今日頭條
官方微信
官方抖音
資訊頻道在網(wǎng)絡(luò)安全領(lǐng)域,漏洞常被攻擊方視為“殺手锏”武器,又被防守方當(dāng)作“萬(wàn)惡之源”。漏洞本身雖然不產(chǎn)生危害,但一旦被利用,則極有可能帶來(lái)嚴(yán)重的威脅。關(guān)鍵信息基礎(chǔ)設(shè)施在數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的過(guò)程中配置了大量信息資產(chǎn),其網(wǎng)絡(luò)體系越來(lái)越復(fù)雜,漏洞作為“伴生體”所帶來(lái)的威脅問(wèn)題日益凸顯。習(xí)近平總書(shū)記曾指出:要全面加強(qiáng)網(wǎng)絡(luò)安全檢查,摸清家底,認(rèn)清風(fēng)險(xiǎn),找出漏洞,通報(bào)結(jié)果,督促整改。如何快速應(yīng)對(duì)漏洞產(chǎn)生的威脅,降低關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn),無(wú)疑是擺在新時(shí)代的一個(gè)迫切命題。我們針對(duì)某些關(guān)鍵信息基礎(chǔ)設(shè)施在接報(bào)漏洞后面臨的處置周期長(zhǎng)、資產(chǎn)定位難等問(wèn)題,進(jìn)行針對(duì)性的調(diào)研,探索對(duì)其重要信息資產(chǎn)開(kāi)展漏洞治理的工作,并總結(jié)了一些實(shí)踐經(jīng)驗(yàn)與同行同業(yè)分享和探討,以期拋磚引玉。
一、網(wǎng)絡(luò)安全漏洞的定義和治理的概念
國(guó)際標(biāo)準(zhǔn)化組織(ISO/IEC 27002)定義漏洞(vulnerability)為一個(gè)或多個(gè)威脅可以利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)。通用漏洞評(píng)分系統(tǒng)(CVSS)則將漏洞定義為軟件或硬件組件中的弱點(diǎn)或缺陷。我國(guó)《信息安全技術(shù) 術(shù)語(yǔ)》(GB/T 25069-2010)將我們傳統(tǒng)意義上認(rèn)為的漏洞定義為“脆弱性”,指資產(chǎn)中能被威脅所利用的弱點(diǎn)。《信息安全技術(shù) 安全漏洞等級(jí)劃分指南》(GB/T 30279-2013)將安全漏洞(vulnerability)定義為計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中,有意或無(wú)意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中,一旦被惡意主體所利用,就會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全造成損害,從而影響計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行。綜上可見(jiàn),漏洞存在于信息資產(chǎn)之上,風(fēng)險(xiǎn)主要來(lái)源于該漏洞的環(huán)境構(gòu)成,造成漏洞存在被威脅利用之機(jī)。本文所討論的漏洞與國(guó)際標(biāo)準(zhǔn)化組織定義的范圍一致。
治理的概念最早出現(xiàn)在政治學(xué)領(lǐng)域,通常指政府運(yùn)用公權(quán)力管理社會(huì)和人民;而后這一概念又被引入商業(yè)和公共領(lǐng)域,延伸到組織機(jī)構(gòu)中的管理方式和制度等方面。聯(lián)合國(guó)全球治理委員會(huì)(CGG)對(duì)治理做過(guò)權(quán)威定義,指“各種公共的或私人的個(gè)人和機(jī)構(gòu)管理其共同事務(wù)的諸多方法的總和”,并總結(jié)治理的一個(gè)重要特征是以協(xié)同而非控制為基礎(chǔ)。21世紀(jì)初,隨著信息化的發(fā)展,IT治理的理念逐步被引入公司治理層面,Gartner認(rèn)為,IT治理是確保信息技術(shù)有效、高效的應(yīng)用以幫助組織機(jī)構(gòu)達(dá)到其目標(biāo)的過(guò)程。本文定義的漏洞治理是指漏洞信息披露后,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立機(jī)制、協(xié)同內(nèi)外部資源及條件、開(kāi)展與之相關(guān)信息資產(chǎn)的分析和威脅風(fēng)險(xiǎn)評(píng)估,快速消除漏洞或隔離其被利用條件的一系列方法之總和。漏洞治理的主體是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,通過(guò)協(xié)同工作機(jī)制調(diào)動(dòng)其內(nèi)部資產(chǎn)相關(guān)部門、業(yè)務(wù)運(yùn)營(yíng)部門、信息安全部門,科學(xué)評(píng)估漏洞所產(chǎn)生的風(fēng)險(xiǎn),在平衡風(fēng)險(xiǎn)控制與業(yè)務(wù)發(fā)展的基礎(chǔ)之上,選擇最優(yōu)的治理路徑,達(dá)到有效管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的目標(biāo)。
二、關(guān)鍵信息基礎(chǔ)設(shè)施漏洞治理面臨的三重困惑
當(dāng)前黨和國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重視程度前所未有。我國(guó)《網(wǎng)絡(luò)安全法》單列一節(jié),將公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等列為關(guān)鍵信息基礎(chǔ)設(shè)施,要求必須實(shí)行重點(diǎn)保護(hù)。《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(征求意見(jiàn)稿)》規(guī)定,“運(yùn)營(yíng)者發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)的,應(yīng)及時(shí)采取措施消除風(fēng)險(xiǎn)隱患”。在多重法律法規(guī)的要求下,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者面臨著較大的安全合規(guī)壓力,但在工作中我們發(fā)現(xiàn),關(guān)鍵信息基礎(chǔ)設(shè)施帶“洞”運(yùn)營(yíng)仍是常態(tài)。數(shù)據(jù)顯示,某關(guān)鍵信息基礎(chǔ)設(shè)施,一年中前10個(gè)月發(fā)現(xiàn)了10027個(gè)漏洞,到年底漏洞消除率只有62%,漏洞消除的平均周期為59天,最長(zhǎng)周期達(dá)150天。大量漏洞長(zhǎng)期暴露未能得到及時(shí)有效的處置,漏洞整體消除周期過(guò)長(zhǎng),導(dǎo)致新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)一步疊加,這也是當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者面臨的難題。
(一)網(wǎng)絡(luò)安全考核指標(biāo)與漏洞所帶來(lái)的風(fēng)險(xiǎn)之間存在一定程度的割裂。
在現(xiàn)有的評(píng)價(jià)機(jī)制下,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者對(duì)漏洞“重發(fā)現(xiàn),輕治理”,且缺乏激勵(lì)修復(fù)漏洞的相關(guān)機(jī)制。漏洞檢出數(shù)量的多寡、危害等級(jí)與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全考核評(píng)價(jià)掛鉤。在實(shí)際工作中,有些漏洞在特定的環(huán)境中無(wú)法完全消除,強(qiáng)行消除漏洞可能引入更大的安全風(fēng)險(xiǎn),導(dǎo)致系統(tǒng)停擺、數(shù)據(jù)泄露等更嚴(yán)重的事故,而關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者缺乏有效的判斷依據(jù),往往不懂處置,不敢處置。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的困境在于,漏洞檢出的數(shù)量越來(lái)越多,但漏洞所造成的實(shí)際危害卻千差萬(wàn)別,針對(duì)漏洞對(duì)應(yīng)的資產(chǎn)、環(huán)境等因素進(jìn)行危害評(píng)估的體系缺位,直接導(dǎo)致漏洞處置工作缺乏抓手,不分輕重緩急“眉毛胡子一把抓”,最終可能無(wú)法最大化地消除漏洞所帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
(二)傳統(tǒng)漏洞掃描工作模式難以有效提高漏洞處置的工作效率。
當(dāng)前多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展的漏洞掃描是一種“串聯(lián)式”的工作模式,漏洞掃描是周期性、階段性的任務(wù)而非常態(tài)化的機(jī)制。在這種工作模式下,若按照每3個(gè)月對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施7000-8000個(gè)IP地址開(kāi)展漏洞風(fēng)險(xiǎn)排查,第一步需要使用掃描器更新漏洞數(shù)據(jù)庫(kù),并分時(shí)分段進(jìn)行漏洞掃描,過(guò)程耗時(shí)近1個(gè)月;第二步將掃描器獲得的漏洞信息分門別類整理并尋找對(duì)應(yīng)信息資產(chǎn)和責(zé)任人,分配漏洞處置任務(wù),期間又耗時(shí)1個(gè)月;第三步,工作人員必須在1個(gè)月內(nèi)完成漏洞處置、復(fù)測(cè)和總結(jié)等工作。檢查人員經(jīng)常要面對(duì)上一輪漏洞處置工作還未結(jié)束,下一輪檢查又要開(kāi)始的窘迫局面。每一輪漏洞掃描均重復(fù)性地收集相關(guān)資產(chǎn)信息,將之與公開(kāi)漏洞信息進(jìn)行匹配從而發(fā)現(xiàn)問(wèn)題所在,這種低效的工作模式必然導(dǎo)致在資產(chǎn)上檢測(cè)漏洞的過(guò)程嚴(yán)重滯后。
(三)信息資產(chǎn)的復(fù)雜度與漏洞的爆炸式增長(zhǎng)造成漏洞檢測(cè)和驗(yàn)證環(huán)節(jié)滯后。
隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和云計(jì)算等新技術(shù)新應(yīng)用的發(fā)展,關(guān)鍵信息基礎(chǔ)設(shè)施的信息資產(chǎn)體量越來(lái)越龐大,物理資產(chǎn)和虛擬資產(chǎn)多重交叉,又分屬不同的部門使用和管理。信息資產(chǎn)的服務(wù)端口、IP地址等隨業(yè)務(wù)和使用環(huán)境變化而呈現(xiàn)動(dòng)態(tài)變化的特征,這就給信息資產(chǎn)的界定問(wèn)題、一致性問(wèn)題、動(dòng)態(tài)管理問(wèn)題帶來(lái)了極大的挑戰(zhàn)。與此同時(shí),專業(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)披露漏洞數(shù)量越來(lái)越多,2017年國(guó)家信息安全漏洞共享平臺(tái)(CNVD)披露的漏洞超過(guò)1.59萬(wàn)個(gè),較 2016 年增長(zhǎng)47.4%,國(guó)家信息安全漏洞庫(kù)(CNNVD)公布的漏洞數(shù)量超過(guò)1.47萬(wàn)個(gè),較2016年增長(zhǎng)超過(guò)70%,增長(zhǎng)率達(dá)到歷史新高 。海量的信息資產(chǎn)和漏洞均呈現(xiàn)多樣化、動(dòng)態(tài)化和復(fù)雜化的特點(diǎn),使得關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在傳統(tǒng)的工作模式下難以將兩者高效、快速地映射,漏洞處置和整改更無(wú)從談起。
三、以漏洞治理為切入點(diǎn)開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施重要信息資產(chǎn)安全保障的實(shí)踐和思考
(一)建立對(duì)信息資產(chǎn)統(tǒng)一動(dòng)態(tài)管理的體系。
保障信息資產(chǎn)的完整性、一致性是漏洞治理工作的基礎(chǔ)。夯實(shí)這個(gè)基礎(chǔ),一是要建立機(jī)制保障信息資產(chǎn)的完整性,建立一套針對(duì)信息資產(chǎn)“責(zé)任人+管理制度”的體系,保證信息資產(chǎn)責(zé)任主體可追溯,對(duì)信息資產(chǎn)的全生命周期進(jìn)行管理,不能只管信息資產(chǎn)“入口”(采購(gòu))、“出口”(退出)環(huán)節(jié),更要在中間使用環(huán)節(jié),特別是對(duì)資產(chǎn)變更的跟蹤進(jìn)行責(zé)任確認(rèn)和監(jiān)管監(jiān)督。二是要通過(guò)管理解決信息資產(chǎn)一致性問(wèn)題,明確關(guān)鍵信息基礎(chǔ)設(shè)施信息資產(chǎn)跨部門協(xié)同管理,細(xì)化采購(gòu)部門、運(yùn)維部門、安全部門在信息資產(chǎn)管理中的角色和定位,使用統(tǒng)一的資產(chǎn)管理標(biāo)準(zhǔn)進(jìn)行登記管理,細(xì)化資產(chǎn)屬性維度,避免出現(xiàn)一個(gè)資產(chǎn)多種表述,多個(gè)資產(chǎn)一種表述的現(xiàn)象。三是要通過(guò)技術(shù)手段,實(shí)現(xiàn)對(duì)信息資產(chǎn)完整性和一致性的動(dòng)態(tài)管理。充分完善信息資產(chǎn)掃描探測(cè)技術(shù),對(duì)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件等重要信息資產(chǎn)進(jìn)行自動(dòng)識(shí)別。通過(guò)輪詢信息資產(chǎn)指紋等感知技術(shù)識(shí)別資產(chǎn)屬性變更,并運(yùn)用分布式信息資產(chǎn)探測(cè)雷達(dá),提高信息資產(chǎn)識(shí)別效率和覆蓋面,揪出“無(wú)主資產(chǎn)、僵尸資產(chǎn)”。只有全面掌握動(dòng)態(tài)變化的信息資產(chǎn)完整性、一致性,才能完成對(duì)信息資產(chǎn)的實(shí)時(shí)追蹤和查詢等管理工作。
(二)探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評(píng)估方法。
當(dāng)前主流的漏洞危害評(píng)級(jí)方法是定性定量評(píng)估,該方法因其標(biāo)準(zhǔn)化、規(guī)范化的優(yōu)勢(shì),被大多數(shù)國(guó)內(nèi)外網(wǎng)絡(luò)安全廠商和漏洞管理機(jī)構(gòu)采用,主要參考指南有《通用漏洞評(píng)分系統(tǒng)指南》(CVSS)、《信息安全技術(shù)安全漏洞等級(jí)劃分指南》(GBT 30279-2013)。網(wǎng)絡(luò)安全機(jī)構(gòu)或關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者可依據(jù)指南從多個(gè)維度計(jì)算并評(píng)定漏洞的危害等級(jí)。定性定量評(píng)估方法的難點(diǎn)在于如何對(duì)漏洞所處應(yīng)用環(huán)境進(jìn)行分析,如CVSS指南依照基本指標(biāo)、時(shí)間指標(biāo)、環(huán)境指標(biāo)對(duì)漏洞危害進(jìn)行評(píng)級(jí),其中基本指標(biāo)是指漏洞利用復(fù)雜度等固定的指標(biāo),而時(shí)間指標(biāo)和環(huán)境指標(biāo)描述的是漏洞隨時(shí)間和應(yīng)用環(huán)境變化的特征,這一部分的評(píng)定需要用戶的直接參與。網(wǎng)絡(luò)安全廠商和漏洞管理機(jī)構(gòu),如公共漏洞披露平臺(tái)(CVE)、國(guó)家信息安全漏洞共享平臺(tái)(CNVD)等一般僅根據(jù)基本指標(biāo)評(píng)定漏洞危害等級(jí),另外兩項(xiàng)指標(biāo)及修正后的數(shù)值則由用戶自行評(píng)定。在實(shí)際操作中,關(guān)鍵信息基礎(chǔ)設(shè)施因應(yīng)用環(huán)境相對(duì)復(fù)雜,安全需求千差萬(wàn)別,造成環(huán)境度量計(jì)算非常復(fù)雜,因此往往忽略環(huán)境指標(biāo)的計(jì)算,導(dǎo)致危害評(píng)級(jí)無(wú)法真實(shí)反映漏洞對(duì)特定系統(tǒng)造成的危害。
漏洞危害評(píng)級(jí)的主要目的是推動(dòng)工作人員在有限的時(shí)間和精力的情況下優(yōu)先處置高危漏洞,從而以最快的速度降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為使漏洞危害評(píng)級(jí)體系中環(huán)境指標(biāo)度量進(jìn)一步落地,我們根據(jù)CVSS3.0的指南,引入“系統(tǒng)安全防護(hù)能力”作為環(huán)境指標(biāo)度量的一個(gè)維度,根據(jù)不同系統(tǒng)安全防護(hù)能力對(duì)保密性、完整性、可用性的影響賦值,計(jì)算出關(guān)鍵信息基礎(chǔ)設(shè)施每個(gè)系統(tǒng)的安全防護(hù)能力,結(jié)合漏洞管理機(jī)構(gòu)提供的基本指標(biāo)度量數(shù)據(jù),采用CVSS3.0的計(jì)算方法,對(duì)漏洞危害評(píng)級(jí)評(píng)定的數(shù)據(jù)進(jìn)行修正,使漏洞危害更加貼近實(shí)際應(yīng)用場(chǎng)景。這種方法既能保證兼容CVSS3.0指南的度量體系,又使得漏洞危害評(píng)級(jí)可以快速落地應(yīng)用,兼具可行性和易用性。
(三)制定漏洞快速處置的工作機(jī)制和協(xié)同流程。
漏洞快速處置主要依賴于三方面的設(shè)計(jì)。一是在考核機(jī)制上進(jìn)行“鼓勵(lì)式”設(shè)計(jì)。網(wǎng)絡(luò)安全考核評(píng)價(jià)不能只有懲罰機(jī)制,也應(yīng)該包含激勵(lì)式制度。如某電信運(yùn)營(yíng)商組織內(nèi)部人員開(kāi)展漏洞挖掘比賽,獎(jiǎng)勵(lì)優(yōu)先發(fā)現(xiàn)和協(xié)助處置漏洞的工作人員,此舉充分調(diào)動(dòng)了各部門員工參與網(wǎng)絡(luò)安全工作的熱情。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)探索漏洞快速治理的創(chuàng)新做法,表彰優(yōu)先處置漏洞的部門和個(gè)人。在漏洞快速處置方面,修復(fù)補(bǔ)丁只是漏洞治理的其中一個(gè)途徑,通過(guò)提高系統(tǒng)防護(hù)等級(jí),消除漏洞利用條件,提高漏洞利用難度,也能降低漏洞帶來(lái)的風(fēng)險(xiǎn),這類新的做法應(yīng)值得嘗試。二是要有協(xié)同處置安全風(fēng)險(xiǎn)的責(zé)任設(shè)計(jì)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者要?jiǎng)澐致┒刺幹秘?zé)任,調(diào)動(dòng)內(nèi)部各利益相關(guān)方進(jìn)行漏洞的協(xié)同處置。如針對(duì)硬件和軟件的漏洞,界定資產(chǎn)管理部門、業(yè)務(wù)運(yùn)營(yíng)部門、信息安全部門的責(zé)任,資產(chǎn)管理部門應(yīng)協(xié)調(diào)供應(yīng)商、開(kāi)發(fā)商統(tǒng)一修復(fù)漏洞,定期打上補(bǔ)丁。對(duì)一些因系統(tǒng)無(wú)法維護(hù)而造成高危漏洞無(wú)法消除的情況,業(yè)務(wù)運(yùn)營(yíng)部門應(yīng)制定產(chǎn)品替代方案,逐步退出應(yīng)用。針對(duì)強(qiáng)行升級(jí)系統(tǒng)或打補(bǔ)丁消除漏洞可能造成業(yè)務(wù)系統(tǒng)停擺等風(fēng)險(xiǎn)時(shí),信息安全部門應(yīng)協(xié)同業(yè)務(wù)運(yùn)營(yíng)部門,咨詢第三方安全機(jī)構(gòu),制定科學(xué)可行的漏洞處置方案,避免因漏洞處置而影響正常業(yè)務(wù)開(kāi)展。三是要建設(shè)技術(shù)平臺(tái)提升漏洞治理的整體效率。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者通過(guò)建設(shè)漏洞治理技術(shù)平臺(tái)進(jìn)一步提高漏洞處置效率,一方面可將實(shí)時(shí)漏洞庫(kù)、動(dòng)態(tài)資產(chǎn)庫(kù)、開(kāi)源POC庫(kù)進(jìn)行集成,實(shí)時(shí)進(jìn)行資產(chǎn)與漏洞的規(guī)則匹配,并運(yùn)用自動(dòng)化手段進(jìn)行精準(zhǔn)驗(yàn)證,科學(xué)計(jì)算和評(píng)估漏洞的影響。另一方面充分利用漏洞治理技術(shù)平臺(tái)分發(fā)處置任務(wù)、反饋治理成果,輔助開(kāi)展績(jī)效評(píng)估等工作。
四、結(jié)語(yǔ)
習(xí)近平總書(shū)記提出要樹(shù)立正確的網(wǎng)絡(luò)安全觀,并指出網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的、開(kāi)放的、相對(duì)的和共同的。我們?cè)陂_(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作中認(rèn)識(shí)到,只有牢牢抓住網(wǎng)絡(luò)安全的上述基本特點(diǎn),才能實(shí)現(xiàn)對(duì)漏洞的有效治理,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。我們?cè)陂_(kāi)展漏洞治理的一年時(shí)間里,推動(dòng)上述關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者漏洞處置周期由平均59天縮短到如今的7天,在重要敏感時(shí)期,高危漏洞有效處置的周期縮短至24小時(shí)之內(nèi)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在探索漏洞治理過(guò)程中,進(jìn)一步摸清了資產(chǎn)的底數(shù)、認(rèn)清了風(fēng)險(xiǎn)的由來(lái),為下一步開(kāi)展網(wǎng)絡(luò)安全態(tài)勢(shì)感知工作奠定了基礎(chǔ)。
作者:陳志華,曾祥斌 廣東省信息安全測(cè)評(píng)中心
文章來(lái)源:中國(guó)信息安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)