化的項(xiàng)目管理和報(bào)告生成。該系統(tǒng)基于C/S模式采用Delphi 7進(jìn)行開發(fā)，選用SQL Server 2008數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)信息進(jìn)行存儲(chǔ)和管理，Delphi 7開發(fā)環(huán)境通過(guò)ADO數(shù)據(jù)訪問技術(shù)連接數(shù)據(jù)庫(kù)。測(cè)評(píng)報(bào)告中對(duì)測(cè)評(píng)單元的分值計(jì)算主要通過(guò)采用加權(quán)平均算法求得。

1.2 系統(tǒng)功能模塊設(shè)計(jì)

本文系統(tǒng)采用模塊化設(shè)計(jì)，模塊化設(shè)計(jì)既簡(jiǎn)化了系統(tǒng)的開發(fā)，也便于以后的維護(hù)和升級(jí)。本次系統(tǒng)設(shè)計(jì)主要的功能模塊包括四個(gè)模塊：測(cè)評(píng)立項(xiàng)區(qū)、現(xiàn)場(chǎng)測(cè)評(píng)區(qū)、測(cè)評(píng)報(bào)告區(qū)、系統(tǒng)配置區(qū)。系統(tǒng)功能模塊結(jié)構(gòu)及各個(gè)模塊基本的功能如圖1所示。

測(cè)評(píng)立項(xiàng)區(qū)：該模塊分為兩個(gè)子模塊，包括項(xiàng)目管理和資產(chǎn)管理模塊，主要功能是實(shí)現(xiàn)對(duì)項(xiàng)目和資產(chǎn)的添加、查詢、修改、刪除、復(fù)制、鎖定等操作。添加項(xiàng)目的信息需要項(xiàng)目經(jīng)理手動(dòng)錄入，錄入之后會(huì)保存到數(shù)據(jù)庫(kù)中，作為整個(gè)測(cè)評(píng)項(xiàng)目的核心數(shù)據(jù)。

現(xiàn)場(chǎng)測(cè)評(píng)區(qū)：該模塊實(shí)現(xiàn)的功能主要是將所有單項(xiàng)測(cè)評(píng)結(jié)果判定數(shù)據(jù)導(dǎo)入到系統(tǒng)中，負(fù)責(zé)不同測(cè)評(píng)層面的測(cè)評(píng)工程師可以同時(shí)在線的錄入測(cè)評(píng)數(shù)據(jù)，也可將測(cè)評(píng)數(shù)據(jù)通過(guò)Excel表格離線填寫完成后再導(dǎo)入系統(tǒng)。

測(cè)評(píng)報(bào)告區(qū)：該模塊是系統(tǒng)的核心模塊，其功能是自動(dòng)化的分析計(jì)算測(cè)評(píng)數(shù)據(jù)并導(dǎo)出測(cè)評(píng)報(bào)告，導(dǎo)出報(bào)告的內(nèi)容包括了具體的測(cè)評(píng)內(nèi)容及測(cè)評(píng)結(jié)論。

系統(tǒng)配置區(qū)：該模塊主要功能是對(duì)相關(guān)的測(cè)評(píng)參數(shù)及賬戶進(jìn)行配置管理，包括了控制點(diǎn)和要求項(xiàng)的權(quán)重、狀態(tài)進(jìn)行設(shè)置、賬號(hào)登錄鎖定次數(shù)等設(shè)置內(nèi)容。

1.3 系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)

根據(jù)對(duì)系統(tǒng)的需求和結(jié)構(gòu)進(jìn)行分析后，對(duì)存儲(chǔ)的信息進(jìn)行分析，將數(shù)據(jù)與數(shù)據(jù)之間邏輯加以建模分析出它們之間的關(guān)聯(lián)性，設(shè)計(jì)出該系統(tǒng)的ER圖。如圖2所示列舉出了測(cè)評(píng)資產(chǎn)工程庫(kù)這個(gè)較為重要的數(shù)據(jù)實(shí)體ER圖。

數(shù)據(jù)庫(kù)在設(shè)計(jì)過(guò)程中，參照數(shù)據(jù)庫(kù)設(shè)計(jì)流程，在邏輯結(jié)構(gòu)設(shè)計(jì)階段，按照第三范式（3NF）的設(shè)計(jì)原則對(duì)數(shù)據(jù)表進(jìn)行規(guī)范化的處理，在第三范式設(shè)計(jì)原則的指導(dǎo)下設(shè)計(jì)數(shù)據(jù)庫(kù)，不僅可以減少冗余數(shù)據(jù)，也能提高系統(tǒng)的性能。關(guān)系范式規(guī)范化過(guò)程如圖3所示。

2 關(guān)鍵技術(shù)介紹

2.1 C/S體系結(jié)構(gòu)

C/S（Client/Server）體系結(jié)構(gòu)，即客戶機(jī)和服務(wù)器結(jié)構(gòu)。一般的C/S體系結(jié)構(gòu)都是在局域網(wǎng)環(huán)境中運(yùn)行，而隨著互聯(lián)網(wǎng)的迅猛發(fā)展，單純的局域網(wǎng)已經(jīng)不能滿足用戶對(duì)網(wǎng)絡(luò)的需求，B/S體系結(jié)構(gòu)受到了許多人的青睞。事實(shí)上，B/S體系架構(gòu)可以看成是特殊的一種基于HTTP通信協(xié)議的C/S體系構(gòu)架，也就是說(shuō)，B/S體系架構(gòu)其實(shí)是一種特殊的C/S體系構(gòu)架[4]。

對(duì)于一般的測(cè)評(píng)機(jī)構(gòu)而言，測(cè)評(píng)工程師人數(shù)不會(huì)太多，并且測(cè)評(píng)的數(shù)據(jù)有許多都是涉及到被測(cè)單位的重要敏感信息，出于安全性的考慮，本次系統(tǒng)的設(shè)計(jì)主要部署在企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境中，因此C/S架構(gòu)更為適宜本系統(tǒng)的需求。

2.2 Delphi技術(shù)

Delphi是由Borland公司推出的可視化編程環(huán)境，它是一種既方便又比較容易入門的可供全平臺(tái)使用的開發(fā)工具。Delphi擁有一個(gè)可視化的集成開發(fā)環(huán)境（IDE），采用面向?qū)ο蟮木幊陶Z(yǔ)Object Pascal和基于部件的開發(fā)結(jié)構(gòu)框架。

“真正的程序員用VC，聰明的程序員用Delphi”，這句經(jīng)典的名言無(wú)疑是對(duì)Delphi最為貼切的描述[3]。與VC相比，Delphi對(duì)開發(fā)者的要求更低，易學(xué)易懂，而在功能上，Delphi卻完全不遜色于VC；而和VB相比，Delphi的功能則要強(qiáng)大實(shí)用的多。正是因?yàn)镈elphi既具備強(qiáng)大的功能，又很容易入門，才讓其受到眾多程序員的青睞。

2.3 數(shù)據(jù)庫(kù)及ADO數(shù)據(jù)訪問技術(shù)

SQL Server是美國(guó)微軟公司在數(shù)據(jù)管理系統(tǒng)上最流行的關(guān)系型數(shù)據(jù)庫(kù)，SQL Server 2008作為SQL Server版本中目前比較穩(wěn)定、應(yīng)用較多的版本，其基于策略的管理、多重服務(wù)查詢功能、數(shù)據(jù)收集及高效的數(shù)據(jù)處理，為日常負(fù)責(zé)管理大型的復(fù)雜數(shù)據(jù)庫(kù)環(huán)境的數(shù)據(jù)庫(kù)管理員提供了強(qiáng)大的功能[5]。本次系統(tǒng)的設(shè)計(jì)選用SQL Server 2008 R2版本，經(jīng)驗(yàn)證測(cè)試，完全可以滿足系統(tǒng)的需求。

ADO（ActiveX Date Objects）是由微軟公司推出的以ActiveX技術(shù)為基礎(chǔ)的數(shù)據(jù)訪問規(guī)范，使用簡(jiǎn)單，功能強(qiáng)大，是一組基于OLE DB數(shù)據(jù)的高級(jí)自動(dòng)化應(yīng)用層接口[6]。通過(guò)ADO可以方便快速地通過(guò)統(tǒng)一數(shù)據(jù)接口API，對(duì)關(guān)系或非關(guān)系數(shù)據(jù)庫(kù)、電子郵件和文件系統(tǒng)、文本和圖形、自定義和業(yè)務(wù)對(duì)象進(jìn)行訪問和存取，這非常適合系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)的建立和應(yīng)用。

3 系統(tǒng)實(shí)現(xiàn)

3.1 登錄模塊

登錄模塊是驗(yàn)證用戶能否進(jìn)入系統(tǒng)的惟一通道，只有具有合法身份的用戶才能登陸系統(tǒng)，當(dāng)驗(yàn)證通過(guò)會(huì)直接跳轉(zhuǎn)到控制界面，根據(jù)系統(tǒng)設(shè)計(jì)模塊進(jìn)行相應(yīng)操作。系統(tǒng)的用戶名和密碼由系統(tǒng)管理員進(jìn)行分配，同時(shí)出于安全因素的考慮，該登錄模塊設(shè)計(jì)了登錄失敗處理功能，當(dāng)某個(gè)用戶連續(xù)登錄失次數(shù)超過(guò)設(shè)定的登錄限制次數(shù)時(shí)，系統(tǒng)將立即結(jié)束會(huì)話，退出連接。

3.2 報(bào)告生成模塊

報(bào)告生成系統(tǒng)采用修改模板的方法。鑒于測(cè)評(píng)報(bào)告的格式大體上都是相同的，在分析測(cè)評(píng)報(bào)告的基礎(chǔ)上總結(jié)出一套空白測(cè)評(píng)報(bào)告作為模板，不同的被測(cè)系統(tǒng)可以根據(jù)具體的測(cè)評(píng)內(nèi)容由系統(tǒng)動(dòng)態(tài)修改模板，從而自動(dòng)地生成報(bào)告。動(dòng)態(tài)修改模板的基本思路是在需要添加內(nèi)容的地方加上標(biāo)簽，然后系統(tǒng)根據(jù)測(cè)評(píng)工程師錄入的測(cè)評(píng)信息，將標(biāo)簽處的內(nèi)容替換為實(shí)際需要添加的內(nèi)容，但是部分標(biāo)簽需要在表格中完成添加和修改內(nèi)容，但表格的行列數(shù)是不定的，需要系統(tǒng)動(dòng)態(tài)的創(chuàng)建Word表格，并將相應(yīng)的經(jīng)過(guò)分析和計(jì)算的數(shù)據(jù)填入到表格中。下面列舉一個(gè)系統(tǒng)中的自定義函數(shù)，功能是查找并替換函數(shù)傳入的實(shí)參值：

1. procedure TMyWord.ReplaceSource， Target： string）；

2. var

3. FindText，PWrap，ReplaceWith，Replace： olevariant；

4. begin

5. FWord.Selection.Find.ClearFormatting；

6. FWord.Selection.Find.Replacement.ClearFormatting；

7. FindText ：= Source； //查找到內(nèi)容

8. PWrap ：= wdFindContinue；

9. ReplaceWith ：= Target； //將查找的內(nèi)容替換為目標(biāo)內(nèi)容

10. Replace ：= wdReplaceAll； //替換屬性為全部替換

11. FWord.Selection.Find.Execute（FindText， EmptyParam，

EmptyParam， EmptyParam， EmptyParam， EmptyParam， EmptyParam， PWrap， EmptyParam， ReplaceWith，

12. Replace， EmptyParam， EmptyParam， EmptyParam，

EmptyParam）

13. end；

3.3 主界面模塊

系統(tǒng)登錄成功后，會(huì)跳轉(zhuǎn)到主界面模塊中的測(cè)評(píng)立項(xiàng)區(qū)子模塊，主界面模塊是系統(tǒng)實(shí)現(xiàn)各種功能核心模塊，其基本功能已經(jīng)在1.3節(jié)系統(tǒng)功能模塊設(shè)計(jì)中進(jìn)行了分析。

4 結(jié)束語(yǔ)

本文系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)了等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目中自動(dòng)化的數(shù)據(jù)分析、計(jì)算及報(bào)告生成功能，不僅極大地減少了測(cè)評(píng)報(bào)告編制的時(shí)間，而且編制出來(lái)的報(bào)告更加客觀、準(zhǔn)確和規(guī)范。目前系統(tǒng)已經(jīng)應(yīng)用在實(shí)際的測(cè)評(píng)工作中，根據(jù)使用后的反饋結(jié)果來(lái)看，測(cè)評(píng)報(bào)告編制時(shí)間從傳統(tǒng)的一周以上縮短到二小時(shí)以內(nèi)，極大地提高了測(cè)評(píng)效率，非常值得推廣給全國(guó)的測(cè)評(píng)機(jī)構(gòu)借鑒和使用。下一步將進(jìn)一步優(yōu)化系統(tǒng)擴(kuò)展功能，美化界面，加入對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、中間件等方面的安全測(cè)評(píng)自動(dòng)檢查及結(jié)果分析功能，更好的服務(wù)于等級(jí)保護(hù)測(cè)評(píng)實(shí)施工作。

參考文獻(xiàn)（References）：

[1] GB/T 22239-2008信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)

基本要求[S].全國(guó)信息安全標(biāo)準(zhǔn)化協(xié)議委員會(huì)，2008.

[2] GB/T 28449-2012信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)

測(cè)評(píng)過(guò)程指南[S].中國(guó)標(biāo)準(zhǔn)出版社，2012.

[3] 程誠(chéng).超聲圖文報(bào)告系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)碩

士學(xué)位論文，2014.

[4] 張帥.基于.NET的信息系統(tǒng)安全評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].

貴州師范大學(xué)碩士學(xué)位論文，2016.

[5]苗鳳華.SQL Server 2008數(shù)據(jù)管理系統(tǒng)的優(yōu)勢(shì)研究[J].長(zhǎng)春

師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2014.6.

[6] 劉順.農(nóng)藥實(shí)驗(yàn)信息管理及報(bào)告自動(dòng)生成系統(tǒng)開發(fā)與應(yīng)用[D].

浙江大學(xué)碩士學(xué)位論文，2014.

[7] GB/T 28448-2012信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)

測(cè)評(píng)要求[S].中國(guó)標(biāo)準(zhǔn)出版社，2012.