一种工业信息网络安全测试评估系统的制作方法

本发明涉及工控信息网络安全测评，具体涉及一种工业信息网络安全测试评估系统。

背景技术：

1、工业控制系统属于国家关键基础设施中的核心系统，一旦遭受网络安全攻击容易发生故障或者被操控，直接影响正常的业务生产，导致安全事故发生，造成重大的经济损失、人员伤亡以及严重的社会影响等。

2、目前，顶层综合性的工业信息网络安全测试评估服务系统尚属空白，工业信息网络安全测试评估资源呈碎片化孤岛模式，存在着测试评估方案固化、测试评估申请手续复杂、线下跨地域测评费时费力等问题。

技术实现思路

1、本发明的目的在于，提供一种工业信息网络安全测试评估系统，基于浏览器/服务器架构，集成不同类型的工业信息网络安全测试评估方案与测试评估工具，形成顶层综合公共服务能力，构建自主创新的工业控制信息网络安全测试评估体系；测评方案库模块中包含多种类型的工控信息网络安全标准符合性测试评估方案以及专业测试评估方案，还能通过测评方案定制模块实现个性化定制，测试评估方案更灵活，更具有针对性；测评工具集成模块对外提供工业信息网络安全测试评估工具的集成接口，支持不同类型的线上/线下测评工具与本系统的灵活扩展，全面提高了工业信息网络安全测试评估的综合服务能力。

2、为解决上述技术问题，本发明采用如下的技术方案：一种工业信息网络安全测试评估系统，本管理系统基于浏览器/服务器架构，包括门户展示模块、测评申请模块、测评执行模块、测评方案库模块、测评方案定制模块、测评工具集成模块、个人信息管理模块和系统管理模块；

3、所述门户展示模块，用于展示工业信息网络安全测试评估系统；所述测评申请模块，本模块是面向用户的，用于提交工业信息网络安全测试评估申请；所述测评执行模块，是对申请的工业信息网络安全测试评估进行测评；所述测评方案库模块，用于存储工业信息网络安全测试评估方案；所述测评方案定制模块，本模块是面向系统管理员的，用于依据工控行业网络安全测试评估实际需求，对测评方案中的工控信息网络安全测评方案进行动态管理及个性化定制；所述测评工具集成模块，本模块是面向本管理系统外部其他工控信息网络安全测评工具，提供工具集成接口，用于外部其他工控信息网络安全测评工具的集成；所述个人信息管理模块，本模块是面向用户的，用于对用户注册信息的管理，以及对其所提出的工业信息网络安全测试评估申请进行管理；所述系统管理模块，本模块是面向系统管理员，用于管理用户、测评人员和系统日志。

4、前述工控安全测试评估系统，其中所述门户展示模块包括系统整体介绍功能单元、测试评估服务介绍功能单元、已服务企业介绍功能单元、咨询功能单元、使用说明功能单元和联系我们功能单元；

5、所述系统整体介绍功能单元，以图文的形式，展示该测试评估系统的建设背景、目的、专业性、权威性、可靠性、创新性、以及能够为用户所提供的价值等，便于用户查询了解系统功能；

6、所述测试评估服务介绍功能单元，以列表的形式，展示该测试评估系统所能提供的各种类型的测试评估服务的相关介绍信息，为用户提供查询与选择；

7、所述已服务企业介绍功能单元，以动态滚动列表的形式，展示该测试评估系统已经服务的企业名称、logo等信息，为用户提供相关查询；

8、所述咨询功能单元，具体为用户结合具体的工业信息网络安全测试评估需求，有针对性的提出咨询问题；所提咨询问题以系统消息的形式，通知系统管理员来回答；

9、所述使用说明功能单元，本模块是面向用户的，提供系统使用说明手册下载功能，帮助用户快速掌握系统的操作方法；

10、所述联系我们功能单元，用于展示提供工业信息网络安全测试评估服务的专业机构的通信地址、邮政编码、固定电话、传真和电子邮箱信息，便于用户联系测试评估服务机构反馈测试评估过程中的具体问题等信息。

11、前述工控安全测试评估系统，其中所述测评申请模块包括用户注册功能单元、用户登录功能单元、测评申请功能单元；

12、所述用户注册功能单元，本单元是用户的，用于提供用户注册功能；

13、所述用户登录功能单元，用于验证用户登录信息，验证通过后用户可使用该测试评估系统的相关操作；

14、所述测评申请功能单元，具体为用户依据门户展示模块的测试评估服务介绍功能单元所展示的各类测试评估服务，根据实际业务需求，选择具体的测试评估服务，填写详细的测评需求，提交测试申请，测评申请提交后将启动测评执行模块。

15、前述工控安全测试评估系统，其中所述测评执行模块包括测评申请审核功能单元、测评订单实施功能单元和测评订单统计管理功能单元；

16、所述测评申请审核功能单元，本单元是面向测评主管的，用于根据用户提交的测评申请，对测评需求进行审核，对于审核通过的测评申请，生成测评订单；对于审核不通过的测评申请，取消该测评申请或者通知用户修改测评申请，以消息的形式，将审核结果反馈给用户；

17、所述测评订单实施功能单元，具体为：对于审核通过的、未实施测评的测评订单，测评主管依次按照每个订单的提交时间先后顺序、测评需求信息，并结合每个测评专员的专业方向、目前在实施的订单数以及经验值，统筹考虑合理分配测评专员；当测评订单完成分配后，以消息的形式，通知测评专员；对于所分配的待测评订单，测评专员依次按照每个待测评订单的提交时间先后顺序，分析测评需求，依据相应的测评方案的作业指导书中的具体测评流程与步骤，调用相应测评工具，以线上或线下的形式，实施测评；

18、所述测评订单统计管理功能单元，以列表的形式，展示每个测评订单的信息，测评订单信息包括企业名称、联系人、联系电话、下单时间、测评需求和相应的测评方案名称；统计并给出待审核的测评申请数量；统计并给出待测评的测评订单数量；以折线图的形式，展示近12个月的时间段内每个月的新增测评订单数量、每个月的完成测评订单数量。

19、前述工控安全测试评估系统，其中所述测评方案库模块包括标准符合性测评方案库功能单元和专业测评方案库功能单元；

20、所述标准符合性测评方案库功能单元，用于存储标准符合性测评方案，包括在系统设计时已经固化到系统中的标准符合性测评方案，以及可根据用户的实际需求，通过测评方案定制模块定制的标准符合性测评方案；

21、所述专业测评方案库功能单元，用于存储专业测评方案，包括在系统设计时已经固化到系统中的专业测评方案，以及根据用户的实际需求，通过测评方案定制模块定制的专业测评方案；在系统设计时已经固化到系统中的专业测评方案包括：通信健壮性测试方案、基线核查评估方案、漏洞扫描评估方案、源代码安全审计方案、工业互联网平台测试方案。

22、前述工控安全测试评估系统，其中所述测评方案定制模块包括新增测评方案功能单元、发布测评方案功能单元、排序测评方案功能单元和删除测评方案功能单元；

23、所述新增测评方案功能单元，用于新建工控信息网络安全测评方案，录入测评方案的名称、测评依据、测评详情、测评流程和测评作业指导书，添加测评报告模板，利用测评工具集成模块关联相关测评工具；并将新增的测评方案存储至测评方案库中；

24、所述发布测评方案功能单元，用于将测评方案库中已建立的测评方案的名称、测评依据，发布至门户展示模块的测试评估服务介绍功能单元，供用户查询选择使用；依据需求，取消门户展示模块的测试评估服务介绍功能单元中已发布的某项测评方案内容。

25、所述排序测评方案功能单元，用于根据工控行业实际市场需求以及测评机构的业务能力，修改测评方案库中已建立的测评方案的排列顺序，并自动更新至门户展示模块的测试评估服务介绍功能单元，供用户查询选择使用；依据需求，取消门户展示模块的测试评估服务介绍功能单元中已发布的某项测试方案。

26、所述删除测评方案功能单元，用于根据工控行业实际市场需求，删除测评方案库中已建立的某项测评方案，并自动更新至门户展示模块的测试评估服务介绍功能单元。

27、前述工控安全测试评估系统，其中所述测评工具集成模块包括线上测评工具集成功能单元和线下测评工具集成功能单元；

28、所述线上测评工具集成功能单元，提供可开展线上测评的不同类型的工控信息网络安全测评工具的集成接口，为测评方案库模块和测评方案定制模块中的测评方案提供相应的线上测评工具集成；

29、所述线下测评工具集成功能单元，提供对其他无法开展线上测评的工控信息网络安全测评工具的集成接口，为测评方案库模块和测评方案定制模块中的测评方案提供相应的线下测评工具集成。

30、前述工控安全测试评估系统，其中所述个人信息管理模块包括注册信息管理功能单元和测评申请管理功能单元；

31、所述注册信息管理功能单元，以表格的形式，展示注册用户的基本信息，所述基本信息包括企业名称、所属地区、所属行业、企业营业执照和联系方式；提供用户对登录密码的更改功能，提高账户的安全性；

32、所述测评申请管理功能单元包括测评申请查看子功能单元、测评申请取消子功能单元、测评信息补充子功能单元和测评报告管理子功能单元；测评申请查看子功能单元，以表格的形式，显示用户已提交的测评申请信息，所述测评申请信息包括：测评申请名称、测评需求和测评联系人电话；对于每个测评申请，以流程图的形式显示当前进度情况，为用户提供实时查询。进度流程具体阶段包括：申请提交、申请审核、订单测试和订单完成；测评申请取消子功能单元具体为：用户可以根据需求取消已提交的测评申请；测评信息补充子功能单元具体为：用户按照测评申请审核功能单元的反馈信息，完善所提交的测评申请所需的相关信息；测评报告管理子功能单元，用于用户查看或下载已完成测试的测评申请相对应的测评报告。

33、前述工控安全测试评估系统，其中所述系统管理模块包括用户管理功能单元、测评人员管理功能单元和日志管理功能单元；

34、所述用户管理功能单元，用于对注册使用该系统的用户注册信息的审核，以消息的形式，通知用户注册结果；以列表的形式展示已注册使用该系统的用户信息，所述用户信息包括：企业名称、联系方式和注册时间；对已注册使用该系统的用户进行管理，具体操作有删除、停用和启用；新注册用户的数量统计；以柱状图的形式，展示近12个月的时间段内每月登录系统的用户的数量统计、新增用户的数量统计；以列表的形式展示未处理和已处理的用户咨询信息；

35、所述测评人员管理功能单元，以列表的形式，展示已有的测评人员信息；用于管理不同角色的测评人员；测评人员的角色包括：测评主管和测评专员，具体的管理操作包括：新建、修改和删除；

36、所述日志管理功能单元，以列表的形式展示系统的操作日志和登录日志，供系统管理员查询，实现系统的事件记录与追溯功能。

37、与现有技术相比，本发明的有益之处在于，本发明基于浏览器/服务器架构，面向位于不同地理位置的分布式多用户，提供线上/线下相结合的工业信息网络安全测试评估服务；设置有门户展示模块和测评申请模块，使用户能更直观地了解系统所提供的服务，同时又能方便快捷地申请测评；本系统集成不同类型的工业信息网络安全测试评估方案与工具，形成顶层综合公共服务能力，构建自主创新的工业控制信息网络安全测试评估体系；测评执行模块对于每个未实施测评的订单，由测评主管依次按照每个订单的提交时间先后顺序、测评需求信息，并结合每个测评专员的专业方向、目前在实施的订单数量以及经验值，统筹考虑合理分配测评专员；测评方案库模块中包含多种类型的工控信息网络安全标准符合性测试评估方案以及专业测试评估方案，还能通过测评方案定制模块实现个性化定制，测试评估方案更灵活，更具有针对性；测评工具集成模块对外提供工业信息网络安全测试评估工具的集成接口，支持不同类型测评工具与本系统的灵活扩展，全面提升工业信息网络安全测试评估的综合服务能力。