等級(jí)保護(hù)測(cè)評(píng):系統(tǒng)建設(shè)管理
本篇為管理要求中系統(tǒng)建設(shè)管理的部分,文中內(nèi)容都是個(gè)人觀點(diǎn),如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ),從合規(guī)角度解讀要求。本部分為人員安全和安全管理機(jī)構(gòu)部分。
正文
不多說了,直接進(jìn)入正題。最后兩個(gè)部分,內(nèi)容比較多,分別進(jìn)行解讀。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.1**系統(tǒng)定級(jí)(G3)** |
a) **應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí);b) **應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由;c) **應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定;d) **應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。 |
系統(tǒng)定級(jí)在以前并非強(qiáng)制,一般都是政府部門、事業(yè)單位會(huì)被要求必須定級(jí)。但是2017年6月《網(wǎng)安法》出臺(tái)后,要求所有系統(tǒng)原則上都必須定級(jí)備案,這樣一來,政府、國企、事業(yè)、大中型私企都要定級(jí),只有部分很小的系統(tǒng),對(duì)社會(huì)影響可以忽略不計(jì)的那種可以不去做,不過如果后期業(yè)務(wù)發(fā)展,要與大公司或政府合作,那還是要備案,所以基本就是說只要你有運(yùn)行的系統(tǒng)就要定級(jí)備案。
對(duì)于如何定級(jí)可以參考GB/T-22240-2008,里邊寫的比較詳細(xì),在后邊備案和測(cè)評(píng)章節(jié)會(huì)簡單解釋一下,因?yàn)閮?nèi)容比較多,五個(gè)級(jí)別,各級(jí)別的定義,三個(gè)客體,影響程度,定級(jí)矩陣,標(biāo)準(zhǔn)里都有提到。
a) 說得是邊界的界定,定級(jí)以系統(tǒng)為單位,要明確邊界,不能無限延伸,一般來說按照老的標(biāo)準(zhǔn),從邊界防火墻到核心,再到系統(tǒng)所在的服務(wù)器區(qū)間,以及下邊可以訪問該系統(tǒng)的PC或移動(dòng)端,這一整套網(wǎng)絡(luò)都屬于該系統(tǒng),那么邊界就是從防火墻到用戶終端這么一個(gè)圈;
b) 一般定級(jí)都會(huì)先提交系統(tǒng)相關(guān)的詳細(xì)資料,之后會(huì)填下定級(jí)報(bào)告;國家提倡自主定級(jí),就是企業(yè)自己組織專家組或聘請(qǐng)第三方專家來為系統(tǒng)定級(jí),主要依據(jù)還是系統(tǒng)對(duì)社會(huì)影響的程度,系統(tǒng)的量級(jí)(參考GB/T-22240),一般來說大多系統(tǒng)會(huì)定為二級(jí),一部分為三級(jí),四級(jí)系統(tǒng)一般會(huì)有國家級(jí)機(jī)構(gòu)來定,五級(jí)系統(tǒng)就不是我們操心的了。各省級(jí)測(cè)評(píng)機(jī)構(gòu)最多有權(quán)測(cè)評(píng)三級(jí)系統(tǒng)。
c) 這塊其實(shí)感覺有些多余,一般來說自定級(jí)和專家評(píng)審之后,會(huì)把定級(jí)結(jié)果送交到公安,如果合理會(huì)走后續(xù)流程,如果不合適會(huì)通知重新定級(jí);所以這個(gè)正確性與否其實(shí)讓公安來把控就好了,不過一般來說大多不會(huì)定錯(cuò)級(jí),除非有些企業(yè)為了投機(jī)故意低報(bào)級(jí)別。
d) 去公安申報(bào),先申請(qǐng)備案,按正常流程走就可以,這是外部流程。企業(yè)內(nèi)部要對(duì)系統(tǒng)定級(jí),要先向上級(jí)申請(qǐng),提出某系統(tǒng)要進(jìn)行定級(jí)備案,經(jīng)高層審批通過后,開始執(zhí)行外部流程。注意不要只考慮外部流程,忘了內(nèi)部審批流程。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.2**安全方案設(shè)計(jì)(G3)** |
a)**應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;b)**應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃;c)**應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件;d)**應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實(shí)施;e)**應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案 等相關(guān)配套文件。** |
a) 本項(xiàng)在1.0本中解釋起來有點(diǎn)麻煩,不過按照最近的“三同步”解釋,大家都明白了,在系統(tǒng)設(shè)計(jì)初期就要考慮安全性的問題,如果還不太了解,可以參考SDL中安全設(shè)計(jì)階段,一個(gè)是對(duì)軟件,一個(gè)是對(duì)系統(tǒng),目的相同。
b) 類似于要啟動(dòng)項(xiàng)目就要建立一個(gè)項(xiàng)目組團(tuán)隊(duì),系統(tǒng)定級(jí)備案也是一樣,不是一個(gè)人就能搞定的事(包括系統(tǒng)設(shè)計(jì)和建設(shè)),然后要有項(xiàng)目計(jì)劃,這點(diǎn)不難理解。
c) 這里說的是提前規(guī)劃的情況,目前大多數(shù)還是先有系統(tǒng)后做定級(jí),這種三同步的規(guī)劃沒多少企業(yè)會(huì)真正落實(shí),規(guī)劃周期長,設(shè)計(jì)復(fù)雜,而且當(dāng)年沒有強(qiáng)制性要求,沒人關(guān)心定級(jí)的事;本項(xiàng)要看的就是系統(tǒng)當(dāng)初設(shè)計(jì)時(shí)的設(shè)計(jì)文檔,各階段的記錄和報(bào)告,類似于SDLC。
d) 本項(xiàng)是c的后續(xù)流程,按照正常流程,設(shè)計(jì)方案要內(nèi)部評(píng)審,通過后才可正式實(shí)施,不過做到這么細(xì)的國內(nèi)公司還是少數(shù),而且中間的記錄文檔也不全,檢查的時(shí)候很多東西都是臨時(shí)偽造,補(bǔ)充出來的,其實(shí)這部分主要強(qiáng)調(diào)的還是流程管理的東西,檢查時(shí)能拿出系統(tǒng)設(shè)計(jì)方案內(nèi)部評(píng)審報(bào)告和記錄就OK.
e) 按照要求二級(jí)系統(tǒng)2年一次復(fù)測(cè),三級(jí)系統(tǒng)1年一次復(fù)測(cè),這期間系統(tǒng)多少會(huì)有功能上的變更(如果有大變化就要重新定級(jí)),這樣一來,系統(tǒng)相關(guān)的文檔肯定會(huì)有變化,本項(xiàng)檢查的就是不同版本變化中的過程文檔和記錄。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.3**產(chǎn)品采購和使用(G3)** |
a)**應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;b)**應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購;d)**應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。 |
本節(jié)內(nèi)容沒什么可細(xì)講的,都是按照相關(guān)標(biāo)準(zhǔn)采購設(shè)備和產(chǎn)品,采購部門基本會(huì)按照這些要求來選擇供應(yīng)商。這里額外會(huì)要求一點(diǎn):政府、國企、央企和國資背景企業(yè)的關(guān)鍵系統(tǒng)不能使用國外網(wǎng)絡(luò)產(chǎn)品(Ciso、Juniper這類),私營企業(yè)沒有這方面的要求。如果有可能,盡量采購國產(chǎn)產(chǎn)品和軟件。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.4**自行軟件開發(fā)(G3)** |
a) **應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,開發(fā)人員和測(cè)試人員分離,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制;b) 應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;c) **應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;d) **應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;e) **應(yīng)確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。 |
有自己開發(fā)團(tuán)隊(duì)的情況下:
a) 一般來說,測(cè)試環(huán)境基本都是封閉的,和外網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)這些都沒有通信,這單還比較容易做到;開發(fā)人員和測(cè)試人員分離,一般可能做不到,畢竟經(jīng)常要在一起討論,所以實(shí)際檢查中,更多的是關(guān)注測(cè)試環(huán)境的隔離情況。
b) 檢查中會(huì)查看開發(fā)人員的行為規(guī)范和操作規(guī)范,開發(fā)部門管理制度等一系列文檔;
c) 編碼規(guī)范估計(jì)每家公司都會(huì)有,但不是有就可以,要看你有沒有去按照規(guī)范去做,一般就是日常的編碼規(guī)范和編碼安全培訓(xùn),以及在行為準(zhǔn)則中如何規(guī)定的。
d) 本點(diǎn)要求是系統(tǒng)要有開發(fā)各階段的文檔,以及系統(tǒng)的使用手冊(cè)/指南,往往都是各階段文檔齊備,但是缺少使用指南(文檔和指南都是便于交接工作,由于人員變動(dòng),時(shí)間久了很多東西根本不從查起,如果沒做好文檔和流程管理,就會(huì)造成新人接手系統(tǒng)一問三不知的情況)。由專人負(fù)責(zé)保管這項(xiàng)不是重點(diǎn),因?yàn)榕R時(shí)安排一個(gè)人來應(yīng)付檢查,也沒法查出來。
e) 還是流程的事,版本變更,功能上線,系統(tǒng)發(fā)布都要有過程記錄。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.5**外包軟件開發(fā)(G3)** |
a)**應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量;b)**應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;c)**應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;d)**應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。 |
外包第三方開發(fā)團(tuán)隊(duì)的情況:
a) 系統(tǒng)的功能測(cè)試,壓力測(cè)試等,要保留測(cè)試報(bào)告以備檢查;
b) 系統(tǒng)安全測(cè)試,白盒、黑盒、交互式等的測(cè)試,要有系統(tǒng)上線前的安全測(cè)試報(bào)告,并且對(duì)發(fā)現(xiàn)的漏洞已進(jìn)行整改(一般是針對(duì)中高危級(jí)別的漏洞);
c) 很多企業(yè)外包開發(fā),系統(tǒng)功能OK就可以了,需求文檔、設(shè)計(jì)文檔、設(shè)計(jì)方案、測(cè)試文檔全都沒有,檢查的時(shí)候,外包商又說之前的員工離職了,現(xiàn)在這個(gè)系統(tǒng)的具體信息我們也不太清楚,這種局面就很鬧心了;所以說,對(duì)外包商要求嚴(yán)一點(diǎn),以后給自己找的麻煩就會(huì)少一點(diǎn)。
d) 和b有點(diǎn)重復(fù),類似于代碼審計(jì)工作,一般中小企業(yè)不太會(huì)花錢去做這塊,大多找個(gè)開源工具掃一下,挑幾個(gè)高危的修修了事。大型企業(yè)這塊做的比較好(接觸過的幾家),各種安全測(cè)試、代碼審計(jì)、滲透測(cè)試,能做的都會(huì)做,雖然不強(qiáng)制要求中小企業(yè)也這么去搞,但是希望在能力范圍能盡力去做好安全工作,不要為了應(yīng)付檢查做一下表面工作。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.6**工程實(shí)施(G3)** |
a)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理;b)**應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程, 并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程;c) **應(yīng)制定工程實(shí)施方面的管理制度,明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。** |
無論自研還是外包,肯定都會(huì)指定一個(gè)項(xiàng)目經(jīng)理,一般來說會(huì)是甲方的人,也可能叫負(fù)責(zé)人,乙方的叫項(xiàng)目經(jīng)理,主要就是負(fù)責(zé)把控項(xiàng)目進(jìn)度和質(zhì)量。實(shí)施部分要有詳細(xì)的實(shí)施方案,進(jìn)度計(jì)劃表,啟動(dòng)會(huì)記錄,里程碑記錄,變更記錄,延期記錄(如果有的情況)。甲方對(duì)于項(xiàng)目實(shí)施會(huì)有一些管理制度,保密協(xié)議之類的,檢查的時(shí)候不會(huì)非常細(xì),但是會(huì)看各階段的文檔記錄,以證明項(xiàng)目是按照計(jì)劃和流程穩(wěn)步推進(jìn)的。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.7**測(cè)試驗(yàn)收(G3)** |
a)**應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試,并出具安全性測(cè)試報(bào)告;b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案,在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;c)**應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定;d)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作;e)**應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定,并簽字確認(rèn)。 |
a) 一般開發(fā)團(tuán)隊(duì)不會(huì)負(fù)責(zé)安全問題,所以會(huì)由安全團(tuán)隊(duì)來做測(cè)試,大多是以第三方就是乙方來做安全測(cè)試(代碼審計(jì)、黑盒、滲透、基線等等);如果有自己的安全團(tuán)隊(duì)也可以內(nèi)部來搞,但是不能水,要認(rèn)真測(cè)試。檢查時(shí)會(huì)看測(cè)試報(bào)告,包括代碼審計(jì)報(bào)告、滲透測(cè)試報(bào)告、漏掃報(bào)告等。
b) 這點(diǎn)要求的就是兩個(gè)文檔,一個(gè)是驗(yàn)收方案(甲方會(huì)明確怎樣才算合格);另一個(gè)就是驗(yàn)收?qǐng)?bào)告,里邊約定驗(yàn)收結(jié)果,并由甲乙方蓋章簽字。
c) 說實(shí)話這條我也沒詳細(xì)查過,一般都是略過去,所以無法解釋,有了解的可以留言補(bǔ)充一下;
d) 這點(diǎn)很好理解,制定專人或部門來管理驗(yàn)收工作,臨時(shí)指定等項(xiàng)目結(jié)束再解聘也是可以的,不過要有文檔能證明此項(xiàng)工作;
e) 一般都會(huì)在項(xiàng)目驗(yàn)收(報(bào)告會(huì))同時(shí)進(jìn)行,高層領(lǐng)導(dǎo)、技術(shù)專家也會(huì)出席,同意后才會(huì)蓋章簽字,可以在項(xiàng)目驗(yàn)收會(huì)的簽到表中體現(xiàn)。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.8**系統(tǒng)交付(G3)** |
a)**應(yīng)制定詳細(xì)的系統(tǒng)交付清單,并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn);b)**應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);c)**應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔;d)**應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定;e)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。** |
交付部分很容易理解,不需要詳細(xì)解釋了吧。同驗(yàn)收部分一樣,d項(xiàng)檢查的時(shí)候沒有特別要求客戶去做,所以這塊還是不太了解。其他部分類似的。
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.9**系統(tǒng)備案(G3)** |
a)**應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料,并控制這些材料的使用;b)**應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門備案;c)**應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。**
7.2.4.10**等級(jí)測(cè)評(píng)(G3)a)**在系統(tǒng)運(yùn)行過程中,應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng) ,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;b)**應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng),發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng);d)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。 |
備案和測(cè)評(píng)這兩部分放在一起來說,是一個(gè)連續(xù)的過程。
定級(jí)前要知道的幾點(diǎn),等級(jí)保護(hù)制度主要監(jiān)管方式公安部,分為五個(gè)級(jí)別,涉及三個(gè)客體,即:
a) 公民、法人和其他組織的合法權(quán)益;
b) 社會(huì)秩序、公共利益;
c) 國家安全。
對(duì)客體的危害程度分為三個(gè)級(jí)別:
a) 造成一般損害;
b) 造成嚴(yán)重?fù)p害;
c) 造成特別嚴(yán)重?fù)p害。
定級(jí)備案其實(shí)是一起的,要先到當(dāng)?shù)毓策M(jìn)行備案,然后會(huì)讓你提交一堆文檔,包括:備案表、工作自查表、基本情況調(diào)研表等等;此后要先自定級(jí),提交定級(jí)報(bào)告;再之后聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行測(cè)評(píng)—整改—復(fù)測(cè)—下發(fā)備案證明—每年監(jiān)督檢查。
如果定級(jí)備案后,系統(tǒng)有較大變更,比如新增一個(gè)模塊,需要聘請(qǐng)專業(yè)機(jī)構(gòu)進(jìn)行重新定級(jí),上述流程要重新再來一次。如果這種情況不報(bào),被年檢查出來,企業(yè)和負(fù)責(zé)人要接受警告或處罰。(詳細(xì)的可以參考22240)
7.2.4 系統(tǒng)建設(shè)管理 |
---|
7.2.4.11**安全服務(wù)商選擇(G3)** |
a)**應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;b)**應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;c)**應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。** |
屬于第三方管理制度范疇,這里說的比較簡單,至少要有供應(yīng)商管理制度、供應(yīng)商服務(wù)合同、服務(wù)詳細(xì)說明等文檔。推薦看一下ISO 27002中15 供應(yīng)商關(guān)系部分的細(xì)節(jié)(內(nèi)容較多,不進(jìn)行擴(kuò)展了)。
結(jié)語
以上為管理要求在系統(tǒng)建設(shè)管理部分的要求。內(nèi)容比較多的一部分,更多的是強(qiáng)調(diào)流程和記錄。如果看過ISO27002或者C5(今年開始叫做COBIT2019了),那么理解起來就很容易了。
等級(jí)保護(hù)測(cè)評(píng)系列介紹
等級(jí)保護(hù)測(cè)評(píng)(一):物理安全
等級(jí)保護(hù)測(cè)評(píng)(二):網(wǎng)絡(luò)安全
等級(jí)保護(hù)測(cè)評(píng)(三):主機(jī)安全
等級(jí)保護(hù)測(cè)評(píng)(四):應(yīng)用與數(shù)據(jù)安全
等級(jí)保護(hù)測(cè)評(píng)(五):制度與人員安全