基于.NET的信息系统安全评估系统的设计与实现

摘要

随着最近几年信息安全事故井喷式发生，信息安全问题也逐步被重视，对于信息系统的安全保护成了各行各业亟待解决的问题。信息系统的安全评估作为系统数据和服务安全保护中非常重要的一步，只有评估了解系统安全状况，才能及时发现问题。因此开发一款可以针对信息系统进行安全评估的系统是非常有必要的。
　　本文首先分析了贵州省等级保护技术的发展现状，针对安全评估系统只对信息系统本身进行安全评估的局限性，在省内首次提出以信息系统等级保护测评相关技术和原理作为安全评估基础，开发设计一款基于B/S架构的安全评估系统。系统设计过程充分考虑了质量、效率和安全性三者的平衡关系，使得系统评估相对于人工评估更客观，全面，快速，安全。系统设计包括用户信息，项目概况实施，信息系统构成，等级保护测评现场核查，整体测评统计，风险评估以及整体评估七个模块。细化等级保护测评流程，将系统信息数据的收集和分析也在系统功能中实现，细化信息系统所涉及的物理安全，网络安全，主机安全，应用安全，数据安全以及制度安全中73个控制点中的290个安全评估测评项，建立安全评估要素的树状递阶层次结构模型，提出对信息系统安全综合评估分层量化打分，通过系统加权计算，最终得出信息系统安全评估最终得分。本系统总结多年等保测评经验，整理完善了系统安全评估知识库和风险评估知识库，使得系统安全评估更具科学性。同时系统的开发完成极大节约了测评单位对信息系统安全评估的时间成本，减少人工操作失误。系统的开发完成提升了安全评估团队的协作能力、工作效率和风险分析能力，保障了报告质量的提高和业务数据的安全。