[发明专利]一种处理网络安全等级保护数据的方法和系统

说明书

本发明公开了一种处理网络安全等级保护数据的方法和系统，包括变量收集模块，用于记录和保存测评报告中的变量数据，包括资产调研表数据、结果记录表数据、漏洞扫描数据、渗透测试数据、被测单位和系统的基本信息、系统定级信息；本发明提供的测评报告展示模块可以完整的展示整个测评报告的章节及对应的内容，方便报告编制人审阅报告内容；一些章节支持在线编辑，方便报告编制人后期的调整，也进一步提升了系统的易用性。

技术领域

本发明涉及等级保护测评技术领域，特别涉及一种处理网络安全等级保护数据的方法和系统。

背景技术

网络安全等级测评报告是测评机构针对各种威胁进行剖析和归纳，而产生的综合性的安全测评报告，报告中会依据安全性现状，明确提出安全性整顿建议以及给出下一步网络信息安全基本建设的具体指导。测评报告中的内容十分全面，包含安全计算环境、安全物理环境等十个层面的情况以及各种安全威胁的分析，所以出具的报告通常在数百页以上。目前网络安全等级保护测评报告通常是通过手工编写,由于报告内容繁多、报告内容需要核实确认，因此一份报告需经过长期的审阅、核查，才能完成。

现阶段网络安全等级测评报告的编制大致分为以下三个阶段,第一阶段是数据的收集与整理，收集的内容主要包括被测系统的资产调研表数据、漏洞扫描和渗透扫描中发现的问题、被测单位的基本信息等，而整理的内容,主要是根据GB/T 28448—2019的国家标准，通过十个层面来分别展开对系统整体安全性的概述。每个层面下的结果记录表数据也是系统整体安全性概述的一个体现，更是网络安全等级测评师重点整理的内容；

第二阶段是对上一阶段的数据进行一个深度的剖析和细致的归纳统计,并编写到报告中。此阶段也是最容易出现质量问题的一个阶段，因为报告的前后内容基本是围绕着第一个阶段整理的数据进行编写的,如果中间在任何一处的数据处理或归纳出现纰漏，则会导致前后数据不一致，更有甚者能间接影响到测评最终的结论和得分，进而直接影响被测单位用户对自身系统整体安全情况的认知。而数据的剖析和归纳统计，本身也是一个耗费时间和精力的一个过程，因为测评报告需要从多角度、全方位去分析和统计安全问题的数量和影响的资产、相关的整改建议、以及在现行国家标准下系统符合要求、不符合要求、部分符合要求以及不适用的情况等。这个过程存在着一定的重复性和复杂性，测评行业现有的解决方案并不能够完全做到由计算机去代替人工对这些数据进行统计，并且原有的解决方案在输出报告时,输出报告的格式存在问题，需要编制人员在输出报告后进行手动修改，效率和人力消耗上并没有过高的优化；

第三个阶段则是对测评报告内容的审阅和核查，测评报告涉及到的数据量非常大，会出现层面涉及到数百条资产的情况。过去是由人工对这些数据进行核实和确认，耗时长，人力消耗大且项目经理也很难以一个全局的角度去对整个测评报告进行一个审阅和检查，全局的审查范围也同样包括了第一阶段中生成的数据,这就会对检查报告前后数据一致性、和内容完整性的工作造成不便。

编制报告消耗过多人力资源、周期过长已经成为了网络安全测评行业的通病，为了优化上述的问题，本发明提供了一种网络安全等级保护测评报告的生成工具，根据现场采集的资产调研数据及相关结果记录数据，自动化生成完整且具有高通用性的测评报告；由该工具生成的测评报告可保证数据的前后一致性和报告的严谨性，相较于原来的手工攥写方式，工具生成的方式无疑提升了报告的输出效率，并大幅降低人力和时间成本。

发明内容

本发明针对现有技术存在的问题，提供一种能处理初始数据并自动化输出网络安全等级测评报告的解决方案及工具，以用来保证报告前后数据的一致性和准确性，减少编制测评报告的工作量以及中间可能出现的问题纰漏，并极大程度上给后期的审阅和核查工作提供了便利。

一种处理网络安全等级保护数据的系统，包括变量收集模块，用于记录和保存测评报告中的变量数据，包括资产调研表数据、结果记录表数据、漏洞扫描数据、渗透测试数据、被测单位和系统的基本信息、系统定级信息；

常量收集模块，用于记录和保存测评报告所需的常量数据；