基于等級保護的監獄系統信息安全管理體系研究與實現

◆馮前進 馮卓慧

（浙江警官職業學院 浙江 310018）

基于等級保護的監獄系統信息安全管理體系研究與實現

◆馮前進 馮卓慧

（浙江警官職業學院 浙江 310018）

鑒于我國監獄現階段信息化建設發展速度較快，有關監獄信息安全管理體系的建設與研究滯后信息化發展水平，亟待制訂并完善。因此，本文圍繞《全國監獄信息化建設規劃》總體目標，針對當前監獄信息系統網絡安全管理存在的主要問題，基于信息系統等級保護的思想，按照“制定→執行→反饋→改進”模型，根據《信息系統安全等級保護基本要求》等相關規定，結合監獄信息化實際，對如何構建監獄信息安全管理體系做了深入地分析和探索。

等級保護; 監獄系統; 信息安全; 管理體系

0 前言

隨著信息技術的飛速發展，信息化對社會進步和國民經濟發展起著越來越重要的作用。監獄作為國家的刑罰執行機關，擔負著維護社會安寧和穩定、預防和減少犯罪的重要職能，監獄工作與社會發展同步，監獄信息化建設已成為以法治監、科技強警的戰略工程，成為促進監獄管理由傳統粗放型向現代集約型、科學化轉變，進一步提升監獄工作管理水平的重要手段。

如何建設一個現代化的監獄信息系統并確保其安全穩定運行，是我們的當務之急。按照《全國監獄信息化建設規劃[1]》（司發通[2008]124號文，以下簡稱《信息化規劃》）總體目標要求，監獄信息化要初步建成覆蓋全國監獄系統的網絡互連互通、信息資源共享、標準規范統一、應用功能完備的監獄信息化框架體系，實現監獄安全保障有力、執法公正規范、信息通訊快捷、指揮管理高效的總目標。

鑒于我國監獄現階段信息化建設發展速度較快，有關監獄信息安全管理體系的建設與研究滯后信息化發展水平，亟待制訂并完善，因此，圍繞《信息化規劃》總體目標，基于信息系統等級保護的思想，制訂并完善監獄信息安全管理體系，無疑對于全國監獄系統正在開展的監獄信息化建設，提高監獄信息安全保障水平具有重要意義。

1 我國監獄信息化建設概況和存在的安全挑戰

近幾年，我國監獄信息化建設取得快速發展，據統計，截至到2012年4月，全國28個省（區、市）監獄管理局完成了省級網絡聯通，全國70%以上的監獄建立了應急指揮中心、智能報警系統和綜合門禁系統，80%以上的監獄建立了視頻監控系統,全國監獄系統信息網絡平臺初步建成,監獄信息化水平明顯提高[2]。

以浙江省為例，浙江省監獄管理局局機關和大多數監獄基本完成了信息化網絡基礎建設，省局辦公OA系統實現了辦公自動化。“三個信息資源庫”，即監獄管理信息庫、罪犯信息庫、警察信息庫基本建設完成，并實現了一定范圍的網絡互通、資源共享。監管改造場所的視頻監控實現了大范圍的覆蓋，全省監獄共裝監控探頭6萬余個，而且各個監獄的監控信號已接入省局信息平臺。省局的應急指揮中心已經建成并投入使用，部分監獄也已經建成了安全防范和應急指揮系統，通過遠程監控管理軟件，可以實現遠程監視、管理、指揮等功能[3]。

監獄信息網絡一般包括監獄內網和監獄外網兩大部分。其中，監獄內網包括政務內網、安防專網、罪犯教育改造網（管教內網），財務網絡、監獄企業內網（ERP系統等）五大網絡，與監獄外網物理隔離; 監獄內網通過租用專線經過防火墻與省監獄管理局內網連接; 監獄外網（監獄門戶網站、監獄企業外網等）經過防火墻與互聯網相連（見圖1監獄網絡架構圖）。

監獄信息化的目的就是為了提高工作效率，使監獄管理水平有一個明顯的提高。其中的監獄安全防范和應急指揮系統、監管及執法管理系統等系統都要涉及信息的存儲、傳輸與使用等信息處理問題，而尤為突出的是信息處理過程中的信息安全問題。對于存儲在計算機中的重要文件、數據庫中的重要數據等信息都存在著安全隱患，一旦丟失、損壞或泄露、不能及時送達，都會給監獄造成很大的損失。尤其是計算機及網絡涉及的信息安全問題更為復雜，像數據瞬間丟失、瞬間被盜、瞬間被破壞等問題，大大增加了管理難度。因此，監獄的信息安全面臨重大的管理難度和挑戰。如何讓監獄信息安全保障體系的運轉達到理想狀態，最大限度地保障監獄信息體系的安全性，是安全策略、安全運作、安全組織管理所組成的安全管理體系所要肩負的重任。

圖1 監獄網絡架構圖

2 監獄信息系統網絡安全管理存在的主要問題

雖然信息安全管理工作的重要性已經被廣泛接受，也正在積極地推動與建設，但是在我國監獄系統系統信息安全管理工作中還普遍存在很多問題，現狀依然不容樂觀，主要表現為以下幾個方面：

（1）缺乏統一規劃，管理機制不健全，信息安全管理工作滯后信息安全管理工作普遍沒有進行專門的、統一的規劃和管理，因此在人員組織、策略制定方面較為隨意和分散，沒有形成嚴謹、周密的體系，部分單位未成立專門負責網絡信息安全的責任部門，仍由其他行政部門兼管。

信息安全管理工作應該與信息系統同步建設和運行，但更多的情況則是在信息系統的建設過程中缺乏同步的、充分的考慮，導致后期安全管理體系的建設工作比較被動。

（2）領導層不夠重視，存在重技術，輕管理傾向

保障信息安全的目的最終是保障業務安全，因此信息安全管理不僅僅是信息主管部門的事情，更應該引入單位高層領導的重視與參與，只有高層領導足夠重視，才能使信息安全策略、信息安全制度等各項工作落到實處，真正發揮作用，但多數的領導還是“沒有時間和精力”顧及這方面的工作，證明了信息安全管理工作還沒有得到真正的重視。

目前很多監獄單位存在重技術，輕管理傾向，大部分的安全建設多局限于局部性地使用安全產品，或使用有洞補洞的方式被動地解決問題，缺乏科學的、全面的安全管理規劃。

（3）管理機構不健全

各單位中管理崗位設置不均勻，其中設置網絡管理員的占絕大多數，系統管理員與安全管理員相對不足，以設置兩項及以上崗位居多，崗位設置不全面就會造成一崗多職、責任不明確等弊端; 其次專業技術人員數量相對不足，且專業化程度不高。

（4）管理制度不完善

雖然絕大部分單位制定了網絡信息安全相關制度，但安全管理制度體系不完善，執行不到位。有制度但無記錄情況比較明顯，特別是應急預案的制定、培訓、演練; 網絡安全、系統安全管理制度、定期開展信息系統安全漏洞掃描等方面問題比較突出，對管理制度進行定期評議和修訂的比例更是不足，無法保證制度與時代、技術的同步變革，缺乏先進性。

（5）專業人才嚴重不足，安全管理的力量薄弱

當前監獄信息化專業人才不足，尤其缺乏既懂監獄管理，又擅長信息化建設與管理的復合型專門人才，信息化專業人才無論是從數量上還是結構層次上都與信息化的發展要求不相適應。以**省監獄管理局為例，省局和省屬監獄等16個監獄單位擁有服務器、PC機約4000臺（套），配備信息化管理專職人員數量稀少，人機比為1.2：100。專職人員不僅人數嚴重缺乏，而且人員分布很不平衡，人數最多的是10人，人數最少的只有1人。這與信息化工作走在全國前列的江蘇省監獄相比存在很大差距（蘇州監獄民警511名，計算機人才30名，占5.8%，無錫監獄民警460名，專業人才20名左右，占4.3%）[4]。

尤其是現有的技術人員多偏重于軟件開發，普遍缺乏安全管理及等級保護的專門培訓，安全管理的力量薄弱，對監獄信息系統安全防護的合理定位相對困難。

通過以上幾方面的分析，說明了信息安全管理體系的建設工作任重而道遠，我們應深刻認識到信息安全管理體系對于監獄信息化的重要性，抓緊建設監獄信息化安全管理體系。

3 基于等級保護的信息安全管理體系研究

黨中央和國務院高度重視信息安全保障工作，早在2003年7月，國家信息化領導小組就審議通過了《國家信息化領導小組關于加強信息安全保障工作的意見[5]》（中辦發[2003]27號），明確指出等級保護制度是我國信息安全領域的一項基本制度，開展信息安全等級保護工作是保障重要信息系統安全的重大措施，是事關國家安全、社會穩定、國家利益的一項重要任務。監獄作為國家的刑罰執行機關，擔負著維護社會安寧和穩定、預防和減少犯罪的重要職能，因此，基于信息系統等級保護的思想，制訂并完善監獄信息安全管理體系，無疑對于全國監獄系統正在開展的監獄信息化建設，提高監獄信息安全保障水平具有重要意義。

3.1 等級保護的提出背景和概念

1994年2月，國務院以“第147號令” 頒布了《中華人民共和國計算機信息系統安全保護條例[6]》，從整體上、根本上提出了解決國家信息安全問題的辦法，進一步明確了信息安全的發展主線和中心任務。《條例》明確提出，對信息系統實行等級保護是國家在信息保護方面制定的基本制度，是開展信息安全保護工作的有效措施，是信息安全保護工作的發展方向，實行信息安全等級保護對我國信息化建設的全面推進具有重大的現實和戰略意義。

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。按照《計算機信息系統安全保護等級劃分準則》（GB17895-1999）規定，信息系統的安全等級從功能上劃分為五個級別的安全保護等級：第一級：用戶自主保護級，由用戶自行決定如何對資源進行保護，以及采用何種方式方法進行保護。第二級：系統審計保護級，本級的安全保護機制能夠使用戶獲得更強的自主保護能力，它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。第三級：安全標記保護級，具有第二級系統審計保護級的所有功能，并對訪問者及其訪問對象實施強制訪問控制，通過對訪問者和訪問對象指定不同安全標記，限制訪問者的權限。第四級：結構化保護級，將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略，其本身構造也是結構化的，提供可信設施管理，增強了配置管理控制，以使之具有相當的抗滲透能力。第五級：訪問驗證保護級，具備第四級的所有功能，還具有仲裁訪問者能否訪問某些對象的能力。為此，本級的安全保護機制不能被攻擊、被篡改的，具有極強的抗滲透能力。

3.2 確立監獄信息系統劃分原則與安全等級定級要求

遵循《信息安全技術信息系統安全等級保護定級指南》（GB/T22240-2008）結合我省監獄信息系統現狀與特點，研究確立“監獄信息系統劃分原則與安全等級定級要求”，提出我省監獄信息系統劃分原則與安全等級定級要求，為全省監獄系統開展監獄信息系統等級保護定級備案工作提供科學、合理、統一的依據。監獄信息系統安全保護等級定級建議表。

表1 安全保護等級定級建議表

3.3 信息安全管理體系的建設思路

信息安全管理體系ISMS（Information Securitry Management System）是在組織內部確定信息安全目標，以及完成這些目標所定制的策略、運作方法、組織架構建設、規范制度建設等部分所構成的體系。

為了更好地推進我國信息安全管理工作，國家相關部門引進了國際上著名的ISO/IEC 27001：2005（信息安全管理體系要求，即國標GB/T22080-2008）、ISO/IEC 27002：2005（信息安全管理實用規則，即國標GB/T22081-2008）等信息安全管理標準，相繼又制訂了中華人民共和國國家標準GB/T 20269-2006《信息安全技術 信息系統安全管理要求》等一批重要的信息安全管理方面的標準。隨著信息安全等級保護工作的推進，在GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》中，對各級別信息系統分別提出了管理要求。

因此，基于以上的分析，監獄信息安全管理體系應按照信息安全等級保護的要求，參照GB/T22080-2008、GB/T22081-2008、GB/T22239-2008等國家標準，結合監獄實際進行建設和完善。

按照ISO/EC27001：2005（信息安全管理體系要求）國際標準（也是國標GB/T22080-2008），信息安全管理體系的建立，是按照規劃（Plan）-實施（Do）-檢查（Check）-處置（Act）（即PDCA）模型實施的。

圖2 PDCA過程模型

如圖2所示，PDCA模型也是一個循環過程，組織機構根據四個子過程扮演的角色和作用動態地調整信息安全策略和控制措施，保證組織機構的安全管理活動能夠安全有效運行。

表2 四個子過程

實施（實施和運行ISMS） 實施和運行ISMS方針、控制措施、過程和規序。檢查（監視和評審ISMS）對照ISMS方針、目標和實踐經驗，評估并在適當時，測量過程的執行情況，并將結果報告管理者以供評審。處置（保持和改進ISMS）基于ISMS內部審核和管理評審的結果或者其他相關信息，采取糾正和預防措施，以持續改進ISMS。

4 監獄信息安全管理體系的構建

監獄信息安全管理體系的構建是按照“制定→執行→反饋→改進”模型，遵循相關法律、法規及標準等原則，根據《信息系統安全等級保護基本要求》（GB/T22239-2008）的相關規定，結合監獄信息化實際完成的。

4.1 信息安全管理體系的構建（制定→執行→反饋→改進）模型

在組織機構的信息安全管理活動中，安全管理組織機構、信息安全管理制度體系和安全人員三者之間密切相關，相互支撐，缺一不可。其中，安全管理組織機構是前提作為信息安全工作的職能部門，安全管理制度體系的建立、安全人員日常工作的執行和監督以及信息系統的建設和運維都要在統一的組織機構框架下進行。沒有組織機構，信息安全工作就如同一盤散沙，不僅缺乏凝聚力和號召力，而且沒有方向性和針對性。

4.2 信息安全管理制度體系是核心

組織機構的信息安全工作始終要圍繞制度體系進行，管理制度體系是一個層次型體系，一般可分為總體方針和安全策略、安全管理制度、操作程序和記錄，該體系不僅指導安全人員執行日常的安全管理工作，也能夠通過安全人員的反饋意見不斷地完善組織機構的安全建設，這是一個持續改進的循環體系。

4.3 安全人員是關鍵

信息安全管理工作畢竟是依靠人來參與的工作，而且在信息系統的整個生命周期中，人的參與起著決定性的作用，安全管理歸根結底是對人的管理，把握住了安全人員這一關鍵因素，組織機構的安全管理工作才能正常有序地進行。

圖3 ISMS 制定、執行、反饋、改進模型

如圖3所示，該體系有兩個循環：一個是信息安全管理制度體系的循環,另一個則是三者之間的循環。信息安全管理制度體系的四部分至上而下是一個貫徹執行的過程,上一層文件指引下一層文件的實施; 反過來,下一層文件會在安全管理活動中驗證該文件的合理性和適用性,根據實際反饋的結果自下而上地進行動態調整。體系中的三者之間是一個制定-指導-反饋-完善的循環過程。

4.4 信息安全管理體系的建設原則

根據我國監獄信息化的建設現狀，以及安全管理理論、模型的發展，我國監獄信息化安全管理體系的建設應遵循如下原則：

（1）符合法律、法規要求

安全管理體系的建設必須要符合國家有關法律法規，并參照國際標準模型，保證體系的合規性。

（2）從業務安全需求出發。安全最終是為業務服務，安全管理體系的建設需要從監獄執法與管理工作的需求出發，對信息系統進行詳盡的評估，確立明確的信息安全目標。

（3）自上向下的管理規劃。安全管理是“一把手工程”，監獄系統各級機構的主管領導必須要親自參與到管理體系中來，保證管理體系的權威性、可實施性。

（4）安全管理的可持續性。安全管理體系應設計定期審查、糾正的機制，保證體系的持續改進。

（5）平衡成本與效益.在業務安全需求、管理成本、經濟成本之間進行折中考慮,既要滿足安全需求,也要控制付出的成本。

4.5 監獄信息安全管理體系的建設內容

根據《信息系統安全等級保護基本要求》（GB/T22239-2008，以下簡稱《等保基本要求》）中的分類方法，安全管理又可分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個部分，所涉及的制度、規程和記錄梳理成一個比較完備的制度體系，其體系框架可用金字塔型結構呈現：

圖4 信息安全管理制度體系金字塔型結構

如圖4所示，金字塔型結構各層次內容可概括如下：

（1）總體方針和安全策略：是組織機構信息安全工作提綱挈領的文件，闡明了組織機構信息安全工作的總體目標、范圍、原則和安全框架等;

（2）安全管理制度：是組織機構針對安全管理活動中的各類管理內容建立的安全管理制度，如機房管理制度等，是規范各崗位人員進行安全管理活動最基本的拘束力文件;

（3）操作規程：包含操作規程、運維手冊、作業指導書以及各種審批程序、運維程序、應急處置流程等，是各崗位人員進行安全管理活動的指導性文件;

（4）安全管理活動產生的各種記錄：包含制度的評審和修訂記錄、人員培訓記錄、會議紀要、運行維護記錄、系統建設方案、驗收報告、應急演練記錄等，是各崗位人員規范執行各項管理制度或規程的證明性文件。

信息安全管理制度體系是組織機構進行安全管理活動的指導性文件體系，是規范和約束安全人員從事信息安全工作的根本準則。

按照“監獄信息系統安全保護等級定級建議表”（參見3.2確立監獄信息系統劃分原則與安全等級定級要求），一般，監獄信息系統可按等保三級進行建設，達到第三級的安全保護能力。根據《等保基本要求》規定，第三級安全保護能力：應能夠在統一安全策略下防護系統免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發現安全漏洞和安全事件，在系統遭到損害后，能夠較快恢復絕大部分功能。下面，以等保三級要求為例，構建“監獄信息安全管理體系”。

4.5.1 監獄信息化安全策略

為了順利推進監獄信息安全建設，需要在組織機構最高領導層提供信息安全的管理方向，這就需要在整個系統內部發布一個安全策略文件來向全系統范圍內相關人員說明信息安全對監獄信息化的重要性、各崗位人員在信息安全中的責任和義務、違反信息安全策略并造成嚴重后果時采取的行動等。具體來說，應包括如下內容：

（1）信息化安全保障體系的定義，以及該體系對監獄信息化建設的重要意義。

（2）信息化安全保障體系的目標，以及領導層貫徹安全管理的堅決意志。

（3）對安全組織架構、安全運維制度、安全管理制度等各項安全管理措施的定義，并指明各層面工作的具體負責單位，明確信息安全管理的責任和義務，確認宏觀安全管理流程。

4.5.2 監獄信息化安全運作

根據對監獄信息化安全保障體系的理解，安全運作是其中最為重要的核心內容。安全運作主要包括系統建設管理和系統運維管理兩大部分，系統建設管理關注系統“上線之前和上線實施”的階段，而系統運維管理則關注“上線之后”的階段。

（1）系統建設管理

在《等級保護基本要求》的系統建設管理方面，針對系統定級、安全方案設計、產品采購、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、安全測評、安全服務商選擇等方面提出了具體的要求。結合監獄信息化的具體情況，應對如下部分特別關注：

①基礎支撐建設管理。基礎設施建設包括中央和地方兩級，以現有網絡為基礎，擴展建設并完善監獄信息化建設的相關承載設施，其建設管理應在產品采購、工程實施、測試驗收和安全服務商選擇環節加以特別重視。

②業務應用系統建設管理。業務應用系統是監獄信息化的具體應用部分，應在自行軟件開發、外包軟件開發、驗收以及安全服務商選環節加以特別重視。

（2）系統運維管理

在《等級保護基本要求》的系統運維管理方面，網絡安全管理、系統安全管理、備份與恢復管理、應急預案管理等13個方面對系統運維管理進行了詳細的要求，是等級保護管理體系建設最為重要的部分。結合監獄信息化的具體情況，應對如下部分特別關注：基礎設施監控及管理、網絡安全監控及管理、業務應用系統監控與管理、應急響應與備份恢復管理。在以上各層面的運維管理工作中，應指定專門的崗位負責，并輔以定制化的運行管理制度、操作手冊、應急預案準備等事前預防措施，使系統運維管理工作能夠符合環境信息系統的安全要求。

4.5.3 監獄信息化安全組織管理

（1）安全管理組織機構

①領導層的選擇。安全管理組織領導層中的負責人應由單位主管領導出任，并由業務分管領導、信息化分管領導共同組成。

②主要人員需求與技能要求。安全管理負責人、安全專員都應熟悉信息技術和信息安全，有多年信息技術和安全管理經驗，具有堅定的信念和政治覺悟、高度的責任感，由監獄各單位主要領導和技術骨干擔任。

（2）安全管理制度

制度管理由高層安全組織進行，主要內容是如何制定和分發安全制度、如何監督制度的執行情況。制定安全管理制度的主要原則為：

①多人負責原則。每項與安全有關的活動都必須有兩人或多人在場。這些人應是系統主管領導指派的，應忠誠可靠，能勝任此項工作。

②任期有限原則。一般地講，任何人最好不要長期擔任與安全有關的職務，以免誤認為這個職務是專有的或永久性的。

③職責分離原則。除非系統主管領導批準，在信息處理系統工作的人員不要打聽、了解或參與職責以外、與安全有關的任何事情。

安全管理制度的制訂應由信息安全主管部門組織，工程承擔單位配合，相關人員參與制訂，經領導委員會批準后，嚴格按制度執行。

主要的制度有：《XXX 安全管理手冊（含信息安全策略）》、《XXX信息安全組織機構及工作職責》、《XXX系統建設安全管理制度》、《XXX 網絡安全管理制度》、《XXX 計算機安全管理制度》、《XXX 系統安全管理制度》、《XXX 信息分類分級標識管理制度》、《XXX 信息資產管理制度》、《XXX 介質安全管理制度》、《XXX 惡意代碼防范管理制度》、《XXX 自行軟件開發管理制度》、《XXX 外包軟件開發管理制度》、《XXX 日志管理和審計管理制度》、《XXX 數據備份和恢復管理制度》、《XXX 安全事件報告和處置管理制度》、《XXX 人員管理制度》等等。

（3）人員安全管理

據不完全統計，70% 的安全事件都是由內部人員引起的，加強人員管理是安全管理的一個非常關鍵的因素。人員管理主要是根據監獄信息化安全策略進行人員安全分級。根據監獄信息化建設的現狀分析，與計算機信息系統有關人員大體上有如下幾類：信息管理人員、業務部門正式崗位人員及臨時崗位人員、第三方技術服務人員以及參觀學習人員等。人員管理應針對人員的不同類別，規劃設計訪問控制策略和運行管理策略。不同安全人員有不同的職責和明確的分工，同時應該對不同分級的安全人員提供持續的培訓，以不斷地提高人員水平。

5 結語

本文圍繞《全國監獄信息化建設規劃》總體目標，基于信息系統等級保護的思想，結合國際國內的相關標準和法律法規，提出了監獄信息化安全管理體系的建設思路，對監獄信息安全保障體系中安全策略、安全運作、安全組織管理三個層面的規劃進行了進一步的細化探討。

[1]司法部關于印發《全國監獄信息化建設規劃》的通知[R].北京：司法部，2008.

[2]吳愛英.國務院關于監獄法實施和監獄工作情況的報告.

[2012-8-21].http://www.npc.gov.cn/huiyi/ztbg/gwygyjyfss hjyg/zqkbg/2012.

[3]鄭輝建.監獄信息化建設概論[M].杭州：浙江人民出版社，2012.

[4]馮前進.關于監獄信息化建設的現狀與對策研究[J].中國監獄學刊，2011.

[5]中共中央辦公廳、國務院辦公廳轉發國家信息化領導小組關于加強信息安全保障工作的意見的通知[R].北京：中共中央辦公廳，2003.

[6]國務院令（147號）發布《中華人民共和國計算機信息系統安全保護條例》[R].北京：國務院，1994.

[7]陳煜欣.國家環保信息化安全管理體系建設探析[J].計算機安全，2009.

[8]高磊.基于等級保護的信息安全管理體系研究[J].信息安全與通信保密， 2015.

[9]趙歡.高校信息安全體系的研究與實現[J].中國教育信息化，2013.

[10]劉靜.基于等級保護的檢察系統信息安全保障體系建設[J].探討，2007.

[11]傅鋼善.陜西省教育系統網絡信息安全管理問題與對策研究.[J].中國教育信息化，2012.

[12]葛元鵬.電網企業信息安全防護體系建設.[J].電子科技，2012.

[13]盧文.電子政務網絡中的信息安全體系建設.[J].信息安全與通信保密，2012.

浙江省教育廳一般科研項目（Y201533854）。