校園網(wǎng)信息安全建設(shè)中安全基線的研究與應(yīng)用

黃志宏，巫莉莉，張 波，李西明

(華南農(nóng)業(yè)大學(xué)現(xiàn)代教育技術(shù)中心，廣州 510642)

黨中央、國(guó)務(wù)院一直十分重視教育信息化工作。自1994年啟動(dòng)中國(guó)教育與科研網(wǎng)(CERNET)建設(shè)以來(lái)，經(jīng)過(guò)“211工程”、“985工程”等一系列重大工程建設(shè)，高校教育信息化得到了快速發(fā)展。教育信息化實(shí)現(xiàn)了信息技術(shù)與教育的全面深度融合，促進(jìn)了教育公平并實(shí)現(xiàn)了優(yōu)質(zhì)教育資源的廣泛共享，提高了高校教育質(zhì)量、創(chuàng)新能力和競(jìng)爭(zhēng)力。

教育信息化給高校的教育改革和發(fā)展帶來(lái)前所未有的機(jī)遇和挑戰(zhàn)。隨著高校教育信息化的深入開(kāi)展，各種IT設(shè)備和應(yīng)用系統(tǒng)數(shù)量不斷增加，高校校園網(wǎng)已發(fā)展成為大型局域網(wǎng)甚至具備小型城域網(wǎng)規(guī)模［1］，不僅為教學(xué)科研提供服務(wù)，而且在全校師生的日常生活中也發(fā)揮著重要作用。但由于業(yè)務(wù)系統(tǒng)開(kāi)發(fā)水平的不同以及用戶(hù)技術(shù)水平參差不齊，其安全問(wèn)題日漸突出，使校園網(wǎng)運(yùn)維人員面臨重大的安全挑戰(zhàn)。

為了提高校園網(wǎng)安全管理效率和水平，校園網(wǎng)管理人員可借鑒國(guó)內(nèi)大型網(wǎng)絡(luò)運(yùn)營(yíng)商的成功經(jīng)驗(yàn)，并結(jié)合校園網(wǎng)業(yè)務(wù)特點(diǎn)和一些風(fēng)險(xiǎn)控制手段［2－3］，設(shè)計(jì)針對(duì)高校業(yè)務(wù)系統(tǒng)的安全基線模型。本文通過(guò)對(duì)安全基線管理的研究與分析，按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》［4］及《教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》［5］的要求，對(duì)校園網(wǎng)的各類(lèi)業(yè)務(wù)系統(tǒng)制定安全配置規(guī)范和安全基線，設(shè)計(jì)和開(kāi)發(fā)BVS配置核查工具對(duì)安全配置進(jìn)行安全檢查，并使用漏洞攻擊工具檢測(cè)系統(tǒng)加固前后的安全性，從技術(shù)層面實(shí)現(xiàn)了自動(dòng)化的安全評(píng)估。引入校園網(wǎng)安全基線管理填補(bǔ)了此類(lèi)應(yīng)用在校園網(wǎng)信息安全建設(shè)中的空白，為校園網(wǎng)各類(lèi)業(yè)務(wù)系統(tǒng)建立了安全基線，并加強(qiáng)和落實(shí)了設(shè)備生命周期各個(gè)階段的安全基線要求［6］，實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)的度量和可控可管，完善了校園網(wǎng)安全管理體系。

1 安全基線

1.1 安全基線概念

安全基線是最基本的安全要求，類(lèi)比于“木桶理論”，可以認(rèn)為它是安全木桶的最短板。目前，安全基線被公認(rèn)為是一個(gè)信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最需要滿(mǎn)足的基本安全要求［7］。

1.2 安全基線分類(lèi)

安全基線按照信息系統(tǒng)的構(gòu)成可分為操作系統(tǒng)安全基線、應(yīng)用軟件安全基線、安全設(shè)備安全基線、網(wǎng)絡(luò)設(shè)備安全基線、中間件安全基線、數(shù)據(jù)庫(kù)安全基線等［8］。

①操作系統(tǒng)類(lèi):微軟的Windows及不同廠商的Unix類(lèi)系統(tǒng)。

②安全設(shè)備類(lèi):網(wǎng)絡(luò)和應(yīng)用防火墻、入侵防御系統(tǒng)(IPS)、入侵檢測(cè)系統(tǒng)(IDS)、VPN、病毒防護(hù)系統(tǒng)、行為審計(jì)系統(tǒng)等。

③網(wǎng)絡(luò)設(shè)備類(lèi):路由器、交換機(jī)等，如Cisco、Ruijie等。

④ 數(shù)據(jù)庫(kù)類(lèi):MSSQL Server、Oracle、Sybase、MySQL等。

⑤ 中間件類(lèi):Apache、Nginx、Tomcat、WEB Logic等。

⑥應(yīng)用軟件類(lèi):各類(lèi)應(yīng)用軟件由于應(yīng)用場(chǎng)景和等級(jí)保護(hù)級(jí)別的不同要求，必須制定各自的安全基線。

1.3 安全基線組成

安全基線主要由系統(tǒng)存在的安全漏洞、系統(tǒng)配置的脆弱性、系統(tǒng)狀態(tài)的監(jiān)控三方面必須滿(mǎn)足的最小要求組成［9］(如圖 1所示)。具體內(nèi)容如下:

1)安全漏洞:漏洞反映系統(tǒng)自身的脆弱性，包括軟件或協(xié)議等系統(tǒng)自身存在的信息泄漏、木馬后門(mén)、DDoS攻擊漏洞、登錄漏洞、緩沖區(qū)溢出、意外情況處置錯(cuò)誤等缺陷引起的安全風(fēng)險(xiǎn)。

2)安全配置:反映系統(tǒng)自身的脆弱性，通常是因人為操作的疏忽造成。安全配置與系統(tǒng)有著很大的相關(guān)性，在不同安全級(jí)別的系統(tǒng)中，相同配置項(xiàng)的安全要求會(huì)有所區(qū)別。

3)系統(tǒng)狀態(tài):包含網(wǎng)絡(luò)端口狀態(tài)、系統(tǒng)運(yùn)行狀態(tài)、進(jìn)程、賬號(hào)以及重要日志文件的監(jiān)控等。這些內(nèi)容反映了業(yè)務(wù)系統(tǒng)當(dāng)前所處環(huán)境的安全狀況，有助于了解業(yè)務(wù)系統(tǒng)運(yùn)行的動(dòng)態(tài)情況。由于系統(tǒng)狀態(tài)基線隨著業(yè)務(wù)應(yīng)用的不同而不同，必須和具體的業(yè)務(wù)應(yīng)用相關(guān)聯(lián)。

通過(guò)對(duì)校園網(wǎng)各業(yè)務(wù)系統(tǒng)安全基線的建設(shè)，可以形成針對(duì)不同系統(tǒng)的詳細(xì)漏洞要求、配置要求和狀態(tài)要求的檢查項(xiàng)，為標(biāo)準(zhǔn)化的技術(shù)安全操作提供框架和標(biāo)準(zhǔn)。

圖1 安全基線結(jié)構(gòu)

1.4 安全基線實(shí)施意義

近年來(lái)，隨著校園網(wǎng)信息安全建設(shè)的不斷深入，學(xué)校在信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全管理水平方面不斷提高。通過(guò)部署應(yīng)用防火墻、行為審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、入侵防御系統(tǒng)、防篡改系統(tǒng)等一系列的安全產(chǎn)品，安全管理體系得到不斷完善。但由于各業(yè)務(wù)系統(tǒng)使用的開(kāi)發(fā)技術(shù)及建立的時(shí)間不同，缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和配置規(guī)范，故服務(wù)器的安全管理仍存在安全隱患［10］。安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用將信息安全與校園網(wǎng)等級(jí)保護(hù)進(jìn)行了緊密結(jié)合，學(xué)校按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》及《教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》的要求，根據(jù)校園網(wǎng)等保定級(jí)的情況對(duì)校園網(wǎng)的服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)設(shè)備建立統(tǒng)一的安全配置規(guī)范，形成校園網(wǎng)安全基線，并制定針對(duì)不同系統(tǒng)的詳細(xì)檢查表格和核查方法，對(duì)其進(jìn)行橫向的安全評(píng)估［11］和管理，為校園網(wǎng)IT設(shè)備及業(yè)務(wù)系統(tǒng)的安裝調(diào)試、驗(yàn)收、維護(hù)及安全核查等工作提供統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范。

2 安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用

隨著校園網(wǎng)信息化建設(shè)的不斷深入推進(jìn)，各類(lèi)業(yè)務(wù)系統(tǒng)和IT設(shè)備數(shù)量不斷增加，校園網(wǎng)規(guī)模不斷擴(kuò)大，正逐步發(fā)展成為一個(gè)小型的城域網(wǎng)。由于業(yè)務(wù)系統(tǒng)開(kāi)發(fā)水平的不同以及用戶(hù)的技術(shù)水平參差不齊，其安全問(wèn)題日漸突出，使校園網(wǎng)運(yùn)維人員面臨重大的安全挑戰(zhàn)。通過(guò)借鑒國(guó)內(nèi)大型網(wǎng)絡(luò)運(yùn)營(yíng)商的成功經(jīng)驗(yàn)，并按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》及《教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》的要求，將安全基線應(yīng)用到校園網(wǎng)信息安全建設(shè)中可提高校園網(wǎng)安全管理效率和水平。本文介紹了校園網(wǎng)各類(lèi)業(yè)務(wù)系統(tǒng)安全基線建設(shè)的實(shí)施過(guò)程及實(shí)施效果，并結(jié)合實(shí)例進(jìn)行了詳細(xì)說(shuō)明。

安全基線的實(shí)施過(guò)程分為制定配置規(guī)范、進(jìn)行基線檢查、不斷完善階段共3個(gè)階段進(jìn)行，過(guò)程如圖2所示。

圖2 安全基線實(shí)施過(guò)程

學(xué)校目前有基于Windows和Linux平臺(tái)的各類(lèi)業(yè)務(wù)系統(tǒng)70多個(gè)，三層以上核心交換機(jī)及路由器7臺(tái)，安全產(chǎn)品3臺(tái)。下面以關(guān)注度比較高的WEB網(wǎng)站安全為例對(duì)安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用進(jìn)行詳細(xì)說(shuō)明。

2.1 制定配置規(guī)范

本階段的任務(wù)是通過(guò)安全評(píng)估建立安全配置規(guī)范和安全檢查基線。建立安全配置規(guī)范首先是統(tǒng)計(jì)和識(shí)別校園網(wǎng)中正在使用的各類(lèi)業(yè)務(wù)系統(tǒng);然后結(jié)合安全基線模型分析業(yè)務(wù)系統(tǒng)的功能和可能存在的安全威脅;再將功能和針對(duì)威脅的應(yīng)對(duì)措施細(xì)化分解到系統(tǒng)實(shí)現(xiàn)層。安全配置規(guī)范主要由系統(tǒng)實(shí)現(xiàn)層中不同模塊在安全漏洞方面、安全配置方面以及系統(tǒng)狀態(tài)等方面的脆弱性檢查項(xiàng)構(gòu)成。這些檢查項(xiàng)的覆蓋面和有效性是基線安全實(shí)現(xiàn)的關(guān)鍵。建立安全檢查基線是以安全配置規(guī)范為基礎(chǔ)，按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》及《教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》的要求，根據(jù)校園網(wǎng)的等保級(jí)別從安全配置規(guī)范中提取所需的檢查項(xiàng)并設(shè)定相應(yīng)狀態(tài)生成安全檢查基線。

通過(guò)對(duì)WEB網(wǎng)站的功能和存在的風(fēng)險(xiǎn)進(jìn)行分析發(fā)現(xiàn):校園網(wǎng)中的WEB網(wǎng)站根據(jù)業(yè)務(wù)需要都會(huì)通過(guò)80、8080等網(wǎng)絡(luò)端口對(duì)公眾用戶(hù)提供服務(wù)，其本身會(huì)受到跨站腳本、網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)內(nèi)容篡改等各種網(wǎng)絡(luò)攻擊。此外，承載WEB網(wǎng)站的操作系統(tǒng)和存儲(chǔ)WEB網(wǎng)站數(shù)據(jù)信息的數(shù)據(jù)庫(kù)由于賬號(hào)管理、口令配置、認(rèn)證授權(quán)等方面存在的漏洞，在網(wǎng)絡(luò)上也會(huì)受到惡意攻擊。因此，需要在不同的模塊中定義相應(yīng)的防范要求和脆弱性檢查項(xiàng)。這些檢查項(xiàng)構(gòu)成了WEB網(wǎng)站的安全配置規(guī)范。根據(jù)對(duì)應(yīng)的等保要求，定義了校園網(wǎng)中的WEB網(wǎng)站安全配置規(guī)范檢查項(xiàng)，部分檢查項(xiàng)如表1所示。

2.2 基線檢查

本階段針對(duì)不同操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件及網(wǎng)絡(luò)設(shè)備的安全配置規(guī)范設(shè)計(jì)開(kāi)發(fā)專(zhuān)門(mén)的配置檢查工具，對(duì)系統(tǒng)的配置信息展開(kāi)合規(guī)檢查，將結(jié)果與安全基線進(jìn)行比對(duì)，找出不符合的項(xiàng)通過(guò)選擇和實(shí)施安全措施來(lái)加固系統(tǒng)，控制安全風(fēng)險(xiǎn)。

1)基線檢查

使用配置檢查工具對(duì)安全配置規(guī)范中的檢查項(xiàng)進(jìn)行檢查。配置檢查工具的工作流程如圖3所示:

①通過(guò)Perl語(yǔ)言或Vbscript語(yǔ)言開(kāi)發(fā)的腳本工具讀取系統(tǒng)配置文件信息。

②將系統(tǒng)配置文件信息中需要提取的檢查項(xiàng)及其對(duì)應(yīng)的狀態(tài)記錄到XML文件中。

③將記錄檢查項(xiàng)及其值的XML文件導(dǎo)入EXCEL表中。

④將檢測(cè)結(jié)果與之前定義的安全基線進(jìn)行比對(duì)，查看一致性。

配置檢查工具的開(kāi)發(fā)和使用在技術(shù)層面實(shí)現(xiàn)了安全基線檢查的自動(dòng)化，提高了安全基線檢查的工作效率。

表1 配置規(guī)范檢查項(xiàng)

圖3 配置檢查工具工作流程

在對(duì)WEB網(wǎng)站進(jìn)行安全基線檢查時(shí)，首先要參照WEB網(wǎng)站安全配置規(guī)范，按不同的操作系統(tǒng)平臺(tái)分類(lèi)，結(jié)合不同的數(shù)據(jù)庫(kù)和中間件類(lèi)型，做成不同類(lèi)型的配置檢查腳本工具。目前已對(duì)校園網(wǎng)中廣泛應(yīng)用的 Linux平臺(tái)下的 Oracle+Apache Tomcat，MySQ+Apache Tomcat架構(gòu)網(wǎng)站以及Windows平臺(tái)下的 Oracle+Apache Tomcat，MSSQL+Apache Tomcat，MySQL+Apache Tomcat，Oracle+IIS，MSSQL+IIS，MySQL+IIS 架構(gòu)網(wǎng)站開(kāi)發(fā)了相應(yīng)的配置檢查腳本工具。

下面以Windows平臺(tái)下的MySQL+Apache Tomcat為例，介紹檢查工具的開(kāi)發(fā)和使用。

1)檢查工具的開(kāi)發(fā)

配置檢查腳本工具主要實(shí)現(xiàn)2個(gè)功能:讀取Windows操作系統(tǒng)、MySQL數(shù)據(jù)庫(kù)和Apache Tomcat的配置文件信息;從配置信息中提取安全配置規(guī)范中定義的檢查項(xiàng)及其狀態(tài)值記錄到XML文件中。代碼如下:

①定義檢查項(xiàng)及查詢(xún)命令

這部分主要根據(jù)配置規(guī)范的要求，在程序中定義檢查項(xiàng)變量和獲取該檢查項(xiàng)狀態(tài)值的命令。Windows平臺(tái)下的腳本工具主要基于Vbscript［12］語(yǔ)言開(kāi)發(fā)，程序中使用 CreateObject(“Scripting.Dictionary”)創(chuàng)建“是否重命名管理員帳號(hào)”，“是否禁用 Guest用戶(hù)”，“中間件是否存在默認(rèn)口令”，“數(shù)據(jù)庫(kù)是否存在默認(rèn)口令”等集合對(duì)象，將檢查項(xiàng)名稱(chēng)及獲取該檢查項(xiàng)狀態(tài)值的命令存入類(lèi)似二維數(shù)組的集合中。

②將檢查項(xiàng)及狀態(tài)值寫(xiě)入XML文件

先創(chuàng)建 CreateObject(“wscript.shell”)對(duì)象，并使用該對(duì)象的exec方法調(diào)用獲取檢查項(xiàng)狀態(tài)值的命令讀取狀態(tài)值。接著創(chuàng)建 CreateObject(“ADODB.Stream”)對(duì)象，將檢查項(xiàng)及其狀態(tài)值依次寫(xiě)入XML文件。

2)檢查工具的使用

使用WEB網(wǎng)站配置檢查腳本工具，首先獲取Windows操作系統(tǒng)、Apache Tomcat以及MySQL的配置信息，接著從以上配置信息中提取表1定義的安全檢查項(xiàng)及其狀態(tài)值并記錄到XML文件中，最后使用EXCEL工具將XML文件導(dǎo)入EXCEL表中生成最終的安全檢查結(jié)果。

2.3 實(shí)施效果及不斷完善

使用配置檢查腳本工具進(jìn)行系統(tǒng)檢查的結(jié)果如表2所示。表2記錄了WEB網(wǎng)站安全檢查項(xiàng)及其對(duì)應(yīng)的系統(tǒng)加固前后的狀態(tài)值、WEB網(wǎng)站安全基線以及各檢查項(xiàng)的權(quán)重值。通過(guò)將各檢查項(xiàng)的權(quán)重值，代入相應(yīng)的計(jì)算公式可以得出WEB網(wǎng)站安全基線檢查的分值。將檢查結(jié)果進(jìn)行量化，滿(mǎn)分為100分，合格分為80分，如下所示:

式(1)中:M為滿(mǎn)足安全基線要求的滿(mǎn)分值;Wi為各檢查項(xiàng)權(quán)重值;Mi為各檢查項(xiàng)所得分值;n為檢查項(xiàng)個(gè)數(shù)，其中當(dāng)檢查項(xiàng)不滿(mǎn)足安全基線要求時(shí)得分為0。

表2 安全基線檢查結(jié)果

通過(guò)將定義的各檢查項(xiàng)的加固前狀態(tài)值與安全基線進(jìn)行比對(duì)，發(fā)現(xiàn)中間件Tomcat以及MySQL數(shù)據(jù)庫(kù)都存在默認(rèn)帳號(hào)密碼。使用式(1)可以算出系統(tǒng)加固前的檢查值為70分，未能達(dá)到安全基線的及格分。嘗試?yán)肕etasploit［12］漏洞檢測(cè)工具對(duì)系統(tǒng)進(jìn)行漏洞攻擊，如圖4所示。

圖4 系統(tǒng)加固前攻擊圖

由圖4可知:使用Metasploit軟件攻擊Windows系統(tǒng)成功，獲得一個(gè) Meterpreter的 Shell，通過(guò)執(zhí)行ipconfig、Hashdump等命令，能夠查看到被攻擊機(jī)器的ip信息和導(dǎo)出系統(tǒng)SAM數(shù)據(jù)庫(kù)里的內(nèi)容。此外還可以使用其他系統(tǒng)命令、內(nèi)核命令、文件系統(tǒng)命令及網(wǎng)絡(luò)命令獲取更多的信息。由于目標(biāo)主機(jī)已經(jīng)被成功進(jìn)入，因此需要立刻修改Tomcat以及MySQL默認(rèn)帳號(hào)密碼進(jìn)行漏洞修補(bǔ)。

將Tomcat和MySQL默認(rèn)帳號(hào)密碼修改后，使用式(1)可以算出系統(tǒng)加固后的檢查值為100分，達(dá)到安全基線要求。重新嘗試使用漏洞檢測(cè)工具對(duì)系統(tǒng)進(jìn)行攻擊操作，結(jié)果如圖5所示。

圖5 系統(tǒng)加固后攻擊圖

由圖5可知:經(jīng)過(guò)加固后，該系統(tǒng)的安全缺陷已無(wú)法被利用，輸入exploit命令后，顯示滲透失敗，無(wú)法取得攻擊系統(tǒng)的入口，加固效果明顯，系統(tǒng)得到了更好的保障。

實(shí)施實(shí)例及效果表明:安全基線管理在校園網(wǎng)信息安全建設(shè)中發(fā)揮著重要作用，但同時(shí)也應(yīng)認(rèn)識(shí)到追求規(guī)避WEB網(wǎng)站全部風(fēng)險(xiǎn)是不現(xiàn)實(shí)的。在達(dá)到基線水平之后，部分風(fēng)險(xiǎn)自然會(huì)被轉(zhuǎn)移或降低，同時(shí)隨著WEB網(wǎng)站應(yīng)用的不斷改變，可能出現(xiàn)新的風(fēng)險(xiǎn)。因此，需要找出基線檢查中不合規(guī)的檢查項(xiàng)，根據(jù)校園網(wǎng)等保級(jí)別的要求實(shí)施安全配置，完成系統(tǒng)安全加固工作，并使用漏洞掃描檢測(cè)軟件對(duì)加固前后的系統(tǒng)進(jìn)行攻擊測(cè)試，比較系統(tǒng)加固前后的效果。在今后的管理過(guò)程中，需要通過(guò)增減檢查項(xiàng)及修改權(quán)重值等方法持續(xù)定義安全基線，并隨著系統(tǒng)安全配置的不斷變化對(duì)系統(tǒng)的安全基線做出動(dòng)態(tài)調(diào)整。

3 結(jié)束語(yǔ)

校園網(wǎng)中引入安全基線管理雖然不能保證校園網(wǎng)環(huán)境百分之百安全，但為各業(yè)務(wù)系統(tǒng)建立統(tǒng)一的安全標(biāo)準(zhǔn)和配置規(guī)范后，降低了業(yè)務(wù)系統(tǒng)管理的安全隱患，提高了安全管理工作效率，完善了安全管理體系。安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用填補(bǔ)了高校在該領(lǐng)域的研究空白，是一次有益的探索，對(duì)其他高校開(kāi)展安全基線建設(shè)工作具有指導(dǎo)意義。

［1］朱杰.智能流量管理構(gòu)建綠色校園網(wǎng)絡(luò)［N/OL］.中國(guó)教育和科研計(jì)算機(jī)網(wǎng)，2011－09－21.http://www.edu.cn/xt_6481/20110921/t20110921_686805.shtml.

［2］Javier Bajo，María L Borrajo，Juan F De Paz，et al.A multi－agent system for web－based risk management in small and medium business［J］.EXPERT SYSTEMS WITH APPLICATIONS，2012，39(8):6921 －6931.

［3］李剛，李川銀，蘇劍擎.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全集成［J］.四川兵工學(xué)報(bào)，2012，33(2):104 －106.

［4］GB 17859—1999.計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則［S］.

［5］教育部辦公廳.教辦廳函［2009］80號(hào)文件《教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》［R］.北京:教育部辦公廳，2009.

［6］馬文，江翰，彭秋霞.電力信息安全基線自動(dòng)化核查［J］.云南電力技術(shù)，2013，41:89 －90.

［7］李小雪，皇甫濤，陳濤，等.電信運(yùn)營(yíng)商系統(tǒng)安全狀態(tài)基線研究及應(yīng)用［J］.電信工程技術(shù)與標(biāo)準(zhǔn)化，2012(12):31－35.

［8］諶志華.安全基線管理在企業(yè)中的應(yīng)用［J］.計(jì)算機(jī)安全，2013(3):19 －22.

［9］桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用［J］.計(jì)算機(jī)安全，2011(10):23 －27.

［10］王玉萍，段永紅，洪岢.安全基線在銀行業(yè)的應(yīng)用與實(shí)踐［J］.計(jì)算機(jī)安全，2011(8):30 －32，36.

［11］Jo Heasuk，Kim Seungjoo，Won Dongho.Advanced Information Security Management Evaluation System［J］.KSII TRANSACTIONS ON INTERNET AND INFORMATION SYSTEMS，2011，5(6):1192 －1213.

［12］Adrian Kingsley-Hughes，Kathie Kingsley-Hughes，Daniel Read.VBScript程序員參考手冊(cè)［M］.富弘毅，陳鋼，譯.北京:清華大學(xué)出版社，2009:383－434.

［13］David Kennedy.Metasploit滲透測(cè)試指南［M］.諸葛建偉，王珩，孫松柏，等，譯.北京:電子工業(yè)出版社，2012:75 －97，260 －262.