等级保护定级指南(第十二期)
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南信息系统安全等级保护定级指南本标准制定依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)。
范围:本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
规范性引用文件:下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护等级划分准则术语和定义:本标准适用于GB/T 5271.8和GB-1999确立的术语和定义,以及以下术语和定义。
等级保护对象:信息安全等级保护工作直接作用的具体的信息和信息系统。
客体:受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
客观方面:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
系统服务:信息系统为支撑其所承载业务而提供的程序化过程。
定级原理:信息系统安全保护等级根据等级保护相关管理文件,分为以下五级:第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
2020年新版《等级保护定级指南》多了哪些要求?
专家评审如何开展?
第一、公安网安主管部门工作人员,一般情况下为了避嫌,是异地网安人员参与评审; 第二,测评机构持证工作人员,他们长年在一线进行等保工作,他们接触了很多系统,对 标准对系统情况比较熟悉,他们适合当等保定级专家,这里建议测评机构的评审专家资质 应为:中、高级测评师,他们的工作经验相对初级测评师来说较为丰富; 第三,相关网络安全专家,这里就比较广泛,比如各个单位信息中心或者网络安全的负责 人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,这些专 家也都行,他们长年从事信息化特别是网络安全工作,经验也较为丰富,如果自身负责过 或指导过本单位等保工作开展的那就更好。
等级保护对象范围
0 2
等保定级需要进行专家评审
等保定级需要进行专家评审
等保定级需要进行专家评审
从图中可以看到,定级需要进行专家评审,那么至此等保定级再也不是1.0的自主定级 了,而是需要规范进行定级。对于初步确定为第一级的等级保护对象,可不进行专家 家评审、主管部门核准和备案审核,所以一级系统不需要去公安网安部门进行备案, 但是这里需要提醒的是哪些是一级系统,通俗点说就是这个系统哪怕是坏了对别人的 影响都非常小的系统才是一级系统。定一级前,你们对照自己的系统看看是不是这样 的,但凡不是这样的,那么你的系统肯定是二级起步了。那么安全保护等级初步确定 为第二级及以上的等级保护对象,就需要组织专家评审、主管部门核准和备案审核, 最终确定其安全等级。
等级变更时需重新进行定级
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安 全和系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根 据本标准重新确定定级对象和安全保护等级。也就是等级需要变更时需要按照定级 指南重新开展定级,该请专家评审的请专家评审,该请行业主管部门审核的请行业 主管部门审核,再也不能随意进行等级的变更了。
等级保护定级指南(第十二期)讲解
新建信息系统等级保护实施流程
定级
建设
不通过
测评
结果分 析
系统备 案
定期检 查
已建信息系统等级保护实施流程
定级
系统备 案
不通过
整改
测评
结果分 析
结果确 认
定期检 查
等级保护定级思路
不同信息系统 重要程度不同 应对不同威胁的能力 具有不同的安全保护能力 不同的等级保护等级
等级保护定级怎么做
等级保护重要标准
行业等级保护定级
三级信息系统:适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统;重要领域、重 要部门跨省、跨市或全国(省)联网运行的信息 系统;跨省或全国联网运行重要信息系统在省、 地市的分支系统;各部委官方网站;跨省(市) 联接的信息网络等。
四级信息系统:适用于重要领域、重要部门信息系 统中的部分重要系统。例如全国铁路、民航、电 力等调度系统,银行、证券、保险、税务、海关 等部门中的核心系统。
• 广东电网某供电局无人值守终端向互联网 扫描 导致GDCERT告警
• 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时
• 广州市某区教育局门户网站域名过期抢注 变色情网站
• 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
为什么要首先进行定级?
等级保护实施流程
等级与侵害客体、侵害程度关系
等级 第一级
第二级
对象 一般系统
第三级 第四级
重要系统
极端重要系
第五级
统
侵害客体 公民、法人合法利益
侵害程度 一般损害
公民、法人合法权益 严重损害
社会秩序和公共利益 一般损害
等级保护基本要求培训(第十二期)
能力成熟度模型CMM
各级系统的保护要求差异(宏观)
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
各级系统的保护要求差异(微观)
技术要求
某级系统 基本要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
各级系统的保护要求差异(宏观)
安全保护模型IATF
成功的完成业务 信息保障
操作
人 技术
防御网络与 基础设施
防御 飞地 边界
防御 计算 环境
支撑 性基 础设 施
各级系统的保护要求差异(宏观)
一级系统 二级系统 三级系统 四级系统
通信/边界(基本) 通信/边界/内部(关键设备) 通信/边界/内部(主要设备) 通信/边界/内部/基础设施(所有设备)
不同级别的安全保护能力要求
第一级 第二级 第三级 第四级
人员威胁 个人 小型组织
外部组织 或内部人 员 国家级别
自然威胁 一般自然 灾害 一般自然 灾害
较为严重 灾害
严重灾害
损害对象 关键资源 重要资源
主要资源
所有资源
恢复能力 部分恢复
一段时间 内部分恢 复
较快恢复 绝大部分
迅速恢复 所有
发现能力
具有某级安全保护能力的系统
各级系统的保护要求差异(宏观)
• 安全保护模型PPDRR
Protection防护
Recovery
恢复
Policy 策略
Detection
检测
Response 响应
各级系统的保护要求差异(宏观)
金融行业信息系统信息安全等级保护测评指南
与实施指引的关系
《测评指南》阐述了《实施指引》中各要求项的具体测评方法、步骤和判断依据 等,用来评定信息系统的安全保护措施是否符合《实施指引》。 《测评指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等, 规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提 出了指导建议。 二者共同指导等级测评工作。
中间件平台,如Weblogic / Websphere等。
二、等级测评方法及内容介绍—等级测评内容
单元测评——管理
测评对象
人员
安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等
文档
管理文档(策略、制度、规程) 记录类(会议记录、运维记录) 其它类(机房验收证明等)
一、测评指南整体介绍
等级测评与其他测评的不同
目的不同:标准符合性测评
性质不同:《管理办法》强制周期性执行 执行对象不同:已经确定等级的信息系统
内容不同:依据《基本要求》和《测评要求》
结果不同:符合、基本符合、不符合。
测评指南知识要点
一、测评指南整体介绍 二、等级测评方法及内容介绍
是指测评人员使用预定的方法/工具使测评对象(各类设备戒安全配置)产生 特定的结果,将运行结果与预期的结果进行比对的过程。
二、等级测评方法及内容介绍—等级测评方法
ቤተ መጻሕፍቲ ባይዱ访谈
对象 适用情况 作用
对技术要求,使用‘访谈’ 方法迚行测评的目的是为了了 访谈的对象是人 解信息系统的全局性(包括局 员。典型的访谈 部,但不是细节)、方向/策略 人员包括:信息 性和过程性信息,一般不涉及 安全主管、信息 到具体的实现细节和具体技术 系统安全管理员、措施,在遇到优势证据时,最 系统管理员、网 弱。 络管理员、资产 对管理要求,访谈的内容应 管理员等。 该较为详细和明确。
等级保护基本要求培训(第十二期)
• GB/T 20273ቤተ መጻሕፍቲ ባይዱ2006 数据库管理系统安全技术要求
• GB/T 20275—2006 入侵检测系统技术要求和测试评价方法
• GB/T 20278—2006 网络脆弱性扫描产品技术要求
• GB/T 20279—2006 网络和终端设备隔离部件安全技术要求
• GB/T 20281—2006 防火墙技术要求和测试评价方法
等级保护基本要求培训(第十二期)
等级保护相关标准
• GA/T 708-2007 信息系统安全等级保护体系框架
• GA/T 709-2007 信息系统安全等级保护基本模型
• GA/T 710-2007 信息系统安全等级保护基本配置
• GA/T 711-2007 应用软件系统安全等级保护通用技术指南
• GA/T 712-2007 应用软件系统安全等级保护通用测试指南
等级保护基本要求培训(第十二期)
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体 (如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包 括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重 的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较 广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无 意失误、较严重的技术故障等)所造成的主要资源损害,能够发 现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大 部分功能。
安全保护和系统定级的关系
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2,S2A2G2,S2A1G2
第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
民航等级保护定级指南
民航等级保护定级指南《民航等级保护定级指南》嘿,新手朋友,咱们来唠唠民航等级保护定级这个事儿啊。
我刚接触的时候啊,那真是一头雾水,所以我得把我的经验好好跟你说说。
一、基本注意事项首先呢,弄清楚什么是民航信息系统。
就好像你要打扫一个房子,你得先知道这个房子里都有啥东西一样。
民航的信息系统可不是一个简单的小玩意儿,它包含好多不同部门的不同系统,像航班管理系统、乘客信息管理系统等等。
在定级的时候,你可不能搞混这些系统,也不能把它们简单地看成一个大系统,每个子系统可能有着不同的定级要求呢。
我当时啊,就差点把一个相对不那么重要的辅助系统当成和核心系统一样重要的来定级了,多亏被前辈及时纠正。
二、实用建议一个小诀窍啊,你先把所有的信息系统全都列出来,像列购物清单一样,一个一个的写清楚。
然后呢,对每一个系统进行功能分析。
比如说航班管理系统,这关系到飞机的起降啊、航线安排等关键信息。
这时候就要根据它的重要性、所包含信息的敏感性等因素来考虑定级了。
就好像你根据饭菜的种类决定把它放在冰箱的哪一层一样。
如果是像涉及乘客身份信息、支付信息的系统那肯定是比较敏感的,级别可能就会定得高一些。
三、容易忽视的点哎,这里我得特别提醒你。
很多时候大家都会关注系统内的数据,但是系统之间的交互接口常常被忽视。
你想啊,两个系统之间要交换数据,这个交换的接口要是不安全了,那就像你房子有个隐蔽的小后门开着,小偷就容易从这儿进来了。
几个系统交互的接口处的数据流动有时候比系统内部的数据还重要,一定要给这个接口在定级的时候也充分考虑到。
我当时就完全没注意到这点,后来发生了一个小问题才意识到这个接口的严重性。
四、特殊情况特殊情况也不少呢。
比如说有一些临时性的系统,是为了应对特殊事件,像大型航空展期间临时设置的信息系统。
这种系统存在时间短,但在特定时期内它的重要性却不可忽视。
它可能虽然使用的数据看起来没那么敏感,但是如果出了问题它会影响整个事件的顺利进行。
等级保护定级工作指南
等级保护定级工作指南好吧,今天咱们聊聊等级保护定级工作,嘿,别一听到这些大词就觉得一头雾水,这个事情其实跟咱们生活中的很多事儿都有点儿像——就好比你家里的钥匙,锁得严严实实,万一丢了咋办?怎么才能保证东西不丢,安全系数足够高呢?这个就是“等级保护定级”的核心思想。
简单说,就是怎么让你的数据、系统、设备都能妥妥地处在一个安全的位置,不容易被外界搞乱。
这可不是随便玩玩的事情,搞不好就会变成“瓮中捉鳖”,说不定你的数据就被人悄悄拿走了。
要是这么简单,哪还需要什么定级呢?你看,等级保护定级听上去有点复杂,但其实道理很简单,什么呢?就是你得评估你的网络系统、应用程序,甚至是你那台随时待命的服务器,这些东西对你来说到底有多重要。
如果说你一个小公司,数据就几条,根本没啥价值,那你可能用个低一点的保护级别就够了。
但如果你是个大企业,客户的数据、公司的财务状况甚至是战略规划都在你的系统里,哎呀,那保护级别可得往上调,得像守着黄金一样。
不信你问问那些大公司,哪家公司敢随便放松数据保护的标准?他们可都是把所有的安全措施当成金子一样,分分钟把你掏空了,自己的数据还得好好藏着。
等级保护定级,就是给这些数据和系统划个“安全等级”——分高低的,就像酒店的星级一样。
五星级的,当然是最严密的保护;而一星级的,呵呵,估计也就用个密码锁差不多了。
要是你公司啥都没保护,别人随便一入侵,那就真是“有便宜谁不捡”的事情了。
再说了,这个“定级”可不是瞎定的,是要有一定的标准、规则的。
没错,国家也规定了哪些东西必须分成几个等级,分别对应不同的保护力度。
等级从一级到五级不等,第五级的就是最为严密的,一级的是最简单的,主要看你的业务内容、存储的数据类型、系统的运行环境等多方面的因素。
你要想知道自己属于哪个等级,就得先仔细审视一下自己到底存储了哪些内容,有没有涉及国家机密、用户隐私之类的。
如果你是个互联网平台,每天处理几百万的用户数据,那你的系统肯定要上个高等级。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
定级流程
S
A
G=MAX(S,A)
ห้องสมุดไป่ตู้
业务信息安全等级矩阵表
系统服务安全等级矩阵表
等级保护定级报告案例
四个主要因素决定等级
第五级
行业等级保护定级
一级信息系统:适用于乡镇所属信息系统、 县级某些单位中不重要的信息系统。小型 个体、私营企业中的信息系统。中小学中 的信息系统。 二级信息系统:适用于地市级以上国家机关 、企业、事业单位内部一般的信息系统。 例如小的局域网,非涉及秘密、敏感信息 的办公系统等。
行业等级保护定级
国计民生
• 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、 商务、水利、国土资源、能源、交通、文化、教育、统计、工商行 政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息 系统。
• 市(地)级以上党政机关的重要网站和办公信息系统
等级与侵害客体、侵害程度关系
等级 第一级 一般系统 对象 侵害客体 公民、法人合法利益 公民、法人合法权益 社会秩序和公共利益 社会秩序和公共利益 重要系统 第四级 第五级 侵害程度 一般损害 严重损害 一般损害 严重损害 监管强度 自主性保护
第二级
指导性保护
第三级
监督性保护
国家安全
社会秩序和公共利益
若无控制功能 则为生产管理 系统
电力行业等级保护定级
某科研院所定级
1.支撑网络: (1)科技网骨干网:主要对全国范围内的用户提供系统服务,受到破坏时 将对社会秩序、公共利益造成严重损害,保护等级建议定为三级。 (2)院属单位城域网:主要对院属单位提供系统服务,受到破坏时将对法 人合法权益造成严重损害,保护等级建议定为二级。 2.科研应用系统: (1)一般科研应用系统:承载普通科研信息和数据,主要服务于内部或外 部用户,受损后仅对公民、法人和其它组织的合法权益造成一般损害, 保护等级建议定为一级。 (2)较重要科研应用系统:承载较为重要的科研信息和数据,内部或外部 用户依赖性强(访问量大),一旦受损将对公共利益造成一般损害,或 对公民、法人和其它组织的合法权益造成严重损害,保护等级建议定为 二级。 3)尖端科研应用系统:承载尖端科研信息和数据,主要服务于内部或外 部特殊用户,受损后至国家安全(国家竞争力)构成威胁,应定为重要 信息系统。
系统所属类型 业务信息安 全性 业务信息类别
受到破坏时侵害了什 么?(客体) • 公民、法人和其他组 织 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
党政机关
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
某银行网站篡改
某知名企业敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网某供电局无人值守终端向互联网 扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市某区教育局门户网站域名过期抢注 变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
重点回顾
• • • • 等级保护共有几个等级,名称分别是?P5 等级保护定级思路 P9 等级保护定级参照标准 P12 等级保护定级维度(三类客体、三级程度 )P13 • 三个安全等级SAG P18
信息系统安全 等级保护定级指南
广东计安信息网络培训中心
什么是等级保护?
等级保护等级
根据我国信息安全标准GB/T 22240—2008 《 信息系统安全等级保护定级指南》对我国非涉密 信息系统划分为五个等级进行保护。
等级保护对象
• 电信、广电行业的公用通信网、广播电视传输网等基础信息网络, 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心 电信运营商 等单位的重要信息系统。
某科研院所定级
3.办公管理系统: (1)ARP院级管理系统:承载重要科研数据,为全院科研活动提供管理平 台,受损后将对公共利益造成严重损害,保护等级应定为三级。 (2)ARP所级管理系统:保护等级建议定为二级。 (3)其它办公管理系统,保护等级建议定为一级。 4.宣传性网站:主要承载宣传信息,根据受损后对不同客体造成不同 性质的影响进行划分,院网站保护等级定为二级;院属单位网站可和其 它拟定为一级的信息系统合并。 5.涉密信息系统:依据《管理办法》及国家保密标准BMB22-2007《涉 及国家秘密的计算机信息系统分级保护测试指南》定级,秘密、机密、 绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第 五级的标准。按照有关规定,涉密信息系统应与其它网络进行物理隔离 。 6.其它信息系统:应根据承载业务信息或系统服务受损后对不同客体 造成不同性质的影响进行划分,定级时要严格把握一般信息系统与重要 信息系统之间的界限。
变电站自动化系统 配网自动化系统 电力负荷管理系统
生产控制系统
单机容量300兆瓦及以 上 火电机组控制系统DCS 单机容量300兆瓦以下
水电厂监控系统 总装机1000兆瓦及以 上 总装机1000兆瓦以下 梯级调度监测系统 总装机2000兆瓦及以 上 总装机2000兆瓦以下
3 2
3 2 3 2
含辅机控制系 统
一般损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位
–一般是使用或运营单位
• 满足信息系统的基本要素
–单机和纯局域网不定级
• 承载相对独立的业务应用
–含多个业务应用的综合系统尽量划分
定级对象识别与划分
• 可能使定级要素赋值不同因素
等级保护定级怎么做
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南(国标报批稿) • 信息系统安全等级保护测评要求(国标报批稿) • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求
等级保护定级维度
等级保护对象受到 破坏时所侵害的客 体 对客体造成侵害的 程度
侵害程度
• 以货币损失衡量
– 一般以银行、证券、保险、第三方支付等金融 行业单位为主
• 以行政处罚衡量
– 一般以政府行业单位为主
• 以安全生产指标衡量
– 一般以电力、石油、交通、制造业等工业行业 单位为主
定级要素与安全保护等级的关系
为什么要首先进行定级?
等级保护实施流程
新建信息系统等级保护实施流程
不通过
定级
建设
测评
结果分 析
系统备 案
定期检 查
已建信息系统等级保护实施流程
不通过
定级
系统备 案
整改
测评
结果分 析
结果确 认
定期检 查
等级保护定级思路
不同信息系统
重要程度不同 应对不同威胁的能力
具有不同的安全保护能力 不同的等级保护等级
行业等级保护定级
第四级 强制保护 第三级 监督保护 第二级 指导保护 第一级 自主保护
• 重要领域 • 核心系统 • 地市级以上重要系统 • 跨省或全国系统及分支系统 • 地市级以上单位 • 一般系统 • 乡镇或县级单位 • 私营企业
电力行业等级保护定级
系统类别 系统名称 能量管理系统 范围 省级及以上 省级以下 220千伏及以上 220千伏以下 建议等级 4 3 3 2 3 3 含开关站、换 流站 备注
三级信息系统:适用于地市级以上国家机关、企业 、事业单位内部重要的信息系统;重要领域、重 要部门跨省、跨市或全国(省)联网运行的信息 系统;跨省或全国联网运行重要信息系统在省、 地市的分支系统;各部委官方网站;跨省(市) 联接的信息网络等。 四级信息系统:适用于重要领域、重要部门信息系 统中的部分重要系统。例如全国铁路、民航、电 力等调度系统,银行、证券、保险、税务、海关 等部门中的核心系统。
安全等级
第一级 第二级 第三级 第四级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4, S4A2G4,S4A1G4 有几种可能性?
信息系统保护要求的组合