本文是一篇安全管理论文,安全管理体系,顾名思义就是基于安全管理的一整套体系,体系包括软件硬件方面。软件方面涉及到思想,制度,教育,组织,管理;硬件包括安全投入,设备,设备技术,运行维护等等。构建安全管理体系的最终目的就是实现企业安全、高效运行。(以上内容来自百度百科)今天为大家推荐一篇安全管理论文,供大家参考。
第1章绪论
1.1研究背景与意义
公安部、国资委等多个部门多次发文强调信息安全等级保护工作的重要性,并对安全等级保护工作进行总体规划。公安部及国资委在公通字[2010]70号文《关于进一步推进中央企业信息安全等级保护工作的通知》中指出:“中央企业应高度重视信息安全等级保护工作的推进;明确职责,建立分工负责、协作配合的工作机制;全面梳理企业信息网络和系统,认真做好企业信息系统安全等级保护定级、备案工作;开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系;加强检查和考核,确保信息系统安全保护能力达到等级保护要求。”在公信安[2010]303号文《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》中指出:“信息系统备案单位尽快开展等级测评,2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作”。大型企业要响应国家与监管机构要求,切实落实等级保护相关工作。各信息系统的安全建设工作逐步成为亟待解决的现实问题,因此有必要在信息系统建设初期引入等级保护,确保信息系统安全工作同步设计同步建设,未来能够安全运维,依照等保合规性要求进行总体规划设计确保企业信息化工程的健康开展。结合国家监管层面要求,通过开发建设信息安全管理工作平台,形成完善的信息安全等级保护知识库,包括等级保护政策标准库,风险参考库。支撑大型企业开展信息安全等级保护信息系统定级、差距分析、整改落实、等级测评、系统备案等工作。确保信息系统安全工作同步设计同步建设,未来能够安全运维,依照合规性要求进行总体规划设计确保信息安全工作的顺利开展。
...........
1.2国内外研究现状
信息安全管理体系起源于英国标准BS7799(国际信息安全管理标准体系),BS7799是由英国贸易工业部立项,于1995年首次出版《信息安全管理实施细则》,2000年通过了国家标准化组织的认证,这一管理原则目前被许多国家借鉴。美国《联邦信息安全管理法案》是美国信息安全领域的一项重要法律,其对于确保美国联邦信息系统安全发挥了重要作用。如何对保障和实现系统信息安全,一直是世界各国专家、学者的研究热点,在国外,信息安全管理理论和IT治理领域的研究较为成熟。20世纪60年代,一些技术比较发达的国家开始研究安全信息管理工作平台,从最初的简易系统到目前的具有高度智能化、科学化的管理系统,其中结合了其先进的管理、通信和计算机网络技术[1]。当前,安全信息管理工作平台技术在制造业、军事、电子或电器行业、交通运输、服务等业务领域得到广泛应用。特别是随着Internet的普及,以及其高速发展,各国也研发了适用于全球化的企业安全信息管理平台,并取得显著成果。例如,美国矿山安全信息中心研发了安全生产业务信息系统,专门负责网络安全管理和数据安全的工作[2][3][4],此外,该系统还能接收现场工作人员当天的汇报,对工作状况分析计算,确定工作主要内容进行人员分配,发布每天安全生产信息警惕工作人员,快速报告安全事故等一系列功能[5]。美国对灾害事故救援十分重视,结合了现代通信、信息网络、数据库、视频等技术,推行计算机模拟、虚拟现实等信息化新技术在矿山安全工作中的运用,极大减少了矿业工作中的危险事故,提高了矿山作业水平和救援效率。德国、英国、南非及印度也普遍利用现代计算机智能化技术开发了先进的管理信息系统,实现数据统一管理和数据同步分享,为本国的生产监管工作提供了科学化技术渠道[6]。
........
第2章工作平台的模块分析与设计
2.1平台业务需求分析
大型企业信息安全管理工作平台支持大型企业总部及下属子公司和分公司息安全管理部门协同开展信息安全管理工作。在平台上能够开展的信息安全管理工作包括有基础信息报送与统计、等级保护业务工作流程、信息安全检查活动、信息安全事件上报与通告、信息安全风险管理、安全整改建设任务管理、应急响应预案管理、安全基线策略管理等相关业务流程。其中,信息系统上报、信息资产收集、应急响应预案管理、安全基线策略管理主要实现下属单位将数据上报给上级大型企业信息管理部门的功能。基于基础数据的填报信息,由大型企业信息管理部门的运维人员协助技术支撑,对下属单位开展等级保护、安全检查、安全事件管理等专项业务。针对各类检查工作发现的不符合项、安全事件项、检查问题,平台汇总各类信息安全风险点,进行风险评估,展现风险视图,供大型企业信息管理部门领导进行决策分析。针对需处置的风险,设定响应的整改要求、整改任务,大型企业信息管理部门领导对整改任务的进展情况进行分析管理。不同的用户角色在平台中参与各个业务流程中的全部或者部分环节,各类角色有各自的角色视图。
.....
2.2平台功能需求分析
组织机构管理模块用来定义使用本平台的组织机构及人员角色。从组织机制上看,信息安全管理工作平台的用户可分属四类,即大型企业信息管理部门领导、大型企业信息管理部门信息安全运维人员、下属单位分管信息安全的领导、下属单位相应工作部门的信息安全运维人员[13]。各类用户分别承担不同的工作职责。组织机构管理模块可以配置大型企业总部及下属单位的组织机构。配置相关各个单位名称、单位详细信息等。组织机构管理功能可以配置大型企业总部及下属单位的信息安全管理部门、岗位,设置相关岗位对应的用户。平台支持多层级的组织机构设置,上级单位可以创建相应的下级单位,设置下级单位的相关信息。下属单位可以维护本单位的相关信息和人员角色。
..........
第3章工作平台的设计与数据库实现.........24
3.1系统技术选型............24
3.2系统开发框架平台...........25
3.3系统总体结构设计...........27
3.4功能模块设计............30
3.5其他方面的设计.........33
3.6数据库具体实现.........39
3.7系统特色.........47
3.8本章小结.........50
第4章工作平台的功能实现............51
4.1角色与职能......51
4.2创建账号.........52
4.3信息填报工作............54
4.4资产收集填报............58
4.5等级保护.........59
4.6事件处置.........62
4.7安全检查.........65
4.8风险评估.........66
4.9整改建设.........69
4.10应急响应..........71
4.11本章小结..........74
第5章系统测试.........75
5.1测试概述.........75
5.2本章小结.........82
第 5 章 系统测试
5.1 测试概述系统
测试是软件开发的一个重要环节,为了检验已经开发的软件是否满足用户的需求以及检查系统漏洞,保证信息安全管理工作平台的稳定运行,不同功能模块根据用户输入的具体条件来检查系统能否正常工作。测试的主要目的是系统的功能和性能是否满足用户提出的需求,需求文档、设计文档、用户文档以及测试文档等是否完整,用户界面能否满足用户的要求等。针对本系统的测试内容及方法包括BVT 测试、版本测试、性能测试、并发测试、压力测试、大数据量测试、稳定性测试和安全测试[33]。本章内容阐述了对大型企业信息安全管理工作平台进行BVT测试、版本测试、性能测试、并发测试、压力测试、大数据量测试、稳定性测试和安全测试的方法、过程及结果。测试结果表明设计与实现的信息安全管理工作平台各模块功能完善、性能稳定,具有良好的可行性与可用性,满足平台设计需求与大型企业信息安全管理工作相关需求。
..........
总结
本文结合国家监管层面要求以及大型企业信息安全管理工作现状,通过大量的调研和学术研究,设计并实现了大型企业信息安全管理工作平台,为大型企业开展信息安全等级保护信息系统定级、差距分析、整改落实、等级测评、系统备案及信息安全事件处置、安全检查、应急响应等工作的开展提供了有力支撑。大型企业信息安全管理工作平台采用当前业界流行的 J2EE 相关技术标准来实现,选择目前流行的 Spring 作为轻量级容器架构的实现方案,采用 Struts 轻量级开源 MVC 框架,选用 MySQL5.0 作为数据库管理软件。平台采用 B/S 架构,以通用浏览器作为客户端,采用 J2EE 构建系统服务端,整个系统应用逻辑上分为三层,分别是服务层、业务层、表示层。本平台的主要功能模块包括组织机构及工作流引擎模块、基础数据管理模块、等级保护模块、风险管理模块、安全事件通报模块、应急响应模块、整改规划模块和安全检查模块。本信息安全管理工作平台各模块功能完善、性能稳定,具有良好的可行性与可用性,能够基本满足大型企业信息安全管理工作相关需求。但信息安全工作需要随着网络攻击和防护技术的发展而动态调整,相应的信息安全管理工作平台也需要及时的调整系统架构和功能模块,以适应大型企业信息安全管理工作的需求。#p#分页标题#e#
..........
参考文献(略)
