[发明专利]一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台

说明书

技术领域

本发明涉及一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台。

背景技术

随着国家信息化的发展，以及国家和行业对信息安全的日益重视，信息安全风险评估与安全测评在信息化过程中起着基础性、规范性和战略性的关键作用。国家以及行业主管部门都明确提出建立信息安全测评体系的重要性。

当前，针对电力信息通信系统安全测评与研究工作尚未完全展开。此外，基于质量管理体系的风险评估和安全测评体系建设也未得到完善。由此可见，如何建设出基于电力系统质量管理体系的安全测评和管理平台，还没有一套合理、科学、完整的解决方案。

网络与信息安全是我国信息产业发展的战略目标之一。《国家中长期科学和技术发展规划纲要(2006－2020)》中明确提出：“开发网络信息安全技术及相关产品，建立信息安全技术保障体系”。电力作为国家重要能源工业，是国民经济的关键性基础产业。因此，需建立常态化、流程化、专业化的安全能力，对电力信息系统安全进行测评，从管理和技术两大方面提高电力信息系统的安全防护能力，有效降低电力信息与生产系统的安全风险，将对信息系统的稳定和可靠运行，及至国民经济的平稳运行具有重大的意义。

 在国家和行业的政策要求下，电力企业对信息化和信息安全服务水平日益重视，以保障电力企业信息系统风险评估、安全测评、应用安全等技术问题，为安全生产和经营管理提供信息化支撑和安全护航。

发明内容

本发明的目的在于克服现有技术的不足，提供形成一套基于实验室质量管理体系并适用于电力生产系统与管理信息系统的脆弱性、威胁、控制措施、安全测评和管理的综合平台，能够形成基于电力企业的测评工具库，创立电力生产系统的评估与测评体系、评估与测评方法和管理模型。

本发明的目的是通过以下技术方案来实现的：一种基于电力系统质量体系、风险评估与安全测评的安全综合管理平台，它包括平台门户层、主体功能层、安全信息收集层、对象层和移动客户端；

所述平台门户层包括统一门户管理模块、统计分析模块、权限管理模块、用户管理模块、系统设置模块和文件管理模块；统一门户管理模块主要为用户提供接口管理、报表管理、日志管理等系统功能；统计分析模块主要实现安全测评、风险评估、缺陷控制的汇总统计和综合分析；权限管理模块主要对用户的权限进行划分，对于不同等级的用户分配不同的权限；用户管理模块主要管理用户的基本信息和用户的角色分配；系统设置模块主要用户对系统一些基本设置的管理；文件管理模块主要实现文件的分类设置、版本管理、存储空间的分配与回收，对文件各种操作的管理，并实现文件信息的共享以及审计管理。

所述主体功能层包括实验室CNAS流程管理模块、项目管理模块、安全对象管理模块、指标库管理模块、信息安全风险评估子系统、信息安全等级测评子系统、二次安防评估子系统和安全整改管理子系统；安全整改管理子系统是对信息系统的软硬件缺陷进行全部生命周期的综合管理，包括缺陷的跟踪监控和统计分析；信息安全风险评估子系统按照评估流程，从资产识别、评估准备、评估实施到风险分析、整改追踪、回归测试，为风险评估工作提供全过程管理。信息安全等级测评子系统用于对电力生产系统设备、电力生产系统与管理信息系统不同安全等级的测评；二次安防评估子系统用于对电力二次设备、电力调度二次系统不同安全级别的安全防护评估，安全对象管理模块包括对单个测评对象的管理和对业务系统树的管理；

所述指标库具有级别属性，支持自由设置，且包括国家原创、行业增强、行业原创、电力企业增强、电力企业原创、电力企业安全测评实验室增强、电力企业安全测评实验室原创七个选择项；

所述安全信息收集层包括安全配置采集组件、安全代码审计组件、安全日志分析组件和安全漏洞采集组件；

所述对象层包括被测单位和业务系统基本信息、网络和安全设备、主机、数据库、数据流和备份策略、应用系统、中间件、环境、人员、管理制度和安全措施等；

所述的移动客户端还包括流程控制、数据安全性和完整性验证、访谈录音模块、拍照取证模块和离线同步模块，访谈录音模块用于对用户的访谈进行录音，拍照取证模块可将用户拍下的照片进行存储备份。

所述的平台门户层还包括文件管理模块、岗位管理模块、报表管理模块和消息管理模块,文件管理模块用于管理用户所存储的文件，岗位管理模块用于管理分配用户岗位角色和操作权限，报表报告模块主要用于测评作业报表报告的自动生成和管理，消息管理模块用于管理用户收发的消息。