朱圣才

摘 ? 要：網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度（以下簡(jiǎn)稱等級(jí)保護(hù)2.0）已于2019年12月1日開始實(shí)施，為我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作提供新的指南，是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度。相比等級(jí)保護(hù)1.0時(shí)代，等級(jí)保護(hù)2.0時(shí)代更加注重主動(dòng)防御，在安全通用要求基礎(chǔ)上對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制、大數(shù)據(jù)提出了安全擴(kuò)展的要求，覆蓋度更加全面。文章基于等級(jí)保護(hù)2.0的防護(hù)框架，以高校信息化建設(shè)挑戰(zhàn)為出發(fā)點(diǎn)，建設(shè)高校網(wǎng)絡(luò)安全防護(hù)體系，是解決目前高校網(wǎng)絡(luò)安全等級(jí)保護(hù)覆蓋率低、推進(jìn)高校信息化建設(shè)的重要途經(jīng)，是落實(shí)高校網(wǎng)絡(luò)安全建設(shè)的重要組成部分。

關(guān)鍵詞：等級(jí)保護(hù);網(wǎng)絡(luò)安全;信息化;模型;體系建設(shè)

中圖分類號(hào)： TP393.08 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The Cybersecurity Classified Protection 2.0 system has been formally implemented on December 1， 2019， which provides new guidance for the work of Cybersecurity Classified Protection in China. It is the basic national policy and basic system in the field of Cybersecurity. Compared with the 1.0 era， the 2.0 era pays more attention to active defense. On the basis of general security requirements， it puts forward security expansion requirements for cloud computing， Internet of things， mobile Internet， industrial control and big data， with more comprehensive coverage. Based on the protection framework of Classified Protection of Cybersecurity 2.0 and the challenge of information construction in Colleges and universities， the paper constructs the Cybersecurity protection system in Colleges and universities to solve the low coverage of Classified Protection of Cybersecurity 2.0. It is an important way to promote the information construction and an important part of the implementation of Cybersecurity construction in Colleges and universities.

Key words： classified protection; cybersecurity; informatization; model; system construction

1 引言

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）為網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的落地實(shí)施提供了基本的保護(hù)要求清單，網(wǎng)絡(luò)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的正式發(fā)布標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)由1.0時(shí)代邁入2.0時(shí)代，由此明確等級(jí)保護(hù)2.0時(shí)代的工作要求。高校作為各自網(wǎng)絡(luò)安全等級(jí)保護(hù)的責(zé)任主體，有落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的義務(wù)。因此，構(gòu)建高校網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0框架下的高校網(wǎng)絡(luò)安全體系，是構(gòu)建完善的高校防御體系，賦予專業(yè)的運(yùn)維管理、建立安全保護(hù)制度、落實(shí)安全責(zé)任的重要途經(jīng)。

2 等級(jí)保護(hù)2.0

等級(jí)保護(hù)1.0時(shí)代，《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）為我國(guó)信息安全等級(jí)保護(hù)制度的推進(jìn)與落實(shí)提供了指導(dǎo)，在等級(jí)保護(hù)1.0時(shí)代的10年里，《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）為各行業(yè)、各領(lǐng)域開展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)、整改、測(cè)評(píng)提供了指導(dǎo)。隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動(dòng)應(yīng)用等新興技術(shù)的發(fā)展，《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）在易用性、普適性、可操作性上需要進(jìn)一步完善，適應(yīng)新技術(shù)、新環(huán)境、新時(shí)代的需求。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（本文簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）正式實(shí)施，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，至此網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入法治時(shí)代;2019年12月1日，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0正式實(shí)施，標(biāo)志著《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）正式實(shí)施。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代就此落地。相比等級(jí)保護(hù)1.0時(shí)代，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0具有四點(diǎn)優(yōu)勢(shì)。

（1）適合《網(wǎng)絡(luò)安全法》中的專業(yè)表述。《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）中強(qiáng)調(diào)信息系統(tǒng)安全等級(jí)保護(hù);《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）中強(qiáng)調(diào)網(wǎng)絡(luò)安全等級(jí)保護(hù)，信息系統(tǒng)安全等級(jí)保護(hù)到網(wǎng)絡(luò)安全等級(jí)保護(hù)是落實(shí)《網(wǎng)絡(luò)安全法》中國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的核心措施之一，是完善新時(shí)代網(wǎng)絡(luò)安全工作法治化的有效手段。

（2）提出安全通用要求和安全擴(kuò)展要求概念模型?！缎畔踩夹g(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）中強(qiáng)調(diào)各個(gè)級(jí)別的安全要求;《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）中強(qiáng)調(diào)安全通用要求和安全擴(kuò)展要求，安全通用要求具有較強(qiáng)的普適性，安全擴(kuò)展要求具有較強(qiáng)的可擴(kuò)展性，包括云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等。

（3）等級(jí)保護(hù)對(duì)象不再限定?！缎畔踩夹g(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）中強(qiáng)調(diào)信息系統(tǒng)安全等級(jí)保護(hù)的對(duì)象為單個(gè)的信息系統(tǒng);《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）中強(qiáng)調(diào)網(wǎng)絡(luò)安全等級(jí)保護(hù)的對(duì)象為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。

（4）基本要求控制層面更加完善?！缎畔踩夹g(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）中強(qiáng)調(diào)技術(shù)層面的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和備份與恢復(fù)，管理層面的安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理;《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）中強(qiáng)調(diào)技術(shù)層面的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心，管理層面的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

3 等級(jí)保護(hù)2.0挑戰(zhàn)高校信息化建設(shè)

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代，相比1.0時(shí)代的“自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)”轉(zhuǎn)為“明確等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)管”的安全體系建設(shè)。同時(shí)，等級(jí)保護(hù)2.0時(shí)代還突出風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、應(yīng)急響應(yīng)與應(yīng)急處置。構(gòu)建一體化的網(wǎng)絡(luò)安全綜合防控體系是目前高校信息化建設(shè)遇到的主要挑戰(zhàn)。

（1）數(shù)據(jù)中心網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0建設(shè)尚未落實(shí)。等級(jí)保護(hù)1.0時(shí)代，信息化建設(shè)以信息系統(tǒng)為基本單位，等級(jí)保護(hù)以信息系統(tǒng)為基本單位進(jìn)行定級(jí)、備案、測(cè)評(píng)、整改?；诟咝Ｐ畔⑾到y(tǒng)基數(shù)較高，互聯(lián)網(wǎng)訪問的信息系統(tǒng)數(shù)量以千為數(shù)量級(jí)的不在少數(shù)，以等級(jí)保護(hù)1.0的機(jī)制處理這類問題，存在工作量大、體制機(jī)制不完善、人員經(jīng)費(fèi)不配套等一系列問題。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0為該項(xiàng)工作提供了一種較好的處理方案，以學(xué)校數(shù)據(jù)中心為等級(jí)保護(hù)對(duì)象，對(duì)數(shù)據(jù)中心進(jìn)行定級(jí)、備案、測(cè)評(píng)、整改工作，其他服務(wù)以數(shù)據(jù)中心為底層架構(gòu)，依附于學(xué)校數(shù)據(jù)中心，減少等級(jí)保護(hù)的工作量。然而，等級(jí)保護(hù)2.0啟動(dòng)處于初始階段，高校數(shù)據(jù)中心網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)尚未落實(shí)，還需一定的時(shí)間進(jìn)行完善。

（2）事前監(jiān)測(cè)預(yù)警工作尚未取得成效。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0明確提出網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警工作，包括態(tài)勢(shì)感知、流量監(jiān)控、APT攻擊等，高校信息化建設(shè)是服務(wù)于學(xué)校的教學(xué)、科研和管理。信息化角色更多的體現(xiàn)在服務(wù)上，類似的態(tài)勢(shì)感知、APT攻擊都是基于網(wǎng)絡(luò)安全防控體系的構(gòu)建，需要大量的經(jīng)費(fèi)和人力支撐，目前尚未有高校有比較成熟的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警方案。多數(shù)高校采用購(gòu)買服務(wù)的形式與監(jiān)測(cè)預(yù)警進(jìn)行關(guān)聯(lián)，這種工作模式尚未真正達(dá)到事前監(jiān)測(cè)預(yù)警的目的，成效不顯著。

（3）網(wǎng)絡(luò)安全綜合防控體系尚未建成。網(wǎng)絡(luò)安全綜合防控體系是等級(jí)保護(hù)2.0時(shí)代和網(wǎng)絡(luò)安全法治時(shí)代對(duì)網(wǎng)絡(luò)安全工作的建設(shè)要求，網(wǎng)絡(luò)安全綜合防控體系最典型、最顯著的一個(gè)成效就是365×24的監(jiān)控體系的建成。例如，國(guó)家重要網(wǎng)絡(luò)安全保障時(shí)段、各省份重要網(wǎng)絡(luò)安全保障時(shí)段、各高校寒暑假時(shí)段等，如何應(yīng)對(duì)此類時(shí)間段的365×24的網(wǎng)絡(luò)安全保障。目前尚未有較為成型或者參考的方案，各高校網(wǎng)絡(luò)安全綜合防控體系尚未建成。

（4）網(wǎng)絡(luò)安全執(zhí)法檢查力度進(jìn)一步加強(qiáng)?！毒W(wǎng)絡(luò)安全法》正式實(shí)施，為網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的執(zhí)法檢查提供了明確的法律支撐。然而高校網(wǎng)絡(luò)安全建設(shè)與信息化建設(shè)未落實(shí)“同步規(guī)劃、同步實(shí)施”的原則，網(wǎng)絡(luò)安全建設(shè)遠(yuǎn)遠(yuǎn)滯后于信息化建設(shè)?；诖?，公安部門對(duì)高校的網(wǎng)絡(luò)安全執(zhí)法力度相對(duì)較頻繁，以華東師范大學(xué)為例，每年公安網(wǎng)絡(luò)安全等級(jí)保護(hù)執(zhí)法檢查2次。

（5）移動(dòng)互聯(lián)應(yīng)用尚未納入等保工作范疇。隨著移動(dòng)APP的發(fā)展，各高校都建設(shè)有自己的官方移動(dòng)APP、教學(xué)APP、科研APP等，但這類移動(dòng)APP的建設(shè)工作尚未納入網(wǎng)絡(luò)安全等級(jí)保護(hù)工作要求。移動(dòng)互聯(lián)應(yīng)用未完成網(wǎng)絡(luò)安全等級(jí)保護(hù)備案、互聯(lián)網(wǎng)信息服務(wù)備案、教育移動(dòng)應(yīng)用程序備案等一系列規(guī)范化的工作。

4 基于等級(jí)保護(hù)2.0框架下高校網(wǎng)絡(luò)安全建設(shè)模型

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）規(guī)定，網(wǎng)絡(luò)安全等級(jí)保護(hù)第一級(jí)到第四級(jí)的保護(hù)對(duì)象均按照安全通用要求和安全擴(kuò)展要求構(gòu)成，即安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求、大數(shù)據(jù)安全擴(kuò)展要求，建立“可信、可控、可管”的網(wǎng)絡(luò)安全防護(hù)體系。

（1）可信。即可信認(rèn)證為基礎(chǔ)，構(gòu)建一個(gè)可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境，即用戶、平臺(tái)、程序都是可信的，確保用戶無法被冒充、病毒無法執(zhí)行、入侵行為無法成功?？尚诺沫h(huán)境保證業(yè)務(wù)系統(tǒng)永遠(yuǎn)都能夠按照設(shè)計(jì)的預(yù)期的方式執(zhí)行，不會(huì)出現(xiàn)非預(yù)期的流程，從而保障業(yè)務(wù)系統(tǒng)安全可信。

（2）可控。即以訪問控制技術(shù)為核心，實(shí)現(xiàn)主體對(duì)客體的受控訪問，保證所有的訪問行為均在可控范圍之內(nèi)進(jìn)行，在防范內(nèi)部攻擊的同時(shí)有效地防止從外部發(fā)起的攻擊行為。對(duì)用戶訪問權(quán)限的控制可以確保系統(tǒng)中的用戶不會(huì)出現(xiàn)越權(quán)操作，永遠(yuǎn)都按照系統(tǒng)設(shè)計(jì)的策略進(jìn)行資源訪問，保證系統(tǒng)的信息安全可控。

（3）可管。即通過構(gòu)建集中管控、最小權(quán)限管理和三權(quán)分立的管理平臺(tái)，為管理員創(chuàng)建一個(gè)工作平臺(tái)，使其可以進(jìn)行技術(shù)平臺(tái)支撐下的安全策略管理，從而保證信息系統(tǒng)安全可管。

網(wǎng)絡(luò)安全層面建立以結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界安全檢查、入侵防范、惡意代碼防范、設(shè)備防護(hù)為主要控制點(diǎn);主機(jī)安全層面建立以身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制為主要控制點(diǎn);應(yīng)用層面建立以身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、防抵賴、軟件容錯(cuò)、資源控制為主要控制點(diǎn);數(shù)據(jù)安全層面建立以數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)為主要控制點(diǎn)?；凇缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）的網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)體系。 結(jié)合高校信息化建設(shè)的現(xiàn)狀，以解決網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代高校信息化建設(shè)的挑戰(zhàn)為目標(biāo)，設(shè)計(jì)符合普適性、安全性、有效性并舉的高校網(wǎng)絡(luò)安全綜合防御體系是教育行業(yè)網(wǎng)絡(luò)安全工作者需要探索的課題。

人員角色是以高校網(wǎng)絡(luò)安全與信息化團(tuán)隊(duì)為核心，以高校信息化建設(shè)用戶為安全責(zé)任單位，以應(yīng)用系統(tǒng)開發(fā)商為運(yùn)維的角色劃分。各司其職，完成“可信、可控、可管”體系中的可管。

分層設(shè)計(jì)是以高校數(shù)據(jù)中心建設(shè)為基礎(chǔ)，高校網(wǎng)絡(luò)安全與信息化團(tuán)隊(duì)建立學(xué)校高質(zhì)量數(shù)據(jù)中心，對(duì)高校信息化建設(shè)用戶提供操作系統(tǒng)、存儲(chǔ)等部署環(huán)境。應(yīng)用系統(tǒng)開發(fā)商在現(xiàn)有環(huán)境下完成系統(tǒng)部署。高校網(wǎng)絡(luò)安全和信息化團(tuán)隊(duì)對(duì)學(xué)校數(shù)據(jù)中心下的安全負(fù)責(zé)，高校信息化建設(shè)用戶對(duì)接收到的操作系統(tǒng)、存儲(chǔ)等部署環(huán)境負(fù)責(zé)，應(yīng)用系統(tǒng)開發(fā)商對(duì)應(yīng)用系統(tǒng)及所需的中間件安全負(fù)責(zé)。

分類等保是以高校數(shù)據(jù)中心為核心，首先完成高校數(shù)據(jù)中心的網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)、整改，由高校網(wǎng)絡(luò)安全與信息化團(tuán)隊(duì)為主要責(zé)任單位落實(shí);以各級(jí)應(yīng)用系統(tǒng)為子對(duì)象，以高校數(shù)據(jù)中心網(wǎng)絡(luò)安全等級(jí)保護(hù)材料為底層支撐，由各二級(jí)單位負(fù)責(zé)響應(yīng)子對(duì)象的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。

網(wǎng)絡(luò)分區(qū)是以數(shù)據(jù)中心核心區(qū)、有線網(wǎng)絡(luò)辦公區(qū)、無線網(wǎng)絡(luò)用戶區(qū)進(jìn)行網(wǎng)絡(luò)策略管控，數(shù)據(jù)中心執(zhí)行最嚴(yán)格的網(wǎng)絡(luò)管控策略。

綜合上述，由此建立高校網(wǎng)絡(luò)安全綜合防御體系。

構(gòu)建基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0框架下的高校網(wǎng)絡(luò)安全綜合防御體系，能夠進(jìn)一步提高高校網(wǎng)絡(luò)安全防護(hù)能力，促進(jìn)高校網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，為網(wǎng)絡(luò)安全等級(jí)保護(hù)在高校進(jìn)一步落地實(shí)施提供了方案。因此，該設(shè)計(jì)模型嚴(yán)格遵守網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0系列標(biāo)準(zhǔn)原則，體系化設(shè)計(jì)，保障了網(wǎng)絡(luò)安全防護(hù)體系高效且可操作。

5 結(jié)束語

本文基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0安全架構(gòu)防護(hù)體系和高校網(wǎng)絡(luò)安全現(xiàn)狀工作機(jī)制，建立基于等保2.0框架下的高校網(wǎng)絡(luò)安全體系建設(shè)模型，以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）為安全保障依據(jù)，以高校現(xiàn)有網(wǎng)絡(luò)安全環(huán)境為設(shè)計(jì)背景，以高校人員隊(duì)伍數(shù)量為前提，建立了等保2.0框架下的動(dòng)態(tài)安全防護(hù)，實(shí)現(xiàn)高校網(wǎng)絡(luò)安全等級(jí)保護(hù)“一個(gè)中心，三重防御”的主動(dòng)防御、動(dòng)態(tài)防護(hù)的思想，讓“可信、可控、可管”策略在高校信息化建設(shè)中得以落地。

參考文獻(xiàn)

[1] 曲潔，范春玲，陳廣勇，等.新時(shí)代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路[J].信息網(wǎng)絡(luò)安全，2019，19（1）：83-87.

[2] GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[3] GB/T 28448-2012.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

[4] 中華人民共和國(guó)網(wǎng)絡(luò)安全法[EB/OL].http：//www.npc.gov.cn/npc/，2016-11-7.

[5] 郭啟全.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度培訓(xùn)教程[M].北京：電子工業(yè)出版社，2018.

[6] 馬力，祝國(guó)邦，陸磊，等.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）標(biāo)準(zhǔn)解讀[J]. 信息網(wǎng)絡(luò)安全，2019，19（2）：77-84.

[7] GB/T 22239-2019.信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.