一种网络安全测评及项目质量评估系统的制作方法

本发明涉及质量评估领域，尤其涉及一种网络安全测评及项目质量评估系统。

背景技术：

随着网络及信息技术的迅猛发展和广泛应用，网络信息化已经深入各行各业，每个社会群体及个人，均离不开网络信息的使用。然而在使用网络信息化带来的便捷的同时，各类针对网络及信息数据方面的攻击及犯罪情况也日渐严重，而网络安全时代的到来，极大程度上的对各网络安全检测工作提出了更高的要求。信息安全检测工作已经不仅仅是安全服务及测评机构所关注的。为确保各行业、各单位在开展网络安全工作的过程中，能有效的检测并确保其关注的在传输、处理信息的系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性，一方面需要有工具支撑网络安全评测的工作开展，需要一种能够实现在网络安全测评过程中提供有效开展项目测试、记录、统一问题评价的工具。另一方面为控制评测过程的有效性、准确性、合规性并能将项目交付物质量的控制手段融合到项目过程中，需要在网络安全测评工具中嵌入一种质量评估的方法。

计算机网络(包括互联网)信息系统是由许多计算机组成的，要实现网络之间传输数据，必须要作两件事，准确的数据传输目的地址和保证数据迅速可靠传输的措施。网络安全是要确保在传输、处理信息的系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。网络安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

网络安全测评项目是网络安全工作体系的重要组成部分。网络安全测评是网络安全工作开展的一项重要的工具，是可视化反映评估对象安全属性的指示标志；网络安全测评工作有效性的指标体系则是根据评估目标和评估内容的要求构建的一组能真实反映网络安全水平的相关指标，据以搜集评估对象的有关信息资料，通过合规及高质量的报告反映评估对象的网络安全的基本面貌、素质和水平。

目前现有针对网络安全的测评过程一般包括调研、访谈、检测、扫描测试等模式，并对其检测的结果按标准进行分析，最终形成相应的测评结论(报告)。而现有针对安全测评的技术手段主要是通过系统生成表格按一定的要求进行记录的筛选和汇总，借助计算机应用进行统计及生产报表、报告等。但是整体来说，无论是在记录测评结果记录的完整性，测评结论判定的准确性，根据规则对评定得分准则的一致性，实施对某测评项目报表、报告质量上还存在不少问题。

现有的大多数测评采工具均仅注重记录或生成报告的便利性，而忽略了因每一个项目被测评的信息系统需要编写、整理、分析出具报告，这种工作方法的耗时、耗力，对人员专业要求高，而导致的测评结果完整性、准确性、一致性等质量不稳定、不可管理。但面对此问题，现有的系统平台主要还是依靠测评结果最终出具后用增加审核人员来应对更多的质量把控，但由于缺乏整体和有效的技术解决办法，普通效率较低的同时质量检测及控制的效果也不好，由并且因网络安全测评报告、报告表质量评估工作有很大的针对性，即使采用一些现有的技术辅助手段，也不能完全适应工作的需求。最终导致对网络安全测评项目开展过程中缺乏质量评估工作的管理；对项目结果需要投入较多的人力和时间；不能有效识别检测报告表的质量问题，对项目整体开展的质量情况统计分析的能力也有限等。

技术实现要素：

本发明实施例提供了一种网络安全测评及项目质量评估系统，解决了现有网络安全测评过程中因为不同的工作方法耗时、耗力，对人员专业要求高，而导致的测评结果完整性、准确性、一致性等质量不稳定、不可管理的技术问题。

本发明实施例提供的一种网络安全测评及项目质量评估系统，包括：

项目数据库模块、测评标准管理模块、测评操作指导模块、测评判定指导模块、分析及建议指导模块，结果评分指导模块、质量审核模块、质量评分统计分析模块；

所述项目数据库模块，用于项目立项管理及项目进度管理；

所述测评标准管理模块，用于对测评类型及测评标准的选择管理；

所述测评操作指导模块，用于设定规范测评操作要求及记录标准数据信息；

所述测评判定指导模块，用于设定规范判定规则及记录评分数据信息；

所述分析及建议指导模块，用于设定规范的问题分析规则及风险影响记录；

所述结果评分指导模块，用于设定规范的结果算分标准及记录测评分值数据；

所述质量审核模块，用于根据设定的规则进行内容比对质量评分及审核项目完成情况；

所述质量评分统计分析模块，用于统计各项目质量评分的情况。

优选地，所述质量审核模块具体包括：

审核子模块，具体用于对项目进行审核；

划分子模块，具体用于对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分；

统计子模块，具体用于统计所述质量问题中对应级别的数量；

评分子模块，具体用于通过所述质量问题中对应级别的数量和判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；

显示子模块，具体用于显示对应质量评分的原因。

优选地，所述质量评分统计分析模块具体包括：

计算子模块，具体用于通过预置的总分和项目的质量问题各级别的质量评分计算项目的质量得分。

优选地，所述计算子模块具体包括：

第一获取单元，具体用于对项目的质量问题各级别的质量评分进行作和运算，获取项目的实际质量评分；

第二获取单元，具体用于通过预置的总分和项目的实际质量评分获取项目的质量得分。

优选地，所述项目数据库模块具体包括：

项目名称标准库，具体用于记录项目名称及客户信息；

被测系统信息标准库，具体用于记录被测系统的全称、被测单位名称、被测单位负责人、测评编号、测评日期；

项目表数据库，具体用于记录所述系统项目实施进度及质量评审进度。

优选地，所述测评标准管理模块具体包括：

测评类型标准库，具体用于确定测评的分类；

测评行业标准库，具体用于确定测评的行业范围；

测评级别标准库，具体用于确定测评系统的安全等级和测评条款。

优选地，所述测评操作指导模块具体包括：

测评指导书标准库，具体用于对各测评标准给出测评指导规范及操作说明；

合规记录模板标准库，具体用于对各测评结果的合规情况给出标准的记录模板；

问题记录模板标准库，具体用于对各测评结果的不合规情况给出标准的记录模板。

优选地，所述测评判定指导模块具体包括：

评分标准库，具体用于指导对评分的判定标准说明；

评分记录标准库，具体用于给出对评分记录的选择规范说明。

优选地，所述分析及建议指导模块具体包括：

整体测评描述标准库，具体用于指导基于整体测评判定的记录规范；

问题描述标准库，具体用于规范选择安全问题的描述；

危害分析标准库，具体用于规范选择因安全问题造成的危害及风险影响分析说明；

问题处置标准库，具体用于规范基于安全问题的处置建议说明；

整改建议标准库，具体用于规范针对安全问题的整改建议说明。

优选地，所述结果评分指导模块，具体用于提取所述测评判定指导模块内判定分值，通过预定的控制点得分计算公式完成单元测评结果分类统计、系统安全保障情况得分统计，组合所述测评标准管理模块、所述测评操作指导模块、所述测评判定指导模块、所述分析及建议指导模块的数据，设置完成安全问题汇总表、修正后的安全问题汇总表、信息系统安全问题风险分析表。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中提供的一种网络安全测评及项目质量评估系统包括：项目数据库模块、测评标准管理模块、测评操作指导模块、测评判定指导模块、分析及建议指导模块，结果评分指导模块、质量审核模块、质量评分统计分析模块；所述项目数据库模块，用于项目立项管理及项目进度管理；所述测评标准管理模块，用于对测评类型及测评标准的选择管理；所述测评操作指导模块，用于设定规范测评操作要求及记录标准数据信息；所述测评判定指导模块，用于设定规范判定规则及记录评分数据信息；所述分析及建议指导模块，用于设定规范的问题分析规则及风险影响记录；所述结果评分指导模块，用于设定规范的结果算分标准及记录测评分值数据；所述质量审核模块，用于根据设定的规则进行内容比对质量评分及审核项目完成情况；所述质量评分统计分析模块，用于统计各项目质量评分的情况。本实施例中，通过标准库、操作指南库、判定依据库、判定评分准则、问题分析库、整改知识库、标准风险计算方法等措施令测评更准确，结果更标准，提供了一种能提高测评记录、统一问题判定标准，并将其融入到整个项目质量评估过程的系统，通过流程控制及合规库匹配的方法，能够解放人力使从繁琐的、主观的记录及问题判定操作中解脱出来，并根据项目开展的过程分别在现场记录及报告生产阶段，有更多的时间和更有效的审核依据提供给包括在记录及报告的完整性、准确性、一致性等内容质量评审的工作上，解决了现有网络安全测评过程中因为不同的工作方法耗时、耗力，对人员专业要求高，而导致的测评结果完整性、准确性、一致性等质量不稳定、不可管理的技术问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1本发明实施例中提供的一种网络安全测评及项目质量评估系统的一个实施例的结构示意图；

图2本发明实施例中提供的一种网络安全测评及项目质量评估系统的另一个实施例的结构示意图；

图3本发明实施例中提供的一种网络安全测评及项目质量评估系统部署图；

图4本发明实施例中提供的一种项目数据库模块的结构示意图；

图5本发明实施例中提供的一种测评标准管理模块的结构示意图；

图6本发明实施例中提供的一种测评操作指导模块的结构示意图；

图7本发明实施例中提供的一种测评判定指导模块的结构示意图；

图8本发明实施例中提供的一种分析及建议指导模块的结构示意图；

图9本发明实施例中提供的一种结果评分指导模块的结构示意图；

图10本发明实施例中提供的一种质量审核模块的结构示意图；

图11本发明实施例中提供的一种质量评分统计分析模块的结构示意图；

图12本发明实施例中提供的一种质量评估方法的一个实施例的流程示意图；

图13本发明实施例中提供的一种质量评估方法的另一个实施例的流程示意图；

图14本发明实施例中提供的一种质量评估装置的一个实施例的结构示意图；

图15本发明实施例中提供的一种质量评估装置的另一个实施例的结构示意图；

图16本发明实施例中提供的一种质量评估方法的另一个实施例的流程示意图；

图17本发明实施例中提供的一种质量评估方法的另一个实施例的流程示意图。

具体实施方式

本发明实施例提供了一种网络安全测评及项目质量评估系统，用于解决现有网络安全测评过程中因为不同的工作方法耗时、耗力，对人员专业要求高，而导致的测评结果完整性、准确性、一致性等质量不稳定、不可管理的技术问题。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明实施例中提供的一种网络安全测评及项目质量评估系统的一个实施例包括：

项目数据库模块1、测评标准管理模块2、测评操作指导模块3、测评判定指导模块4、分析及建议指导模块5，结果评分指导模块6、质量审核模块7、质量评分统计分析模块8；

所述项目数据库模块1，用于项目立项管理及项目进度管理；

所述测评标准管理模块2，用于对测评类型及测评标准的选择管理；

所述测评操作指导模块3，用于设定规范测评操作要求及记录标准数据信息；

所述测评判定指导模块4，用于设定规范判定规则及记录评分数据信息；

所述分析及建议指导模块5，用于设定规范的问题分析规则及风险影响记录；

所述结果评分指导模块6，用于设定规范的结果算分标准及记录测评分值数据；

所述质量审核模块7，用于根据设定的规则进行内容比对质量评分及审核项目完成情况；

所述质量评分统计分析模块8，用于统计各项目质量评分的情况。

进一步地，所述质量审核模块7具体包括：

审核子模块71，具体用于对项目进行审核；

划分子模块72，具体用于对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分；

统计子模块73，具体用于统计所述质量问题中对应级别的数量；

评分子模块74，具体用于通过所述质量问题中对应级别的数量和判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；

显示子模块75，具体用于显示对应质量评分的原因。

进一步地，所述质量评分统计分析模块8具体包括：

计算子模块81，具体用于通过预置的总分和项目的质量问题各级别的质量评分计算项目的质量得分。

进一步地，所述计算子模块81具体包括：

第一获取单元811，具体用于对项目的质量问题各级别的质量评分进行作和运算，获取项目的实际质量评分；

第二获取单元812，具体用于通过预置的总分和项目的实际质量评分获取项目的质量得分。

进一步地，所述项目数据库模块1具体包括：

项目名称标准库11，具体用于记录项目名称及客户信息；

被测系统信息标准库12，具体用于记录被测系统的全称、被测单位名称、被测单位负责人、测评编号、测评日期；

项目表数据库13，具体用于记录所述系统项目实施进度及质量评审进度。

进一步地，所述测评标准管理模块2具体包括：

测评类型标准库21，具体用于确定测评的分类；

测评行业标准库22，具体用于确定测评的行业范围；

测评级别标准库23，具体用于确定测评系统的安全等级和测评条款。

进一步地，所述测评操作指导模块3具体包括：

测评指导书标准库31，具体用于对各测评标准给出测评指导规范及操作说明；

合规记录模板标准库32，具体用于对各测评结果的合规情况给出标准的记录模板；

问题记录模板标准库33，具体用于对各测评结果的不合规情况给出标准的记录模板。

进一步地，所述测评判定指导模块4具体包括：

评分标准库41，具体用于指导对评分的判定标准说明；

评分记录标准库42，具体用于给出对评分记录的选择规范说明。

进一步地，所述分析及建议指导模块5具体包括：

整体测评描述标准库51，具体用于指导基于整体测评判定的记录规范；

问题描述标准库52，具体用于规范选择安全问题的描述；

危害分析标准库53，具体用于规范选择因安全问题造成的危害及风险影响分析说明；

问题处置标准库54，具体用于规范基于安全问题的处置建议说明；

整改建议标准库55，具体用于规范针对安全问题的整改建议说明。

进一步地，所述结果评分指导模块6，具体用于提取所述测评判定指导模块内判定分值，通过预定的控制点得分计算公式完成单元测评结果分类统计、系统安全保障情况得分统计，组合所述测评标准管理模块、所述测评操作指导模块、所述测评判定指导模块、所述分析及建议指导模块的数据，设置完成安全问题汇总表、修正后的安全问题汇总表、信息系统安全问题风险分析表。

本实施例中，通过标准库、操作指南库、判定依据库、判定评分准则、问题分析库、整改知识库、标准风险计算方法等措施令测评更准确，结果更标准，提供了一种能提高测评记录、统一问题判定标准，并将其融入到整个项目质量评估过程的系统，通过流程控制及合规库匹配的方法，能够解放人力使从繁琐的、主观的记录及问题判定操作中解脱出来，并根据项目开展的过程分别在现场记录及报告生产阶段，有更多的时间和更有效的审核依据提供给包括在记录及报告的完整性、准确性、一致性等内容质量评审的工作上，解决了现有网络安全测评过程中因为不同的工作方法耗时、耗力，对人员专业要求高，而导致的测评结果完整性、准确性、一致性等质量不稳定、不可管理的技术问题。

本实施例针对网络安全的测评的过程更标准化、简易化，能实现除了专业的安全测评机构外，面向大众的各类行业客户均能使用此方案的系统开展自行评估，解决了针对现有网络安全测评过程中因为不同的工作方法的耗时、耗力，对人员专业要求高，而导致的测评结果完整性、准确性、一致性等质量不稳定、不可管理的技术问题，通过标准库、操作指南库、判定依据库、判定评分准则、问题分析库、整改知识库、标准风险计算方法等措施令测评更准确，结果更标准，解决了针对现有测评过程中及测评完成后的交付材料质量的控制普通效率较低的同时质量检测及控制的效果也不好，最终导致对网络安全测评项目开展过程中缺乏质量评估工作的管理的技术问题，通过一种质量管理流程及针对测评结果的质量判定依据及计分标准进行控制，对质量情况分等级进行审核，最终实现项目过程及结论的较高的质量保障，通过对测评工作开展过程工具化的实现，解决了目前测评工作过程中记录材料及客户信息的多口存放及测评数据保密措施不严禁的技术问题，通过工具确保测评工作过程中产生的数据不在任何个人终端中存放，能通过有效的加密措施实时的集中的存储与后台的数据中心，保障网络安全测评大数据的安全。在系统模块方面，本实施例采用通过业务集成总线，采用j2ee的模式，将系统分为前台视图和后台控制两个大模块，前台视图模块包括业务操作所需的子项目，后台图模块包括通过开发平台实现的各业务功能；在系统部署方面，本实施例采用基于https及基于安全虚拟专网的加密传输来支持系统以b/s的结构通过友善的操作和管理界面使得在项目实施过程能快速有效的实施，并确保本地不保存测评记录数据；在系统功能方面，本实施例将积累并设计一套科学的系统流程，并且本实施例针对流程内的关键操作节点提供相应的支撑数据库模块，基本包括：1)项目数据库模块1，用于项目立项管理及项目进度管理；2)测评标准管理模块2，用于对测评类型及测评标准的选择管理；3)测评操作指导模块3，用于设定规范测评操作要求及记录标准数据信息；4)测评判定指导模块4，用于设定规范判定规则及记录评分数据信息；5)分析及建议指导模块5，用于设定规范的问题分析规则及风险影响记录；6)结果评分指导模块6，用于设定规范的结果算分标准及记录测评分值数据；7)质量审核模块7，用于根据设定的规则进行内容比对质量评分及审核项目完成情况；8)质量评分统计分析模块8，用于统计各项目质量评分的情况。

本发明实施例中提供的一种网络安全测评及项目质量评估系统的一个应用例为：

a1.根据项目立项的模式设计单个测评项目的执行过程：项目立项、标准选择、资产调研、测评记录、测评记录审核、记录汇总分析、报告/报表编制、测评报告审核、项目完结。

a2.建立测评操作指导模块，包括：测评操作指导标准库，用于记录对各类测评标准的具体操作要求信息；测评结果记录标准库，用于对每项测评结果的预期内容进行标准化规范，其规范库内容包括合规的记录标准、不合规的记录标准；

a3.建立测评判定指导模块，包括：评分记录标准库，用于对每个测评项目记录内容及评分要求进行标准化的选择；评分分值标准库，用于对每项评分记录的选择结果进行统一的分值评定。

a4.建立测评问题分析及整改建议指导模块，包括：整改建议标准库，用于对每项测评结果发现的问题进行统一的整改指导；问题描述及危害分析标准库，用于对测评记录发现问题部分的分析及所产生危害进行统一的信息描述；整体评价建议标准库，用于整体测评发现的对某控制点或某层面间的问题进行统一的作用增补评价。

a5.建立测评结果评分指导模块，包括：测评风险评估标准库，用于对测评记录发现问题的风险进行统一的对应；测评分值标准库，用于对测评结果的评分进行统一算法的计算。

a6.建立质量审核指导模块，包括：测评过程记录结果审核标准库，用于对测评记录结果的评价标准与记录；测评报告审核标准库，用于对测评报告生成结果的评价标准与记录。

a7.建立项目测评过程记录工作质量审核模块，用于对调研、测评记录结果的提交进行审核。

a8.建立项目报告工作质量审核模块，用于对测评评分、结论等报告结果的提交进行审核。

a9.建立一种技术方案，提供一种针对质量审核评估的方法，包括：将测评记录过程和报告编制过程独立开展审核；将记录过程模块和报告生产的结果导入到质量审核模块中；在质量审核模块设定相应的质量评分规则和质量问题反馈机制；在质量审核模块中分别对测评记录及测评报告进行评分。

a10.建立项目质量分析模块，对项目的测评记录及报告审核质量情况进行统一分析。

本发明实施例中提供的一种网络安全测评及项目质量评估系统对比现有技术有如下的有益效果：解决信息安全测评项目管理混乱，无法有效把握针对客户为单位的项目实施进度及项目周期，无法对某一周期内客户的信息安全情况进行分析汇总；解决测评机构的测评人员水平参差不齐，项目实施结果的准确性影响比较大，对检查内容、深度、问题发现及记录描述的差异性较大，导致测评记录的准确性大打折扣；解决在问题分析、风险评价、标准计算、整体安全性评分的过程中存在众多的依赖于测评人员的经验和感觉的行为，导致安全评价结果的准确性不一致。解决在项目过程中缺乏审核的机制，对调研、记录、分析、报告整个过程缺乏质量审核措施，导致项目出现低级错误或与事实不符的情况。

请参阅图2，本发明实施例中提供的一种网络安全测评及项目质量评估系统的另一个实施例，通过业务集成总线，采用j2ee的模式，将系统分为前台视图和后台控制两个大模块。前台视图模块包括业务操作所需的子项目包括：系统管理、项目管理、项目实施、扫描信息导入、审核管理、报告管理等内容。后台视图模块包括通过开发平台实现：视图层(流程设计、报表设计、ajax处理器)，业务逻辑层(通用业务处理软件、工作流引擎构件、报表处理构件、报告处理构件、各自定义构件)，系统管理层(权限控制管理、系统日志管理、异常处理管理)。

请参阅图3，本发明实施例中提供的一种网络安全测评及项目质量评估系统将采用b/s的结构通过友善的操作和管理界面使得在项目实施过程能快速有效的实施：1、在测评人员实施项目及填写记录的时候，需通过本系统才可登录，项目记录结果直接存储与测评管理系统中，测评人员本地不保存测评记录数据。2、测评系统在互联网间的传输全程基于https及基于安全虚拟专网的加密传输。3、测评及项目质量评估系统基于应用服务器、数据库服务器、存储的模式部署，其中涉及操作系统、数据库系统、应用中间件系统、操作控件等内容。

如图1，本发明实施例中提供的一种网络安全测评及项目质量评估系统将通过以下结构模式(图4—图9)开展业务工作：项目数据库模块1，用于项目立项管理及项目进度管理；测评标准管理模块2，用于对测评类型及测评标准的选择管理；测评操作指导模块3，用于设定规范测评操作要求及记录标准数据信息；测评判定指导模块4，用于设定规范判定规则及记录评分数据信息；分析及建议指导模块5，用于设定规范的问题分析规则及风险影响记录；结果评分指导模块6，用于设定规范的结果算分标准及记录测评分值数据；质量审核模块7，用于根据设定的规则进行内容比对质量评分及审核项目完成情况；质量评分统计分析模块8，用于统计各项目质量评分的情况。

如图4，所述项目数据库模块1包括：项目名称标准库11，用于记录项目名称及客户信息；被测系统信息标准库12，用于被测系统的全称、被测单位名称、被测单位负责人、测评编号、测评日期；项目表数据库13，用于记录此系统项目实施进度记录及质量评审进度记录。

如图5，所述测评标准管理模块2包括：测评类型标准库21，用于确定测评的分类如安全等级测评或风险评估或电子政务安全测评等；测评行业标准库22，用于确定测评涉及的行业范围如通用类、金融类、电力类、税务类、证券类、广电类等；测评级别标准库23，用于确定测评系统的安全等级及具体的测评条款。

如图6，所述测评操作指导模块3包括：测评指导书标准库31，用于对各测评标准给出具体的测评指导规范及操作说明；合规记录模板标准库32，用于对各测评结果的合规(符合)情况给出标准的记录模板；问题记录模板标准库33，用于对各测评结果的不合规(不符合)情况给出标准的记录模板。

如图7，测评判定指导模块4包括：评分标准库41，用于指导对评分的判定标准说明；评分记录标准库42，用于给出对评分记录的选择规范说明。

如图8，分析及建议指导模块5包括：整体测评描述标准库51，用于指导基于整体测评判定的记录规范；问题描述标准库52，用于规范选择安全问题的概括性描述；危害分析标准库53，用于规范选择因安全问题造成的危害及风险影响分析说明；问题处置标准库54，用于规范基于安全问题的概括性处置建议说明；整改建议标准库55，用于规范针对安全问题详细的整改建议说明。

如图9，结果评分指导模块6包括：用于提取测评判定指导模块4内判定分值，分值抽取情况包括各被测评资产修正前符合程度及修正后测评项符合程度，并参考公安部提供的控制点得分计算公式完成单元测评结果分类统计、系统安全保障情况得分统计；组合测评标准管理模块2、所述测评操作指导模块3、所述测评判定指导模块4、所述分析及建议指导模块5的相关数据，用于设置完成安全问题汇总表、修正后的安全问题汇总表、信息系统安全问题风险分析表。

如图10，质量审核模块7具体包括：审核子模块71，具体用于对项目进行审核；划分子模块72，具体用于对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分；统计子模块73，具体用于统计所述质量问题中对应级别的数量；评分子模块74，具体用于通过所述质量问题中对应级别的数量和判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；显示子模块75，具体用于显示对应质量评分的原因，质量审核模块7用于对项目的调研记录、现场评测记录、评分判定、报告等进行审核，对审核发现的问题分等级给予质量评分。其工作开展模式主要是针对各级项目机构完成记录、报告表的完整性、记录的标准性、判定的准确性、格式的合规性等比对指导库进行判断，并给出质量分值和扣分原因。

如图11，质量评分统计分析模块8具体包括：计算子模块81，具体用于通过预置的总分和项目的质量问题各级别的质量评分计算项目的质量得分。所述计算子模块具体包括：第一获取单元811，具体用于对项目的质量问题各级别的质量评分进行作和运算，获取项目的实际质量评分；第二获取单元812，具体用于通过预置的总分和项目的实际质量评分获取项目的质量得分。质量评分统计分析模块用于对每个项目报告的审核质量进行统一评分，并对报告、记录表质量评估统计，对报告、记录表等的项目情况进行多维度的统计分析，如：信息系统等级、测评频率、时间分布等等。对审核质量评分结果进行多口径的统计分析，如：现场记录质量情况、报告质量情况、项目负责人质量分布情况、项目类型质量分布情况等等。

本发明实施例中提供的一种网络安全测评及项目质量评估系统，具备完善的功能控制管理，可以解放人力使从繁琐和不规范的测评记录编制、报告编制的操作中解脱出来，满足《信息系统安全等级保护测评要求》的测评方法及报告编制模板，有更多的时间和精力集中在现场检查记录和报告编制的内容质量评估工作上，通过标准模板的数据库识别、测评记录模板库选择、整改建议模板库选择、问题分析模板库选择等辅助功能，满足《信息系统安全等级保护基本要求》信息系统评分标准的算法模型，为提升评估工作的能力和质量提供有力支撑，通过质量审核模块，在现场记录阶段及报告编制阶段分别展开质量审核流程，通过对各级项目机构完成记录、报告表的完整性、记录的标准性、判定的准确性、格式的合规性等比对指导库进行判断，并给出质量分值和扣分原因，通过质量评分统计分析模块，采用统一的质量评分方法，对审核质量进行统一评分，并对报告、记录表质量评估统计，对报告、记录表等的项目情况进行多维度的统计分析，从而提升了网络安全测评项目记录及报告的项目实施质量，提升了项目记录及报告质量的评估能力，为指导项目质量审核工作，提供客观的分析依据，从而促进提高整体报告/报表质量水平，最终提升网络安全检测工作的质量。

如图12，本发明实施例中提供的一种质量评估方法的一个实施例包括：

101、对预定的工作报告进行审核，对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分并通过判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；

在评分规则中设立评分规则，在记录表/报告中抽样进行质量评审；质量审核模块对记录表/报告情况进行质量评分，对项目的调研记录、现场评测记录、评分判定、报告等进行审核，对审核发现的问题分等级给予质量评分。其工作开展模式主要是针对各级项目机构完成记录、报告表的完整性、记录的标准性、判定的准确性、格式的合规性等比对指导库进行判断，并给出质量分值和扣分原因。

102、对所述工作报告的质量问题各级别的质量评分进行统计分析。

对质量结果进行审核，质量评分统计模块对现场记录质量/报告记录质量进行统计分析，对每个项目报告的审核质量进行统一评分，并对报告、记录表质量评估统计，对报告、记录表等的项目情况进行多维度的统计分析，如：信息系统等级、测评频率、时间分布等等。对审核质量评分结果进行多口径的统计分析，如：现场记录质量情况、报告质量情况、项目负责人质量分布情况、项目类型质量分布情况等等。

本实施例中，通过质量审核模块在现场记录阶段及报告编制阶段分别展开质量审核流程，通过对各级项目机构完成记录、报告表的完整性、记录的标准性、判定的准确性、格式的合规性等比对指导库进行判断，并给出质量分值和扣分原因，采用统一的质量评分方法，对审核质量进行统一评分，并对报告、记录表质量评估统计，对报告、记录表等的项目情况进行多维度的统计分析，从而提升网络安全测评项目记录及报告的项目实施质量，提升了项目记录及报告质量的评估能力，为指导项目质量审核工作，提供客观的分析依据，从而促进提高整体报告/报表质量水平，最终提升网络安全检测工作的质量，解决了对网络安全测评项目开展过程中缺乏质量评估工作的管理，对项目结果需要投入较多的人力和时间，不能有效识别检测报告表的质量问题，对项目整体开展的质量情况统计分析的能力也有限的技术问题。

上面是对一种质量评估方法进行详细的描述，下面将对一种质量评估方法的过程进行详细的描述，请参阅图13，本发明实施例中提供的一种质量评估方法的另一个实施例包括：

201、接收预定的工作报告；

将现场记录/报告结果导入到质量审核模块中；在评分规则中设立评分规则；在记录表/报告中抽样进行质量评审；质量审核模块对记录表/报告情况进行质量评分；对质量结果进行审核；质量评分统计模块对现场记录质量/报告记录质量进行统计分析。

202、对预定的工作报告进行审核，对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分，统计所述质量问题中对应级别的数量，并通过所述质量问题中对应级别的数量和判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分并显示对应的原因；

如图12、13、16、17所示，质量审核模块对项目的调研记录、现场评测记录、评分判定、报告等进行审核，对审核发现的质量问题进行预置的指导库中如表2的个别错误、排版错误、内容错误、判定错误、信息错误分别划分为一级错误、二级错误、三级错误、四级错误、五级错误等级，统计所述质量问题中对应级别的数量，通过所述质量问题中对应级别的数量，通过扣分标准如表1所示，判断所述质量问题是否全部覆盖指导库中如表2中对应级别中的内容并通过扣分标准如表1给予对应级别的质量评分。其工作开展模式主要是针对各级项目机构完成记录、报告表的完整性、记录的标准性、判定的准确性、格式的合规性等比对指导库进行判断，并给出质量分值和扣分原因。

其中扣分标准如表1所示：

表1

审核控制标准及扣分，如表2所示：

表2

203、对所述工作报告的质量问题各级别的质量评分进行作和运算，获取所述工作报告的实际质量评分，通过预置的总分和所述工作报告的实际质量评分获取所述工作报告的质量得分。

对所述工作报告的质量问题各级别的质量评分或者扣分进行作和运算，获取所述工作报告的质量问题各级别的质量评分或者扣分的总和即实际质量评分或实际扣分，其中实际质量评分如表3中的实际扣分，通过预置的总分，如表1中的现场记录总分20分，报告质量总分20分，也可以设置为30分、40分、50分、100分等，通过预置的总分减去总的实际扣分，获取所述工作报告的质量得分。

质量评分统计分析模块对每个项目报告的审核质量进行统一评分，并对报告、记录表质量评估统计，对报告、记录表等的项目情况进行多维度的统计分析，如：信息系统等级、测评频率、时间分布等等。对审核质量评分结果进行多口径的统计分析，如：现场记录质量情况、报告质量情况、项目负责人质量分布情况、项目类型质量分布情况等等。

项目a的质量审核得分情况判定的一个应用例：项目a，对应质量审核发现一级质量问题的数量为33个，对应扣取2分；发现二级质量问题的数量为13个，对应扣取1分；发现三级质量问题的数量为14个，对应扣取4分；发现四级质量问题的数量为10个扣取5分；发现五级质量问题的数量为5个，扣取6分；其项目a实际的质量得分为2分，转换为百分制其质量分为10分，如表3所示，此表是下面扣分标准的一个案例，其中“数量统计”指的是在一个信息系统报告里面出现某类级别的质量问题的数量，就此例子每行代表的是一个信息系统，其中33是此系统报告出现了一级质量问题的数量。项目质量审核得分的应用例如表3所示：

表3

对表3质量扣分标准的公式采用if函数的应用，即if(条件判断,成立运行这个参数,否则运行这个参数)，其中对每个级别的扣分标准公式如表4所示：(对一至五级质量问题情况的质量扣分标准进行详细说明)

表4

本实施例中，通过将现场记录/报告结果导入到质量审核模块中；在评分规则中设立评分规则；在记录表/报告中抽样进行质量评审；质量审核模块对记录表/报告情况进行质量评分；对质量结果进行审核；质量评分统计模块对现场记录质量/报告记录质量进行统计分析，通过质量审核模块，在现场记录阶段及报告编制阶段分别展开质量审核流程，通过对各级项目机构完成记录、报告表的完整性、记录的标准性、判定的准确性、格式的合规性等比对指导库进行判断，并给出质量分值和扣分原因，通过质量评分统计分析模块，采用统一的质量评分方法，对审核质量进行统一评分，并对报告、记录表质量评估统计，对报告、记录表等的项目情况进行多维度的统计分析，提升了网络安全测评项目记录及报告的项目实施质量和项目记录及报告质量的评估能力，为指导项目质量审核工作，提供客观的分析依据，从而促进提高整体报告/报表质量水平，最终提升网络安全检测工作的质量，解决了对网络安全测评项目开展过程中缺乏质量评估工作的管理，对项目结果需要投入较多的人力和时间，不能有效识别检测报告表的质量问题，对项目整体开展的质量情况统计分析的能力也有限的技术问题。

请参阅图14，本发明实施例中提供的一种质量评估装置的一个实施例包括：

评分单元301，用于对预定的工作报告进行审核，对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分并通过判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；

统计分析单元302，用于对所述工作报告的质量问题各级别的质量评分进行统计分析。

本实施例中，通过评分单元301对预定的工作报告进行审核，对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分并通过判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分，并通过统计分析单元302对所述工作报告的质量问题各级别的质量评分进行统计分析，提升了网络安全测评项目记录及报告的项目实施质量和项目记录及报告质量的评估能力，为指导项目质量审核工作，提供客观的分析依据，从而促进提高整体报告/报表质量水平，最终提升网络安全检测工作的质量，解决了对网络安全测评项目开展过程中缺乏质量评估工作的管理，对项目结果需要投入较多的人力和时间，不能有效识别检测报告表的质量问题，对项目整体开展的质量情况统计分析的能力也有限的技术问题。

上面是对一种质量评估装置进行详细的描述，下面将对一种质量评估装置各附加单元进行详细的描述，请参阅图15，本发明实施例中提供的一种质量评估装置的另一个实施例包括：

接收单元401，具体用于接收预定的工作报告；

评分单元402，用于对预定的工作报告进行审核，对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分并通过判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；

所述评分单元402具体包括：

审核子单元4021，具体用于对预定的工作报告进行审核；

划分子单元4022，具体用于对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分；

统计子单元4023，具体用于统计所述质量问题中对应级别的数量；

评分子单元4024，具体用于通过所述质量问题中对应级别的数量和判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分；

显示子单元4025，具体用于显示对应质量评分的原因。

统计分析单元403，用于对所述工作报告的质量问题各级别的质量评分进行统计分析。

所述统计分析单元403具体包括：

计算子单元4031，具体用于通过预置的总分和所述工作报告的质量问题各级别的质量评分计算所述工作报告的质量得分。

所述计算子单元4031具体包括：

第一获取模块40311，具体用于对所述工作报告的质量问题各级别的质量评分进行作和运算，获取所述工作报告的实际质量评分；

第二获取模块40312，具体用于通过预置的总分和所述工作报告的实际质量评分获取所述工作报告的质量得分。

本实施例中，通过接收单元401接收预定的工作报告，通过评分单元402对预定的工作报告进行审核，对审核发现的质量问题进行预置的指导库的个别错误、排版错误、内容错误、判定错误、信息错误级别划分并通过判断所述质量问题是否全部覆盖所述指导库中对应级别的内容进行对应级别的质量评分，通过统计分析单元403对所述工作报告的质量问题各级别的质量评分进行统计分析，提升了网络安全测评项目记录及报告的项目实施质量和项目记录及报告质量的评估能力，为指导项目质量审核工作，提供客观的分析依据，从而促进提高整体报告/报表质量水平，最终提升网络安全检测工作的质量，解决了对网络安全测评项目开展过程中缺乏质量评估工作的管理，对项目结果需要投入较多的人力和时间，不能有效识别检测报告表的质量问题，对项目整体开展的质量情况统计分析的能力也有限的技术问题。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。