毕业论文等级保护集成管理系统.docx

毕业设计（论文）题目名称：等级保护集成管理系统院系名称：计算机学院班 级：学 号：学生姓名： 指导教师： 2013年 5 月论文编号：等级保护集成管理系统Classified protection integrated management system院系名称：计算机学院班 级： 学 号：学生姓名： 指导教师： 2013年 5 月摘 要随着信息技术的高速发展和网络应用的迅速普及，整个社会对信息系统的依赖日益加深，面临的信息安全风险也与日俱增。实施信息系统安全等级保护，能够有效地提高本人国信息系统安全建设的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是本人国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。本文中所涉及的基于Web的等级保护安全测评集成系统的设计与实现，主要就是从信息安全的等级保护安全测评的国内外形势出发，分析了现阶段国内外对于电子政务安全测评、等级保护的研究现状，特别是对等级保护在电子政务中安全测评的现状分析，提出了用Web的形式来实现电子政务的推广，并分析了其缺点，同时提出了改进的方案，完成了系统的测试与运行及总结。关键词：信息系统；信息系统安全；等级保护；等级保护测评AbstractWith the rapid development of information technology and the rapid popularization of network applications, the entire societys dependence on information systems deepening, facing increasing information security risks. Implementation of information system security level of protection, can improve the construction of information system security as a whole. Level of protection of information security in todays developed countries to protect critical information infrastructure, information security of the common practice, but also a country that has information security experience. Level of information security protection to safeguard critical information systems is not only an important safety measures, but also a matter of national security, social stability, national interests of the mission.Involved in this level of protection of Web-based security evaluation and implementation of integrated system design, information security is mainly the level of protection from the safety evaluation of domestic and international situation, analyzes the current domestic and international security for e-government evaluation, grade protection Research, especially the level of protection in e-government status in the Security Assessment analysis, the use of Web-form to achieve the promotion of e-government, and analyzes its shortcomings, and proposed to improve the program, completed the testing of the system and Operation and summary.Key words: Information system;Information system security;Classified protection; Grading protection evaluation摘 要IAbstractII第1章 引言11.1 研究背景和意义11.1.1研究背景11.1.2研究意义11.2 国内外研究现状21.2.1国内等级保护研究现状21.2.2国外等级保护研究现状31.2.3存在的问题与总结31.3研究内容和目标31.3.1研究内容31.3.2研究目标41.4论文的组织结构41.5小结5第2章 系统的需求分析62.1被测单位概念和定义62.2被测单位申请测评阶段62.2.1被测单位申请测评工作流程62.2.2申请资料阶段的任务72.2.3申请测评资料数据抽象描述72.2.4 申请测评阶段需求分析92.3测评单位概念和定义92.4被测单位申请测评工作流程92.4.1测评单位审核工作流程92.4.2管理公告阶段的任务102.4.3审核测评资料数据抽象描述112.4.4 申请测评阶段需求分析112.5小结12第3章 等级保护集成管理的系统分析123.1 系统的总体设计方案123.1.1 总体方案123.1.2 被测单位系统分析133.1.3测评机构系统分析143.2 系统的设计原则与开发平台143.2.1 设计原则143.2.2 系统的运行环境153.2.3 系统的开发平台153.3 关键技术153.3.1 javaWeb三层框架技术153.3.2 申请测评活动实现技术163.3.3 审核测评实现技术193.3.4 管理公告实现技术213.4小结22第4章 系统的设计与实现234.1 设计方案234.1.1 系统用例设计234.1.2 系统的功能设计244.1.3 系统的详细设计244.2 基于Web的等级保护集成管理系统的实现304.2.1被测单位注册页面，各个表的关联304.2.2指示灯关联的数据库表314.2.3公告列表的数据库原理324.3 小结33第5章 系统运行与测试345.1 测试用例的编写345.2 测试步骤375.3 测试结果的分析40第6章 总结416.1 对上文的总结416.2 下一步要完成的工作41参考文献：43致 谢44附 录45附录A: 部分主要源程序45附录B: 软件使用说明书561 软件概述562 软件安装573 运行说明574 疑难解答575 服务与支持5760第1章 引言1.1 研究背景和意义1.1.1研究背景人类社会正迅速步入信息社会，信息化浪潮席卷全球，己经成为不可抗拒的时代潮流，信息社会正改变着世界的方方面面，国家安全也不例外。在信息时代，信息已成为一个国家最重要、最基础的“战略资源”是国家社会发展的“核心要素”。信息安全对国家安全产生了重要影响，成为国家安全的最突出、最核心的问题。在信息网络时代，一个国家在信息匾乏、信息流失和信息不安全的状况下，国家安全就没有保障。信息安全问题是传统社会中没有的“新问题”2，大家应站在全球战略的高度研究信息安全问题。本人国的信息化已进入以电子政务、电子商务、新闻文化传播、教育娱乐应用、多媒体个人通信和金融、电力等的信息网络化应用为主导的发展阶段. 目前, 这些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁， 包括间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工等等; 安全保障要求的内容极为广泛, 从物理安全、网络安全、系统安全、应用安全、数据安全一直到安全管理、安全组织建设等等；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。凡是涉及到影响正常运行和业务连续性的都是信息安全问题。1.1.2研究意义信息安全等级保护，是根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等, 将其划分成不同的安全保护等级, 采取相应的安全保护措施, 以保障信息和信息系统的安全。如何通过等级保护测评，最大限度使组织结构预知存在的安全隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营，已经成为当前本人国信息安全工作的重点。测评准备活动是等级测评工作的前提和基础，是整个等级测评过程有效性的保证，测评准备工作是否充分直接关系到后续工作能否顺利开展，为编制测评方案做好准备；而方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。由此可见，等级保护测评工作对于加强国信息安全的重要意思，做好测评准备活动和方案编制活动，显得尤为重要。1.2 国内外研究现状1.2.1国内等级保护研究现状自从2007年6月份以来，全国范围内的重要系统普遍开展了信息安全等级保护工作，到目前为止，定级工作已经基本结束，将进入整改阶段。回顾本人国的等级保护工作，可以看到：1、定级保护的定级备案工作成效显著。全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。通过定级备案工作的开展，掌握了关系国计民生重要信息系统的基本情况，为落实信息安全等级保护制度、推动国家信息安全保障共组东阿审图开展奠定了坚实的基础。2、各种政策标准体系日趋完善。详细信息参考下表1-1所示：表1-1 有关等级保护政策标准体系完善表时间名称目标1994国务院147号令需要实施分等级保护2003中发办27号文件需抓紧简历等级保护制度2004公通字66号文件明确等保原则、内容、要求，等保工作的部门分工、实施计划2007.6公通字43号文件规定实施、管理细节，加快推进步伐2007.7公信安861号文件确定定级范围，给出定级工作的主要内容和要求2007公信安20071360号为定级备案工作提供了有力的规范2007公信安2007736号2008发改高技20082071号加强和规范国家电子政务工程建设项目信息安全风险评估2008公信安2008736号严格规范公安机关信息安全等级保护检查工作，实现检查工作的规范化、制度化2009公信安20091429号确定了开展信息安全等级保护安全建设整改工作的指导意见2009公信安20091487号确定了信息系统安全等级测评报告模版（试行）2010公信安2010303号在全国部署开展信息安全等级保护测评体系建设和等级测评工作信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作，为保障全面实施信息安全等级保护制度，必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力，多年攻关，目前，已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系，基本能够满足国家信息安全等级保护制度全面实施的需求。1.2.2国外等级保护研究现状国外从20世纪80年代以来，一直在进行可信安全产品的等级评估准则的研究，其中比较著名的包括美国国防部提出的可信计算机系统安全评价准则(TESEC)、欧洲四国（英、法、德、荷）的信息技术安全评价准则(ITSEC)和国际合作的信息技术安全评价通用准则(CC)。美国TCSEC（桔皮书）是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC 分为4个方面：安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3 和A 级。欧洲ITSEC与TCSEC不同，它并不把保密措施直接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安全增强功能。TCSEC把保密作为安全的重点，而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级，对于每个系统，安全功能可分别定义。ITSEC预定义了10种功能，其中前5种与桔皮书中的C1B3级相似。CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1999年10月CC v2.1 版发布，并且成为ISO标准。CC的主要思想和框架部分取自ITSEC，并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分, 评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7 共7个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估2。1.2.3存在的问题与总结对于等级保护系统集成化方面的研究，目前还没有真正的做到系统集成化，等级保护测评过程中涉及到很多实体，例如被测系统的基本信息，测评机构选取测评对象，等级保护的基本要求，测评过程中需要的各种信息。现阶段对其中实体的关系分析和测评对象与测评指标的关联关系的研究还不广泛，还缺少这方面系统数据库的建立。另外，等级保护系统集成化设计与实现是为了实现信息系统安全等级保护测评工作的自动化，让测评人员从繁重的手工作业解脱出来，提高等级保护测评工作效率。但是由于测评过程中需要与被测单位部门进行沟通，需要他们提供数据和资料，各部门的协调也会耗费一部分时间。1.3研究内容和目标1.3.1研究内容对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。安全控制测评分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。信息系统安全等级保护测评包括测评指标、指标要求项、测评对象、测评实施之间的关系分析，测评对象确定的方法的分析，测评结果判定的分析，等级测评结论形成的分析。1.3.2研究目标等级保护集成系统是以网站的可视化、透明化、人性化形式展示等级保护安全测评的一种实现全自动或半自动化的方便用户使用的应用系统，本人研究的目标是按照信息系统安全等级保护测评过程的要求，为网站管理员、测评机构、委托单位、专家、审核人员等分别为他们提供相应的服务项目，实现信息系统安全等级保护测评的高效性、公正性和自动性，为信息系统未达到相应等级的基本安全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。1.4论文的组织结构第一部分是摘要及其译文：摘要部分是对信息安全等级保护和本论文涉及的基于等级保护集成系统设计与实现做了简单介绍和概括。第二部分是论文目录及其章节内容。各章组织如下： 第1章 引言。论述基于等级保护集成系统设计与实现的研究内容、意义、国内外的研究现状、等级保护测评、以及研究的内容和目标等。第2章 系统的需求分析。主要介绍的是测评准备子系统所涉及到的基本术语或定义，分析了测评准备子系统的工作流程，对测评准备子系统的数据抽象描述，阐述了其实现技术。第3章 方案编制子系统设计与实现。主要介绍的是方案编制子系统所涉及到的基本术语或定义，分析了方案编制子系统的工作流程，对方案编制子系统的数据抽象描述，阐述了其实现技术。第4章 系统运行与测试。分析测试用例的编写，介绍测试步骤，分析测试结果。第5章总结。对以上四部分的总结，并做了进一步的工作安排。第三部分是致谢、参考文献、附录。它是对系统和本论文的补充说明。1.5小结本章主要论述了基于等级保护集成系统的研究背景和意义，阐述了信息安全等级保护的国内外研究现状，介绍了等级保护测评的相关概念，论述了本文的研究内容和目标。第2章 系统的需求分析2.1被测单位概念和定义1、被测单位 被测单位是向测评方申请测评的个人，单位和企业机关等机构。2、被测系统被测单位申请测评的系统。3、申请资料 被测单位申请测评所需要提交的资料，这些资料由测评方提供固定格式，再由被测单位填写提交，被测单位必须按照要求，规范填写所有被要求的测评资料。2.2被测单位申请测评阶段2.2.1被测单位申请测评工作流程被测单位申请测评，包括：被测单位注册帐号，登录系统，查看公告，规范填写所有测评资料。如图2-1所示为申请资料流程图：图2-1 申请资料工作流程图2.2.2申请资料阶段的任务(1) 提交申请资料，具体任务内容见下表2-1所示：表2-1 提交申请任务内容名称解释/描述项目启动提交申请资料输入规范填写各个申请资料表格任务描述填写申请资料表格：委托协议书，被测系统情况，用例拓扑图，对外服务，系统承载的业务，网络结构，机房情况，网络边界，网络设备，安全设备，服务器设备，终端设备，系统软件，应用软件，业务数据，数据备份，业务数据流图，安全相关人员。输出/产品申请资料列表2.2.3申请测评资料数据抽象描述申请资料填写涉及到大量表，现列举部分表如下：表2-2 用户注册信息表Sys_user详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否密码passwordnvarchar(15)是真实姓名namenvarchar(20)是工作单位unitnvarchar(50)是地址addressnvarchar(100)是联系电话phonenvarchar(20)是邮箱emailnvarchar(50)是表2-3 被评估系统基本情况表Info_System详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否被测信息系统的名称systemnvarchar（50）是系统正式上线时间timedatetime是系统状态statenvarchar（20）是安全保护等级splevelnvarchar（20）是承载的主要业务industrynvarchar（200）是业务子系统个数subnumbernvarchar（10）是信息系统所属类型typenvarchar（300）是系统业务类型businesstypenvarchar（100）是系统业务依赖程度reliancenvarchar（100）是信息系统服务范围servicescopenvarchar（50）是跨省域个数numbernvarchar（10）是网络类型nettypenvarchar（500）是是否涉密confidentialnvarchar（10）是表2-4 系统网络拓扑图表Info_Topology详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否拓扑图imgnamenvarchar（100）是保存路径imgurlnvarchar（200）是表2-5 系统对外服务IP地址及服务表Info_Serviceip详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否服务servicenvarchar（500）是IP地址ipaddressnvarchar（50）是域名domainnvarchar（50）是表2-6 信息系统承载业务表Info_Business详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否业务名称namenvarchar（50）是业务描述describenvarchar（200）是业务处理信息类别typenvarchar（100）是用户数量usernumbernvarchar（50）是用户分布范围distributionnvarchar（10）是涉及的应用系统软件appsoftwarenvarchar（200）是是否24小时运行operationnvarchar（10）是是否可以脱离系统完成completenvarchar（10）是重要程度importantdegreenvarchar（20）是表2-7 信息系统网络结构表Info_Netstructure详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否网络区域名称netareanamenvarchar（50）是主要业务和信息描述descriptionnvarchar(200)是IP网段地址ipaddressnvarchar（50）是服务器数量number1nvarchar(10)是终端数量number2nvarchar(10)是与其连接的其它网络区域otherareanvarchar(500)是网络区域边界设备boundaryeqnvarchar(500)是重要程度importantdegreenvarchar（10）是责任部门departmentnvarchar（200）是备注notenvarchar(1000)是2.2.4 申请测评阶段需求分析1、申请测评阶段的目的申请测评阶段的目的是查看测评方发布的最新公告，为被测系统提交申请资料，这是被测单位最主要的工作。如图2-2所示为申请测评阶段的用例图：图2-2申请测评阶段的用例图2.3测评单位概念和定义1、被测单位 被测单位是向测评方申请测评的个人，单位和企业机关等机构。2、被测系统被测单位申请测评的系统。3、申请资料 被测单位申请测评所需要提交的资料，这些资料由测评方提供固定格式，再由被测单位填写提交，被测单位必须按照要求，规范填写所有被要求的测评资料。2.4被测单位申请测评工作流程2.4.1测评单位审核工作流程测评单位进行测评审核，包括：测评方登录系统，发布并管理公告，查看被测单位提交的申请资料，进行测评审核。如表3-5所示为测评方审核的工作流程：图2-3 测评方审核的工作流程见图2.4.2管理公告阶段的任务(1) 管理公告，具体任务内容见下表2.4.1所示：表2-8 项目启动具体任务内容名称解释/描述项目启动管理公告模块输入点击“发布”按钮，发布新公告任务描述1 发布新公告。点击“发布公告”按钮，进入发布公告界面，编辑公告内容，发布新公告。2 管理新公告。查看公告列表，每条记录后面都有一个“更多”按钮，点击后出现操作下拉列表，这里可以进行“查看”和“删除”操作。输出/产品2.4.3审核测评资料数据抽象描述与测评方关联的数据库主要有：审核资料方面数据库表和管理公告方面的数据库表。现列举部分数据库表如下：表2-9 项目计划书信息表user_Projectplan详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否项目概述overviewnvarchar(MAX)是工作依据basisnvarchar(MAX)是技术思路ideasnvarchar(MAX)是工作内容contentsnvarchar(MAX)是项目组织organizationnvarchar(MAX)是其他othernvarchar(MAX)是表2-10 测评工具表user_toolForm详细设计表说明列名数据类型允许空用户名usernamenvarchar(20)否漏洞扫描工具tools1nvarchar(600)是渗透性测试工具tools2nvarchar(600)是性能测试工具tools3nvarchar(600)是协议分析工具tools4nvarchar(600)是网络拓扑发现工具tools5nvarchar(600)是非法外联检测设备tools6nvarchar(600)是其他othernvarchar(1000)是表2-11 公告notice详细设计表说明列名数据类型允许空标题(主键)titlechar(50)否发布的时间timechar(50)是内容Contentstext是大分类Label1char(50)是小分类Label2char(50)是2.4.4 申请测评阶段需求分析1、审核测评阶段的目的审核测评阶段的目的是，对被测单位提交的资料一一查看审核，填写项目计划书，填写工具和表单，选择测评工具,上传测评指导书。 图2-4 审核测评资料阶段的用力图：2.5小结本章主要论述了基于等级保护系统集成管理系统的需求分析。主要介绍的是等级保护集成管理系统所涉及到的基本术语或定义，分别分析了申请测评资料阶段的工作流程和用例和审核测评资料阶段的工作流程和用例。第3章 等级保护集成管理的系统分析3.1 系统的总体设计方案3.1.1 总体方案系统的总体设计方案即网站的功能设计，其中该网站的功能包括：首页(用户登录、注册)、测评须知、被测单位测评申请、查看公告；测评方查看申请资料，对测评资料进行审核，管理公告模块。如表3-1所示为系统总体方案功能结构图：图3-1 系统总体方案功能结构图3.1.2 被测单位系统分析 被测单位系统分析即该系统的功能设计，其中该系统的功能即为被测单位提交申请资料，查看网站最新公告：被测单位申请系统结构图如下图3-2所示：图3-2 被测单位申请系统结构图3.1.3测评机构系统分析测评方登录系统后，就会得到被测单位列表和公告列表。点击被测单位列表进入对特定被测单位的后台操作；点击公告连接进入公告后台界面，这里可以发布公告，查看删除公告。审核测评资料的工作流程：图3-3审核测评资料流程图3.2 系统的设计原则与开发平台3.2.1 设计原则随着国家发展和实现办公自动化的需要，越来越多的政府正在组建自己的动态网站或将原来的静态网站升级为动态网站，以提高自己与民众的互动和对社会的影响。其中网站系统的设计就是一个很重要的环节，大家应遵循如下几个设计原则：1、目的性明确原则；2、先进性与成熟性原则；3、实用性原则；4、互动性原则；5、开发与扩展性原则；6、以管理与易用性原则；7、可靠性与安全性原则；8、高性能原则。3.2.2 系统的运行环境系统的工作平台是针对所有的Windows系列的Windows平台，具体包括Windows XP系列和Windows 2003系列以及Windows 7系列、Vista、Linux等。3.2.3 系统的开发平台基于Web的等级保护安全测评集成系统主要是在Windows7 平台上采用软件dreamwear，myeclipse，tomcat等，并利用jsp、HTML语言编程、JavaScript、CSS等作为主要的开发工具。3.3 关键技术3.3.1 javaWeb三层框架技术 Jsp技术作为一种网络应用的商业开发模式，涉及许多网络应用方面的知识。自从有了互联网，各种网络开发技术可谓“锣鼓喧天鞭炮齐鸣红旗招展人山人海”。在众多网站开发技术中，jsp技术算得上是最流行最成熟的技术了。动态网页提供用户和网站的交互功能，为了实现这种交互，动态网站从浏览器获取用户输入的数据，通过后台处理代码操作数据库，再根据操作的结果在网页上显示不同的内容。如表3-4所示为动态网页的结构图：图 3-4 动态网页的结构图所谓三层体系结构，是在客户端与数据库之间加入了一个“中间层”，也叫组件层。这里所说的三层体系，不是指物理上的三层，不是简单地放置三台机器就是三层体系结构，也不仅仅有B/S应用才是三层体系结构，三层是指逻辑上的三层，即使这三个层放置到一台机器上。三层体系的应用程序将业务规则、数据访问、合法性校验等工作放到了中间层进行处理。通常情况下，客户端不直接与数据库进行交互，而是通过COM/DCOM通讯与中间层建立连接，再经由中间层与数据库进行交互。 通常意义上的三层架构就是将整个业务应用划分为：表现层（UI）、业务逻辑层（BLL）、数据访问层（DAL）。区分层次的目的即为了“高内聚，低耦合”的思想。1、表现层（UI）：通俗讲就是展现给用户的界面，即用户在使用一个系统的时候他的所见所得。位于最外层（最上层），离用户最近。用于显示数据和接收用户输入的数据，为用户提供一种交互式操作的界面。2、业务逻辑层（BLL）：针对具体问题的操作，也可以说是对数据层的操作，对数据业务逻辑处理。业务逻辑层（Business Logic Layer）无疑是系统架构中体现核心价值的部分。它的关注点主要集中在业务规则的制定、业务流程的实现等与业务需求有关的系统设计，也即是说它是与系统所应对的领域（Domain）逻辑有关，很多时候，也将业务逻辑层称为领域层。业务逻辑层在体系架构中的位置很关键，它处于数据访问层与表示层中间，起到了数据交换中承上启下的作用。由于层是一种弱耦合结构，层与层之间的依赖是向下的，底层对于上层而言是“无知”的，改变上层的设计对于其调用的底层而言没有任何影响。如果在分层设计时，遵循了面向接口设计的思想，那么这种向下的依赖也应该是一种弱依赖关系。因而在不改变接口定义的前提下，理想的分层式架构，应该是一个支持可抽取、可替换的“抽屉”式架构。正因为如此，业务逻辑层的设计对于一个支持可扩展的架构尤为关键，因为它扮演了两个不同的角色。对于数据访问层而言，它是调用者；对于表示层而言，它却是被调用者。 3、数据访问层（DAL）：该层所做事务直接操作数据库，针对数据的增添、删除、修改、更新、查找等。有时候也称为是持久层，其功能主要是负责数据库的访问，可以访问数据库系统、二进制文件、文本文档或是XML文档。如表3-5所示为JSP程序结构图：图3-5 JSP程序结构图3.3.2 申请测评活动实现技术1、申请测评资料等工作流程：申请测评资料的目标是被测单位为了获取测评而向测评系统提交申请测评资料。这个流程是被测单位最重要的活动内容。这个工作流程见图：图3-6 测评准备活动基本工作流程图2、申请资料的主要任务：(1) 申请测评： 表3-1 申请测评任务内容名称解释/描述项目启动申请测评输入提交测评资料任务描述a) 被测单位点击树形结构，iframe界面会展示对应的网页。被测单位被要求填写这些设计好的表格。树形结构上有对应的“灯泡”来做指示灯。如果指示灯为“黄色”,表示数据库中已有响应记录，用户已经提交了对应了的申请资料。如果指示灯为“青色”的，表示数据库中没有对应记录，用户没有向服务器提交过对应的资料。用户必须按照要求填写所有资料，直到所有指示灯全为“黄色”时，测评方后台才能看到提交的全部申请资料，才有权限对其进行测评。输出/产品测评资料3、对以上任务在编程过程中所涉及的对象可抽取成表如下(列举部分)：(1) 被测系统情况，抽取成如下图3-7：(2) 系统承载的业务，抽取成表如下图3-8：(2服务器设备，抽取成表如下图3-9：（4）数据备份，抽取成表如下图3-10；图3-7 被测系统情况设计表图3-8 系统承载的业务设计表图3-9 服务器设备设计表图3-10 数据备份设计表3.3.3 审核测评实现技术1、审核测评等工作流程：审核测评工作是测评方对被测单位提交的申请资料进行审核，被测单位按照要求填写所有资料后，测评方在后台就可以得到被测单位列表，点击连接就进入对特定被测单位的审核界面，这里的主要工作是：一 一查看提交的测评资料，填写项目计划书，填写工具和表单，选择测评对象，上传测评指导书。如表3-5所示为申请测评工作的基本工作流程图： 图3-11 申请测评工作的基本工作流程图2、审核测评工作的主要任务：(1)填写测评资料：表3-2 申请测评资料的具体任务内容名称解释/描述审核测评对被测单位提交的申请资料进行审核输入1. 查看资料2. 项目计划书3. 工具和表单4. 选择测评对象5. 测评指导书任务描述a) 查看资料对被测单位提交的申请资料一一查看，这是后续的测评工作的基础。b) 根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等c)测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等输出/产品3、对以上任务在编程过程中所涉及的对象可抽取成表如下(列举部分)：(1) 项目计划书,如下左图3-14所示：(2) 工具和表单,如下右图3-15所示：(3) 选择测评对象，如下右图3-16所示：(4) 测评指导书,如下右图3-17所示:图3-12 项目计划书设计图图3-13 工具和表单设计图图3-14 选择测评对象设计图图3-15 测评指导书设计图3.3.4 管理公告实现技术1.管理公告各工作流程：公告模块是为了加强测评方和被测单位交流设定的。测评方可以发布新公告，查看公告，删除公告等。这三项任务的基本工作流程见图3-20所示：图3-16 管理公告基本流程图2.管理公告的的主要任务： (1) 发布公告，具体任务内容见下表3-3所示：表3-3 现场测评准备具体任务内容名称解释/描述发布公告更新公告，向被测单位提供最新信息。输入公告标题和公告正文任务描述a) 编辑公告标题，这里公告标题是notice表的标识符，每次输入标题后离开标题输入框，会进行一个ajax验证，如果标题内容重复，ajax会返回一个0，并给用户一个提示，说明，这个标题已经重复。点击确认按钮后，输入框的内容会自动清空。b) 编辑公告正文，这里用到了大名鼎鼎的kindeditor富文本编辑器，实现了即见即所得的文本编辑效果，可以插入图片表情，上传文件，实现类似word形式的效果。但是，这个kindeditor富文本编辑器对原来的网页侵入性太强，完全破坏了原来的网页结构，以至于本人被迫使用了隐藏域向服务器提交公告的正文部分。c) 选择公告的大分类和小分类。选择大分类后，小分类的内容会根据大分类的内容不同而有所变化。这个特效是由js来实现的，通过判断第一个下拉列表值的变化，动态的向第二个下拉列表中注入option选项。输出/产品最新公告3.公告模块在编程过程中所涉及的对象可抽取成表如下（列举部分表）：如表3-5所示为公告表数据库设计图：图3-17 公告表数据库设计图3.4小结本章主要论述了基于等级保护集成管理系统设计与实现。主要介绍的是等级保护集成管理系统所涉及到的基本术语或定义，分析了申请测评以及查看公告的工作流程和测评方审查测评以及管理公告的流程。第4章 系统的设计与实现4.1 设计方案4.1.1 系统用例设计根据第三章中的研究思路入手，从被测单位和测评方两方面，介绍本系统的用例设计。其中被测单位和测评方登录用的是一个网页界面，由一个选项卡提供不同的登录接口。其中，被测单位注册帐号并登录后进入系统，然后进入后台界面：这里工作主要分为两块：提交申请资料和查看公告。提交申请资料分为委托协议书，被测系统情况，用例拓扑图，对外服务，系统承载的业务，网络结构，机房情况，网络边界，网络设备，安全设备，服务器设备，终端设备，系统软件，应用软件，业务数据，数据备份，业务数据流图，安全相关人员。查看公告主要是查看测评方发布的最新公告，公告主要分为网站公告，安全公告，最新活动。查看公告可以了解最新信息，为申请测评工作带了指导作用。测评方注册帐号并登录系统，然后进入后台管理界面：这里的主要工作主要分为两块：审核测评资料和管理公告。审核测评资料分为：查看资料，项目计划书，工具和表单，选择测评对象，测评指导书。管理公告的主要工作是：发布新公告，查看已经发布的公告和删除已经发布的公告。4.1.2 系统的功能设计本小节以上小节中的被测单位和测评方为用例，设计本阶段的功能。其中被测单位进入系统，按照要求填写测评资料，查看公告。测评方进入系统，首先查看被测单位提交的资料，然后对提交的申请资料进入审核。4.1.3 系统的详细设计1.被测单位登录(测评方的登录实现原理相同)首先，被测单位注册帐号后登录。如表4-1所示为被测单位登录界面： 图4-1被测单位登录输入帐号密码后，如果选中“两周内自动登录”复选框，登录成功后，后台会将被测单位的帐号和密码保存到cookie中：后台保存cookie的代码如下：/是否向cookie中存入用户名和密码if(request.getParameter(userCookie)!=null)Cookie cookie1 = new Cookie(user_account,username);cookie1.setMaxAge(24*60*60*14);response.addCookie(cookie1);Cookie cookie2 = new Cookie(user_password,password);cookie2.setMaxAge(24*60*60*14);response.addCookie(cookie2);被测单位如果下次用同款浏览器登录系统后时，帐号输入框和密码输入框就会自动读取cookie中保存的帐号和密码，这个特效是由js来实现的，前端的js代码如下：function getCookie(name)var arr=document.cookie.split(; );for(var i=0;iarr.length;i+)var arr2=arri.split(=);if(arr20=name)return arr21;if(getCookie(user_account)user_input.item(0).value=getCookie(user_account);if(getCookie(user_password)user_input.item(1).value=getCookie(user_password);2指示灯“灯泡”的工作原理(网站所有的指示灯的原理与之相似)：现在以被测单位登陆后主页为例子进行分析：如表4-2所示为被测单位登录系统后的界面：图4-2被测单位登录系统后的界面被测单位登录成功后进入后台界面：这里被测单位需要按照要求填写所有测评资料。当用户填写过测评资料后，对应的连接上的灯泡为变成黄色的，如果被测单位没有向服务器提交过任何资料，灯泡就是青色的。如果为黄色的，连接对应的页面是读取数据库中的记录，允许重新编辑和提交，如果是青色的，则完全是提交测评资料的界面。不同状态对应的页面的对比图如下： 图4-3提交后的界面图4-4提交前的界面指示灯“灯泡”的工作原理：灯泡为一个标签的背景图，本人为这个设计了两个样式：分别为：.bulb_onbackground:url(image/lightbulb.png) no-repeat left transparent;padding-left:20px;.bulb_offbackground:url(image/lightbulb_off.png) no-repeat left transparent;padding-left:20px;实现“灯泡”变色，只需要修改一下标签的样式就行了。如何判断“灯泡”该是那种样式呢？大家在页面加载时发出一个ajax请求，求获取所有“灯泡”该表示的样式，ajax函数的代码为：ajax(user_bulbAjax,function(xhr)u_b_json= JSON.parse(xhr.responseText);if(u_b_json.user_entrust=1)document.getElementById(user_entrustA).name=user_entrust_suc.jsp;document.getElementById(user_entrustA).previousSibling.className=bulb_on;elsedocument.getElementById(user_entrustA).name=user_entrust.jsp;这段ajax函数获取的响应结果为：1. user_appsoftware:02. user_busdataflowgraph:03. user_business:04. user_businessdata:05. user_chart:16. user_databackup:07. user_entrust:18. user_netboundary:09. user_neteq:010. user_netstructure:011. user_personnel:012. user_room:013. user_safetyeq:014. user_serverdevice:015. user_serviceip:016. user_syssoftware:017. user_systemState:018. user_terminaleq:0其中的ajax函数是事先封装好的js函数，代码如下：/ajax共享函数，get方式function ajax(url,sucFn,falFn) var XHR= new XMLHttpRequest();XHR.open(GET, url, true);XHR.send(null);XHR.onreadystatechange=getResult;function getResult() if (XHR.readyState = 4) if (XHR.status = 200) sucFn(XHR); else if(falFn) falFn();本人在指示灯“灯泡”里隐藏要连接的url到的name属性里了。有name属性来指示点击连接后跳转到那个页面。如表4-5所示为灯泡的变化。图4-