4326尹珊珊论文密码行业保密管理资质认证系统的设计与实现.docx

1、4326尹珊珊论文密码行业保密管理资质认证系统的设计与实现学号：20114326密码行业保密管理资质认证系统的设计与实现Design and Implementation of The Encryption Industrys Security Management Qualification System系 别： 管理系专 业： 信息管理与信息系统班 级： 1143班学生姓名： 尹珊珊指导教师： 姚栋 工程师日 期： 2015年 3月 至 2015年 6月【摘 要】密码行业的业务往往涉及国家秘密，其保密管理十分重要。目前该行业的保密管理资质认证没有相关标准，也没有相应的资质认证准入机制。因此

2、，针对密码行业研究并提出保密管理资质认证体系是十分迫切且必要的。依托这样的保密管理资质认证体系，设计并实现相应的认证管理系统，对于密码行业的保密管理而言，具有十分必要的现实意义。本课题是在前期研究构建的密码行业保密管理资质认证体系的基础上，通过设定系统目标，设计并实现了“密码行业保密管理资质认证系统”。本系统经过细致的系统分析，进而确定了整个系统的功能；在此基础上，基于B/S架构、运用java web开发技术加以开发和实现；在系统实现过程中，重点研究并实现了登陆模块、认证模块和功能模块，可以有效提供查询、打印、下载等主要功能，为用户提供系统管理、资质认证、文件上传和下载等系统服务。【关键词】密

3、码行业 资质认证 MIS B/S【Abstract】The business which involving encryption industry is related to national secrets, the security management of the industry is very important. The security management qualification standard of the encryption industry hasnt been proposed, also there is no corresponding qualific

4、ation access mechanism now. So, it is very urgent and necessary to study and propose a qualification system of security management of encryption industry. Relying on such qualification system, designing and implementing appropriate management system is very important to encryption industrys security

5、 management. The paper is based on this encryption industrys security management qualification system that construct by research. By setting the goal of system, designing and implementing the system of the encryption industrys security management qualification. The system has been carefully analysis

6、, then deciding the systems function. And then, the system is based on B / S structure, used the Java web technologies to be developed and implemented. In the process of system implementation, mainly focusing on the landing module, an authentication module and function module. The system can effecti

7、vely provide functions, such as accessing, printing, downloading and etc. It can provide system services for users which includes system management, qualification, uploading and downloading of files.【Keywords】Encryption Industry Qualification MIS B/S前 言目前，密码行业保密管理资质认证还没有相关标准以及准入机制，在此背景下研究并提出该行业保密管理资

8、质认证体系并设计实现相应的认证管理系统，具有十分重要的现实意义。该系统的研制和开发，必将加强密码行业的保密管理工作，提高密码行业保密管理能力，促进保密管理的信息化建设。本课题是根据前期研究成果构建的密码行业保密管理资质认证体系及相关指标，设计并实现了一个相应的资质管理系统。首先，本论文从课题研究的背景入手，概述了课题研究的必要性和重要性，概述现有B/S系统的开发技术，比较并说明了选择相关技术的原因。其次，本论文对系统进行充分分析，通过使用软件Rose和PowerDesigner对系统功能和数据库进行合理分析设计，给出系统用例和数据模型。再次，在上述基础上，论文对系统进行详细的设计和实现。在这一

9、部分中，重点研究了系统的登陆模块、认证模块和功能模块，针对查询、打印、下载等主要功能，逐一实现并给出核心代码。该系统可以有效为用户提供系统管理、自我评估、资质认证、认证查询、文件上传和下载等等系统服务。系统实现后，对系统进行了功能性测试，对每一功能进行逐一测试并给出测试结果，就其存在的问题提出改进意见，并对该系统的进一步完善和扩展做了展望。最后，论文认真总结了本系统设计与实现的有关工作。在整个系统的实现过程中，作者首先学习了资质管理和保密管理的相关理论，特别是B/S系统开发和实现的相关技术，收集整理并分析了相关资料，对该系统的可行性进行研究，进而提出系统需求，熟练掌握了B/S架构、Java语言

10、、MySQL数据库等开发技术，在Apache-Tomcat服务器环境下，开发并实现了一个具有系统管理、资质认证、认证查询、文件上传、打印下载等功能的系统。经测试，该系统基本达到预期设计目的，运行稳定，达到了毕业设计任务书要求，较好完成毕业设计的研究工作。1 绪论1.1课题背景密码行业保密管理的研究还处于初始阶段，但该行业的保密管理又是必不可少且极其重要的，因而对此的研究是具有重要意义的。本课题包括两个任务，一个是密码行业保密管理资质认证体系的研究与设计，另一个是密码行业保密管理资质认证系统的设计与实现。本论文属于第二项研究任务，即在前期课题研究成果提出的认证体系基础上，设计和实现密码行业保密管

11、理资质认证系统。本论文针对该系统的设计与实现，从课题背景、意义出发，阐述了系统开发的基本思路、开发工具的选择、设计开发的具体过程，总结了研究和开发工作的体会、经验和不足。1.2意义从现实角度上来看，密码属于国家秘密，国家秘密关系国家的安全和利益。近年来，我国泄密和窃密活动愈演愈烈，失泄密案件时有发生，给国家造成了不可估量的损失。因此，必须切实加强密码保密工作，通过对密码行业保密管理实行资质认证，强化管理措施，提高管理水平。从工作需要上来看，密码行业保密管理资质认证是密码行业保密管理实现规范化、制度化的需要，更是密码行业保密工作自身工作的需要。从应用价值上来说，开展密码行业保密管理资质认证工作，

12、能方便国家、地区的密码部门对有关企事业单位的密码安全保密工作进行综合评估、管理，一定程度上提高了保密管理工作能力和水平。构建这样的资质认证体系，还能完善保密管理领域的资质认证管理，完善保密资质认证体系，丰富保密管理的覆盖范围。因此，该体系的建设具有十分重要的现实意义。密码行业标准化技术委员会于2011年才刚刚成立，也没有制定或建立相应的密码行业保密管理资质认证标准，因此，对于密码行业而言，该体系必将有力促进行业保密工作的不断提高。密码行业保密管理资质认证系统的研究和设计，也是信息化管理的要求。随着信息化建设的不断发展，MIS技术的愈加成熟，使得MIS已经成为了一种管理平台，通过MIS会使安全保

13、密管理更加方便、快捷。因而，研制一个与密码行业保密管理资质认证系统愈加显得十分重要。1.3研究目标这个课题就是根据保密法律法规、密码行业安全保密需求以及现有保密资质管理办法研究和设计密码行业保密管理资质认证体系，在此基础上研制和实现相应的系统。1.使用MyEclipse、MySQL和Apache-Tomcat实现一个基于B/S的密码行业保密管理资质认证系统。2.实现登录模块、认证模块和功能模块。3.提供系统管理、自我评估、资质审核、认证查询、上传下载等系统服务。4.通过该系统提高密码行业保密管理能力、促进密码行业保密管理工作，满足信息化时代的需求。1.4论文结构本论文的主要研究内容是密码行业保

14、密管理资质认系统的设计与实现，针对B/S模式下的密码行业保密管理资质认证业务流程进行分析设计，构建密码行业保密管理资质认证体系，在此基础上完成数据库设计，最终实现整个系统。本论文的主要内容是密码行业保密管理资质认证系统功能模块的设计与实现。论文结构如下：1 绪论：简要介绍论文研究背景、现状、意义及目的。2 保密及资质管理理论研究：简要概述保密管理、资质管理和密码行业保密管理资质认证的现状。3 系统设计依据及主要技术：主要介绍了系统开发依据以及开发过程中涉及的相关技术，对SSH框架，MySQL进行相关的论述，并将其和现有其他技术比较。4 系统分析：对密码行业保密管理资质认证系统的可行性、需求、流

15、程进行分析。5 系统设计与实现：具体介绍系统功能模块的实现。6 系统测试：主要介绍采用黑盒测试测试此系统，并分析系统存在的不足，并提出需进一步研究的内容。总结：总结设计开发工作的经验、体会、以及存在的问题和不足。2 保密及资质管理理论研究2.1保密管理的现状目前，国内已有的与保密相关的法律法规有：中华人民共和国保守国家秘密法、新闻出版保密规定、对外科技交流保密提醒制度等；国际上来看，俄罗斯、乌克兰都有保密法，英国有官方保密法、德国有安全审查法等，可以看出各个国家对保密管理这一块都是比较重视的，均有相关的法律法规、管理办法。保密审查制度是保密管理体系的重要组成部分，随着社会主义市场经济的快速发展

16、、对外开放的进一步扩大和信息化建设的快速推进，越来越多的社会力量进入原本不开放的涉密领域、从事涉密业务。如果不对这些单位的保密管理进行规范管理，势必造成严重的泄密隐患。保密审查认证是保密审核和涉密资质批准的总称。保密审查认证的实质其实是保密行政管理部门单独或会同有关部门对拟从事涉密业务的企事业单位的资质条件、保密条件进行审查、认可，实践中经常表现为书面资料审查和现场审查；保密资质批准的实质是保密行政管理部门同意特定相对人取得某种保密资质或实施涉密业务的行为，实际情况下表现为资质证书的发放。保密审核与涉密资质批准经常联系起来使用，只有符合有关条件才能获得资质证书，而且还需定期复查，如果没有违反规

17、定的情况出现，就由保密行政管理部门在资质证书上盖章，表示对相对人状态合法性的认可。总之，保密审查认证是根据法律规定的条件，由实际执法部门来审核是否符合条件的行为。8随着我国国家秘密载体印制资质管理办法涉密信息系统集成资质管理办法等文件的相继出台，全国范围内的涉密资质认证工作已经展开。做好资质认证工作将对资质单位的保密管理体系建设将产生推动作用，促使其迈上一个新台阶。2.2资质管理的现状“资质”的含义可以理解为政府部门对企业的资历、信誉、技术条件、技术装备及管理水平等进行考核的标准。对政府主管部门而言，资质管理的行为是一种市场监管行为，相应的部门规章也可视作市场监管法。目前中国的资质管理大致可分

18、为两类：1针对企业资质的管理，企业资质审批制度体现着政府对企业活动的直接干预，是政府行政职能介入社会微观经济活动的一种表现。2针对个人执业资格的管理，个人执业资格制度是政府针对个人的市场准入控制。个人执业资格制度是适应社会主义市场的需要，政府依法进行准入控制的科学管理制度。6资质管理是对进入市场的主体资格进行监管，而在目前的中国，各监管部门是以“监管评级”的方式来达到对市场的准入和运行进行控制的目的。这有利于监管者掌握实际情况、针对不同对象采取不同监管方法，也有利于市场其它主体了解被监管主体的信用度、可靠性，以合理规避风险。社会上不同的行业有不同的资格要求，但是现有的理论研究成果，却远没有覆盖

19、社会的各个行业。目前理论较成熟、应用较多的，主要有施工企业资质管理、教育机构资质管理、烟草资质管理、矿产开采资质管理，国家秘密载体印制资质管理、武器装备科研生产单位资质管理、涉密信息系统集成资质管理等。资质审查认证是企事业单位获取从事某种业务资质的必经程序，保密管理资质审查认证是涉及国家秘密业务资格的必经程序，是进一步提升其保密管理工作水平的重要契机。5而且保密资质认证制度继续发展下去，将有效解决各类从事涉密业务的企事业单位制度不健全，管理不规范，人员监管不力等弊病，更能从源头上遏制泄密事件的发生。2.3密码行业保密管理的背景密码是信息安全的核心，目前密码技术在国家信息化建设、信息安全保障中已

20、经得到广泛应用。当前，密码行业大致可分为国家党政系统的密码管理部门和使用单位，企事业单位的商用密码应用以及研制密码和信息安全产品的相关企事业单位等。这些密码技术本身大多属于国家秘密，它们保护的有关信息也基本是国家秘密或商业秘密，事关国家、经济、社会的安全和利益。因此，需要对其进行严格的保密管理，保证其安全。密码安全保密管理的首要任务就是要确保保密工作落到实处，衡量保密工作是否落到实处，就需要对其保密管理工作现状及其能力进行评估，需要对其保密工作能力所能达到的等级进行认证。只有通过资质认证，才能推动密码行业的保密管理逐步形成良好发展的态势，促进密码行业保密管理工作实现新的更好的发展。目前，国家保

21、密法第三十四条规定：“从事国家秘密载体制作、复制、维修、销毁，涉密信息系统集成，或者武器装备科研生产等涉及国家秘密业务的企业事业单位，应当经过保密审查，具体办法由国务院规定。”这是开展保密资质审查工作的法律依据。据此，国家保密局也发布了国家秘密载体印制资质管理办法、涉密信息系统集成资质管理办法、武器装备科研生产单位保密资格生产认证管理办法等管理规定。然而，对于密码行业保密管理资质的审查认证却没有具体专门的管理法规和制度，也没有相应的资质审查认证系统，因此，设计并实现相应的管理系统是迫切且必要的。2.4密码行业保密管理资质认证现状密码行业保密管理资质认证目前来说还处于初始阶段，并没有像涉密信息系

22、统集成资质、涉密军工科研生产保密资质一样，构建一套完善的资质管理体系，更没有相应的管理系统。当然，密码部门也根据保密管理需要，建设和制定了一批保密管理制度，但是没有实施相应的资质管理。因此，密码行业保密管理资质认证体系的研究、以及设计和实现相应管理系统是迫切、必要的。本课题的研究任务主要有2个，首先是构建密码行业的保密管理资质认证体系，其次是设计和实行相应的系统。本毕业设计论文主要是第二项研究工作。3 系统设计依据及主要技术3.1系统设计的依据根据现有保密管理资质认证管理规定和相关研究保密管理的有关成果，课题前期研究并拟定了“密码行业保密管理资质认证体系”。该体系由三级指标构成，具体指标如表3

23、.1所示。表3.1指标体系一级指标二级指标三级指标密码组织机构密码领导小组 密码领导小组成员组成是否符合要求 密码领导小组成员分工是否明确 密码领导小组每年例会次数是否超过2次 年度内是否对保密工作研究和部署 是否及时解决保密工作重要问题密码工作机构 密码工作机构设置是否符合要求 密码工作机构职责和权限是否明确 专职密码工作人员条件是否符合标准要求 专职密码工作人员对保密法律法规和保密知识技能掌握情况是否熟悉 专职密码工作人员是否通过保密培训考试、获得资格证书密码保密制度基本制度 基本制度是否完善 基本制度是否准确 操作性 修订时限是否达每2年1次专项制度 是否结合实际 责任是否明确 每年是否

24、对保密工作提出明确要求 每年是否对领导责任制落实情况进行监督考核 每年组织研究部署保密工作次数是否达2次保密监督管理定密管理 是否建立定密工作小组 定密工作小组是否按要求开展工作 定密程序是否明确 定密变更程序是否明确 定密责任是否明确 定密变更责任是否明确 单位秘密事项是否明确 密级确定是否准确 变更是否及时 解密是否及时人员管理 涉密人员数量 涉密人员是否有外国国籍 涉密人员等级界定是否准确 涉密岗和涉密人员是否有界定 是否通过保密培训考试 涉密人员是否签订保密责任书 每年是否对涉密人员进行教育培训 教育培训达几课时 离岗是否有脱密期 脱密期时间 保密法律法规和保密知识技能掌握情况是否熟悉

25、 不符合条件的涉密人员是否及时调离涉密岗 是否对涉密人员出国出境按规定管理 是否对涉密人员进行备案 是否与离岗的涉密人员签订保密承诺书保密检查 保密检查次数 检查保密工作落实情况 保密自查次数 保密检查中发现的问题是否提出书面整改要求 对检查中发现的问题是否监督落实整改 是否按规定对泄密事件及时报告 是否按规定对泄密事件采取补救措施 是否按规定对泄密事件进行查处设备与载体涉密载体管理 是否标明密级 是否建立涉密载体台账 是否按规定收发 是否按规定传递 是否按规定借阅 是否按规定保存 是否按规定销毁 是否将移动存储介质插入过非涉密计算机 是否交叉使用 外出携带是否经过审批 外出携带是否有专人管理

26、 带回后是否进行保密检查信息系统管理 是否经省级保密工作部门审批 是否连接国际互联网或公共信息网是否使用互联网处理过涉密信息 涉密信息远程传输是否采取密码保护措施 是否接入内部非涉密系统 是否使用非涉密机处理过涉密信息 格式化或重装系统前是否经过审批 是否标明密级 维修是否符合保密要求 报废是否符合保密要求 是否及时根据实际情况调整安全保密策略 是否建立文档化的安全审计报告 是否定期对信息系统风险进行评估 是否超越信息系统涉密等级处理涉密信息 是否实现信息系统访问控制 是否及时查杀病毒 是否及时更新病毒库 是否及时安装补丁 是否使用无线键盘鼠标等具有无线功能的外部设备 便携式计算机是否拆除无线

27、联网功能硬件模块 在便携式计算机中处理涉密信息是否经过审批 涉密信息设备的电磁泄漏发射是否符合安全要求 涉密信息设备是否采取电源滤波防护措施密码资源管理保密要害部门 是否按规定确定保密要害部门 保密要害部门部位确定是否准确 保密管理措施是否落实 是否按规定安装防盗报警装置 是否按规定安装电子门禁系统 是否配备安全值班人员 是否对外来人员进入采取控制措施场地管理 生产办公场所是否具有产权或3年以上租赁合同 场地是否符合保密要求库房管理 库房管理是否符合保密要求 库房环境是否符合保存要求 是否有库房管理制度 出库入库是否符合要求设施设备管理 设施、设备是否符合相关保密管理规定和保密技术标准 设施、

28、设备使用前应进行保密技术检测 进口设备和产品是否进行安全技术检查保密责任主要负责人责任 对保密工作重要性认识情况 对上级有关保密工作的重要指示和要求是否清楚 年度内未对保密工作提出明确要求 对本单位保密工作整体情况掌握度 是否及时研究解决保密工作重要问题 年度内是否对领导责任制落实情况进行监督考核 是否按要求在人力上为保密工作提供条件保障 是否按要求在财力上为保密工作提供条件保障 是否按要求在物力上为保密工作提供条件保障涉密人员责任 对本职岗位保密职责是否清楚 对本职岗位业务工作中的保密事项是否清楚 是否按要求进行保密自查 对保密知识和基本要求掌握情况该体系是本系统开发设计的基本依据，是密码行

29、业保密管理资质认证的核心内容和认证基础。该指标体系共有6个一级指标，15个二级指标，115个三级指标；该指标体系是评价标准的具体化，是认证对象自评估的依据，也是认证主体审核的依据。本系统的认证模块便是按其一一实现的。3.2关键技术综述及比较现有MIS开发的方式有很多，而且系统开发技术也都比较成熟，各有优劣，主要是根据实际情况选择相应的开发技术。1. C/S模式和B/S模式的概述C/S（Client/Server）模式，即客户端/服务器模式。客户端/服务器将信息处理工作分为两部分，一部分由服务器来实现，另一部分由客户机本身来完成。客户端部分负责执行前台功能。而服务器部分执行后台服务。9常见的C/

30、S模式有两层结构、三层结构两种。两层结构包括：客户机和数据库服务器；三层结构包括：客户机、应用服务器和数据库服务器。C/S系统的运行关系体现为:“请求/响应”的应答模式。当用户访问服务器时，客户机发出“请求”，服务器接受“请求”并“响应”,然后执行相应的操作，将执行结果反馈给客户机，经进一步处理后提交给用户。B/S（Browser/Server）模式，即浏览器/服务器模式是Web兴起后的一种网络结构模式。本质上说，B/S结构也是一种C/S结构，它可看作是一种由二层结构的C/S发展而成的三层结构的C/S在Web上应用的特例。B/S模式有三层结构、四层结构两种。三层结构包括：浏览器、应用服务器/W

31、EB服务器、数据库服务器；四层结构包括：浏览器、WEB服务器、应用服务器、数据库服务器。在B/S系统中，用户可以通过浏览器向服务器发出请求，B/S结构简化了客户机的工作，而服务器则会负担更多的工作，包括对数据库的访问和应用程序的执行。针对B/S和C/S两种模式，通过比较不难发现以下特点：（1）硬件环境不同C/S一般建立在专用的网络上，在局域网之间通过专门的服务器提供连接和数据交换的服务。B/S建立在广域网之上，不一定是专门的网络硬件环境，如电话上网等，相比C/S来说，其具有更强的适应范围，一般情况下只需操作系统和浏览器即可。（2）可移植性不同C/S模式移植较困难，对于用不同开发工具开发的程序，其兼容性存在问题，因而难以移植到其他平台上运行。B/S模式是基于浏览器的，因而是不存在移植性问题的。（3）对安全要求不同C/S系统中的客户机是直