分層模型在中國(guó)信息安全等級(jí)保護(hù)體系中的借鑒應(yīng)用

何 錦，李丹寧，黃 羿，，3

(1.貴州大學(xué)計(jì)算機(jī)科學(xué)與信息學(xué)院，貴州 貴陽(yáng) 550025;2.貴州科學(xué)院，貴州 貴陽(yáng) 550001;3.重慶文理學(xué)院機(jī)器視覺(jué)與智能信息系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，重慶 永川 402160)

信息安全等級(jí)保護(hù)(以下簡(jiǎn)稱(chēng)等級(jí)保護(hù))是黨中央國(guó)務(wù)院決定在信息安全領(lǐng)域?qū)嵤┑幕緡?guó)策，也是國(guó)家信息安全保障工作的基本制度，是落實(shí)網(wǎng)絡(luò)信任體系、安全監(jiān)控體系、應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份、技術(shù)開(kāi)發(fā)和產(chǎn)業(yè)發(fā)展等信息安全保障工作的基礎(chǔ).10多年來(lái)，等級(jí)保護(hù)的政策、標(biāo)準(zhǔn)體系已經(jīng)基本形成，已在全國(guó)范圍內(nèi)全面開(kāi)展實(shí)施，對(duì)中國(guó)信息安全發(fā)展起到了明顯的促進(jìn)作用［1］.但中國(guó)的等級(jí)保護(hù)體系和國(guó)外優(yōu)秀的信息安全管理體系相比，仍有很大的提升和改進(jìn)空間.

2013年4月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布了SP 800-53的第4次修訂版，并將名稱(chēng)更改為《聯(lián)邦組織和信息系統(tǒng)的安全與隱私控制》.本次修訂版更新了安全控制基線(xiàn)集，增加了隱私控制、疊加控制等多項(xiàng)內(nèi)容.其中，針對(duì)聯(lián)邦組織和信息系統(tǒng)的風(fēng)險(xiǎn)管理提供了一種三層的風(fēng)險(xiǎn)管理模型.該模型將風(fēng)險(xiǎn)管理框架劃分為組織層、使命和業(yè)務(wù)流程層和信息系統(tǒng)層，并且形成了一種風(fēng)險(xiǎn)相關(guān)活動(dòng)的層間信息反饋和持續(xù)有效改善，以及層內(nèi)所有具有共同利益的相關(guān)者的信息交互共享的機(jī)制［2］.

對(duì)我國(guó)等級(jí)保護(hù)體系而言，三層風(fēng)險(xiǎn)管理模型具有較好的借鑒意義.通過(guò)分析中國(guó)等級(jí)保護(hù)各環(huán)節(jié)的具體情況，將中國(guó)相關(guān)組織和部門(mén)分類(lèi)進(jìn)行層次劃分，形成從國(guó)家到地方整個(gè)體系的有機(jī)聯(lián)動(dòng).這將更好實(shí)現(xiàn)體系中安全保護(hù)的持續(xù)改善，以及進(jìn)一步落實(shí)等級(jí)保護(hù)中各個(gè)環(huán)節(jié)的職能分工，并助力構(gòu)建中國(guó)等級(jí)保護(hù)“層層有人管，層層有人監(jiān)”的管理體系.

1 等級(jí)保護(hù)體系各環(huán)節(jié)現(xiàn)狀解讀

根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定，等級(jí)保護(hù)工作主要分為5個(gè)環(huán)節(jié):定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查.其中定級(jí)環(huán)節(jié)是首要環(huán)節(jié)，可以梳理行業(yè)信息、數(shù)量和保護(hù)的重點(diǎn);建設(shè)整改是落實(shí)安全等級(jí)保護(hù)的關(guān)鍵，通過(guò)整改要使相應(yīng)信息系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力;等級(jí)測(cè)評(píng)是借助于第三方測(cè)評(píng)機(jī)構(gòu)來(lái)檢驗(yàn)和評(píng)價(jià)系統(tǒng)安全建設(shè)整改工作的成效，判斷是否達(dá)標(biāo);監(jiān)督檢查是公安機(jī)關(guān)等信息安全職能部門(mén)開(kāi)展監(jiān)督、檢查和指導(dǎo)工作，維護(hù)重要信息系統(tǒng)安全［1，3］.

1.1 信息系統(tǒng)定級(jí)與備案工作

信息系統(tǒng)定級(jí)工作按照“自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核”的原則進(jìn)行.定級(jí)工作主要包括:確定定級(jí)對(duì)象、確定信息系統(tǒng)安全保護(hù)等級(jí)、組織專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核，具體按照《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公通字［2007］861號(hào))要求執(zhí)行.備案工作包括信息系統(tǒng)備案、受理、審核和備案信息管理等工作，信息系統(tǒng)運(yùn)營(yíng)使用單位和受理備案的公安機(jī)關(guān)按照《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》(公信安［2007］1360號(hào))的要求辦理信息系統(tǒng)備案工作［4］.

信息系統(tǒng)的定級(jí)工作是等級(jí)保護(hù)工作的前提.準(zhǔn)確定級(jí)的前提是只有清楚掌握信息系統(tǒng)(包括信息網(wǎng)絡(luò))的業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，才能對(duì)等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度有精確的把握，從而準(zhǔn)確確定信息系統(tǒng)的保護(hù)等級(jí).從實(shí)施的情況來(lái)看，組織往往很難對(duì)自身系統(tǒng)的實(shí)際情況有正確的把握，從而在按照標(biāo)準(zhǔn)對(duì)應(yīng)定級(jí)的時(shí)候容易存在分歧.等級(jí)確定較高會(huì)增加保護(hù)難度和實(shí)施費(fèi)用等問(wèn)題;等級(jí)確定較低又會(huì)出現(xiàn)很多安全隱患.信息系統(tǒng)等級(jí)確定不準(zhǔn)確，將容易導(dǎo)致等級(jí)保護(hù)工作無(wú)法切實(shí)有效展開(kāi).

1.2 安全建設(shè)整改工作

等級(jí)保護(hù)安全建設(shè)整改工作是使信息系統(tǒng)可以按照等級(jí)保護(hù)相應(yīng)等級(jí)的要求進(jìn)行設(shè)計(jì)、規(guī)劃和實(shí)施，能夠達(dá)到相應(yīng)等級(jí)的基本保護(hù)水平和保護(hù)能力.按照《管理辦法》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度.參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，建設(shè)信息系統(tǒng)安全保護(hù)技術(shù)措施［3-6］.

從實(shí)施的情況來(lái)看，安全建設(shè)整改工作的難度在于確定相應(yīng)的安全管理制度和安全保護(hù)措施.而實(shí)施標(biāo)準(zhǔn)和參照標(biāo)準(zhǔn)是整體安全水平的準(zhǔn)則，無(wú)行業(yè)特色，無(wú)信息系統(tǒng)分類(lèi)保護(hù)規(guī)范.落實(shí)到具體各行各業(yè)中收縮性和擴(kuò)展性不足.如何能根據(jù)行業(yè)和組織自身實(shí)際情況確定改建方案，避免等級(jí)保護(hù)的遺漏，促進(jìn)安全建設(shè)整改環(huán)節(jié)的工作效率等亟待解決的問(wèn)題，是目前安全建設(shè)整改環(huán)節(jié)工作的重點(diǎn)之一.

1.3 等級(jí)測(cè)評(píng)工作

信息系統(tǒng)按照《基本要求》等技術(shù)標(biāo)準(zhǔn)建設(shè)完成后，運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)工作.通過(guò)測(cè)評(píng)，掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，以及衡量安全保護(hù)管理措施和技術(shù)措施是否符合等級(jí)保護(hù)基本要求.中國(guó)現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)分為3類(lèi):信息安全職能部門(mén)測(cè)評(píng)機(jī)構(gòu)、行業(yè)性測(cè)評(píng)機(jī)構(gòu)以及地方性測(cè)評(píng)機(jī)構(gòu)［7］.

從中國(guó)現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)分類(lèi)來(lái)看，3種測(cè)評(píng)機(jī)構(gòu)都存在業(yè)務(wù)交叉情況，不利于全國(guó)范圍測(cè)評(píng)信息的匯總，以及對(duì)整個(gè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理.這使得許多組織對(duì)現(xiàn)有的測(cè)評(píng)機(jī)構(gòu)信任度不夠，以至于涉及商業(yè)秘密等敏感信息的系統(tǒng)難以對(duì)其系統(tǒng)進(jìn)行全方位測(cè)評(píng).如何完善對(duì)測(cè)評(píng)機(jī)構(gòu)自上而下的進(jìn)行監(jiān)督管理，完善對(duì)測(cè)評(píng)機(jī)構(gòu)業(yè)務(wù)的明確分工，進(jìn)一步提高測(cè)評(píng)機(jī)構(gòu)的專(zhuān)業(yè)水平，可信度和行業(yè)知識(shí)水平等問(wèn)題顯得尤為突出.

1.4 安全自查和監(jiān)督檢查工作

備案單位按照《管理辦法》的相關(guān)要求，對(duì)等級(jí)保護(hù)工作落實(shí)情況進(jìn)行自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)措施的落實(shí)情況.行業(yè)主管部門(mén)對(duì)本行業(yè)、本部門(mén)進(jìn)行督導(dǎo)檢查，達(dá)到重點(diǎn)督促、以點(diǎn)帶面的目的.公安機(jī)關(guān)對(duì)各運(yùn)營(yíng)使用單位進(jìn)行監(jiān)督檢查，落實(shí)安全措施、落實(shí)安全責(zé)任、落實(shí)責(zé)任部門(mén)和人員［3］.

中國(guó)現(xiàn)行的安全自查與監(jiān)察工作雖對(duì)各職能部門(mén)都有相應(yīng)的責(zé)任分工，但整個(gè)國(guó)家的自查和監(jiān)督檢查工作體系尚未健全.等級(jí)保護(hù)工作牽涉職能部門(mén)眾多，責(zé)任分工不夠明確，容易導(dǎo)致整個(gè)體系工作效率低.如何完善自查和監(jiān)督檢查體系模型，以達(dá)到“層層有人管，層層有人監(jiān)”的等級(jí)保護(hù)管理體系是目前工作的重點(diǎn)之一.

2 分層模型在等級(jí)保護(hù)體系中的借鑒應(yīng)用

2.1 分層的等級(jí)保護(hù)管理模型概述

借鑒三層的風(fēng)險(xiǎn)管理模型，構(gòu)建了分層的等級(jí)保護(hù)管理模型，其結(jié)構(gòu)如圖1所示.該模型由三層構(gòu)成，以組織機(jī)構(gòu)為起點(diǎn)，然后梳理與組織系統(tǒng)等級(jí)保護(hù)有關(guān)的職能部門(mén)，并進(jìn)行層次劃分.這樣的管理體系有助于不同的組織落實(shí)責(zé)任，完善管理體系，將信息系統(tǒng)按照業(yè)務(wù)和使命的不同進(jìn)行分類(lèi)，提升等級(jí)保護(hù)各環(huán)節(jié)的工作效率和作用的發(fā)揮空間［8］.

圖1 分層的等級(jí)保護(hù)管理模型結(jié)構(gòu)圖

2.2 分層管理模型的應(yīng)用

2.2.1 三層管理體系的組織結(jié)構(gòu)

中國(guó)信息系統(tǒng)數(shù)量龐大，門(mén)類(lèi)眾多，雖大多數(shù)系統(tǒng)均不涉及國(guó)家秘密，但也需要一定程度的信息安全保護(hù).對(duì)于不同行業(yè)、不同業(yè)務(wù)類(lèi)型的信息系統(tǒng)可以采取分層的理念進(jìn)行管理.

針對(duì)很多組織結(jié)構(gòu)復(fù)雜、涉及職能部門(mén)的業(yè)務(wù)系統(tǒng)而言，其組織和部門(mén)的責(zé)任分工往往是不明確的.將組織進(jìn)行分層，有利于加強(qiáng)組織自上而下的監(jiān)督管理，也有利于自下而上的信息實(shí)施、信息匯總和反饋，達(dá)到持續(xù)改善的目的.同時(shí)，分層的組織結(jié)構(gòu)在風(fēng)險(xiǎn)管理方面有著重要的作用.其結(jié)構(gòu)如圖2所示.

組織層:組織層是整個(gè)組織的核心，它提供整個(gè)組織的戰(zhàn)略決策，以使命或業(yè)務(wù)流程劃分職能部門(mén)等.組織應(yīng)設(shè)立專(zhuān)門(mén)負(fù)責(zé)等級(jí)保護(hù)工作的小組以管理整個(gè)組織的安全等級(jí)保護(hù)工作.

部門(mén)層:部門(mén)層是整個(gè)組織的關(guān)鍵，它落實(shí)組織的戰(zhàn)略決策，以不同的業(yè)務(wù)或功能劃分系統(tǒng)等.部門(mén)應(yīng)設(shè)立專(zhuān)門(mén)負(fù)責(zé)等級(jí)保護(hù)工作的小組以負(fù)責(zé)部門(mén)及系統(tǒng)安全等級(jí)保護(hù)相關(guān)工作，并完成系統(tǒng)信息匯總反饋，引導(dǎo)組織決策.

系統(tǒng)層:系統(tǒng)層是整個(gè)組織的基礎(chǔ)，它執(zhí)行組織的戰(zhàn)略決策，落實(shí)安全保護(hù)措施等.系統(tǒng)內(nèi)從事管理、開(kāi)發(fā)、操作相關(guān)人員都應(yīng)納入信息安全保護(hù)范圍內(nèi)，并統(tǒng)一由安全相關(guān)管理人員予以指導(dǎo)，增強(qiáng)其安全及風(fēng)險(xiǎn)意識(shí)，完成系統(tǒng)實(shí)際信息的匯總，反饋回部門(mén).

圖2 三層管理體系的組織結(jié)構(gòu)

2.2.2 基于剪裁指導(dǎo)的改建方案確定方法

改建方案包括安全管理制度和安全保護(hù)技術(shù)措施兩個(gè)方面，是組織進(jìn)行安全整改建設(shè)的實(shí)施準(zhǔn)則.改建方案的確定引入剪裁指導(dǎo)，一方面能根據(jù)各行各業(yè)的實(shí)際情況進(jìn)行等級(jí)保護(hù);另一方面也能緩解組織在系統(tǒng)定級(jí)時(shí)的難度.剪裁的方法能將建立信息系統(tǒng)外圍安全操作環(huán)境的保護(hù)措施，變成更加經(jīng)濟(jì)可用的針對(duì)保護(hù)具體信息的安全的保護(hù)措施.這不僅能節(jié)省信息系統(tǒng)安全整改的費(fèi)用，也能使得等級(jí)保護(hù)在實(shí)際的操作過(guò)程中變得更加可行.基于剪裁指導(dǎo)的改建方案確定的主要流程如圖3所示.

圖3 基于剪裁指導(dǎo)的改建方案確定流程

初始基本標(biāo)準(zhǔn):初始基本標(biāo)準(zhǔn)為《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中所描述的標(biāo)準(zhǔn)，組織根據(jù)系統(tǒng)所確定等級(jí)對(duì)應(yīng)選擇相應(yīng)標(biāo)準(zhǔn).

部門(mén)擴(kuò)充:部門(mén)根據(jù)自身業(yè)務(wù)系統(tǒng)實(shí)際情況和行業(yè)情況選擇是否選擇擴(kuò)充、增強(qiáng)安全控制標(biāo)準(zhǔn)，擴(kuò)充和增強(qiáng)控制部分可以從更高級(jí)系統(tǒng)的標(biāo)準(zhǔn)中選擇，也可以借鑒其他組織機(jī)構(gòu)成功應(yīng)用的新措施等.

組織剪裁:組織發(fā)起適當(dāng)修改的剪裁過(guò)程，使確定的安全保護(hù)標(biāo)準(zhǔn)更加符合組織功能，更加體現(xiàn)行業(yè)特色，以達(dá)到理想的保護(hù)能力和保護(hù)水平.

審批及備案:執(zhí)行審批備案的機(jī)構(gòu)為組織的上級(jí)行業(yè)組織機(jī)構(gòu)和國(guó)家有關(guān)安全機(jī)構(gòu).審批工作主要是對(duì)組織所確定的標(biāo)準(zhǔn)進(jìn)行審核，判定其是否符合實(shí)際需求，是否符合當(dāng)前社會(huì)環(huán)境，以及是否符合相關(guān)法律法規(guī)等.

2.2.3 基于行業(yè)劃分的測(cè)評(píng)機(jī)構(gòu)體系

對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行行業(yè)劃分，首先應(yīng)該對(duì)全國(guó)實(shí)施等級(jí)保護(hù)的業(yè)務(wù)系統(tǒng)進(jìn)行基于行業(yè)的分類(lèi)，然后根據(jù)分類(lèi)的業(yè)務(wù)系統(tǒng)建立相應(yīng)的測(cè)評(píng)機(jī)構(gòu).這種劃分方式使得不同的測(cè)評(píng)機(jī)構(gòu)具備不同行業(yè)的專(zhuān)業(yè)知識(shí)，這樣不僅使得測(cè)評(píng)過(guò)程能針對(duì)行業(yè)特色進(jìn)行測(cè)評(píng)，而且也能方便行業(yè)內(nèi)部測(cè)評(píng)信息的匯總和測(cè)評(píng)機(jī)構(gòu)的監(jiān)督管理.基于行業(yè)劃分的測(cè)評(píng)機(jī)構(gòu)體系如圖4所示.

圖4 基于行業(yè)劃分的測(cè)評(píng)機(jī)構(gòu)體系

職能部門(mén)測(cè)評(píng)機(jī)構(gòu):此類(lèi)機(jī)構(gòu)屬于行業(yè)內(nèi)測(cè)評(píng)機(jī)構(gòu)的領(lǐng)導(dǎo)機(jī)構(gòu)，對(duì)行業(yè)下屬的地方性測(cè)評(píng)機(jī)構(gòu)進(jìn)行指導(dǎo)和監(jiān)督，并匯總掌握行業(yè)內(nèi)的測(cè)評(píng)情況，根據(jù)實(shí)際情況及時(shí)對(duì)工作方針做出調(diào)整，同時(shí)將相關(guān)情況反饋給國(guó)家相關(guān)部門(mén)以引導(dǎo)決策.

地方性測(cè)評(píng)機(jī)構(gòu):此類(lèi)機(jī)構(gòu)屬于測(cè)評(píng)機(jī)構(gòu)體系的基礎(chǔ)，散布于全國(guó)各地，方便為行業(yè)內(nèi)的信息系統(tǒng)進(jìn)行測(cè)評(píng)工作，并收集整理行業(yè)內(nèi)的實(shí)際測(cè)評(píng)情況，反饋回職能部門(mén)測(cè)評(píng)機(jī)構(gòu)以持續(xù)改善測(cè)評(píng)工作.

2.2.4 以公安機(jī)關(guān)為核心的監(jiān)督檢查體系

在自查與監(jiān)督檢查工作都有明確的責(zé)任分工后，應(yīng)該對(duì)整個(gè)體系進(jìn)行完善，對(duì)全國(guó)范圍內(nèi)涉及的組織機(jī)構(gòu)進(jìn)行體系化，落實(shí)其上下層關(guān)系，從而使中國(guó)等級(jí)保護(hù)管理體系達(dá)到“層層有人管，層層有人監(jiān)”的目標(biāo).

以公安機(jī)關(guān)為核心的監(jiān)督檢查體系結(jié)構(gòu)如圖5所示，圖中的箭頭表示監(jiān)督檢查的控制流向.該體系將測(cè)評(píng)機(jī)構(gòu)納入監(jiān)管范圍，有助于完善測(cè)評(píng)體系.在等級(jí)保護(hù)實(shí)施的同時(shí)，應(yīng)該建立健全相關(guān)的法律法規(guī)，配合監(jiān)督檢查，以促使中國(guó)信息安全管理體系的完善.

圖5 監(jiān)督檢查體系

3 結(jié)語(yǔ)

毫無(wú)疑問(wèn)，等級(jí)保護(hù)是國(guó)家有關(guān)部門(mén)具有遠(yuǎn)見(jiàn)卓識(shí)的戰(zhàn)略措施，它的實(shí)施對(duì)中國(guó)的信息安全建設(shè)具有非常重大的意義.從總體上看，中國(guó)等級(jí)保護(hù)工作尚處于初級(jí)階段，基礎(chǔ)薄弱，水平不高，存在許多亟待解決的問(wèn)題.通過(guò)對(duì)中國(guó)等級(jí)保護(hù)工作各環(huán)節(jié)的現(xiàn)狀分析解讀，借鑒分層的風(fēng)險(xiǎn)管理模型對(duì)中國(guó)的信息安全等級(jí)保護(hù)體系進(jìn)行了層次化的結(jié)構(gòu)劃分，并將這種劃分方法應(yīng)用到組織管理、測(cè)評(píng)體系建設(shè)和監(jiān)督檢查體系建設(shè)中.這能促進(jìn)中國(guó)等級(jí)保護(hù)體系規(guī)范化、結(jié)構(gòu)化提升，為等級(jí)保護(hù)工作進(jìn)一步開(kāi)展奠定基礎(chǔ).同時(shí)，對(duì)定級(jí)工作和整改方案的確定的指導(dǎo)還有待完善，自查與監(jiān)督檢查體系的構(gòu)建還有進(jìn)一步的探討余地.針對(duì)系統(tǒng)互聯(lián)安全、隱私控制、云計(jì)算、移動(dòng)安全和安全運(yùn)維等新領(lǐng)域的等級(jí)保護(hù)措施和評(píng)估體系的完善也是亟待解決的問(wèn)題.

［1］公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)測(cè)評(píng)師培訓(xùn)教程(中級(jí))［M］.北京：電子工業(yè)出版社，2011：33-60.

［2］NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations.April 2013：17-20.

［3］公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)保護(hù)政策培訓(xùn)教程［M］.北京：電子工業(yè)出版社，2011：25-30.

［4］國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB/T 17859-1999，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，1999：4-7.

［5］中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22240-2008，信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2008：10-12.

［6］中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22239-2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2008：37-50.

［7］中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T22239-2008，信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2012：14-20.

［8］Zhou H S，Jiang J H.A multidimensional security index system and quantitative level protection model［J］.Journal of University of Science and Technology of China，2012，42(1)：67-76.