莊君明

摘 要：《網(wǎng)絡安全法》規(guī)定我國實行網(wǎng)絡安全等級保護制度（以下簡稱等保制度）。高校擁有大量信息資產(chǎn)，是國家網(wǎng)絡空間安全的重要陣地。為貫徹執(zhí)行等保制度，將等保工作管理過程規(guī)范化、流程化和信息化，設計并實現(xiàn)網(wǎng)絡安全等級保護支撐系統(tǒng)。該系統(tǒng)涵蓋定級備案、等保測評、建設整改、安全監(jiān)測、安全通報等多個等保工作環(huán)節(jié)，包括多級權限管理、知識庫、文檔報告快速生成等特色功能。通過該系統(tǒng)可順利完成8個二級等保系統(tǒng)備案工作。

關鍵詞：網(wǎng)絡安全;等級保護;系統(tǒng)設計

DOI：10. 11907/rjdk. 192797 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP309文獻標識碼：A 文章編號：1672-7800（2020）007-0178-05

The Design and Realization of the Classified Protection Support System

of Cybersecurity in Colleges and Universities

ZHUANG Jun-ming

（Network and Data Center， Fujian Normal University， Fuzhou 350117， China）

Abstract： The Cybersecurity Law implements the classified protection of cybersecurity in China. To protect the security of cybersecurity is very important in colleges and universities that has a large amount of information assets. In order to better implement the insurance system， we designed and implemented the classified protection support system of cybersecurity that standardizes， processes and informationizes the management process of the work. This system covers the modules， such as grading record， equal protection evaluation， construction rectification， safety monitoring， safety notification， multi-level authority management， knowledge base， rapid generation of document reports， etc. Through the application of this system， the filing of eight secondary equal guarantee systems was successfully completed.

Key Words： cybersecurity; classified protection; system design

0 引言

《中華人民共和國網(wǎng)絡安全法》規(guī)定我國實行網(wǎng)絡安全等級保護制度，對于不執(zhí)行網(wǎng)絡安全等級保護的單位將追究其法律責任[1]。2019年5月13日發(fā)布的《網(wǎng)絡安全等級保護基本要求》[2]標志著等級保護正式邁入2.0時代。該規(guī)范將網(wǎng)絡安全等級保護工作（以下簡稱等保工作）規(guī)范為等級備案、指標差距分析、建設整改、等級測評、安全監(jiān)測、安全監(jiān)測預警等管理環(huán)節(jié)，相關標準眾多且管理程序復雜。高校作為國家網(wǎng)絡空間安全的重要陣地，遵循國家法律制度是高校的首要責任。如何結合實際情況高效開展等保工作，是高校信息工作者亟需解決的問題。

隨著等級保護進入2.0時代，等級保護對象從信息系統(tǒng)擴展為網(wǎng)絡空間，定級對象發(fā)生了很大變化，相關標準、要求和細則也隨之變動。傳統(tǒng)方式都是通過手工進行信息管理和文檔整理，過程隨意、重復工作量大、效率低。將等保工作規(guī)范管理，采用流程化和信息化手段，能極大提高工作效率和效益。此項工作是結合我國實際情況開展的，國外基本沒有學者對此進行研究，國內的大部分研究也僅停留在理論上[3-8]，缺乏實踐，沒有考慮到等保2.0與等保1.0的差異。牛永亮[3]深入分析高校信息系統(tǒng)定級工作，然而定級對象局限于信息系統(tǒng)，只涉及到定級工作，沒有對備案、建設整改、等級測評和日常管理進行分析和歸納;楊斯可[4]從信息系統(tǒng)建設的全生命周期角度出發(fā)，研究如何實施安全等級保護工作，然而缺乏差距分析、建設整改、安全通報和監(jiān)督檢查研究。部分學者進行實踐探索：翟躍等[9]結合高校信息安全工作實際，設計信息資產(chǎn)風險管理系統(tǒng)，側重于安全風險分析和安全防護研究;孫建立[10]將信息系統(tǒng)備案、漏洞管理和安全通告統(tǒng)一管理，設計了信息系統(tǒng)安全管理服務平臺。然而這兩位學者沒有對等保工作的其它環(huán)節(jié)如建設整改與指標差距分析等進行研究，具有較大的局限性。一些學者[11-15]的實踐探索也僅僅局限于等級保護工作的某個具體環(huán)節(jié)。針對上述研究不足，本文對如何統(tǒng)一規(guī)范管理等保工作環(huán)節(jié)和流程進行全面深入研究。

2017年前筆者學校一直采用手工方式進行等保工作，工作量大，信息更新不便且不準確。2017年，學校專門成立網(wǎng)絡安全與信息化工作領導小組（以下簡稱領導小組），負責學校等保工作的整體規(guī)劃和設計。領導小組下設網(wǎng)絡安全與信息化建設管理辦公室（以下簡稱網(wǎng)信辦），負責貫徹執(zhí)行國家相關法律，修訂完善學校網(wǎng)絡安全管理制度，總體推進學校等保工作，并監(jiān)督、指導各學院和部門等保工作。各學院和部門專設網(wǎng)絡安全主管領導和網(wǎng)絡安全管理員，負責本單位等保工作。在理順體制與機制的同時，不斷創(chuàng)新管理方式。網(wǎng)絡安全等級保護支撐系統(tǒng)目標就是要將等保工作管理過程規(guī)范化、流程化和信息化，及時、準確地反映學校網(wǎng)絡安全狀態(tài)，提高管理效率和效益。

1 系統(tǒng)建立難點

（1）等保工作涉及多個管理主體，《網(wǎng)絡安全法》明確規(guī)定“誰主管誰負責、誰運行誰負責、誰使用誰負責”的指導原則，提出“共同治理”操作原則。筆者學校的網(wǎng)絡安全與信息化工作領導小組、網(wǎng)信辦、安全專家小組、各部門和學院分管領導、各部門和學院網(wǎng)絡安全管理員、各軟硬件系統(tǒng)承建商、網(wǎng)絡安全服務商都是等保工作管理主體。如何在管理過程中厘清各主體權責，實現(xiàn)共同治理，是等保工作最本質的問題。

（2）等保工作過程復雜，標準眾多且涉及范圍廣。等保工作涉及等級備案、指標差距分析、建設整改、等級測評、安全監(jiān)測、安全預警等多個管理環(huán)節(jié)，每個環(huán)節(jié)都有一系列規(guī)范標準。管理和技術標準多達117個，指標項多達上萬個，涉及基礎類、定級類、實施建設類、等級測評類、風險評估類、新技術類、安全檢測與事件管理類、電子政務類、產(chǎn)品類等多個類別[16-18]。如何結合高校實際，對這些標準和指標進行管理和應用，是等保工作的核心問題。

（3）信息資產(chǎn)數(shù)量龐大、種類多樣且分布零散。等保工作首先要對關聯(lián)的信息資產(chǎn)進行梳理與跟蹤。經(jīng)過十幾年信息化建設，學校積累了大量信息資產(chǎn)，包含硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)等，有些屬于校級資產(chǎn)，有些屬于院級資產(chǎn)，零散分布在各個機房和辦公場所。如何對這些資產(chǎn)進行梳理并及時更新，是等保工作首先要解決的問題。

（4）外部檢查和評估任務次數(shù)頻繁。隨著網(wǎng)絡安全形勢的日益嚴峻，高校每年都要多次應對公安部門和上級主管部門的檢查與評估。應對這些任務需要耗費大量的人力進行文檔整理，效率極為低下。高效整理等保工作相關文檔，并根據(jù)檢查和評估任務快速輸出，是網(wǎng)絡安全等級保護支撐系統(tǒng)面臨的艱巨任務。

（5）網(wǎng)絡安全管理人員水平參差不齊，變動頻繁，造成等保工作無法順利開展，工作交接不順利。因此，在保障等保工作需求基礎上，如何盡可能提升系統(tǒng)易用性，是網(wǎng)絡安全等級保護支撐系統(tǒng)面臨的挑戰(zhàn)。

2 系統(tǒng)設計思路與功能結構

2.1 設計思路

高校網(wǎng)絡安全等級保護支撐系統(tǒng)設計目的在于輔助高校等級保護工作，幫助高校規(guī)范管理過程、整理相關文檔，同時提供查詢、修改和導出功能。系統(tǒng)設計思路如下：

（1）貫徹標準制度。根據(jù)國家和行業(yè)標準體系，梳理和等保工作緊密相關的10個標準，將等保工作規(guī)定的8個環(huán)節(jié)上線，保證系統(tǒng)設計符合國家要求。

（2）多級用戶體系、角色權限靈活。根據(jù)《網(wǎng)絡安全法》提出的共同治理原則，將使用對象分為3類：①一級單位，包括各高校信息化管理職能部門，如網(wǎng)信辦、網(wǎng)絡中心或現(xiàn)代教育技術中心;②二級單位，包括各部處和學院;③第三方用戶，如安全服務公司、軟件開發(fā)公司、檢查人員等。一級單位可為二級單位開設賬戶和賦予權限，對全校等保工作進行監(jiān)督、管理和統(tǒng)計;二級單位可對本單位信息系統(tǒng)進行定級、備案、申請測評等;第三方用戶可輔助一級單位和二級單位進行信息填寫，如技術參數(shù)、定級參考、等級測評分析等。這三類用戶采取初始默認權限，可根據(jù)實際需要靈活調整，權限設置細化到頁面和具體功能點。

（3）多場景輸出。高?；緫脠鼍胺譃榻y(tǒng)計、檢查、存檔等。等保工作需要及時統(tǒng)計，輸出相應報表。對公安部門和上級主管部門的檢查和評估工作，系統(tǒng)能夠快速輸出所需文檔。等保工作過程文檔和結束文檔能夠電子化存檔。

（4）流程設計。系統(tǒng)具有簡潔的人機交互界面、靈活的權限設置、標準的等保流程等特點，能夠高效支撐等保工作順利開展。系統(tǒng)對等保工作最重要環(huán)節(jié)進行流程化設計，如圖1所示。

2.2 系統(tǒng)功能架構

等保工作包括定級、備案、指標差距分析、建設整改、等級測評、安全檢測、安全監(jiān)測、應急處置、安全通報等多個環(huán)節(jié)。高校網(wǎng)絡安全等級保護支撐系統(tǒng)劃分為系統(tǒng)管理、等保管理、檢測監(jiān)測、檢查評估、通知通報、知識庫、數(shù)據(jù)統(tǒng)計7個功能模塊，每個功能模塊又細分為若干個子功能模塊，如圖2所示。根據(jù)用戶和角色不同靈活分配權限。以筆者學校為例，分為一級單位管理員、二級單位管理員、第三方用戶3種角色，系統(tǒng)為這3種角色設置默認權限，也可根據(jù)實際情況進行調整。

3 系統(tǒng)實現(xiàn)

基于安全性、穩(wěn)定性、高效性和可擴展性要求，網(wǎng)絡安全等級保護支撐系統(tǒng)采用基于JAVA語言的B/S架構，用戶在校園網(wǎng)內通過瀏覽器進行訪問。

3.1 系統(tǒng)環(huán)境

系統(tǒng)后臺采用Spring MVC、Apache Shiro架構進行開發(fā)，前端基于Smart Admin框架進行設計，數(shù)據(jù)庫采用Mysql進行存儲。Spring MVC主要用于Web開發(fā)，是一種基于JAVA語言的成熟框架，與Struts 1.0和Struts 2.0相比，在安全性、可擴展性和穩(wěn)定性上有顯著提高。Apache Shiro則集成了用戶系統(tǒng)和權限系統(tǒng)，能夠與Spring MVC無縫銜接，大大減少開發(fā)量。Smart Admin是一種集成JQuery、Bootstrap的前端框架，擁有多套UI界面，能夠適應多種終端并具有良好的擴展性。

3.2 系統(tǒng)技術路線

系統(tǒng)基本技術路線如圖3所示。

3.2.1 系統(tǒng)管理模塊

信息資產(chǎn)類型包括網(wǎng)絡區(qū)域、網(wǎng)絡邊界、機房設備資產(chǎn)、網(wǎng)絡設備資產(chǎn)、安全設備資產(chǎn)、服務器設備資產(chǎn)、基礎軟件資產(chǎn)、中間件軟件資產(chǎn)、業(yè)務軟件資產(chǎn)、安全軟件資產(chǎn)、數(shù)據(jù)庫軟件資產(chǎn)、業(yè)務數(shù)據(jù)資產(chǎn)和備份數(shù)據(jù)資產(chǎn)，根據(jù)相對應的表單內容填寫。通過資產(chǎn)對象化錄入方式，構建詳細、內聯(lián)的信息資產(chǎn)基本信息數(shù)據(jù)庫，為后續(xù)等級保護建設、運維、管理等工作提供詳盡的基礎信息支撐。另外，系統(tǒng)提供等級保護相關安全組織架構人員信息管理功能，并提供便捷的授權與權限控制等功能。用戶添加權限的核心代碼如下：

protected AuthorizationInfo doGetAuthorizationInfo（PrincipalCollection principalCollection） {

//1. 從PrincipalCollection中獲取登錄用戶信息

UserInfo userInfo = （UserInfo） principalCollection.getPrimaryPrincipal（）;

//2. 利用登錄的用戶信息來獲取等當前用戶的角色或權限

List list = userTotalMgnService.listRoles（userInfo.getId（））;

//3. 創(chuàng)建SimpleAuthorizationInfo并設置其r oles屬性

Set roleIds = new HashSet（）;

roleIds.add（“user”）;

List roles = new LinkedList（）;

for （UserRoleRel userRoleRel： list） {

roleIds.add（userRoleRel.getRoleInfo（）.getRoleId（））;

roles.add（userRoleRel.getRoleInfo（）.getId（））;

}

// 獲得權限

Set permitInfos = permitInfoService.listStringPermission（roles）;

//4. 返回SimpleAuthorizationInfo

SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo（）;

// 角色

simpleAuthorizationInfo.setRoles（roleIds）;

simpleAuthorizationInfo.setStringPermissions（permitInfos）;

return simpleAuthorizationInfo;

}

3.2.2 等保管理模塊

定級備案、指標差距分析、建設整改、等級測評是等保工作最重要的4個環(huán)節(jié)。系統(tǒng)提供涉及等保工作有關表格、文檔及各類數(shù)據(jù)材料自動化生成、輔助填報及模板化輸出，為等保工作提供全過程、向導化、自動化材料，完善報送跟蹤與結果管理等工作。用戶根據(jù)本模塊功能，以等級保護監(jiān)管機構標準結構化數(shù)據(jù)方式對定級、備案的材料進行在線打印、打包下載等。

系統(tǒng)提供指標差距分析整改向導功能。該功能通過內置在系統(tǒng)中的等級保護基本要求推薦指標數(shù)據(jù)庫，與分類資產(chǎn)進行匹配后構建等級保護基礎屬性模型，為每項資產(chǎn)提供相應的等級保護合規(guī)性推薦指標、操作指引、操作記錄及符合性輔助判斷等關鍵功能模塊，內容覆蓋等級保護基本要求中的物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和安全管理制度等全部指標。

系統(tǒng)提供規(guī)范化的等級保護測評管理過程指導功能，為用戶提供等保測評過程的規(guī)范化管理、跟蹤與配合。

文件下載代碼如下：

…

//文件存放的路徑

String realPath = request.getSession（）.getServletContext（）。getRealPath（“/WEB-INF/upload/”+path）;

//新建文件

File file = new File（realPath，fileName）;

if（！file.exists（）） {

response.sendError（404）;

return false;

}

//設置響應長度

response.setContentLength（（int）file.length（））;

//設置響應的MIME類型為application/octet-stream

response.setContentType（MediaType.APPLICATION_OCTET_STREAM_VALUE）;

String saveName = new String（fileName.getBytes（“UTF-8”），“ISO8859-1”）;

//設置content-disposition為attachment;fileName=saveName

response.setHeader（HttpHeaders.CONTENT_DISPOSITION， “attachment; filename=＼”“+saveName+”＼“”）;

//讀取文件

InputStream is = new FileInputStream（file）;

OutputStream os = response.getOutputStream（）;

//將文件以流的形式輸出

IOUtils.copy（is，os）;

…

3.2.3 檢測監(jiān)測模塊

該功能模塊與綠盟安全檢測、360安全檢測等軟件進行數(shù)據(jù)對接，通過導入掃描結果的方式進行漏洞與風險數(shù)據(jù)更新。多次檢測并導入檢測結果，可追蹤漏洞與風險解決情況。對于存在漏洞與風險的等級保護對象，可對其通知和預警。根據(jù)危險等級不同建立不同等級的應急處置方案與流程，并對過程文檔和結果文檔進行存儲與歸檔，方便跟蹤與統(tǒng)計。

3.2.4 檢查評估模塊

檢查評估分為內部檢查和外部檢查兩部分。內部檢查由網(wǎng)信辦發(fā)起并下發(fā)檢查任務，由相應二級單位響應檢查任務并反饋檢查結果。外部檢查由公安機關或上級主管部門發(fā)起，由一級單位和二級單位進行任務布置與反饋。所有檢查任務都會記錄發(fā)起和響應時間，以及具體任務內容和反饋信息，以便實時查看和后續(xù)統(tǒng)計。

3.2.5 通知通報模塊

通報類型分為安全態(tài)勢通報和信息安全通報。安全態(tài)勢通報針對可能發(fā)生的安全風險進行事前預警，信息安全通報則是對已發(fā)生的安全事件進行通報。根據(jù)通報處置流程又分為單向分發(fā)和雙向通訊。單向分發(fā)由網(wǎng)信辦向相關二級單位分發(fā)通報，只需其接收而不需要上報結果。雙向通訊指網(wǎng)信辦向相關二級單位分發(fā)通報，需要接收并上報結果。該模塊由通知公告、待辦事項、安全通報3個子模塊構成，通過規(guī)范化流程建立信息通報日常工作機制。根據(jù)安全通報類型，以定向通知、群發(fā)公告、待辦事項等方式通報給相關單位。安全通報下發(fā)的Controller層代碼如下：

…

InfoSecurity infoSecurity = infoSecurityService.get（intid）;

if （infoSecurity.getDistributeStatus（）.equals（“未下發(fā)”）） {

infoSecurity.setDistributeStatus（“已下發(fā)”）;

infoSecurity.setDistributeTime（new Date（））;

String[] _array = infoSecurity.getReceiveDepts（）.split（“，”）;

for （String _id ： _array） {

SubOrgInfo subOrgInfo = subOrgMgnService.get（Integer.parseInt（_id））;

InfoSecurityDistribute infoSecurityDistribute = new InfoSecurityDistribute（infoSecurity， subOrgInfo）;

InfoSecurityUpload infoSecurityUpload = new InfoSecurityUpload（infoSecurity， subOrgInfo）;

infoSecurityUpload.setPriUploadTime（new Date（））;

infoSecurityDistributeService.save（infoSecurityDistribute）;

}

…

3.2.6 知識庫模塊

該模塊收錄等級保護相關資料文檔，包括政策標準知識庫、相關政策文件庫、整改規(guī)劃知識庫、安全管理制度參考庫、基本安全配置參考庫和專家?guī)斓?。政策標準知識庫收錄等?；A標準、技術標準、管理標準、測評標準、公安標準等;相關政策文件庫收錄國家有關法律法規(guī)文件;整改規(guī)劃知識庫收錄等保整改流程、技術方案設計要求對比、安全功能及產(chǎn)品類型、技術方案設計實例、整改方案參考等內容;安全管理制度參考庫收錄安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等內容;基本安全配置參考庫收錄常用軟硬件系統(tǒng)基本安全配置方法;專家?guī)焓珍浘邆涞缺９ぷ髟u審資格的行業(yè)專家信息。

3.2.7 數(shù)據(jù)統(tǒng)計模塊

該模塊包括等保統(tǒng)計、檢測統(tǒng)計、監(jiān)測統(tǒng)計、應急統(tǒng)計、通報統(tǒng)計5個子模塊。將數(shù)據(jù)以圖形化和表格化方式直觀展示，提供數(shù)據(jù)打包和下載功能。

4 系統(tǒng)應用效果

高校網(wǎng)絡安全等級保護支撐系統(tǒng)在筆者學校上線使用近一年，實現(xiàn)等保工作有序高效開展，取得一定成效，主要表現(xiàn)在：

（1）通過分用戶、分角色靈活設置權限，將等保工作涉及的管理主體納入管理體系中，實現(xiàn)共同治理。通過該系統(tǒng)應用，學校初步形成由校領導統(tǒng)籌監(jiān)督、網(wǎng)信辦協(xié)調推進、各單位責任人和管理員全程介入、第三方單位技術支撐的安全架構體系。

（2）采取分步驟、導向式流程、自動化填寫和快速導出等方式，將等保工作涉及的標準和指標融入高校網(wǎng)絡安全等級保護支撐系統(tǒng)中，既實現(xiàn)等保工作標準化，又保證其易用性。

（3）由相應責任主體負責梳理和歸檔各自的信息資產(chǎn)，學校網(wǎng)信辦統(tǒng)一負責檢測與監(jiān)測，保證信息資產(chǎn)資料可追溯、流程可跟蹤、安全可監(jiān)控。

（4）將等保工作資料文檔、過程文檔、結束文檔進行歸集管理，能快速查詢和輸出等保工作相關資料和數(shù)據(jù)，高效應對公安部門和上級主管部門的檢查與評估，提升了準確率，節(jié)約了人力和物力。

5 結語

利用高校網(wǎng)絡安全等級保護支撐系統(tǒng)，筆者學校已完成8個二級等保系統(tǒng)公安備案工作。初步建立有效的網(wǎng)絡安全等保管理工作運行機制，將等級保護工作規(guī)范化、流程化和信息化，最終以一種高效、優(yōu)質的方式實現(xiàn)各等級保護對象合規(guī)化。由于國家政策法規(guī)和行業(yè)標準還在不斷更新中，網(wǎng)絡安全形勢也在不斷變化，因此需要結合新變化不斷完善系統(tǒng)功能，進一步優(yōu)化流程設計。

參考文獻：

[1] 夏冰. 網(wǎng)絡安全法和網(wǎng)絡安全等級保護2.0[M]. 北京：電子工業(yè)出版社，2017.

[2] 佚名. 網(wǎng)絡安全等級保護制度2.0國家標準宣貫會在京召開[J]. 信息網(wǎng)絡安全，2019，18（6）：95-96.

[3] 牛永亮. 高校信息安全等級保護定級工作分析研究[J]. 中國管理信息化，2019，22（19）：138-139.

[4] 楊斯可. 基于安全等級保護的煙草行業(yè)信息系統(tǒng)建設研究[J]. 軟件導刊，2017，16（7）：178-181.

[5] 莊君明. 大數(shù)據(jù)背景下的高校網(wǎng)站群安全管理體系研究[J]. 福建電腦，2017，33（11）：50-51.

[6] 司成偉，趙全洲. 構建基于信息化資產(chǎn)的網(wǎng)絡安全工作體系[J]. 數(shù)字通信世界，2019，18（9）：111-113.

[7] 王長春，曾照華，張躍華. 互聯(lián)網(wǎng)+網(wǎng)絡信息安全現(xiàn)狀與防護研究[J]. 軟件導刊，2019，18（7）：33-36.

[8] 王昭群. 淺析事業(yè)單位網(wǎng)絡安全等級保護的建設[J]. 網(wǎng)絡安全技術與應用，2019，8（7）：118-119.

[9] 翟躍， 路萍， 宋亮. 基于等級保護的信息資產(chǎn)風險管理系統(tǒng)研究[J]. 計算機科學，2019，46（10）：255-258.

[10] 孫建立. 北京交通大學信息系統(tǒng)安全管理服務平臺建設研究[J]. 中國教育信息化，2019，18（21）：30-43.

[11] 楊春，徐瑋，夏平平. 基于網(wǎng)絡安全等級保護的信息系統(tǒng)安全設計[J]. 現(xiàn)代工業(yè)經(jīng)濟和信息化，2019，22（11）：68-69.

[12] 嚴莉，李明，張丞，等. 網(wǎng)絡安全分析與監(jiān)控平臺安全防護關鍵技術[J]. 軟件導刊，2019，18（6）：196-199.

[13] 劉佳. 網(wǎng)絡預警自適性入侵檢測系統(tǒng)設計與實現(xiàn)[J]. 軟件導刊，2018，17（3）：210-213.

[14] 周琳娜，劉丹. 網(wǎng)絡信息安全問題及防護策略[J]. 軟件導刊，2019，18（10）：166-168.

[15] 盧志科，康曉鳳，眭楨屹，等. Web應用漏洞掃描檢測系統(tǒng)[J]. 軟件導刊，2019，18（8）：186-195.

[16] 何占博，王穎，劉軍. 我國網(wǎng)絡安全等級保護現(xiàn)狀與2.0標準體系研究[J]. 信息技術與網(wǎng)絡安全，2019，38（3）：9-14，19.

[17] 馬力，祝國邦，陸磊. 《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J]. 信息網(wǎng)絡安全， 2019，12（2）：77-84.

[18] 甘清云. 《信息系統(tǒng)安全等級保護定級指南》修訂思考[J]. 網(wǎng)絡安全技術與應用，2019，18（1）：8-17.

（責任編輯：杜能鋼）