等保測評項目管理及報告生成系統設計與實現

劉林　何晟　彭亞雄

摘 要： 為了克服傳統的等級保護測評項目實施過程中人工分析和計算工作量大，報告編制任務繁重等問題，文章設計了基于Delphi 7開發平臺的等保測評項目管理及報告生成系統，旨在匯總測評信息，自動化地分析數據并計算出測評結果，生成測評報告。系統設計采用C/S體系架構，SQL Server2008作為數據庫管理系統。實踐表明，該系統自動化地實現了等級保護測評的項目管理和報告生成功能，極大地提高了工作效率、降低了成本。

關鍵詞： 等級保護； 測評報告； 信息系統； Delphi 7

中圖分類號：TP319 文獻標志碼：A 文章編號：1006-8228（2017）12-35-04

Design and implementation of project management and report generation system

of testing and evaluation of classified protection

Liu Lin1， He Sheng2， Peng Yaxiong1

（1. College of Big Data and Information Eegineering， Guizhou University， Guiyang， Guizhou 550025， China；

2. Guizhou Province Network and Information Security Evaluation and Certification Center）

Abstract： In order to overcome the problems of heavy workload of manual analysis and calculation in the traditional project process of testing and evaluation of classified protection， this paper designs the project management and report generation system for testing and evaluation of classified protection based on Delphi 7 development platform， to summarize the evaluation information， automatically analyze data and calculate the evaluation result， and generate the evaluation report. System design adopts C/S architecture， and SQL Server2008 is used as database management system. The practice shows that the system automatically realizes the project management and report generation functions of testing and evaluation of classified protection， which greatly improves the work efficiency and reduces the cost.

Key words： classified protection； testing and evaluation report； information system； Delphi 7

0 引言

信息系統安全等級保護測評工作涉及到管理、主機、數據、網絡、物理等多方面的安全測評內容。等級保護測評的工作流程分四個階段實施，具體包括了測評準備、方案編制、現場測評、分析與報告四個階段[1]，在整個測評流程中，活動分析與報告編制階段是核心階段，該階段需要對測評工程師現場采集的數據進行分析，對照測評指標逐一的進行結果判定，最后生成《信息系統安全等級測評報告》。整個分析與報告編制活動涉及到的資產較多，分析內容較復雜，傳統的依靠人工開展此項活動不僅花費時間長，而且往往出錯率高，這樣給后期報告的審核帶來非常大的困難。如何解決傳統測評過程中出現的問題將是本次系統設計的目標所在。

1 系統總體設計

1.1 系統設計思路

為了應對傳統測評過程中人工管理項目及編制報告過程中存在的不足，本文系統的設計將實現自動化的項目管理和報告生成。該系統基于C/S模式采用Delphi 7進行開發，選用SQL Server 2008數據庫對數據信息進行存儲和管理，Delphi 7開發環境通過ADO數據訪問技術連接數據庫。測評報告中對測評單元的分值計算主要通過采用加權平均算法求得。

1.2 系統功能模塊設計

本文系統采用模塊化設計，模塊化設計既簡化了系統的開發，也便于以后的維護和升級。本次系統設計主要的功能模塊包括四個模塊：測評立項區、現場測評區、測評報告區、系統配置區。系統功能模塊結構及各個模塊基本的功能如圖1所示。

測評立項區：該模塊分為兩個子模塊，包括項目管理和資產管理模塊，主要功能是實現對項目和資產的添加、查詢、修改、刪除、復制、鎖定等操作。添加項目的信息需要項目經理手動錄入，錄入之后會保存到數據庫中，作為整個測評項目的核心數據。

現場測評區：該模塊實現的功能主要是將所有單項測評結果判定數據導入到系統中，負責不同測評層面的測評工程師可以同時在線的錄入測評數據，也可將測評數據通過Excel表格離線填寫完成后再導入系統。

測評報告區：該模塊是系統的核心模塊，其功能是自動化的分析計算測評數據并導出測評報告，導出報告的內容包括了具體的測評內容及測評結論。

系統配置區：該模塊主要功能是對相關的測評參數及賬戶進行配置管理，包括了控制點和要求項的權重、狀態進行設置、賬號登錄鎖定次數等設置內容。

1.3 系統數據庫設計

根據對系統的需求和結構進行分析后，對存儲的信息進行分析，將數據與數據之間邏輯加以建模分析出它們之間的關聯性，設計出該系統的ER圖。如圖2所示列舉出了測評資產工程庫這個較為重要的數據實體ER圖。

數據庫在設計過程中，參照數據庫設計流程，在邏輯結構設計階段，按照第三范式（3NF）的設計原則對數據表進行規范化的處理，在第三范式設計原則的指導下設計數據庫，不僅可以減少冗余數據，也能提高系統的性能。關系范式規范化過程如圖3所示。

2 關鍵技術介紹

2.1 C/S體系結構

C/S（Client/Server）體系結構，即客戶機和服務器結構。一般的C/S體系結構都是在局域網環境中運行，而隨著互聯網的迅猛發展，單純的局域網已經不能滿足用戶對網絡的需求，B/S體系結構受到了許多人的青睞。事實上，B/S體系架構可以看成是特殊的一種基于HTTP通信協議的C/S體系構架，也就是說，B/S體系架構其實是一種特殊的C/S體系構架[4]。

對于一般的測評機構而言，測評工程師人數不會太多，并且測評的數據有許多都是涉及到被測單位的重要敏感信息，出于安全性的考慮，本次系統的設計主要部署在企業內部網絡環境中，因此C/S架構更為適宜本系統的需求。

2.2 Delphi技術

Delphi是由Borland公司推出的可視化編程環境，它是一種既方便又比較容易入門的可供全平臺使用的開發工具。Delphi擁有一個可視化的集成開發環境（IDE），采用面向對象的編程語Object Pascal和基于部件的開發結構框架。

“真正的程序員用VC，聰明的程序員用Delphi”，這句經典的名言無疑是對Delphi最為貼切的描述[3]。與VC相比，Delphi對開發者的要求更低，易學易懂，而在功能上，Delphi卻完全不遜色于VC；而和VB相比，Delphi的功能則要強大實用的多。正是因為Delphi既具備強大的功能，又很容易入門，才讓其受到眾多程序員的青睞。

2.3 數據庫及ADO數據訪問技術

SQL Server是美國微軟公司在數據管理系統上最流行的關系型數據庫，SQL Server 2008作為SQL Server版本中目前比較穩定、應用較多的版本，其基于策略的管理、多重服務查詢功能、數據收集及高效的數據處理，為日常負責管理大型的復雜數據庫環境的數據庫管理員提供了強大的功能[5]。本次系統的設計選用SQL Server 2008 R2版本，經驗證測試，完全可以滿足系統的需求。

ADO（ActiveX Date Objects）是由微軟公司推出的以ActiveX技術為基礎的數據訪問規范，使用簡單，功能強大，是一組基于OLE DB數據的高級自動化應用層接口[6]。通過ADO可以方便快速地通過統一數據接口API，對關系或非關系數據庫、電子郵件和文件系統、文本和圖形、自定義和業務對象進行訪問和存取，這非常適合系統數據庫管理系統的建立和應用。

3 系統實現

3.1 登錄模塊

登錄模塊是驗證用戶能否進入系統的惟一通道，只有具有合法身份的用戶才能登陸系統，當驗證通過會直接跳轉到控制界面，根據系統設計模塊進行相應操作。系統的用戶名和密碼由系統管理員進行分配，同時出于安全因素的考慮，該登錄模塊設計了登錄失敗處理功能，當某個用戶連續登錄失次數超過設定的登錄限制次數時，系統將立即結束會話，退出連接。

3.2 報告生成模塊

報告生成系統采用修改模板的方法。鑒于測評報告的格式大體上都是相同的，在分析測評報告的基礎上總結出一套空白測評報告作為模板，不同的被測系統可以根據具體的測評內容由系統動態修改模板，從而自動地生成報告。動態修改模板的基本思路是在需要添加內容的地方加上標簽，然后系統根據測評工程師錄入的測評信息，將標簽處的內容替換為實際需要添加的內容，但是部分標簽需要在表格中完成添加和修改內容，但表格的行列數是不定的，需要系統動態的創建Word表格，并將相應的經過分析和計算的數據填入到表格中。下面列舉一個系統中的自定義函數，功能是查找并替換函數傳入的實參值：

1. procedure TMyWord.ReplaceSource， Target： string）；

2. var

3. FindText，PWrap，ReplaceWith，Replace： olevariant；

4. begin

5. FWord.Selection.Find.ClearFormatting；

6. FWord.Selection.Find.Replacement.ClearFormatting；

7. FindText ：= Source； //查找到內容

8. PWrap ：= wdFindContinue；

9. ReplaceWith ：= Target； //將查找的內容替換為目標內容

10. Replace ：= wdReplaceAll； //替換屬性為全部替換

11. FWord.Selection.Find.Execute（FindText， EmptyParam，

EmptyParam， EmptyParam， EmptyParam， EmptyParam， EmptyParam， PWrap， EmptyParam， ReplaceWith，

12. Replace， EmptyParam， EmptyParam， EmptyParam，

EmptyParam）

13. end；

3.3 主界面模塊

系統登錄成功后，會跳轉到主界面模塊中的測評立項區子模塊，主界面模塊是系統實現各種功能核心模塊，其基本功能已經在1.3節系統功能模塊設計中進行了分析。

4 結束語

本文系統的設計實現了等級保護測評項目中自動化的數據分析、計算及報告生成功能，不僅極大地減少了測評報告編制的時間，而且編制出來的報告更加客觀、準確和規范。目前系統已經應用在實際的測評工作中，根據使用后的反饋結果來看，測評報告編制時間從傳統的一周以上縮短到二小時以內，極大地提高了測評效率，非常值得推廣給全國的測評機構借鑒和使用。下一步將進一步優化系統擴展功能，美化界面，加入對主機、網絡、數據庫、中間件等方面的安全測評自動檢查及結果分析功能，更好的服務于等級保護測評實施工作。

參考文獻（References）：

[1] GB/T 22239-2008信息安全技術.信息系統安全等級保護

基本要求[S].全國信息安全標準化協議委員會，2008.

[2] GB/T 28449-2012信息安全技術.信息系統安全等級保護

測評過程指南[S].中國標準出版社，2012.

[3] 程誠.超聲圖文報告系統的設計與實現[D].電子科技大學碩

士學位論文，2014.

[4] 張帥.基于.NET的信息系統安全評估系統的設計與實現[D].

貴州師范大學碩士學位論文，2016.

[5]苗鳳華.SQL Server 2008數據管理系統的優勢研究[J].長春

師范大學學報（自然科學版），2014.6.

[6] 劉順.農藥實驗信息管理及報告自動生成系統開發與應用[D].

浙江大學碩士學位論文，2014.

[7] GB/T 28448-2012信息安全技術.信息系統安全等級保護

測評要求[S].中國標準出版社，2012.