中博信息技术研究院有限公司 朱云杰
网络与信息安全管理系统设计和实现
中博信息技术研究院有限公司 朱云杰
网络与信息安全管理系统,通过对KPI(关键性能指标)各项指标进行分解,制定考核标准,实现对网络与信息安全的主要工作进行有效地跟踪管控;系统的任务分发模块通过派发各种任务单的形式实现安全指挥调度的作用,及时有效地推动工作的开展,并实现工作留痕;系统通过实现与安全生产系统的对接,第一时间获得安全相关的关键数据,掌握安全生产关节的状态,为安全人员工作提供有力的帮助;另外系统提供一些公文资料管理、安全培训、专项工作、日常作业计划、应急预案等功能。
网络安全;信息安全;关键性能指标
新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。如何有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,党中央、国务院及工业和信息化部相继下达了若干重要文件。根据工信部保〔2014〕368号文件《关于加强电信和互联网行业网络安全工作的指导意见》的精神,建立网络与信息安全管理系统势在必行、迫在眉睫。
1)高效地开展各项网络与信息安全相关的工作,对工信部、集团下发的KPI(关键性能指标)考核,按照评分规则人工打分的方式和部分定量指标通过系统打分的方式,较客观地对指标完成情况给予准确评价;
2)通过任务单派发流程,使得网络信息安全工作能够以严谨的、规范的方式进行开展,任务单实现闭环,工作完成情况也得到较真实的反应,工作过程得以留痕;
3)通过制定自动任务作业计划,对网络信息安全中的日常维护等工作进行有效的管控;
4)网络信息安全有关的制度、规范、政策法规以及工信部和集团下发的公文进行归档整理,供学习和查阅;
5)实现对网络信息安全人员的有效管理,人员入职、离职必须经过严格的审核,提供相关的上岗证、网络信息安全培训证书、学历证书、工作经历等,同时系统为在职人员的培训、学习提供一定的帮助;
6)数据共享,实现与生产系统对接,获取安全有关的关键数据,为网络信息安全工作人员实时的提供第一手数据;
7)移动应用,系统部分功能实现移动互联网应用;
8)应急指挥调度,制定网络安全各种应急预案,定期进行应急演练活动,如遇突发紧急情况,能够完成应急指挥调度;
9)统计分析,对关键指标数据进行统计分析,能够发现工作中存在的问题,为以后的工作提供参考价值。
系统架构说明如下。
网络与信息安全管理系统的人机界面采用B/S(浏览器/服务器)交互方式,界面采用JSP(Java服务器页面)、Java script、page office、easyUI(用户接口)组件页面开发技术。
业务层采用MVC(模型—视图—控制器)设计模式的应用构架(struts、spring、mybatis),struts实现页面控制,用来处理用户的请求和请求后返回给用户的模型数据;spring完成业务服务器端业务层开发,spring提供一个轻量级控制反转(IoC)和面向方面编程(AOP)的容器框架,使用基本的Java bean来完成以前只能由EJB(enterprise Java bean)完成的事情,提高Java开发简单性、可测试性和松耦合性;业务层的接口服务采用Web service技术。
中间层的流程引擎采用Activiti,它是一个新兴的基于Apache许可的支持BPMN(业务流程建模标注)2.0标准的开源产品,是一个轻量级,可嵌入的BPMN引擎,并且提供了功能丰富的开发和流程设计工具;FTP(文件传输协议)服务采用Linux系统自带服务;数据库持久层开发采用开源的my batis (即:iBatis),my batis提供的持久层框架包括SQL(结构化查询语言)maps和数据访问对象(DAO),同时还提供一个使用该框架的一个实例JPetStore,使用my batis提供的ORM(对象关系映射)机制,SQL写在XML(可扩展标记语言)配置文件里,解除SQL与程序代码的耦合,提供映射标签,支持对象与数据库的ORM字段关系映射,为数据库的可移植性和系统设计带来更大的灵活度。系统架构见图1。
数据层采用开源的数据库MYSQL(结构化查询语言)和文件服务器。
1)表示层:前端页面接收用户的信息输入并提交到后端调用相应的业务层逻辑,业务层执行完毕将运算结果数据利用表示层展现。
2)业务层:完成系统功能的复杂的业务逻辑,是系统的核心部分。接收来自表示层的业务数据和指令进行处理,并将结果返回。
3)中间层:由第三方提供的组件容器组成的,为业务层提供支撑服务,如:业务流程服务、数据库持久化服务、文件上传和下载服务等。
4)数据层:负责数据的存储,维护数据间的关系,存储各种文档资料、图片,保障整个系统数据源的安全性、准确性。
采用四层体系架构,系统的逻辑层次结构更加清晰,增强了系统的可扩展性、可维护性、松耦合性和稳定性,是目前业界广泛采用的架构体系。
网络与信息安全管理系统包括系统管理、KPI考核、任务分发、公文管理和网络信息安全应急指挥调度5个主要部分的功能,其功能机构如图2所示。
3.1 系统管理
系统管理包括人员账号及口令管理、角色权限管理、机构岗位设置、系统使用日志、公告栏通知管理。为统一管理用户账号口令,系统实现与OA(办公自动化)同步。
3.2 KPI考核
KPI考核功能是系统的重要功能,包括考核项配置、考核评分规则配置、考核权限配置、附件管理、量化指标考核、非量化指标考核、指标统计分析。
网络信息安全每年工信部、电信集团的考核项目都略有变化,因此考核的项目必须实现动态可配置化的。每个考核项的分值和打分标准、规则,每个年度不可避免的发生变化,因此评分的规则、标准也必须实现可配置化。考核单项被分解到相关的部门岗位和责任人,所以考核打分必须有权限控制。考核指标尽量做到可以量化打分,直接从生产系统中获得考核打分的数据,由系统进行自动打分,对于非量化指标的考核尽可能的实现公正、透明。对于重要的关键考核指标,采用图表的方式进行统计分析,直观地分析过去的工作中存在的问题,为今后工作的开展提供一些参考。
3.3 公文管理
公文管理包括政府政策法规、行业规范标准、工信部发文、电信集团发文。实现文件的上传/下载、文件的搜索,文件格式支持图片、Word、Excel、PDF、txt,采用page office技术实现文档的在线阅览。设置好的时间里,系统自动将日常工作任务单推送到相关的网络安全日常维护人员。
对于某些突发应急事件,任务派发可以直接派发到操作岗,不用经过层层审批。
3.5 应急指挥调度
3.4 任务分发
任务分发是本系统另外一个重要的核心功能,包括任务流程模板定制、任务单模板定制、日常维护工作计划配置、任务的发送管控、短信发送和重要任务领导审核功能。
任务流程模板包括设置流程的功能节点,节点上能处理的相关岗位和人。将任务单分成不同的类型,对每个类型定制流程模板,这样就规定了任务单的处理逻辑、处理岗位、流转方向。
不同类型的任务单,其内容格式也不完全相同,本系统采用任务单模板,可以采用配置的方式应对各种类型的任务单,增加系统的通用性。
日常维护工作是网络信息安全工作人员平时的一项重要工作,其特点是周期性反复的,系统采用作业计划配置方式,在
应急指挥调度是网络信息安全工作的重中之重,包括应急预案库、应急预案演练、指挥调度。应对网络信息安全各种突发情况,必须备有应急预案库,一套预案涵盖:应急方案的类型、相关文档、相关的流程、相关的硬件软件资源、备用方案等。应急演练包括演练的时间、地点、人员、启用的应急预案、演练效果、存在的问题。
4.1 KPI考核项及评分规则
网络与信息安全KPI考核指标,工信部、电信集团每年的要求都略有不同,通过研究考核指标及评分的特点,系统采用树形结构对考核项和评分规则进行配置,这里称为“KPI考核树”,如图3所示。
采用考核树的设计算法灵活方便的将KPI考核项进行分解,将相关的工作分解到对应的部门岗位。父节点的分值等于它所有子节点的分值之和,图中的分值比实际分值扩大100倍,便于打分。考核树的第二层为考核项类型,第三层为考核项,第四层为考核单项。考核树上节点设置的主要属性有:考核项名称、考核分值、权限等。评分规则:打分分为“自评分”、“核算分”,“最终得分”,叶节点上的打分分为量化打分和非量化打分,非量化打分由不同的本地网或部门打分,再求平均值,量化打分通过配置打分算法完成。
量化指标打分设计采用数据表、数据定义表及打分定义表,数据表用于存放各种采集到的用于打分的基本源数据,由于数据表中数据来自不用数据源,数据的格式、大小都不一样,这里使用一张数据定义表定义不同数据源的数据,打分定义表存放打分的规则。
4.2 任务单流程模板
任务分发是网络信息安全管理工作中的一项重要内容,使得日常的许多工作纳入流程化管理方式,工作模式更加规范化,工作考核也更加公平、公正、透明。
任务流程模板配置包括过程模型的搭建、人员组织机构的配置和任务单模板的定制。见图4。过程模型有3种活动节点:任务、逻辑和标志。过程模型中任务节点的可重用性是提高配置化程度和减少开发工作的关键。任务节点上的一项主要的工作就是任务单的填写、资料的上传。因工作项的不同,任务单的内容和格式也不一样。传统的方式,不同任务单就要开发相应的页面,后台数据入库处理也要开发。
这里我们采用任务单模板配置的技术解决了上面的问题,模板使用page office制作Word表格,这样在任务节点上页面数据的处理被统一放在office组件中完成。通过在任务单模板上设置数据标签,不同的任务节点只处理任务单模板中对应标签的数据,任务单处理结束进行打分、存档,可以通过配置将任务单上的有关数据提取出来保存入库。
网络与信息安全管理系统目前已经完成了工信部和集团下达的KPI各项考核指标的工作,包括非定量指标和定量指标的项目配置、评分规则配置以及指标的统计分析;完成任务的分发,包括任务的下达、上报、日常维护作业任务自动分发;完成安全人员的管理、培训。
系统后续工作有:网络与信息安全专项工作、应急预案、系统的移动应用、与相关生产系统对接实现数据共享等,使其更加有力的支撑网络信息安全工作。 ◆