◆郭娜 張慰 張文艷

高校信息資產(chǎn)的全生命周期安全管理方案研究

◆郭娜 張慰 張文艷

（江蘇師范大學(xué) 信息化建設(shè)與管理處 江蘇 221116）

保護(hù)高校網(wǎng)絡(luò)空間安全，落實(shí)到具體操作層面就是保護(hù)信息資產(chǎn)的安全。本文針對(duì)高校信息資產(chǎn)管理過(guò)程中存在的各種安全問(wèn)題，結(jié)合江蘇師范大學(xué)網(wǎng)絡(luò)安全建設(shè)的探索與實(shí)踐，總結(jié)歸納出信息資產(chǎn)的全生命周期安全管理方案，通過(guò)實(shí)踐，能夠明顯提高信息資產(chǎn)管理的規(guī)范化和流程化。

網(wǎng)絡(luò)安全；信息資產(chǎn)；安全管理；等級(jí)保護(hù)

近年來(lái)，國(guó)家層面高度重視網(wǎng)絡(luò)空間安全，于2017年6月1日起實(shí)施《網(wǎng)絡(luò)安全法》，明確建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的“同步規(guī)劃、同步建設(shè)、同步使用”三同步原則，要求在系統(tǒng)生命周期各階段明確責(zé)任部門(mén)及安全職責(zé)，在全過(guò)程中推行安全同步開(kāi)展，強(qiáng)化安全工作前移。隨著高校智慧校園建設(shè)的有序開(kāi)展，信息化已廣泛融入到校園的方方面面，功能豐富的信息系統(tǒng)或網(wǎng)站逐漸演變?yōu)橐环N資產(chǎn)——信息資產(chǎn)?；ヂ?lián)網(wǎng)的開(kāi)放性使得安全生態(tài)十分脆弱，信息資產(chǎn)也成為黑客攻擊的首要目標(biāo)。近年來(lái)，網(wǎng)站掛馬、網(wǎng)頁(yè)篡改、植入后門(mén)等安全事件頻發(fā)，嚴(yán)重影響了校園的安全和穩(wěn)定，也引起了廣大高校的廣泛關(guān)注。信息資產(chǎn)的生命周期包括規(guī)劃、建設(shè)、運(yùn)行、回收四個(gè)階段，在生命周期的每個(gè)階段都可能存在安全問(wèn)題，因此，加強(qiáng)信息資產(chǎn)的全生命周期的安全建設(shè)和管理是保障其安全性的基礎(chǔ)，也是學(xué)校創(chuàng)造高質(zhì)量教育網(wǎng)絡(luò)空間的保障，需引起高度重視。

1 信息資產(chǎn)及安全現(xiàn)狀

信息資產(chǎn)作為一種新的資產(chǎn)已經(jīng)被普遍接受，但其定義尚未統(tǒng)一。文獻(xiàn)[1]中將信息資產(chǎn)的定義劃分為兩類(lèi)：一類(lèi)認(rèn)為信息資產(chǎn)是指以企業(yè)人員信息、經(jīng)營(yíng)信息、企業(yè)文化、員工知識(shí)等為代表的信息類(lèi)資產(chǎn)，另一類(lèi)認(rèn)為信息資產(chǎn)涵蓋與信息技術(shù)、信息安全相關(guān)的所有資產(chǎn)，既包括人員信息等信息類(lèi)資產(chǎn)，也包括相關(guān)的硬件設(shè)備、軟件、服務(wù)、數(shù)據(jù)等。第一種觀點(diǎn)是狹義的定義，第二種觀點(diǎn)是廣義的定義。本文旨在從高校的信息系統(tǒng)或Web頁(yè)面著手，闡述其安全管理方案，屬于廣義定義中的信息資產(chǎn)。為了方便描述，本文將信息系統(tǒng)或Web頁(yè)面等資產(chǎn)統(tǒng)稱(chēng)為信息資產(chǎn)。

對(duì)于高校來(lái)說(shuō)，各部門(mén)業(yè)務(wù)類(lèi)型復(fù)雜多樣，信息資產(chǎn)不斷增長(zhǎng)，業(yè)務(wù)服務(wù)范圍廣泛，已成為高校資產(chǎn)的重要組成部分。目前，國(guó)內(nèi)研究者比較關(guān)注信息資產(chǎn)的安全，但研究側(cè)重于安全防護(hù)技術(shù)方面?，F(xiàn)如今，信息資產(chǎn)安全防護(hù)技術(shù)逐漸成熟，但在信息資產(chǎn)的安全管理上暴露出各種問(wèn)題[2-4]：（1）各部門(mén)在落實(shí)安全責(zé)任制上不徹底，無(wú)固定安全管理人員，業(yè)務(wù)部門(mén)人員更替較為隨意，安全意識(shí)薄弱，在出現(xiàn)安全事件時(shí)無(wú)法及時(shí)找到聯(lián)系人。（2）信息資產(chǎn)管理零散、混亂、隨意，無(wú)備案制度，無(wú)扎口管理，自建、私建資產(chǎn)和“雙非”資產(chǎn)難以發(fā)現(xiàn)。（3）缺乏多角色共同治理，各部門(mén)各角色之間協(xié)作管理困難，軟硬件的重要信息更新后沒(méi)有在各角色之間共享，數(shù)據(jù)流轉(zhuǎn)無(wú)法留痕，信息資產(chǎn)監(jiān)管難度大。（4）缺乏信息資產(chǎn)全生命周期安全管理機(jī)制。在信息資產(chǎn)上線和運(yùn)行等重要階段，缺乏多部門(mén)聯(lián)動(dòng)的安全監(jiān)測(cè)、審查和監(jiān)督流程。在安全評(píng)估結(jié)果傳達(dá)、安全通報(bào)上無(wú)規(guī)范流程，給漏洞修復(fù)和安全通報(bào)處置追蹤帶來(lái)不便。

綜上所述，如何加強(qiáng)各部門(mén)業(yè)務(wù)角色之間的協(xié)作，打破部門(mén)和安全管理間的邊界，增強(qiáng)信息資產(chǎn)的安全性、合規(guī)性建設(shè)已經(jīng)成為各高校不斷探索的問(wèn)題。本文以此為目標(biāo)，提出信息資產(chǎn)的全生命周期安全管理方案，通過(guò)項(xiàng)目統(tǒng)籌建設(shè)、資產(chǎn)備案管理、建設(shè)管理、運(yùn)行及運(yùn)維管理和回收管理等，實(shí)現(xiàn)信息資產(chǎn)的安全管理和流程化管理。

2 信息資產(chǎn)的統(tǒng)籌規(guī)劃與管理

信息資產(chǎn)的統(tǒng)籌規(guī)劃管理是由學(xué)校信息化部門(mén)發(fā)揮信息化項(xiàng)目統(tǒng)籌規(guī)劃建設(shè)職能，實(shí)現(xiàn)校內(nèi)信息資產(chǎn)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，推動(dòng)信息資產(chǎn)跨部門(mén)、跨學(xué)院互聯(lián)互通，促進(jìn)信息共享和業(yè)務(wù)協(xié)同，幫助消除“信息孤島”，確保各類(lèi)信息資產(chǎn)建設(shè)科學(xué)、規(guī)范、合理、有序?qū)嵤?/p>

2.1 資產(chǎn)的統(tǒng)籌規(guī)劃

信息資產(chǎn)統(tǒng)籌規(guī)劃是明確信息化部門(mén)作為學(xué)校信息化建設(shè)項(xiàng)目、經(jīng)費(fèi)、人員等方面的歸口管理部門(mén)。各業(yè)務(wù)部門(mén)建設(shè)信息資產(chǎn)時(shí)，統(tǒng)一向校信息化部門(mén)提交項(xiàng)目申請(qǐng)和項(xiàng)目立項(xiàng)書(shū)，明確項(xiàng)目建設(shè)單位和建設(shè)內(nèi)容，立項(xiàng)書(shū)中寫(xiě)明建設(shè)需求、目標(biāo)、建設(shè)方案、安全規(guī)劃、資源預(yù)估、人員配備等。項(xiàng)目的立項(xiàng)必須由信息化部門(mén)組織專(zhuān)家進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)才能立項(xiàng)。對(duì)于評(píng)審不通過(guò)的項(xiàng)目，信息化部有權(quán)不予立項(xiàng)。在項(xiàng)目立項(xiàng)后，建設(shè)單位還需和信息化部門(mén)協(xié)同調(diào)研、認(rèn)真規(guī)劃建設(shè)方案，通過(guò)不斷修正形成較為完備的建設(shè)方案。同樣，建設(shè)方案仍需組織專(zhuān)家對(duì)方案、技術(shù)的可行性進(jìn)行評(píng)估，保證項(xiàng)目建設(shè)的合規(guī)性、安全性、可靠性和可用性。因此，信息資產(chǎn)的統(tǒng)籌規(guī)劃能夠幫助信息化部門(mén)了解項(xiàng)目建設(shè)初衷，明確建設(shè)單位，強(qiáng)化網(wǎng)絡(luò)安全約束，減少信息系統(tǒng)建設(shè)過(guò)程中的不合規(guī)性，為信息資產(chǎn)的備案管理提供基礎(chǔ)數(shù)據(jù)。

2.2 資產(chǎn)備案管理

為了滿足信息業(yè)務(wù)不斷增長(zhǎng)的需求，各業(yè)務(wù)部門(mén)廣泛熱衷于信息資產(chǎn)的建設(shè)，但往往只重用途，不重安全。與此同時(shí)，學(xué)校信息化部門(mén)人員有限，無(wú)法對(duì)全校信息資產(chǎn)實(shí)時(shí)監(jiān)控，增加了校園網(wǎng)絡(luò)安全的隱患。因此，有必要對(duì)資產(chǎn)進(jìn)行備案管理，其目的是摸清資產(chǎn)，及時(shí)更新資產(chǎn)信息。

摸清資產(chǎn)的前提要確定所需采集的資產(chǎn)信息，即信息資產(chǎn)指紋。信息資產(chǎn)指紋可包括服務(wù)器類(lèi)型、操作系統(tǒng)版本、IP地址、域名、URL鏈接、端口、應(yīng)用類(lèi)型、開(kāi)發(fā)語(yǔ)言、責(zé)任人等。對(duì)于信息資產(chǎn)指紋的采集方法通常有兩種，一種是手動(dòng)采集法，即業(yè)務(wù)部門(mén)對(duì)自己規(guī)劃建設(shè)的信息資產(chǎn)，由系統(tǒng)管理員填寫(xiě)資產(chǎn)備案申請(qǐng)，申請(qǐng)中需寫(xiě)明信息資產(chǎn)用途、配置詳情、服務(wù)提供范圍、責(zé)任單位和責(zé)任人等。在系統(tǒng)管理員提交申請(qǐng)后，由業(yè)務(wù)部門(mén)審批，信息化部門(mén)對(duì)資產(chǎn)進(jìn)行登記和備案。另一種是自動(dòng)采集法，自動(dòng)采集法往往針對(duì)未知資產(chǎn)，尤其是較早建設(shè)的資產(chǎn)，分為基于流量的被動(dòng)檢測(cè)法和主動(dòng)探測(cè)發(fā)現(xiàn)法[5]。基于流量的被動(dòng)檢測(cè)法一般在網(wǎng)絡(luò)出口旁路部署自學(xué)習(xí)引擎，通過(guò)對(duì)鏡像流量http/https訪問(wèn)的分析，自動(dòng)發(fā)現(xiàn)校園網(wǎng)內(nèi)對(duì)外提供訪問(wèn)的網(wǎng)站及業(yè)務(wù)系統(tǒng)。對(duì)于內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的發(fā)現(xiàn)，可通過(guò)在各安全域內(nèi)部署探針，摸清網(wǎng)絡(luò)內(nèi)開(kāi)放的各種服務(wù)端口的指紋信息[6]。然而，該種方法存在一個(gè)弊端，就是當(dāng)資產(chǎn)沒(méi)有被任何人訪問(wèn)，沒(méi)有產(chǎn)生流量時(shí)無(wú)法被識(shí)別，主動(dòng)探測(cè)發(fā)現(xiàn)法則可以在一定程度上解決該問(wèn)題。主動(dòng)探測(cè)法是通過(guò)對(duì)指定校園網(wǎng)地址段進(jìn)行逐個(gè)全量端口掃描的方法來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)空間中的資源信息，該方法通常采用了TCP/IP協(xié)議族中的ICMP協(xié)議，通過(guò)ICMP協(xié)議中的反射請(qǐng)求與應(yīng)答數(shù)據(jù)包提供的功能來(lái)實(shí)現(xiàn)與目的主機(jī)的通訊，并以此作為對(duì)所需探測(cè)數(shù)據(jù)獲取的平臺(tái)，但該方法對(duì)網(wǎng)絡(luò)本身的通信流量產(chǎn)生影響。通過(guò)自動(dòng)發(fā)現(xiàn)獲取資產(chǎn)信息后，信息化部門(mén)安全管理員仍需對(duì)資產(chǎn)信息進(jìn)行梳理，去除不必要數(shù)據(jù)，保留有用數(shù)據(jù)。

3 信息資產(chǎn)建設(shè)管理

在完成信息資產(chǎn)備案后，信息資產(chǎn)進(jìn)入建設(shè)階段。根據(jù)《網(wǎng)絡(luò)安全法》的“三同步”原則，系統(tǒng)建設(shè)階段要充分考慮所建資產(chǎn)是否滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。當(dāng)然，等級(jí)保護(hù)要求不能代替網(wǎng)絡(luò)安全，等級(jí)保護(hù)要求是基本要求，如果建設(shè)單位有更高要求或針對(duì)其業(yè)務(wù)有特殊安全需求，需將等級(jí)保護(hù)納入其信息安全之中[7]。

在信息資產(chǎn)分析、設(shè)計(jì)、實(shí)施時(shí)，信息化部門(mén)要結(jié)合《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作指南（試行）》等相關(guān)文件給信息資產(chǎn)建設(shè)提出安全性要求，包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防護(hù)、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份等方面，形成安全需求和安全基線。同時(shí)，公司工程師要注意形成安全編碼規(guī)范并進(jìn)行安全編碼，軟件測(cè)試時(shí)進(jìn)行安全功能測(cè)試、源代碼審查等。

在信息資產(chǎn)建設(shè)階段，業(yè)務(wù)部門(mén)需要完成資產(chǎn)的定級(jí)。信息化部門(mén)可以根據(jù)定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系初步確定信息資產(chǎn)的等級(jí)，并向業(yè)務(wù)部門(mén)推薦備案等級(jí)，業(yè)務(wù)部門(mén)參照信息化部門(mén)的建議初步確定等級(jí)。對(duì)于安全保護(hù)等級(jí)初步確定為二級(jí)及以上的等級(jí)保護(hù)對(duì)象，業(yè)務(wù)部門(mén)應(yīng)當(dāng)依據(jù)標(biāo)準(zhǔn)要求進(jìn)行專(zhuān)家評(píng)審、主管部門(mén)核準(zhǔn)和備案審核，最終確定其安全保護(hù)等級(jí)。

整個(gè)建設(shè)過(guò)程，信息化部門(mén)要對(duì)資產(chǎn)的建設(shè)情況進(jìn)行記錄，為資產(chǎn)上線做準(zhǔn)備。

4 信息資產(chǎn)運(yùn)行及運(yùn)維管理

4.1 信息資產(chǎn)上線管理

信息資產(chǎn)部署的目的是對(duì)外提供服務(wù)，資產(chǎn)上線必須經(jīng)過(guò)嚴(yán)格的安全管控，江蘇師范大學(xué)啟用規(guī)范的資產(chǎn)上線流程。對(duì)于待上線的信息資產(chǎn)，業(yè)務(wù)部門(mén)安全管理員需先提交信息資產(chǎn)上線申請(qǐng)，由信息化部門(mén)安全管理員通過(guò)“安全評(píng)估—漏洞反饋—漏洞修復(fù)”的循環(huán)過(guò)程對(duì)預(yù)上線資產(chǎn)進(jìn)行安全評(píng)估，只有安全評(píng)估通過(guò)的資產(chǎn)在業(yè)務(wù)部門(mén)簽訂網(wǎng)絡(luò)安全責(zé)任書(shū)后才可上線，所有過(guò)程流程化，既保證了數(shù)據(jù)留痕，又增強(qiáng)了安全管控。

4.2 信息資產(chǎn)運(yùn)行管理

信息資產(chǎn)建立后，其安全是動(dòng)態(tài)的，需要信息化部門(mén)安全管理員利用漏洞掃描、滲透測(cè)試、態(tài)勢(shì)感知等技術(shù)不斷監(jiān)測(cè)信息資產(chǎn)的安全狀態(tài)，并將結(jié)果實(shí)時(shí)反饋給各業(yè)務(wù)部門(mén)安全管理員。對(duì)于上級(jí)部門(mén)、行業(yè)機(jī)構(gòu)通報(bào)的漏洞和校內(nèi)自檢發(fā)現(xiàn)的漏洞，要及時(shí)通報(bào)各業(yè)務(wù)部門(mén)，督促整改，實(shí)時(shí)跟蹤通報(bào)處置結(jié)果。同時(shí)，信息化部門(mén)要搭建態(tài)勢(shì)感知平臺(tái)，建成“自主警告、研判事件、生成工單、一鍵封堵”的自動(dòng)化事件處置流程，實(shí)現(xiàn)網(wǎng)絡(luò)安全工作的盡早發(fā)現(xiàn)，及時(shí)響應(yīng)，提高網(wǎng)絡(luò)安全問(wèn)題發(fā)現(xiàn)能力和處置效率。

信息資產(chǎn)運(yùn)行時(shí)，信息化部門(mén)還要定期盤(pán)點(diǎn)資產(chǎn)，防止資產(chǎn)遺漏和丟失。業(yè)務(wù)部門(mén)也要時(shí)刻關(guān)注所建資產(chǎn)的運(yùn)行情況，定期查看或上報(bào)本部門(mén)具有的信息資產(chǎn)，遇到問(wèn)題及時(shí)與信息化部門(mén)溝通，防止資產(chǎn)漏報(bào)和漏管。

4.3 安全運(yùn)維管理

安全運(yùn)維是保障信息資產(chǎn)安全穩(wěn)定運(yùn)行的基礎(chǔ)，做好安全運(yùn)維應(yīng)該從以下幾個(gè)方面著手：

（1）構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系。劃分不同的防護(hù)區(qū)域，從網(wǎng)絡(luò)邊界、數(shù)據(jù)中心和終端等不同層次進(jìn)行安全防護(hù)。在網(wǎng)絡(luò)邊界的防護(hù)上，可依托防火墻、IPS等設(shè)備，對(duì)進(jìn)出流量進(jìn)行過(guò)濾，防止外部危險(xiǎn)入侵。在數(shù)據(jù)中心區(qū)域，部署防火墻、IPS、WEB應(yīng)用防火墻等，隔離內(nèi)外網(wǎng)，過(guò)濾數(shù)據(jù)包，同時(shí)對(duì)各Web站點(diǎn)進(jìn)行防護(hù)。在終端方面，要注意開(kāi)啟防火墻、安裝殺毒軟件、升級(jí)系統(tǒng)補(bǔ)丁、禁用危險(xiǎn)端口等。

（2）制定安全運(yùn)維方案。一方面要定期開(kāi)展安全巡檢，另一方面要做好應(yīng)急響應(yīng)。江蘇師范大學(xué)采用“日查月分季評(píng)”制度，通過(guò)開(kāi)展網(wǎng)絡(luò)安全日常巡檢，進(jìn)行月度事件分析和季度通報(bào)評(píng)價(jià)，建立安全運(yùn)維長(zhǎng)效機(jī)制，做到及時(shí)發(fā)現(xiàn)問(wèn)題。為了提升應(yīng)急響應(yīng)能力，信息化部門(mén)制定了網(wǎng)絡(luò)安全應(yīng)急預(yù)案，當(dāng)出現(xiàn)安全事件時(shí)，相關(guān)責(zé)任人按照預(yù)案快速響應(yīng)，縮小事件影響范圍和時(shí)間。

（3）完善安全管理策略。通過(guò)規(guī)范網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)、終端計(jì)算機(jī)等信息資產(chǎn)的配置管理，賬號(hào)密碼管理，漏洞管理，變更管理，備份與恢復(fù)管理，減少安全事件，降低安全風(fēng)險(xiǎn)。針對(duì)服務(wù)器運(yùn)維人員，可通過(guò)堡壘機(jī)（運(yùn)維審計(jì)設(shè)備）設(shè)置內(nèi)部運(yùn)維人員和第三方運(yùn)維的運(yùn)維權(quán)限，規(guī)范技術(shù)運(yùn)維工作，規(guī)避運(yùn)維風(fēng)險(xiǎn)。

（4）建立日志審計(jì)平臺(tái)。在網(wǎng)絡(luò)安全保護(hù)過(guò)程中，對(duì)于已經(jīng)發(fā)生的攻擊事件進(jìn)行排查和溯源最有效的方式之一就是對(duì)安全系統(tǒng)的日志進(jìn)行分析。學(xué)校應(yīng)建立高性能、大容量的日志審計(jì)平臺(tái)，針對(duì)流量行為日志、安全事件日志、用戶信息日志、業(yè)務(wù)訪問(wèn)日志、設(shè)備狀態(tài)日志、系統(tǒng)操作日志等進(jìn)行采集，且日志留存時(shí)間不少于六個(gè)月。

5 信息資產(chǎn)回收

對(duì)非必要資產(chǎn)、臨時(shí)資產(chǎn)或存在嚴(yán)重安全問(wèn)題的資產(chǎn)，由資產(chǎn)管理提出下線申請(qǐng)。當(dāng)信息化部門(mén)服務(wù)器管理員收到資產(chǎn)下線申請(qǐng)時(shí)，對(duì)原有服務(wù)器資源、IP地址和域名資源進(jìn)行回收，同時(shí)在堡壘機(jī)中回收登錄服務(wù)器的入口；當(dāng)信息化部門(mén)安全管理員收到該申請(qǐng)時(shí)，對(duì)數(shù)據(jù)中心防火墻和校園網(wǎng)邊界防火墻進(jìn)行策略修改，防止資產(chǎn)的原安全策略被攻擊者利用、對(duì)現(xiàn)有信息資產(chǎn)的安全造成危害。整個(gè)回收過(guò)程的數(shù)據(jù)也需要在不同角色之間共享，達(dá)到共同治理的效果。

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，高校是網(wǎng)絡(luò)安全的重災(zāi)地，信息資產(chǎn)的安全關(guān)系著校園網(wǎng)絡(luò)空間安全。本文針對(duì)信息資產(chǎn)生命周期的各階段提出安全管理方案，致力于促進(jìn)高校信息資產(chǎn)歸口管理責(zé)任體系建立，解決資產(chǎn)情況不明、責(zé)任不清等問(wèn)題，同時(shí)，加強(qiáng)部門(mén)間的協(xié)作與數(shù)據(jù)共享，提升問(wèn)題發(fā)現(xiàn)和應(yīng)急響應(yīng)能力，提高信息資產(chǎn)安全建設(shè)和運(yùn)維水平。通過(guò)實(shí)踐，該方案大幅度提高了江蘇師范大學(xué)信息資產(chǎn)管理的效率和效果。希望在以后的信息資產(chǎn)管理中，建立完善的信息資產(chǎn)全生命周期管理系統(tǒng)，對(duì)信息資產(chǎn)全生命周期的動(dòng)態(tài)數(shù)據(jù)和流程化數(shù)據(jù)進(jìn)行采集、挖掘與分析，進(jìn)一步實(shí)現(xiàn)信息資產(chǎn)全生命周期的精細(xì)化管理、規(guī)范化管理。

[1]胡縉櫻.基于安全屬性的信息資產(chǎn)評(píng)估成本法改進(jìn)研究[D].安徽：合肥工業(yè)大學(xué)，2016.

[2]王長(zhǎng)春，曾照華，張躍華.“互聯(lián)網(wǎng)+”網(wǎng)絡(luò)信息安全現(xiàn)狀與防護(hù)研究[J].軟件導(dǎo)刊，2020.

[3]莊君明.大數(shù)據(jù)背景下的高校網(wǎng)站群安全管理體系研究[J].福建電腦，2017．

[4]司成偉，趙全洲.構(gòu)建基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系[J].數(shù)字通信世界，2019.

[5]閆家意.網(wǎng)絡(luò)主機(jī)發(fā)現(xiàn)關(guān)鍵技術(shù)研究[D].哈爾濱：哈爾濱工程大學(xué)，2019.

[6]謝黨恩，梁瑞，常思遠(yuǎn), 等.淺談高校Web資產(chǎn)的全生命周期治理方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020.

[7]廖其耀，李若虹.等級(jí)保護(hù)與三同步的過(guò)程結(jié)合[J].數(shù)字通信世界，2019.