UML建模方法在信息安全等級保護測評工作中的應用探討

◎向 旭 張杰宏 季瑞齊

1.遂寧市人力資源和社會保障信息中心，遂寧，629000

2.四川省電子產品監(jiān)督檢驗所，成都，610100

一、溝通是信息安全等級保護工作的瓶頸

我國的信息安全工程是通過信息安全等級保護測評工作（簡稱等保測評）實現的。傳統(tǒng)的信息系統(tǒng)等級保護測評流程中存在若干瓶頸，其中之一就是測評人員與客戶溝通不暢，客戶的安全知識相對薄弱，需要花費很大精力才能理解等保標準和工作流程，并配合測評人員開展工作。這樣會耗費大量的人力和時間，同時容易滋生消極情緒，不利于工作進展。為此，引入軟件工程學中的UML建模語言，采用直觀的圖形展示等保測評工作的流程和細節(jié)，用以提升溝通效率，通過在遂寧市人力資源和社會保障局（簡稱遂寧市社保局）等保測評項目中的應用，驗證了方法的有效性。

二、基于UML的等保測評建模

UML語言是統(tǒng)一建模語言（Unified Modeling Language）的簡稱，該語言為軟件開發(fā)的所有階段提供模型化和可視化支持，包括用況圖、實體圖、時序圖、協(xié)作圖、包圖等十種圖。工業(yè)設計界流傳一句俗語：一張圖頂一千句話，足見圖的表現力。UML就是采用大量生動和形象的圖，來指導軟件系統(tǒng)開發(fā)的分析、設計、實現、測試等各個環(huán)節(jié)。當然，等保測評與軟件工程學有差異，并不是所有的UML圖形都適用于等保測評，在此選用用況圖、實體圖、協(xié)作圖三種圖形，用于等保測評分析工作。

圖1 用況圖實例

圖2 實體圖實例

第一種圖是用況圖。用況圖的原始定義是：用來描述軟件系統(tǒng)使用狀況的圖。我們在此重新定義為：用來描述等保測評狀況和環(huán)節(jié)的圖（圖1）。

用況圖的要素有兩個，人員和用況。人員用小人圖標表示，指的是參與者。用況用橢圓圖標表示，含義是相應活動?；顒优c人員用直線相連。普通用況可以擴展出新用況，擴展用況通過虛線箭頭和“《extends》”標簽標注。

第二種圖是實體圖。實體圖展示等保測評模型的靜態(tài)結構，包括模型中存在的實體、實體的內部結構以及實體間的關系（圖2）。

實體用三個羅列在一起的矩形表示，從上至下分別是實體名稱、實體屬性和實體操作。實體之間的連線表示關聯關系，關聯分為“一對一”和“一對多”兩種，通過連線上面的數字標注。

第三種圖是時序圖。時序圖通過描述實體之間發(fā)送消息的時間順序顯示多個實體之間的動態(tài)協(xié)作（圖3）。

時序圖的要素有兩個，實體和消息。實體用寬矩形表示，有名稱和生命周期，生命周期用寬矩形下的豎直虛線表示，虛線上的窄矩形表示控制焦點。消息分為發(fā)送方和接收方，用虛線箭頭標注，箭頭上面是消息名稱。虛線箭頭的順序表示時間上的先后順序。

三、UML語言在遂寧市人力資源和社會保障局等保測評中的應用

為了驗證UML語言在等保測評項目中是否有效，我們與遂寧市人力資源和社會保障局信息中心合作，在真實項目中進行應用驗證。為了方便起見，我們將傳統(tǒng)的等保測評流程劃分為若干環(huán)節(jié)，其中“測評準備活動”、“現場測評活動”兩個環(huán)節(jié)人員交互頻繁，使用用況圖進行分析，“測評對象確定”環(huán)節(jié)運用實體圖確定測評實體，“現場測評和結果記錄”環(huán)節(jié)操作復雜，運用時序圖來描述操作細節(jié)（圖4）。

圖3 時序圖實例

圖4 等保測評流程

測評準備活動需要遂寧市社保局技術人員、日常管理人員、等保測評項目組項目經理參與,工作內容是填寫《信息系統(tǒng)基本狀況調查表》。如果填寫該表有困難，可以咨詢信息系統(tǒng)開發(fā)方，所以“咨詢信息系統(tǒng)開發(fā)方”用況由“填寫信息系統(tǒng)基本狀況調查表”用況擴展而來，需要標記“《extends》”標簽（圖 5）。

現場測評活動中管理類測評采用“訪談”和“查閱文檔資料”兩種測評方式，技術類測評采用“設備掃描”、“人工查看配置”和“咨詢信息系統(tǒng)開發(fā)方”三種測評方式。其中“咨詢信息系統(tǒng)開發(fā)方”用況由“人工查看配置”用況擴展而來，需要標記“《extends》”標簽（圖 6）。

測評實體圖用于確定測評實體，依據遂寧市社保局提供的網絡拓撲圖和設備清單，繪制了測評實體圖,為了表述方便，實體的屬性和相應操作暫不標出（圖7）。

等保測評一共十種測評實體，五種技術實體、五種管理實體，數據備份和恢復實體不單獨存在，而是分解融合到其他技術實體里面。網絡實體內容比較多，因而被拆分成網絡架構實體和若干網絡設備實體。居于核心地位的實體是網絡架構、信息系統(tǒng)和安全管理制度，三者存在多個關聯。網絡架構、安全管理機構、安全管理制度和人員管理制度實體各一個，其它的實體有多個。比較特殊的實體是機房物理設施，它和其它實體沒有直接的關聯關系。

圖5 “測評準備活動”用況圖

圖6 “現場測評活動”用況圖

圖7 測評實體圖

網絡設備測評時序圖用來描述參與人員與測評實體間交互的細節(jié)。測評過程需要測評人員和社保局技術人員共同參與，測評人員向社保局技術人員解釋測評指標，社保局技術人員輸入相應命令，測評人員查看命令執(zhí)行結果并記錄。最后，由社保局技術人員簽字確認。管理類測評時序圖相對簡單，這里不再贅述（圖8）。

驗證效果：通過應用UML語言描述信息安全等保測評過程，在項目啟動會進行展示，遂寧市社保局的相關人員經過30分鐘的學習就熟悉了測評過程，雙方達成一致，未發(fā)生理解上的障礙。因為社保局相關人員對工作流程有比較清晰的認識，所以測評工作進展順利。原計劃一周的工作任務，三天就完成了，工期縮短40%，效果比較顯著。

四、總結

圖形比文字直觀形象，將圖形應用于工作溝通當中，可以節(jié)省大量時間，有效提升工作效率和準確度。學科之間有共通之處，成熟學科的技術稍加改造就有可能應用于新的領域，希望我們的案例拋磚引玉，能給大家一些有價值的啟示，協(xié)助大家更快更好地完成科研和生產工作。