基于網絡安全等級保護2.0的測評管理系統設計與實現

汪晨旭 姜來為 李婧涵 郭星宇 王文浩 夏渝彧

摘? 要：在傳統的信息安全等級保護測評過程中，當測評人員完成測評工作后，由于人員水平參差，形成的最終報告往往差別較大。為了規范測評結果報告的生成，并方便測評人員對測評結果進行管理，該文基于網絡安全等級保護2.0（等保2.0）國家標準要求，設計并實現信息安全等級保護測評管理系統。本系統具有創新性的多方參與管理體系，將用戶根據身份的不同劃分成不同的角色，不同身份級別的角色對系統中的測評結果擁有不同的查看或修改權限。系統基于B/S架構與MVC框架，利用PHP語言開發，并采用HTML、CSS、JavaScript等前端技術實現系統的可視化、動態化。

關鍵詞：信息安全；等保2.0；測評管理系統；B/S架構；通信技術

中圖分類號：TP393? ? ? ?文獻標志碼：A? ? ? ? ? 文章編號：2095-2945（2024）06-0028-07

Abstract： In the traditional evaluation process of information security grade protection， when the evaluators complete the evaluation work， the final reports are often quite different due to the differences in the level of personnel. In order to standardize the generation of the evaluation results report and facilitate the evaluators to manage the evaluation results， this paper designs and implements the information security level protection evaluation management system based on the requirements of the national standard of Network Security Level Protection 2.0 （Level Protection 2.0）. The system has an innovative multi-party participation management system， which divides users into different roles according to different identities， and roles with different identity levels have different permissions to view or modify the evaluation results in the system. The system adopts B/S mode and MVC framework and uses PHP to implement this system. HTML， CSS， JavaScript， and other front-end technologies are used to realize the visualization and dynamics of the system.

Keywords： information security; Network Security Level Protection 2.0; evaluation management system; B/S architecture; communication technology

近年來，隨著計算機、通信技術的不斷發展，信息安全的重要性日益凸顯。信息安全等級保護作為國家一個重要的安全策略，一直以來都是大家關注的焦點。隨著信息化的不斷發展深入，信息安全等級保護的標準在不斷改變。各個國家組織也積極對計算機信息安全評估和保護工作進行了研究和探索。我國2016年出臺《中華人民共和國網絡安全法》，2019年正式發布網絡安全等級保護制度2.0國家標準（以下簡稱“等保2.0標準”），對信息安全等級保護進行了更新與完善，體現出新的安全思想，并與當前時代更加聯系緊密，在信息安全領域得到了廣泛應用。與此同時，我國出臺的《中華人民共和國網絡安全法》中的第二十一條對網絡安全的等級保護制度做出了明確規定[1-2]，網絡運營者應當按照網絡安全等級保護制度的要求履行相應的安全保護義務[3]。隨著等保2.0的出臺，企業的信息安全等級保護管理也變得愈發復雜，并且由于測評管理繁瑣，沒有統一的管理流程，企業難以有效地實施等保測評的管理，因此需要一個系統化的測評管理機制來對其進行管理[4]。

目前，基于等保2.0的信息安全等級保護相關研究和實踐已經開展：趙少飛[5]對當前企業在等保2.0時代到來后面臨的安全風險做了討論；馬玉州[6]在分析普通高校等保測評過程時發現存在重技術、輕管理的問題；吳寶琦等[7]在分析等保建設過程中存在的問題時提出建設集中管理平臺的理念；張煒等[8]在公共交通領域建議建立安全管理平臺，從而更加符合等保2.0標準要求。等保測評不應僅重視測評過程，更應加強對測評結果的管理，最終實現測評結果的標準化、統一化；而現階段鮮有將各測評機構測評結果體系化的系統。可以看出，隨著等保2.0時代的到來和信息化的不斷發展，各行各業的安全防護與測評標準面臨更加嚴峻的挑戰。

在上述背景下，本文整合并分析等保2.0測評標準；針對現存等保測評管理中出現的問題，設計并實現基于等保2.0的信息安全等級保護測評管理系統；完善等級保護測評管理流程，為現實中等級保護測評機構提供支持，具有一定的實用價值。本系統包括管理模塊與業務模塊，使用當前市面上較為流行的PHP語言進行開發，采用HTML、CSS、JavaScript等前端技術實現系統可視化功能，并最大限度地確保其對于各層次測評人員的可用性。此外，本系統基于B/S架構實現，相比于傳統的C/S架構更易于實現與維護，只需要把系統程序配置到服務器上客戶端即可使用瀏覽器來對系統進行訪問，客戶端無需安裝任何軟件[9]。

本文主要內容如下：首先分析基于等保2.0測評管理要求，區分等保2.0與等保1.0主要不同之處；然后研究等保2.0測評方法，明確測評流程與測評得分計算方法；進而設計測評管理系統，并對其進行實現與測試。

1? 基于等保2.0測評管理要求

1.1? 基于等保2.0測評基本要求

基于等保2.0測評基本要求包括通用要求和安全擴展2個方面的全面安全測評。

1.1.1? 通用要求

通用要求是等保2.0中安全測評的基礎。通用要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理5個方面的要求。

1）安全管理制度：企業或組織的安全管理制度應當明確安全管理的范圍、內容、責任、流程和制度等方面的要求。

2）安全管理機構：企業或組織應當設立專門的安全管理機構，負責制定安全管理制度和安全管理方案等工作。

3）安全管理人員：企業或組織應當配備專門的安全管理人員，負責組織實施安全管理工作。

4）安全建設管理：企業或組織應當建立安全建設管理機制，對安全建設的各項工作進行統籌協調和管理。

5）安全運維管理：企業或組織應當建立安全運維管理機制，對安全運維的各項工作進行統籌協調和管理。

1.1.2? 安全擴展

安全擴展是等保2.0中安全測評的重要內容。安全擴展包括了安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心5個方面的要求。

1）安全物理環境：企業或組織應當建立符合安全要求的物理環境，保證信息系統的安全。

2）安全通信網絡：企業或組織應當建立符合安全要求的通信網絡，保證信息傳輸的安全。

3）安全區域邊界：企業或組織應當建立符合安全要求的區域邊界，保證信息系統的安全。

4）安全計算環境：企業或組織應當建立符合安全要求的計算環境，保證信息系統的安全。

5）安全管理中心：企業或組織應當建立符合安全要求的安全管理中心，對信息系統的安全進行全面監控和管理。

基于等保2.0測評管理基本要求，不僅要求系統的安全性能達到一定的標準，更要求系統安全建設在整個生命周期中得到有效的管理和保障。

1.2? 等保2.0與等保1.0主要區別

通過對等保2.0與等保1.0內容進行比較分析，以及對標準深度解讀研究，可以將其區別總結為6個方面，見表1[10-13]。

2? 等保2.0測評方法研究

2.1? 基于等保2.0測評流程

等保2.0測評流程主要分籌備階段、前期準備、安全風險評估、測評實施、測評報告編寫、報告提交和整改6個部分。

2.1.1? 籌備階段

確定測評的范圍、目標、方式和方法，制定測評計劃和安排人員。

2.1.2? 前期準備

進行信息收集和準備工作，包括收集系統的相關資料、了解系統的功能和架構等，以便后續的安全風險評估和測評實施。

2.1.3? 安全風險評估

對信息系統進行安全風險評估，分析系統存在的安全隱患和漏洞，確定系統的安全要求。

2.1.4? 測評實施

根據安全要求，對信息系統進行等保2.0測評，評估系統的安全性。具體包括以下3點。

1）安全管理測評：評估系統的安全管理制度、組織、流程等方面的情況，包括安全管理政策、安全管理制度、安全管理組織和安全管理流程等。

2）安全技術測評：評估系統的安全技術措施，包括訪問控制、身份認證、加密技術、防火墻技術和入侵檢測技術等。

3）安全防護測評：評估系統的安全防護措施，包括網絡設備、操作系統、應用軟件等方面的防護措施。

2.1.5? 測評報告編寫

根據測評結果，編制等保2.0測評報告，匯總系統存在的安全隱患和漏洞，提出相應的安全建議和措施。

2.1.6? 報告提交和整改

將測評報告提交給相關部門，要求對系統存在的安全隱患和漏洞進行整改，并跟蹤整改情況，確保問題得到解決。

2.2? 測評得分計算

當測評師根據2.1節中給出的基于等保2.0測評流程完成對任務的測評后，需要利用測評獲取到的數據信息根據式（1）對任務進行得分計算。

式中：n為此任務測評的項數（n不包括不適用項），f（wk）為第k項的重要程度，xk為第k項的符合程度，符合1分、部分符合0.5分、不符合0分。測評師根據計算得到測評得分再填寫相關信息，從而獲得最終等級保護報告。

基于上述等保2.0測評方法研究，本文將設計并實現信息安全等級保護測評管理系統：從數據庫調取測評任務的記錄數據，依據得分計算公式計算得到測評分數，然后將其顯示在測評得分管理頁面中，再由測評師更新任務狀態、填寫相關信息并最終導出等級保護報告。

3? 測評管理系統設計

3.1? 系統架構設計

本文設計并實現的信息安全等級保護測評系統采取B/S架構作為開發架構便于用戶使用，只需要用戶主機登錄瀏覽器而無需安裝客戶端即可直接登錄系統；且本系統基于MVC的設計思想，將模型（后端）和視圖（前端）在開發過程中分離為獨立部分，便于開發人員的設計實現和維護。此外，系統使用PHP語言實現MVC模式框架。MVC架構如圖1所示。

3.2? 系統模塊設計

依據本文第2章中等保測評方法研究開展系統模塊設計，可將系統分為3大模塊：測評標準庫模塊、管理模塊、業務模塊。

3.2.1? 測評標準庫模塊

測評標準庫模塊對我國出臺的等級保護標準文件進行展示，以便系統使用人員查看等級保護標準相關文件，實現文件共享，提高協同效率。

3.2.2? 管理模塊

管理模塊包括人員添加、人員管理2大功能，其中人員管理功能中包括刪除人員和人員信息修改兩部分。管理模塊結構如圖2所示。

系統管理員和機構管理員角色具有人員添加的功能，并且機構管理員只可以添加自身機構的用戶角色。人員管理功能則由系統管理員和機構管理員擁有，能夠對人員信息進行刪除和修改操作，并且機構管理員只能夠對所在測評機構的人員執行該操作。

3.2.3? 業務模塊

業務模塊結構圖如圖3所示。

測評流程部分包括測評對象添加、測評對象列表、測評記錄添加、測評記錄列表和測評得分計算功能，測評人員在測評過程中添加測評對象和測評記錄，系統根據測評人員添加的測評記錄計算得到測評得分。

測評任務管理部分包括測評任務列表、測評記錄列表、測評得分計算等功能，可以查看當前已有測評任務列表并對測評任務進行添加，根據測評流程子模塊中添加的測評記錄計算相應得分，進而查看當前任務信息、測評完成情況和任務得分，最終從系統直接導出pdf或word格式的測評報告。

3.3? 數據庫設計

本系統采用MySQL數據庫，根據前文等級保護測評功能要求分析各數據表中所需字段并保證不同表之間的數據關聯性，數據庫E-R圖如圖4所示。主要包括以下內容。

3.3.1? 測評機構表

測評機構表用于存儲可以對系統進行測評的機構。主要參數包括：機構名稱、測評任務、管理員和測評師。

3.3.2? 測評人員表

測評人員表用于存儲和管理可參與測評的人員信息，主要參數包括：登錄賬號、登錄密碼、姓名、角色和所屬機構。

3.3.3? 測評任務表

測評任務表用于存儲該系統的已建立任務，主要參數包括：任務編號、任務名稱、所屬機構、創建時間、測評等級、負責人和任務狀態。

3.3.4? 測評記錄表

測評記錄表用于存儲該系統所有測評記錄信息，主要參數包括：對象任務編號、層面名稱、控制點名稱、測評項內容、對應測評對象、重要程度、符合程度、記錄結果和測評日期。

3.3.5? 測評對象表

測評對象表用于存儲測評對象的多種屬性，主要參數包括：對象描述、測評內容、重要系數、對象名稱、對象所屬層面、所屬任務、備注。

3.3.6? 測評標準信息表

測評標準信息表用于存儲等保測評2.0規定的標準要求，主要參數包括：層面名稱、控制點名稱、測評等級、測評對象和測評內容。

在得分計算頁面選擇要計算分數的任務后，系統在數據庫中獲取該任務的測評記錄中的數據后根據公式計算出該任務的得分，顯示在頁面中，如圖5所示。然后系統會將此任務的得分顯示到測評任務管理模塊中的測評得分管理頁面中，最后由測評師更新任務狀態、填寫相關信息并導出等級保護報告，如圖6所示。

4? 測評管理系統實現與測試

4.1? 系統開發環境

本系統在Windows系統環境下運行，便于后期維護、開發效率高的PHP語言作為開發語言，并使用了PHPthink5.0開發框架，同時使用MySQL數據庫進行數據的存儲，利用FireFox瀏覽器進行訪問。整個項目開發平臺選用PHP集成開發工具PhpStorm實現。

4.2? 系統實現與測試

本系統為信息安全等級保護管理提供了統一、系統的測評管理平臺，便于其有效地完成信息安全保護測評的功能。

首先，測評師登錄系統，在測評任務管理模塊中添加測評任務，如圖7所示。然后輸入測評任務的編號、名稱和所屬機構。接下來選擇創建時間和測評等級，其中測評等級分為二級、三級和四級。系統獲取信息后將其儲存在mysql數據庫中的hb_mission表中，再將信息回顯到測評任務列表中，如圖8所示。

測評任務添加成功后，測評師繼續在測評流程模塊中添加測評對象，如圖9所示。針對已有的任務，選擇測評對象的所屬層面、對象名稱和重要程度，其中重要程度分為一般、重要和關鍵3個級別，并注明對象類別，簡要描述被測對象承載的業務功能等基本情況，以及被測對象安全技術情況和安全管理情況。系統獲取這些信息后將其儲存到數據庫中的hb_mission_object表中并將信息回顯到測評對象列表中，如圖10所示。

測評對象添加成功后，進行測評工作。測評師在測評記錄添加頁面選擇已有的任務編號，并選擇對應層面下的控制點下的測評項內容，當層面、控制點和測評項內容選擇完成后，根據任務的測評等級其對應的測評對象將是唯一確定的，因此系統將會在測評對象的hb_mission_object數據表中查詢該對象。如果此對象未被添加到系統中則會提示“添加測評記錄失敗，該測評任務下不存在該測評對象，請先添加測評對象”。因此在測評前需要先添加該測評對象。當對已有測評對象進行測評時，測評師需要根據此對象的實際情況，根據等保2.0安全通用要求權重賦值表輸入其重要程度并根據其符合程度選擇符合、部分符合或不符合，對應的測評項得分為1分、0.5分和0分，最后注明記錄結果和測評日期。系統將這些獲取到的信息存儲到hb_record數據表中并將其回顯到測評記錄列表頁面供測評師查看，如圖11所示。

測評師在本系統中按照上述流程開展測評工作，與系統前后端數據多次交互，從而系統、規范地完成測評工作。

由于信息安全等級保護測評需要嚴格參考國家標準的信息安全等級保護第二級、三級、四級測評要求，包括對應層面下控制點的測評指標、測評對象和測評實施要求，本系統特別設置了一個標準信息管理模塊。由系統管理員在此模塊里的標準信息添加頁面中，按照國家標準信息安全等級保護文件添加層面名稱、控制點名稱、測評等級、測評對象和測評內容。系統將這些信息存到db_standard數據表中并回顯到標準信息列表供管理員查看，并且提供檢索信息功能方便管理員進行信息的檢索添加功能，如圖12所示。

為了生成等級保護pdf報告，本系統采用mpdf技術將數據庫中的數據信息和測評師填寫的信息導入到靜態文件html，從而生成pdf等級保護報告。由用戶在測評得分管理頁面點擊“導出報告[pdf]”或“導出報告[word]”即可下載得到等級保護報告。

5? 結束語

本文從標準分析、系統設計、關鍵技術的設計與實現幾個方面詳細介紹了本系統的開發過程，重點闡述了本系統的模塊劃分、應用方式及關鍵技術。本文基于等保2.0標準設計并實現了一個信息安全等級保護測評管理系統。本系統能夠實現等級保護測評過程中的測評任務管理，生成測評報告，并提供人員管理功能。相比于傳統的等級保護測評管理方式，本系統能夠幫助測評人員更好地計算測評得分，降低了由于不同人員計算偏差導致的結果不準確，并且測評人員能夠導出測評任務報告，大大減輕了撰寫報告的難度。通過可視化、交互式、友好的用戶界面，實現了測評數據的直觀展示、動態調整、快速反饋，提升了系統的易用性并降低了測評機構對測評結果的管理難度，幫助企業有效實施等級保護測評管理。

參考文獻：

[1] 夏冰.網絡安全法和網絡安全等級保護2.0[M].北京：電子工業出版社，2017.

[2] 趙力.網絡安全法[M].西安：西安電子科技大學出版社，2020.

[3] 龍柳行海.淺析新時代基層央行等級保護工作[J].金融科技時代，2020（7）：76-78.

[4] 金金.基于等保2.0標準的企業網絡安全管理應對研究[J].網絡空間安全，2022，13（4）：7-11.

[5] 趙少飛.淺談等保測評中企業面臨的安全風險和應對措施[J].網絡安全技術與應用，2022（10）：98-99.

[6] 馬玉州.等保2.0時代普通高校等級保護工作實踐[J].網絡安全技術與應用，2021，247（7）：97-98.

[7] 吳寶琦，李若琛.信息網絡安全等保建設的思考[J].信息系統工程，2023（1）：125-127.

[8] 張煒，宋海萍，袁博.等保2.0要求下的城軌云內部管理網信息系統安全管理工作的思考[J].網絡安全技術與應用，2022（9）：113-114.

[9] 石安，張卓若，代立云.基于B/S架構的實時系統建模驗證工具[J].計算機應用與軟件，2022，39（10）：11-17，34.

[10] 公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室.信息安全等級保護管理辦法[Z].2007-06-22.

[11] 馬力，陳廣勇，祝國邦.網絡安全等級保護2.0國家標準解讀[J].保密科學技術，2019，6（7）：14-19.

[12] 全國信息與文獻標準化技術委員會.信息安全技術 網絡安全等級保護基本要求：GB/T 22239—2019[S].北京：中國標準出版社，2019.

[13] 王國麗.論網絡安全等級保護的演變及主要變化[J].數字通信世界，2022（2）：91-93.