杜雪濤, 李友國(guó)，袁捷, 趙蓓, 陳濤

（1 中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080; 2 中國(guó)移動(dòng)通信集團(tuán)公司，北京 100032）

電信運(yùn)營(yíng)商的信息安全工作需要覆蓋系統(tǒng)建設(shè)及運(yùn)維、業(yè)務(wù)經(jīng)營(yíng)、客戶信息保護(hù)等生產(chǎn)運(yùn)營(yíng)環(huán)節(jié)，涉及多個(gè)業(yè)務(wù)部門和管理部門。其中實(shí)現(xiàn)基礎(chǔ)信息安全的可感知、可控制、可管理的目標(biāo)是降低信息安全風(fēng)險(xiǎn)，提升信息安全管理水平的基石。

1 基礎(chǔ)信息安全評(píng)估的主要內(nèi)容

依據(jù)X.805、ISF、ISO 27002等國(guó)際安全規(guī)范標(biāo)準(zhǔn)，參考國(guó)外運(yùn)營(yíng)商最佳實(shí)踐，結(jié)合電信運(yùn)營(yíng)商的實(shí)際，可以將電信運(yùn)營(yíng)商的信息安全管理體系歸納如下。

電信運(yùn)營(yíng)商的信息安全領(lǐng)域主要可以劃分為內(nèi)容安全、應(yīng)用安全、網(wǎng)絡(luò)安全、基礎(chǔ)安全4個(gè)主要的部分。其中內(nèi)容安全著重于信息內(nèi)容合規(guī)性、信息的機(jī)密性、信息的完整性以及信息的可用性。在當(dāng)前的運(yùn)營(yíng)商的評(píng)估工作，此部分可作為客戶信息安全等專項(xiàng)評(píng)估的內(nèi)容。應(yīng)用安全著重于業(yè)務(wù)的可用性、可核查性、完整性、合規(guī)性、抗抵賴性、真實(shí)性、機(jī)密性等內(nèi)容，目前的評(píng)估工作以業(yè)務(wù)安全檢查專項(xiàng)評(píng)估為主。網(wǎng)絡(luò)安全主要側(cè)重于網(wǎng)絡(luò)的可用性、網(wǎng)絡(luò)可靠性、可核查性、完整性、機(jī)密性、真實(shí)性、合規(guī)性等內(nèi)容?；A(chǔ)安全則側(cè)重于設(shè)備的可用性、設(shè)備的完整性、設(shè)備的可靠性及合規(guī)性。由于網(wǎng)絡(luò)安全與設(shè)備的安全緊密相關(guān)，設(shè)備是網(wǎng)絡(luò)構(gòu)成的基本構(gòu)成因素，設(shè)備的可用性、完整性及合規(guī)性決定了網(wǎng)絡(luò)的可用性、完整性、合規(guī)性及可用性。因而在日常的安全評(píng)估中我們通常將基礎(chǔ)信息安全的設(shè)備評(píng)估與網(wǎng)絡(luò)的評(píng)估合設(shè)，作為統(tǒng)一的整體進(jìn)行體系化的評(píng)估及測(cè)評(píng)，并合稱為基礎(chǔ)信息安全評(píng)估。

結(jié)合電信運(yùn)營(yíng)商的實(shí)際情況，在基礎(chǔ)信息安全評(píng)估中應(yīng)涵蓋全網(wǎng)的IT支撐系統(tǒng)，以及電信運(yùn)營(yíng)商的基礎(chǔ)信息安全評(píng)估應(yīng)該包括運(yùn)營(yíng)商所有IT支撐系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)。需包含網(wǎng)絡(luò)基礎(chǔ)安全架構(gòu)評(píng)估、網(wǎng)絡(luò)設(shè)備及系統(tǒng)安全評(píng)估、網(wǎng)絡(luò)滲透測(cè)試等各個(gè)方面。

2 網(wǎng)絡(luò)基礎(chǔ)安全架構(gòu)評(píng)估的主要內(nèi)容

網(wǎng)絡(luò)基礎(chǔ)安全架構(gòu)的主要評(píng)估內(nèi)容如下。

圖1 滲透測(cè)試專用工具

（1）基礎(chǔ)網(wǎng)絡(luò)架構(gòu)：網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)合理；安全區(qū)域劃分符合業(yè)務(wù)系統(tǒng)要求；選擇安全的路由方式；對(duì)周邊網(wǎng)絡(luò)接入進(jìn)行安全控制和冗余設(shè)計(jì)；對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理；對(duì)網(wǎng)絡(luò)設(shè)備和鏈路進(jìn)行冗余設(shè)計(jì)；

（2）網(wǎng)絡(luò)傳輸加密：根據(jù)業(yè)務(wù)系統(tǒng)的特點(diǎn)選擇對(duì)業(yè)務(wù)數(shù)據(jù)是否進(jìn)行傳輸加密；對(duì)于網(wǎng)絡(luò)設(shè)備認(rèn)證過(guò)程中敏感的信息進(jìn)行加密；

（3）訪問(wèn)控制和網(wǎng)絡(luò)審計(jì)：對(duì)網(wǎng)絡(luò)的內(nèi)部及外部邊界進(jìn)行有效訪問(wèn)控制；對(duì)網(wǎng)絡(luò)實(shí)施入侵檢測(cè)和漏洞評(píng)估；進(jìn)行網(wǎng)絡(luò)日志審計(jì)并統(tǒng)一日志時(shí)間基準(zhǔn)線；

（4）網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理。網(wǎng)絡(luò)設(shè)備是否進(jìn)行了安全配置，并且驗(yàn)證設(shè)備沒有已知的漏洞等。

3 設(shè)備安全及系統(tǒng)評(píng)估的主要內(nèi)容

設(shè)備安全及系統(tǒng)評(píng)估的安全目標(biāo)是保障相關(guān)支撐系統(tǒng)高效、優(yōu)質(zhì)運(yùn)行，滿足業(yè)務(wù)系統(tǒng)的需求，防止系統(tǒng)遭受外部和內(nèi)部的破壞和濫用，避免和降低由于系統(tǒng)的問(wèn)題對(duì)業(yè)務(wù)系統(tǒng)的損害；協(xié)助應(yīng)用進(jìn)行訪問(wèn)控制和安全審計(jì)。

設(shè)備安全及系統(tǒng)評(píng)估主要包括以下內(nèi)容。

（1）系統(tǒng)安全管理及冗余設(shè)計(jì)評(píng)估：嚴(yán)格管理系統(tǒng)賬戶、有效控制系統(tǒng)服務(wù)，優(yōu)化系統(tǒng)的安全配置，啟用系統(tǒng)必要的安全控制措施,避免系統(tǒng)發(fā)生故障或遭受攻擊，要求各種IT支撐系統(tǒng)已進(jìn)行冗余設(shè)計(jì)；

（2）業(yè)務(wù)系統(tǒng)及IT支撐系統(tǒng)本身具有安全功能：業(yè)務(wù)系統(tǒng)應(yīng)具備的安全功能包括身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保護(hù)、加密、通信會(huì)話管理、安全審計(jì)和隱私保護(hù)等；

（3）業(yè)務(wù)系統(tǒng)本身具有容錯(cuò)能力：軟件應(yīng)具備的容錯(cuò)能力包括錯(cuò)誤處理、數(shù)據(jù)有效性檢驗(yàn)和資源優(yōu)先級(jí)管理等；

（4）運(yùn)行環(huán)境提供安全控制并提供了冗余措施：運(yùn)行環(huán)境應(yīng)提供的安全控制包括網(wǎng)絡(luò)、主機(jī)和平臺(tái)提供的身份認(rèn)證、訪問(wèn)控制、鏈路加密和日志審計(jì)等。系統(tǒng)的運(yùn)行環(huán)境應(yīng)采取的冗余措施包括數(shù)據(jù)存儲(chǔ)設(shè)備、主機(jī)運(yùn)行環(huán)境、網(wǎng)絡(luò)傳輸通道等。

4 滲透評(píng)估的主要內(nèi)容

滲透性測(cè)試是基礎(chǔ)信息安全檢查的主要評(píng)估手段。是指安全滲透測(cè)試者盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機(jī)/應(yīng)用的安全性作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過(guò)程。

授權(quán)所進(jìn)行的滲透測(cè)試一般不會(huì)對(duì)客戶的信息系統(tǒng)造成任何危害和損失，其目的只在于從信息系統(tǒng)的外部發(fā)現(xiàn)信息系統(tǒng)對(duì)外所呈現(xiàn)出的安全脆弱性并驗(yàn)證這些安全脆弱性的真實(shí)存在性，并不再進(jìn)行進(jìn)一步的滲透（即不進(jìn)行后門植入等后續(xù)手段）。

5 基礎(chǔ)信息安全評(píng)估的評(píng)估方法

5.1 基本原則

基礎(chǔ)信息安全的評(píng)估的目標(biāo)是保障電信運(yùn)營(yíng)商的網(wǎng)絡(luò)系統(tǒng)高效、優(yōu)質(zhì)運(yùn)行。因此在進(jìn)行安全評(píng)估時(shí)應(yīng)該遵循如下的原則。

（1）最小影響原則：安全評(píng)估對(duì)于人員的素質(zhì)要求很高，評(píng)估所采用的工具必須要經(jīng)過(guò)多次評(píng)估項(xiàng)目考驗(yàn)，風(fēng)險(xiǎn)評(píng)估工作做到充分的計(jì)劃性，在保證不對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響的情況下進(jìn)行評(píng)估工作，盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行；

（2）標(biāo)準(zhǔn)性原則：項(xiàng)目方案的設(shè)計(jì)與實(shí)施遵循、滿足相關(guān)國(guó)家規(guī)范要求，如工信部等級(jí)保護(hù)基本技術(shù)要求、運(yùn)營(yíng)商的相關(guān)技術(shù)要求等；

（3）規(guī)范性原則：參與評(píng)估機(jī)構(gòu)必須通過(guò)主管部門的認(rèn)可及委托，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；

（4）可控性原則：要求評(píng)估機(jī)構(gòu)對(duì)于項(xiàng)目管理有豐富的經(jīng)驗(yàn)，安全服務(wù)的進(jìn)度按照進(jìn)度表進(jìn)度的安排，保證電信運(yùn)營(yíng)商的項(xiàng)目做到滿足項(xiàng)目可控性要求；

（5）整體性原則：安全評(píng)估內(nèi)容整體全面，涉及到信息安全的各個(gè)層面；

（6）保密性原則：評(píng)估機(jī)構(gòu)應(yīng)該對(duì)過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害運(yùn)營(yíng)商的行為，項(xiàng)目結(jié)束之后銷毀所有運(yùn)營(yíng)商提供有關(guān)的數(shù)據(jù)和文檔。

5.2 基礎(chǔ)信息安全評(píng)估方法

5.2.1 資料整理和訪談

資料整理和訪談是進(jìn)行基礎(chǔ)信息安全評(píng)估的基礎(chǔ)。評(píng)估人員首先通過(guò)對(duì)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D、安全運(yùn)作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。并找準(zhǔn)信息資產(chǎn)體現(xiàn)為一個(gè)業(yè)務(wù)流時(shí)所流經(jīng)的網(wǎng)絡(luò)節(jié)點(diǎn)，查看關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)備安全策略是否得當(dāng)，利用技術(shù)手段驗(yàn)證安全策略是否有效。

評(píng)估專家經(jīng)驗(yàn)在安全顧問(wèn)咨詢服務(wù)中處于不可替代的關(guān)鍵地位。通過(guò)對(duì)客戶訪談、技術(shù)資料進(jìn)行分析，對(duì)網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行分析，并會(huì)將自己的經(jīng)驗(yàn)體現(xiàn)于網(wǎng)絡(luò)安全脆弱性評(píng)估中。

5.2.2 工具挖掘

工具挖掘主要是通過(guò)網(wǎng)絡(luò)掃描器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，發(fā)現(xiàn)安全漏洞和不當(dāng)?shù)呐渲?。通過(guò)評(píng)估工具對(duì)主機(jī)、應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行掃描。掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫(kù)，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機(jī)設(shè)備所存在的安全隱患和漏洞。

漏洞掃描主要依靠帶有安全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，能較真實(shí)地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)所存在的網(wǎng)絡(luò)安全問(wèn)題。

5.2.3 滲透測(cè)試

滲透測(cè)試目的是讓用戶清晰了解目前網(wǎng)絡(luò)的脆弱性、可能造成的影響，以便采取必要的防范措施。滲透測(cè)試的要點(diǎn)是通過(guò)前期對(duì)業(yè)務(wù)資產(chǎn)的識(shí)別，結(jié)合技術(shù)手段進(jìn)行探測(cè)，判斷可能存在的攻擊路徑，并且利用技術(shù)手段技術(shù)實(shí)現(xiàn)。

由于滲透測(cè)試偏重于黑盒測(cè)試，因此可能對(duì)被測(cè)試目標(biāo)造成不可預(yù)知的風(fēng)險(xiǎn)；此外對(duì)于性能比較敏感的測(cè)試目標(biāo)，如一些實(shí)時(shí)性要求比較高的系統(tǒng)，由于滲透測(cè)試的某些手段可能引起網(wǎng)絡(luò)流量的增加，因此可能會(huì)引起被測(cè)試目標(biāo)的服務(wù)質(zhì)量降低。由于中國(guó)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)范龐大，因此在滲透測(cè)試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡(luò)層的滲透測(cè)試，也包括了系統(tǒng)層的滲透測(cè)試及應(yīng)用層的滲透測(cè)試。

合法滲透測(cè)試的一般流程為兩大步驟，即預(yù)攻擊探測(cè)階段、驗(yàn)證攻擊階段、滲透實(shí)施階段。不涉及安裝后門、遠(yuǎn)程控制等活動(dòng)。

5.2.3.1 預(yù)攻擊探測(cè)階段

預(yù)攻擊探測(cè)階段又分為踩點(diǎn)、掃描、枚舉、脆弱性掃描等步驟。

踩點(diǎn)是指對(duì)公共信息源搜索，其目標(biāo)在于收集目標(biāo)信息系統(tǒng)及其所屬組織機(jī)構(gòu)的相關(guān)信息。查找目標(biāo)信息系統(tǒng)的網(wǎng)絡(luò)域名，DNS服務(wù)器，IP地址范圍及其它從目標(biāo)信息系統(tǒng)注冊(cè)的Internet注冊(cè)機(jī)構(gòu)上可獲取的所有信息。盡可能地獲取目標(biāo)信息系統(tǒng)DNS服務(wù)器上的DNS信息。

掃描是一系列探測(cè)行為的組合。其中包括活動(dòng)主機(jī)探測(cè)，即通過(guò)ping掃描發(fā)現(xiàn)目標(biāo)信息系統(tǒng)對(duì)外呈現(xiàn)出活動(dòng)特性的主機(jī)系統(tǒng)。網(wǎng)絡(luò)路由及拓?fù)淇辈欤鶕?jù)在活動(dòng)主機(jī)探測(cè)階段所發(fā)現(xiàn)的活動(dòng)主機(jī)表，檢測(cè)這些活動(dòng)主機(jī)的路由狀況，在此基礎(chǔ)上以期綜合分析得出部分或全部的信息系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在此過(guò)程中，還包括對(duì)防火墻規(guī)則的測(cè)試。端口測(cè)試也是最基本常用的測(cè)試手段，通常指掃描在活動(dòng)主機(jī)探測(cè)階段發(fā)現(xiàn)活動(dòng)主機(jī)的開放端口（TCP&UDP）。檢測(cè)在活動(dòng)主機(jī)探測(cè)階段發(fā)現(xiàn)活動(dòng)主機(jī)的操作系統(tǒng)的類型。獲取在活動(dòng)主機(jī)探測(cè)階段發(fā)現(xiàn)活動(dòng)主機(jī)的服務(wù)程序旗標(biāo)。

枚舉的過(guò)程是指檢測(cè)活動(dòng)主機(jī)探測(cè)階段所發(fā)現(xiàn)的活動(dòng)主機(jī)是否可枚舉，如果可枚舉能枚舉哪些內(nèi)容，如賬號(hào)信息，共享信息、主機(jī)在系統(tǒng)中的角色等。

脆弱性掃描是指掃描檢測(cè)活動(dòng)主機(jī)探測(cè)階段所發(fā)現(xiàn)的活動(dòng)主機(jī)的安全漏洞。此階段將會(huì)將踩點(diǎn)、掃描、枚舉等各個(gè)階段的信息綜合考慮，并作為脆弱性掃描的主要輸入內(nèi)容。

5.2.3.2 驗(yàn)證攻擊階段

（1）脆弱性分析和滲透目標(biāo)選定：匯總在脆弱性掃描階段得到的結(jié)果，將每一個(gè)脆弱性掃描得出的安全漏洞與脆弱性漏洞庫(kù)進(jìn)行比對(duì)，判斷該安全漏洞的真實(shí)性及其風(fēng)險(xiǎn)級(jí)別。在此基礎(chǔ)上綜合判定可利用來(lái)進(jìn)行滲透攻擊的漏洞；

（2）對(duì)選定目標(biāo)的滲透攻擊：對(duì)選定漏洞進(jìn)行實(shí)際的攻擊，驗(yàn)證可獲取一定的系統(tǒng)權(quán)限或者可獲取到敏感信息。攻擊方式包括口令破解、緩沖區(qū)溢出、SQL注入攻擊、跨站點(diǎn)腳本攻擊、會(huì)話劫持等。

在真實(shí)的滲透測(cè)試的工程中需經(jīng)歷如下過(guò)程。

5.2.3.3 確定滲透路徑

根據(jù)業(yè)務(wù)信息數(shù)據(jù)分析，結(jié)合目前的網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)防護(hù)現(xiàn)狀，分析可能存在的對(duì)業(yè)務(wù)進(jìn)行攻擊的路徑。在電信運(yùn)營(yíng)商網(wǎng)絡(luò)中，門戶網(wǎng)站、自有業(yè)務(wù)網(wǎng)站、測(cè)試網(wǎng)絡(luò)等對(duì)外提供Web服務(wù)的站點(diǎn)都比較容易成為滲透測(cè)試攻擊的路徑。

此外IDC機(jī)房由于其網(wǎng)絡(luò)設(shè)備龐雜、業(yè)務(wù)種類繁多，管理困難，經(jīng)常出現(xiàn)安全域劃分不當(dāng)，防火墻策略更新不及時(shí)、維護(hù)與管理權(quán)限混亂等問(wèn)題，也經(jīng)常會(huì)被滲透測(cè)試作為突破點(diǎn)，成為首要的攻擊途徑。

表1 滲透測(cè)試專用工具

5.2.3.4 實(shí)施滲透測(cè)試

滲透測(cè)試評(píng)估人員會(huì)將根據(jù)滲透測(cè)試技術(shù)一般流程和滲透測(cè)試內(nèi)容實(shí)施具體的滲透測(cè)試，驗(yàn)證預(yù)計(jì)的滲透路徑是否可技術(shù)實(shí)現(xiàn)。常見的滲透工具如下所示。

現(xiàn)網(wǎng)的基礎(chǔ)信息安全評(píng)估中滲透測(cè)試是以資料整理、訪談、工具挖掘等一系列前期活動(dòng)為前提和基礎(chǔ)。真正滲透到核心業(yè)務(wù)僅僅是評(píng)估的結(jié)果具體體現(xiàn)。具體的滲透實(shí)戰(zhàn)經(jīng)常有如下的過(guò)程。首先從門戶及其它對(duì)外提供服務(wù)的網(wǎng)站入手，找出網(wǎng)站漏洞，通過(guò)SQL注入等高風(fēng)險(xiǎn)漏洞，進(jìn)入Web后臺(tái)，控制相應(yīng)的服務(wù)器。通過(guò)前期網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的研究，畫出整個(gè)全網(wǎng)的拓?fù)鋱D，分割出業(yè)務(wù)網(wǎng)、支撐網(wǎng)、NGBOSS、OA等不同的子網(wǎng)絡(luò)，找出各子網(wǎng)絡(luò)連接點(diǎn)。明確各子網(wǎng)安全域的劃分方式，研讀其中的防火墻策略配置表以及路由器交換器的路由配置。從中發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在脆弱性因素的網(wǎng)絡(luò)設(shè)備。找出與對(duì)外提供服務(wù)器有網(wǎng)絡(luò)連接的內(nèi)網(wǎng)設(shè)備。從而打通從互聯(lián)網(wǎng)到內(nèi)網(wǎng)的路徑。進(jìn)行進(jìn)入運(yùn)營(yíng)商網(wǎng)的核心部分，如業(yè)備支撐系統(tǒng)、網(wǎng)管網(wǎng)等。

5.2.3.5 滲透測(cè)試過(guò)程中的監(jiān)控

此外，在實(shí)施滲透測(cè)試活動(dòng)時(shí)還應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行全程監(jiān)控，同時(shí)監(jiān)控被測(cè)試目標(biāo)的工作狀態(tài)。以防止對(duì)電信業(yè)務(wù)產(chǎn)生破壞性影響。

6 總結(jié)

基礎(chǔ)信息的安全評(píng)估是整個(gè)信息安全管理的基石，其涉及到運(yùn)營(yíng)商網(wǎng)絡(luò)的整體網(wǎng)絡(luò)架構(gòu)，評(píng)估內(nèi)容復(fù)雜，評(píng)測(cè)方法多樣。因此，深入研究基礎(chǔ)信息安全評(píng)估體系，并將其體系化、規(guī)范化將是未來(lái)研究的重點(diǎn)方向。