UML建模方法在信息安全等级保护测评工作中的应用探讨

◎向 旭 张杰宏 季瑞齐

1.遂宁市人力资源和社会保障信息中心，遂宁，629000

2.四川省电子产品监督检验所，成都，610100

一、沟通是信息安全等级保护工作的瓶颈

我国的信息安全工程是通过信息安全等级保护测评工作（简称等保测评）实现的。传统的信息系统等级保护测评流程中存在若干瓶颈，其中之一就是测评人员与客户沟通不畅，客户的安全知识相对薄弱，需要花费很大精力才能理解等保标准和工作流程，并配合测评人员开展工作。这样会耗费大量的人力和时间，同时容易滋生消极情绪，不利于工作进展。为此，引入软件工程学中的UML建模语言，采用直观的图形展示等保测评工作的流程和细节，用以提升沟通效率，通过在遂宁市人力资源和社会保障局（简称遂宁市社保局）等保测评项目中的应用，验证了方法的有效性。

二、基于UML的等保测评建模

UML语言是统一建模语言（Unified Modeling Language）的简称，该语言为软件开发的所有阶段提供模型化和可视化支持，包括用况图、实体图、时序图、协作图、包图等十种图。工业设计界流传一句俗语：一张图顶一千句话，足见图的表现力。UML就是采用大量生动和形象的图，来指导软件系统开发的分析、设计、实现、测试等各个环节。当然，等保测评与软件工程学有差异，并不是所有的UML图形都适用于等保测评，在此选用用况图、实体图、协作图三种图形，用于等保测评分析工作。

图1 用况图实例

图2 实体图实例

第一种图是用况图。用况图的原始定义是：用来描述软件系统使用状况的图。我们在此重新定义为：用来描述等保测评状况和环节的图（图1）。

用况图的要素有两个，人员和用况。人员用小人图标表示，指的是参与者。用况用椭圆图标表示，含义是相应活动。活动与人员用直线相连。普通用况可以扩展出新用况，扩展用况通过虚线箭头和“《extends》”标签标注。

第二种图是实体图。实体图展示等保测评模型的静态结构，包括模型中存在的实体、实体的内部结构以及实体间的关系（图2）。

实体用三个罗列在一起的矩形表示，从上至下分别是实体名称、实体属性和实体操作。实体之间的连线表示关联关系，关联分为“一对一”和“一对多”两种，通过连线上面的数字标注。

第三种图是时序图。时序图通过描述实体之间发送消息的时间顺序显示多个实体之间的动态协作（图3）。

时序图的要素有两个，实体和消息。实体用宽矩形表示，有名称和生命周期，生命周期用宽矩形下的竖直虚线表示，虚线上的窄矩形表示控制焦点。消息分为发送方和接收方，用虚线箭头标注，箭头上面是消息名称。虚线箭头的顺序表示时间上的先后顺序。

三、UML语言在遂宁市人力资源和社会保障局等保测评中的应用

为了验证UML语言在等保测评项目中是否有效，我们与遂宁市人力资源和社会保障局信息中心合作，在真实项目中进行应用验证。为了方便起见，我们将传统的等保测评流程划分为若干环节，其中“测评准备活动”、“现场测评活动”两个环节人员交互频繁，使用用况图进行分析，“测评对象确定”环节运用实体图确定测评实体，“现场测评和结果记录”环节操作复杂，运用时序图来描述操作细节（图4）。

图3 时序图实例

图4 等保测评流程

测评准备活动需要遂宁市社保局技术人员、日常管理人员、等保测评项目组项目经理参与,工作内容是填写《信息系统基本状况调查表》。如果填写该表有困难，可以咨询信息系统开发方，所以“咨询信息系统开发方”用况由“填写信息系统基本状况调查表”用况扩展而来，需要标记“《extends》”标签（图 5）。

现场测评活动中管理类测评采用“访谈”和“查阅文档资料”两种测评方式，技术类测评采用“设备扫描”、“人工查看配置”和“咨询信息系统开发方”三种测评方式。其中“咨询信息系统开发方”用况由“人工查看配置”用况扩展而来，需要标记“《extends》”标签（图 6）。

测评实体图用于确定测评实体，依据遂宁市社保局提供的网络拓扑图和设备清单，绘制了测评实体图,为了表述方便，实体的属性和相应操作暂不标出（图7）。

等保测评一共十种测评实体，五种技术实体、五种管理实体，数据备份和恢复实体不单独存在，而是分解融合到其他技术实体里面。网络实体内容比较多，因而被拆分成网络架构实体和若干网络设备实体。居于核心地位的实体是网络架构、信息系统和安全管理制度，三者存在多个关联。网络架构、安全管理机构、安全管理制度和人员管理制度实体各一个，其它的实体有多个。比较特殊的实体是机房物理设施，它和其它实体没有直接的关联关系。

图5 “测评准备活动”用况图

图6 “现场测评活动”用况图

图7 测评实体图

网络设备测评时序图用来描述参与人员与测评实体间交互的细节。测评过程需要测评人员和社保局技术人员共同参与，测评人员向社保局技术人员解释测评指标，社保局技术人员输入相应命令，测评人员查看命令执行结果并记录。最后，由社保局技术人员签字确认。管理类测评时序图相对简单，这里不再赘述（图8）。

验证效果：通过应用UML语言描述信息安全等保测评过程，在项目启动会进行展示，遂宁市社保局的相关人员经过30分钟的学习就熟悉了测评过程，双方达成一致，未发生理解上的障碍。因为社保局相关人员对工作流程有比较清晰的认识，所以测评工作进展顺利。原计划一周的工作任务，三天就完成了，工期缩短40%，效果比较显著。

四、总结

图形比文字直观形象，将图形应用于工作沟通当中，可以节省大量时间，有效提升工作效率和准确度。学科之间有共通之处，成熟学科的技术稍加改造就有可能应用于新的领域，希望我们的案例抛砖引玉，能给大家一些有价值的启示，协助大家更快更好地完成科研和生产工作。