◆尹遜偉

等保2.0下校園信息系統(tǒng)安全管理體系構(gòu)建研究
——以北京青年政治學(xué)院為例

◆尹遜偉

（北京青年政治學(xué)院信息辦 北京 100102）

國(guó)家層面對(duì)網(wǎng)絡(luò)安全方面的表述，從2016年12月以后，確定了網(wǎng)絡(luò)空間安全的概念，這就意味著網(wǎng)絡(luò)安全變成了全方位的體系，龐大而全面。信息系統(tǒng)是承載數(shù)據(jù)的最終載體，是網(wǎng)絡(luò)空間安全的重要組成部分，而高校作為社會(huì)的重要組成，其信息系統(tǒng)也有重要的社會(huì)價(jià)值，如何保護(hù)其信息系統(tǒng)的安全是高校信息系統(tǒng)安全管理體系的重中之重。本文以北京青年政治學(xué)院信息系統(tǒng)安全管理體系為例，結(jié)合等保2.0的要求，分析了當(dāng)前信息系統(tǒng)管理體系方面的各種問(wèn)題，提出了如何更好構(gòu)建信息安全管理體系的思路，以更好地達(dá)到等保2.0的要求，保障高校信息系統(tǒng)的安全。

信息系統(tǒng)；等保2.0；網(wǎng)絡(luò)安全；管理體系；敏感信息

1 引言

隨著新技術(shù)、新應(yīng)用的不斷涌現(xiàn)，高校信息系統(tǒng)的功能也越來(lái)越豐富，涉及的人員多，數(shù)量多，掌握的數(shù)據(jù)也多，面臨數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)站癱瘓和頁(yè)面篡改的風(fēng)險(xiǎn)更大。據(jù)統(tǒng)計(jì)，2020年教育類數(shù)據(jù)暗網(wǎng)販賣事件多達(dá)30余起，網(wǎng)絡(luò)安全態(tài)勢(shì)越來(lái)越嚴(yán)重。一方面是學(xué)校對(duì)信息化建設(shè)多元化的訴求，一方面師生的信息安全素養(yǎng)不足以支撐信息系統(tǒng)的安全管理，高校的信息系統(tǒng)安全管理變得更加重要。

公安部制定的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“等保2.0”）于2019年12月1日起正式實(shí)施，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作從1.0時(shí)代邁入2.0時(shí)代，相比1.0時(shí)代，等保2.0時(shí)代更加注重主動(dòng)防御。這就對(duì)高校現(xiàn)有的管理體系提出了挑戰(zhàn)，但同時(shí)也指明了改革的方向。

2 高校信息系統(tǒng)安全管理現(xiàn)狀

目前，等保2.0已經(jīng)實(shí)施一年多，各專家也已經(jīng)把等保2.0的各項(xiàng)標(biāo)準(zhǔn)和要求解讀得比較完善，但高校的網(wǎng)絡(luò)和信息系統(tǒng)經(jīng)過(guò)長(zhǎng)年的建設(shè)，已經(jīng)形成了相當(dāng)?shù)囊?guī)模，短時(shí)間內(nèi)，直接達(dá)到等保2.0標(biāo)準(zhǔn)基本不現(xiàn)實(shí)，各高校都在研究自己的信息系統(tǒng)管理和網(wǎng)絡(luò)管理如何達(dá)到等保2.0的標(biāo)準(zhǔn)。

2.1 信息系統(tǒng)等級(jí)保護(hù)定級(jí)不準(zhǔn)確

現(xiàn)有等級(jí)保護(hù)體系是在等保1.0框架下搭建的，等保1.0時(shí)代的指導(dǎo)思想是“自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)”，也就是說(shuō)，系統(tǒng)定為幾級(jí)是自己學(xué)校自主決定，一般都是信息中心或網(wǎng)信辦進(jìn)行負(fù)責(zé)，然后上報(bào)到備案部門(mén)的。雖然備案部門(mén)也在審查，但1.0時(shí)代沒(méi)有完善的審查制度和具體標(biāo)準(zhǔn)，尤其是對(duì)等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的個(gè)體都沒(méi)明確的規(guī)模要求。這也就造成了高校信息系統(tǒng)在定級(jí)時(shí)不準(zhǔn)確，在確定定級(jí)的責(zé)任主體上不明確，所有系統(tǒng)的定級(jí)主體基本都在信息辦，沒(méi)有做到“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的確定原則。

2.2 信息系統(tǒng)建設(shè)流程不規(guī)范

高校信息系統(tǒng)的建設(shè)基本都是以各二級(jí)部門(mén)的需求來(lái)建立的，通常都是以單個(gè)信息系統(tǒng)為基礎(chǔ)來(lái)建設(shè)。只要是有需要，就上報(bào)信息化項(xiàng)目，然后建立，缺乏跟其他系統(tǒng)的聯(lián)動(dòng)，沒(méi)有形成統(tǒng)一規(guī)劃，有的系統(tǒng)還存在功能重復(fù)的情況。而且所建立的信息系統(tǒng)都是建設(shè)完成后才進(jìn)行定級(jí)備案，不符合定級(jí)的流程。

2.3 信息系統(tǒng)管理不規(guī)范

按照“誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，各信息系統(tǒng)的使用單位應(yīng)當(dāng)有管理信息系統(tǒng)的責(zé)任，但實(shí)際情況是，系統(tǒng)的使用部門(mén)除了使用基本的功能和基本業(yè)務(wù)管理外，沒(méi)有建立系統(tǒng)的臺(tái)賬，基本的管理流程沒(méi)有，后臺(tái)服務(wù)器基本不登錄，工作人員對(duì)系統(tǒng)的操作系統(tǒng)版本，所用插件，數(shù)據(jù)庫(kù)名稱、版本等一無(wú)所知，甚至系統(tǒng)后臺(tái)的登錄密碼都不清楚，一切服務(wù)器的管理都賴以開(kāi)發(fā)公司的支持。

2.4 信息系統(tǒng)管理員信息安全素養(yǎng)有待提高

作為信息系統(tǒng)管理員，應(yīng)當(dāng)具備相應(yīng)的信息安全素養(yǎng)，對(duì)待系統(tǒng)的安全應(yīng)該有清醒的認(rèn)知。目前高校大部分部門(mén)的信息系統(tǒng)管理員，一般只是部門(mén)工作人員兼任，管理內(nèi)容也只是對(duì)人員的增刪改、對(duì)密碼的更改以及業(yè)務(wù)本身的使用，對(duì)安全問(wèn)題基本不關(guān)心。即便是遇到安全的情況，也認(rèn)為和自身沒(méi)有多大關(guān)系，管理員密碼常年不改，網(wǎng)絡(luò)安全意識(shí)不高。

2.5 現(xiàn)有二級(jí)系統(tǒng)數(shù)量過(guò)多，現(xiàn)有項(xiàng)目資金完不成測(cè)評(píng)要求

按照等保2.0的要求，三級(jí)系統(tǒng)要每年都要測(cè)評(píng)，二級(jí)系統(tǒng)要每?jī)赡隃y(cè)評(píng)一次。很多高校的二級(jí)系統(tǒng)過(guò)多，按照現(xiàn)有項(xiàng)目資金無(wú)法按照測(cè)評(píng)要求完成。就我院情況來(lái)說(shuō)，目前共有21個(gè)二級(jí)系統(tǒng)，按照測(cè)評(píng)要求，每年要測(cè)評(píng)10個(gè)或11個(gè)，但每年的測(cè)評(píng)項(xiàng)目所獲批的資金，僅能完成5到6個(gè)系統(tǒng)的測(cè)評(píng)，無(wú)法完成所有二級(jí)系統(tǒng)每?jī)赡暌粶y(cè)評(píng)的要求。

3 信息系統(tǒng)定級(jí)與測(cè)評(píng)

3.1 信息系統(tǒng)的等級(jí)認(rèn)定

等保1.0時(shí)代，學(xué)校自主定級(jí)，在等保2.0之后，特別是2020年12月《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》發(fā)布后，等保級(jí)別不再按單位自己定的級(jí)別認(rèn)定。雖然等保2.0在學(xué)校信息系統(tǒng)安全保護(hù)等級(jí)建議中，建議二類學(xué)校的系統(tǒng)一般都定為二級(jí)，但具體的定級(jí)要根據(jù)實(shí)際情況來(lái)定，也就是說(shuō)，二類學(xué)校的信息系統(tǒng)也有可能被定為三級(jí)。主要的定級(jí)標(biāo)準(zhǔn)要看看專家的評(píng)審意見(jiàn)，而評(píng)審專家的評(píng)審依據(jù)主要看個(gè)人敏感信息的數(shù)量、是否開(kāi)放互聯(lián)網(wǎng)等，最終的定級(jí)還要主管部門(mén)審批才能報(bào)備到備案部門(mén)。

所謂敏感信息，主要包括師生員工的姓名、身份證號(hào)、電話號(hào)碼、家庭住址、照片等，在定級(jí)時(shí)會(huì)細(xì)化到字段級(jí)。目前北京基本執(zhí)行的標(biāo)準(zhǔn)是5000條，換句話說(shuō)，如果系統(tǒng)在運(yùn)行時(shí)敏感信息條目存儲(chǔ)高過(guò)5000，就有被定為三級(jí)的風(fēng)險(xiǎn)。如果信息系統(tǒng)里的人員流動(dòng)性比較大，比如學(xué)工系統(tǒng)、教務(wù)系統(tǒng)，不想被定為三級(jí)，可根據(jù)學(xué)校的實(shí)際情況，把畢業(yè)后學(xué)生的歷史數(shù)據(jù)進(jìn)行離線存儲(chǔ)，保證系統(tǒng)運(yùn)行時(shí)能查到的數(shù)目不超過(guò)5000，這樣才可能被定為二級(jí)。

對(duì)于需要新建的業(yè)務(wù)，盡量在已有系統(tǒng)中添加新的模塊，如實(shí)在不能新加模塊的，也盡量把系統(tǒng)合并到已有的綜合系統(tǒng)中，盡量避免出現(xiàn)新系統(tǒng)的定級(jí)備案。對(duì)確實(shí)需要建設(shè)獨(dú)立系統(tǒng)的，有一個(gè)底錢(qián)，就是如果開(kāi)放互聯(lián)網(wǎng)的訪問(wèn)，哪怕功能再簡(jiǎn)單，一年只開(kāi)放幾天，也不允許定為一級(jí)系統(tǒng)。

3.2 如何減少信息系統(tǒng)的測(cè)評(píng)數(shù)量

針對(duì)高校二級(jí)信息系統(tǒng)過(guò)多，無(wú)法完成每?jī)赡隃y(cè)評(píng)一次要求的情況，目前能做的只能是盡量減少信息系統(tǒng)的備案數(shù)量，基本思路如下：

（1）直接撤銷備案。準(zhǔn)確調(diào)研各信息系統(tǒng)的使用情況，對(duì)一些老舊系統(tǒng)或基本不用的信息系統(tǒng)，走撤銷流程，直接撤銷其備案。確有歷史數(shù)據(jù)需要查詢的，可以離線存儲(chǔ)或單機(jī)訪問(wèn)。

（2）網(wǎng)站合并后撤銷備案。除學(xué)院官方主頁(yè)外，其他所有二級(jí)部門(mén)的網(wǎng)站，統(tǒng)一歸屬到網(wǎng)站群，減少一批二級(jí)部門(mén)網(wǎng)站，這樣網(wǎng)站群主體責(zé)任可以歸屬信息辦，管理比較集中，有助于網(wǎng)站的安全穩(wěn)定和應(yīng)急處理。

（3）系統(tǒng)合并后撤銷備案。系統(tǒng)合并可以按信息系統(tǒng)的業(yè)務(wù)對(duì)象進(jìn)行分類后合并，也可以按業(yè)務(wù)部門(mén)分類，還可以按辦事流程或綜合服務(wù)類合并。按業(yè)務(wù)部門(mén)合并的：比如，我院的教務(wù)部門(mén)有教務(wù)系統(tǒng)、頂崗實(shí)習(xí)系統(tǒng)、資源管理系統(tǒng)，教學(xué)評(píng)價(jià)系統(tǒng)等，可以匯總為一個(gè)大的綜合教務(wù)系統(tǒng)，包括一切和教學(xué)相關(guān)的功能，教務(wù)系統(tǒng)的敏感數(shù)據(jù)包含了其他三個(gè)系統(tǒng)的數(shù)據(jù)，不會(huì)增加新的數(shù)據(jù)量，這樣其他三個(gè)系統(tǒng)就可以撤銷備案。按辦事流程或綜合服務(wù)類合并：比如合同審簽系統(tǒng)、會(huì)議室預(yù)定系統(tǒng)等不上外網(wǎng)的，又是辦理業(yè)務(wù)的，可以合并成網(wǎng)上辦事大廳或網(wǎng)上綜合服務(wù)大廳等。有統(tǒng)一身份認(rèn)證的，可以走統(tǒng)一身份認(rèn)證系統(tǒng)，比如我院有智慧校園，里面加入了統(tǒng)一身份認(rèn)證，通過(guò)智慧校園可以不用再次輸入密碼，直接進(jìn)入其他系統(tǒng)，這種情況，可以把能合并到智慧校園的系統(tǒng)，合并到智慧校園。

經(jīng)過(guò)以上幾種情況的合并，數(shù)量都會(huì)大大減少到10個(gè)以下。但信息系統(tǒng)的合并，情況比較復(fù)雜，在合并過(guò)程中會(huì)遇到各種問(wèn)題。如果本身是二級(jí)系統(tǒng)，按之前的分類可以與其他系統(tǒng)合并，但其存儲(chǔ)的敏感信息已經(jīng)超過(guò)五千條，就先不要?jiǎng)舆@個(gè)系統(tǒng)，保持原狀；如果本來(lái)信息系統(tǒng)存儲(chǔ)的敏感信息數(shù)量不多，合并后，超過(guò)了五千，看看數(shù)據(jù)是否有重合，是否能用共用庫(kù)等，如果最終的敏感信息數(shù)量還是超過(guò)了五千，也不能合并。還有諸如財(cái)務(wù)系統(tǒng)等涉及資金往來(lái)的一般不要進(jìn)行合并。

4 信息系統(tǒng)安全管理體系構(gòu)建

當(dāng)前面臨“教育信息化2.0”和“等保2.0”的共同實(shí)施階段，面對(duì)信息化建設(shè)要不斷實(shí)施的情況，要以“等保2.0”為抓手和依托，建立健全信息系統(tǒng)安全管理體系，切實(shí)提高高校信息安全防護(hù)水平及能力。針對(duì)上述遇到的高校校園的信息系統(tǒng)安全管理現(xiàn)狀，以北京青年政治學(xué)院為例，把信息系統(tǒng)安全管理體系初步建成從各二級(jí)部門(mén)的管理員到信息中心管理，再到整體網(wǎng)絡(luò)安全管理的分級(jí)管理體系。

4.1 設(shè)立安全管理機(jī)構(gòu)

對(duì)于高校校園來(lái)說(shuō)，網(wǎng)絡(luò)安全是全體師生共同參與的事情，需要全校師生的共同努力，不單單是信息辦或網(wǎng)信辦一個(gè)部門(mén)的事情，但信息辦或網(wǎng)信辦作為一個(gè)基層部門(mén)，在推動(dòng)網(wǎng)絡(luò)安全和信息化建設(shè)的時(shí)候，力量不足，就需要在更高層面設(shè)計(jì)才可以順利推進(jìn)。以我院為例，學(xué)院成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，校長(zhǎng)書(shū)記任雙組長(zhǎng)，主要職能包括宣傳貫徹落實(shí)國(guó)家關(guān)于網(wǎng)絡(luò)安全和信息化工作的法律法規(guī)，貫徹落實(shí)市公安局、市委網(wǎng)信辦和市教委等部門(mén)的相關(guān)制度，研究審議學(xué)院網(wǎng)絡(luò)安全和信息化工作戰(zhàn)略目標(biāo)、實(shí)施方案、技術(shù)標(biāo)準(zhǔn)，落實(shí)網(wǎng)絡(luò)安全和信息化工作責(zé)任制。

領(lǐng)導(dǎo)小組組織架構(gòu)，主要包括決策層、管理層和運(yùn)維層。決策層主要是學(xué)院校長(zhǎng)、書(shū)記，分管信息化、意識(shí)形態(tài)的領(lǐng)導(dǎo)；管理層主要包括領(lǐng)導(dǎo)小組成員，也就是各部門(mén)的負(fù)責(zé)人；運(yùn)維層主要是各業(yè)務(wù)系統(tǒng)的管理員。領(lǐng)導(dǎo)小組辦公室設(shè)在信息辦，由信息辦組織協(xié)調(diào)網(wǎng)絡(luò)安全方面相關(guān)事宜。

4.2 制定完善的安全管理制度

制定并落實(shí)安全管理責(zé)任制度，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，層次落實(shí)，與各部門(mén)簽訂責(zé)任書(shū)，明確負(fù)責(zé)人和管理員。制定整改責(zé)任書(shū)與反饋機(jī)制，信息辦定期進(jìn)行系統(tǒng)漏洞掃描，如發(fā)現(xiàn)系統(tǒng)有漏洞，就把相應(yīng)的整改責(zé)任書(shū)發(fā)給系統(tǒng)使用部門(mén)，限期進(jìn)行修復(fù)。修復(fù)后，需要反饋至信息辦，信息辦再次掃描予以確認(rèn)，逾期不修改又不進(jìn)行情況說(shuō)明的，上報(bào)領(lǐng)導(dǎo)小組，按管理制度進(jìn)行處理。

各二級(jí)部門(mén)要及時(shí)關(guān)注信息辦發(fā)布的安全及漏洞信息，如存在隱患，要及時(shí)對(duì)信息系統(tǒng)進(jìn)行漏洞修復(fù)。如有高危漏洞，信息辦可先關(guān)閉信息系統(tǒng)，待信息系統(tǒng)整改完成后才可重新上線。

4.3 安全意識(shí)教育和培訓(xùn)

信息辦上崗人員要具備ECSP等證書(shū)，要定期參加網(wǎng)絡(luò)安全方面的培訓(xùn)，掌握安全動(dòng)態(tài)。信息系統(tǒng)使用部門(mén)的管理人員，要定期參加信息中心舉辦的培訓(xùn)，積極參與到每年的國(guó)家網(wǎng)絡(luò)安全宣傳周中來(lái)，并以此為契機(jī)，交流經(jīng)驗(yàn)，進(jìn)而推廣到全院師生，不斷提升網(wǎng)絡(luò)安全意識(shí)和素養(yǎng)。信息辦和各二級(jí)部門(mén)都要做好系統(tǒng)的臺(tái)賬，包括操作系統(tǒng)版本，開(kāi)發(fā)工具，插件版本，數(shù)據(jù)庫(kù)版本。信息辦及時(shí)關(guān)注上級(jí)網(wǎng)信辦或安全公司下發(fā)的漏洞通告，要及時(shí)查看臺(tái)賬，看有無(wú)涉及，如果有涉及，聯(lián)系具體負(fù)責(zé)的部門(mén)，自己能修復(fù)的立即修復(fù)；涉及到開(kāi)發(fā)的，要及時(shí)與建設(shè)方聯(lián)系，對(duì)系統(tǒng)進(jìn)行漏洞修復(fù)。信息系統(tǒng)管理員要注意信息系統(tǒng)用戶名和密碼的安全，密碼必須按復(fù)雜度要求進(jìn)行設(shè)計(jì)，要定期的修改，不得隨意告訴他人。

4.4 信息系統(tǒng)安全建設(shè)

信息系統(tǒng)要按照等保2.0要求來(lái)確定定級(jí)的主體，嚴(yán)格按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的確定原則。例如，信息辦作為安全主管單位，負(fù)責(zé)推動(dòng)整個(gè)學(xué)院等級(jí)保護(hù)的落實(shí)；校級(jí)系統(tǒng)或集中管理的或跨部門(mén)的平臺(tái)，由信息辦負(fù)責(zé)，則安全主體為信息辦；各二級(jí)單位獨(dú)立使用運(yùn)維的，由各二級(jí)單位負(fù)責(zé)。新建系統(tǒng)要嚴(yán)格執(zhí)行等保2.0的建設(shè)要求，在建設(shè)初期應(yīng)在信息辦指導(dǎo)下進(jìn)行信息系統(tǒng)的等級(jí)保護(hù)備案的工作，在上線前應(yīng)該做漏洞掃描，沒(méi)有中高危漏洞后方可上線。系統(tǒng)上線后，配合信息辦進(jìn)行信息系統(tǒng)的等級(jí)測(cè)評(píng)工作。

4.5 應(yīng)急預(yù)案的制定和應(yīng)急演練實(shí)戰(zhàn)

按照等保2.0的要求，要制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，以提高網(wǎng)絡(luò)安全應(yīng)急工作機(jī)制，應(yīng)急預(yù)案中要有一鍵斷網(wǎng)措施，一旦發(fā)現(xiàn)安全事件，及時(shí)一鍵斷網(wǎng)。我院把核心交換機(jī)的電源接入到帶有SIM卡的插線板，如有事件發(fā)生，可以通過(guò)短信或電話的形式給其斷電，阻斷外部訪問(wèn)。同時(shí)我院還接入了閃慧云的校園網(wǎng)絡(luò)安全監(jiān)控與管理系統(tǒng)，與手機(jī)端聯(lián)動(dòng)，提供了微信一鍵開(kāi)關(guān)功能，一旦出現(xiàn)問(wèn)題，可及時(shí)進(jìn)行斷網(wǎng)處置，還可以對(duì)信息系統(tǒng)設(shè)置開(kāi)放外網(wǎng)的時(shí)間段。

針對(duì)應(yīng)急預(yù)案，要進(jìn)行應(yīng)急演練，以發(fā)現(xiàn)預(yù)案中的不足和提高工作人員處置問(wèn)題的能力。2021年，我院對(duì)郵箱系統(tǒng)進(jìn)行了應(yīng)急演練，模擬管理員賬戶，對(duì)全院所有教職工進(jìn)行模擬釣魚(yú)郵件的發(fā)送。后續(xù)為了更好檢驗(yàn)老師的安全意識(shí)，此次演練持續(xù)了2周時(shí)間，演練發(fā)現(xiàn)，依然有部分老師點(diǎn)擊了鏈接，甚至有老師根據(jù)鏈接中提示進(jìn)行了信息填寫(xiě)。這也暴露出了部分老師的安全意識(shí)有待加強(qiáng)。

5 結(jié)語(yǔ)

等保2.0的內(nèi)容很多，信息系統(tǒng)的安全管理只是其中的一部分內(nèi)容，但也是事關(guān)數(shù)據(jù)存儲(chǔ)和管理的關(guān)鍵部分，做好信息系統(tǒng)的安全管理，是對(duì)整個(gè)等保2.0體系有力支撐?，F(xiàn)階段“等保2.0”標(biāo)準(zhǔn)雖然說(shuō)已經(jīng)正式的實(shí)施，但是各個(gè)行業(yè)在原來(lái)1.0的基礎(chǔ)上還沒(méi)有更好的整合，在高校信息防護(hù)工作中的必要性的認(rèn)識(shí)尚未統(tǒng)一，工作流程與工作內(nèi)容也有待明確。文章結(jié)合自己學(xué)校的實(shí)際情況，發(fā)現(xiàn)了部分問(wèn)題，提出解決的思路，希望對(duì)其他高校的校園信息系統(tǒng)安全管理體系建立帶來(lái)一定的幫助。

[1]信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].

[2]付中華.等保2.0時(shí)代高校等級(jí)保護(hù)工作的思考與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（01）.

[3]童話等.做好等保2.0網(wǎng)絡(luò)信息安全工作的一些思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（01）.

[5]王文梁.基于等保2.0標(biāo)準(zhǔn)的高校網(wǎng)絡(luò)安全解決方案——以閩南理工學(xué)院為例[J].信息技術(shù)與信息化，2020（10）.

[8]朱圣才.等保2.0框架下高校網(wǎng)絡(luò)安全體系建設(shè)[J].網(wǎng)絡(luò)空間安全，2020，11（04）.

[9]GB/T 22240-2020，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南[S].