第一章 引言
1.1 选题依据与研究意义
随着信息化技术的发展和国家电网公司“SG186”工程的推进,电力企业信息化建设进入了高速发展期,依靠信息化手段提升现代化企业集团管控能力,提高整体运营效率与效益,加快信息化建设成为影响公司发展全局的重要战略措施。信息化的建设也带来了信息安全的问题,信息和处理、传输、存储信息的软件、硬件及网络正面临着来自各方面的越来越多的安全威胁,如骇客入侵、信息泄密、数据丢失、盗窃、自然灾害等等。信息安全的重要性要求我们采取各类安全技术、安全策略和管理手段来保障,电力企业已经出台了各类文件和配置了专门的人员开展日常信息安全工作,为切实加强信息安全工作,确保公司各级单位信息安全技术措施和管理要求落实到位,国家电网公司制订并下发了《国家电网公司信息安全技术督查工作规定(试行)》、《国家电网公司信息安全管理办法》以及《信息系统安全保障重点措施》。信息安全技术督查(以下简称“信息督查”)工作的主要目的是监督、检查、督促信息安全管理技术要求和保障措施落实,健全信息安全防护体系,全面提高信息安全防护水平,实现对信息安全的可控、能控、在控,实现全面、全员、全过程、全方位的安全管理。信息安全技术督查的工作对象包括信息内外网络、内外网信息系统及其设备,督查范围覆盖系统规划、设计、建设、上线、运行、废弃等信息系统全生命周期各环节。
由于信息督查对像范围广、涉及系统的全生命周期,加之全省督查人员总共才几十人,以前采用电业局分别上报本单位信息督查报表,由于缺乏集中统一的管理,给信息督查执行部门的数据汇总带来较大的工作量;目前的问题管理机制不能及时反馈信息督查过程中出来的问题,造成有问题不能及时有效的解决。如何能有效的提高信息安全技术督查的效果,提高电力企业信息系统的安全性是不得不面对的问题。
1.1.1 课题研究意义
本课题在进行详细的研究分析后,将其具体应用于电力企业的信息安全技术督查系统的开发之中。信息安全技术督查管理在电力公司的安全运行管理中占有十分重要的地位,在企业信息化过程中,对于每一信息系统的规划、设计、建设、上线、运行、废弃等整个生命周期,都需要专门的信息督查人员进行管理。由于全省的督查人员数量少,而企业信息化建设的高速发展且产品十分庞大、纷繁复杂的信息安全管理数据,相关督查报表、资料的提供也想当繁琐,数据上报的时效性也很差,更无从谈起数据的准确可靠和一致性。在这种情况下,为了确保督查项目的全面、准确,保证督查执行部门数据的及时上报、汇总,跟踪处理督查过程中发现的问题、缺陷,领导更好地了解信息安全状况和及时做出相应决策。非常有必要利用计算机软件技术、数据库技术建立信息安全技术督查管理系统,对全省的信息安全技术督查工作提供沟通渠道和工作平台,取代很多过去由人工处理的繁琐劳动,大大提供了此项工作的效率和效能。
1.2 本课题国内外研究现状及发展趋势
目前,管理信息系统(Management Information Systems 简称 MIS)在现代社会已深入到各行各业,创建企业级 MIS 系统在技术上已经趋于成熟。随着 MIS系统的广泛应用,针对各行各业的 MIS 系统开发集成商应运而生,也涌现了大批在电力行业取得了良好成绩的 MIS 系统开发集成商,他们通常都有良好的技术支持和丰富的电力企业 MIS 开发集成经验,信息安全技术督查管理系统就是一种很典型的企业 MIS 应用系统。国内外对于信息安全的重视程度很高,研究水平也很高,每年都由无数的信息安全类产品投入使用。但是对于信息安全技术督查的研究在国内还比较落后,更多停留在纸质的安全项目检查表、评估表、评分表上面,也主要通过手工记录督查不合格项目,对于信息安全的缺陷没有进行跟踪处理,相关的应用系统也几乎没有。目前国内外实现企业 MIS 应用的技术途径很多,其中最常用的分别是.NET平台和 J2EE 平台。两者在结构上非常相似,但实现方式有所不同。
对企业应用来说,两者都支持多层分布式应用,但 J2EE 在内部系统的整合、系统延展性、安全性等方面更具有较强的优势。对于C/S模式,J2EE采用作为可视化组件的JavaBean 来构造系统。对于 B/S 结构的表示层,J2EE 使用 Servlet,JSP(Java ServerPage),HTML,WML,XML 等工具来实现。J2EE 在跨平台分布式计算技术方面表现优秀,其发展前景将更加广阔,因此本课题将 J2EE 作为开发环境,并采用轻量级的 SSH 整合框架。
第二章 系统需求分析
在项目实施过程中,需求分析是以个关键过程,它包括项目实施的目的、范围、定义和功能时所要做的全部工作。通过对项目进行需求分析,项目实施人员才能确定用户的实际需要和个性化要求,并通过需求分析和任务分解,找出实现用户需求的解决方法。需求分析是在项目实施前期阶段的重要工作,工作繁琐,而且对下一步软件产品的开发起到至关重要的作用。对于信息安全技术督查管理系统而言,在进行初步设计前要先进行可行性研究。对项目背景、用户需求、信息系统安全现状及现实环境进行调查分析,从技术力量、经济效益和社会效益三个方面进行研究,论证该软件项目的必要性和可行性,可行性研究报告通过评审后,再进行项目的初步设计和详细设计。
第三章 系统总体设计.................. 26-30
3.1 系统总体描述 ..................26-27
3.1.1 网络拓扑 ..................26-27
3.1.2 总体功能 ..................27
3.1.3 用户类型.................. 27
3.2 系统架构.................. 27-30
第四章 系统详细设计 ..................30-50
4.1 系统应用模式设计..................30
4.2 系统应用系统架构设计.................. 30-31
4.3 系统设计思路 ..................31-33
4.3.1 应用软件开发平台.................. 31
4.3.2 软件设计思路 ..................31-32
4.3.3 软件实现 ..................32-33
4.3.4 软件开发工具.................. 33
4.4 系统数据库设计.................. 33-38
4.5 系统安全设计.................. 38-39
4.6 系统功能设计.................. 39-49
4.7 本章小结.................. 49-50
第五章 系统实现.................. 50-56
5.1 督查人员管理实现.................. 50-51
5.2 系统管理实现 ..................51-52
5.3 信息管理实现..................52-53
5.4 年度督查管理实现.................. 53-54
5.5 缺陷管理实现.................. 54
5.6 系统的维护.................. 54-55
5.7 本章小结.................. 55-56
结论
现根据电力企业信息安全技术督查的管理需要,建立信息安全技术督查管理系统,对保障电力生产安全具有重要的意义。因此本人选取此系统作为课题进行研究,结合计算机技术、数据库技术对信息安全监查数据进行采集、汇总、分析、展示。本文的研究工作主要包括:
1、本文在管理系统的相关研究的基础上,提出了电力企业信息安全技术督查管理系统的设计需求,并对电力企业信息安全技术督查管理系统的需求进行了详细的分析,建立了系统的用例模型,为电力企业信息安全技术督查管理系统的设计与实现奠定了坚实的基础。
2、本文采用先进的 J2EE 技术,结合面向对象的程序设计方法,实现了电力企业信息安全技术督查管理系统,为相关督查部门提供了一个在线管理电力企业督查信息的平台。该系统协助督查部门进行督查信息查看,提高督查部门工作效率,有较强的现实意义。
3、本系统的设计具有较强的通用性和灵活性,不但督查部门可以查看电力企业的督查信息,而且该系统还可以看出相关部门的不足,以便日后改进。系统的设计以督查为基础,可以很好地实现不同督查内容与信息的有效隔离,使系统安全、稳定的运行。
参考文献
[1] 中华人民共和国国家标准,信息安全管理体系要求,国家质量监督检验检疫总局,IDTISO/IEC 27001:2005
[2] 国家电网公司,信息安全技术督查工作规定(试行),信息运安[2008](80号),2008
[3] 计磊,李里,周伟,精通J2EE-Eclipse.Structs.Hibernatehttp://sblunwen.com/dlaqlw/.Spring整合应用案例,人民邮电出版社,2006.08
[4] 赵强,J2EE应用开发(Weblogic+JBuilder)(第二版),电子工业出版社,2006.11
[5] 杜明,李朝纯,Struts+EJB在J2EE平台上的设计与实现,计算机应用研究中国期刊库,2005.3
[6] 张洪伟,Tomcat Web开发及整合应用,清华大学出版社,2006
[7] 张晓瑶,网络安全任重而道远[J]. 网络与信息 , 2007,(03)
[8] 曾立宇,网络安全与防范对策[J], 职业教育研究 , 2005,(08)
[9] 马黎明,基于J2EE平台的Web应用系统研究[D], 武汉:武汉理工大学, 2004
[10] 于洋,谁为安全买单?[J], 中国信息界 , 2004,(15)