高亞楠

（國(guó)家信息中心 北京市 100045）

隨著信息技術(shù)的不斷發(fā)展，新技術(shù)的應(yīng)用越來(lái)越廣泛，網(wǎng)絡(luò)安全問(wèn)題也日益突出[1]。為了保障網(wǎng)絡(luò)安全，各國(guó)政府和企業(yè)都采取了一系列措施，其中之一就是網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)。網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是指根據(jù)網(wǎng)絡(luò)系統(tǒng)的重要性和安全風(fēng)險(xiǎn)等級(jí)，將網(wǎng)絡(luò)系統(tǒng)劃分為不同的等級(jí)，并對(duì)每個(gè)等級(jí)制定相應(yīng)的安全保護(hù)措施。這種做法可以有效地提高網(wǎng)絡(luò)安全保障水平，減少網(wǎng)絡(luò)安全事故的發(fā)生。

本文將從云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新技術(shù)應(yīng)用的角度出發(fā)，探討網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)的要點(diǎn)，并給出定級(jí)建議，以保障網(wǎng)絡(luò)安全。

1 新技術(shù)應(yīng)用下網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)

新技術(shù)的應(yīng)用給網(wǎng)絡(luò)安全帶來(lái)了新的挑戰(zhàn)。一方面，新技術(shù)的應(yīng)用使得網(wǎng)絡(luò)系統(tǒng)更加復(fù)雜，安全隱患也更加難以預(yù)測(cè)和防范。另一方面，新技術(shù)的應(yīng)用也為黑客攻擊提供了更多的機(jī)會(huì)和手段。

云計(jì)算應(yīng)用下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括，虛擬化安全風(fēng)險(xiǎn)、資源共享風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)。首先，云計(jì)算技術(shù)中的虛擬化技術(shù)可以將多個(gè)虛擬機(jī)運(yùn)行在同一臺(tái)物理服務(wù)器上，但這也會(huì)帶來(lái)虛擬化漏洞的風(fēng)險(xiǎn)。攻擊者可以通過(guò)虛擬機(jī)之間的漏洞，獲取其他虛擬機(jī)中的敏感信息。其次，云計(jì)算技術(shù)中的資源共享可以提高資源利用率，但也會(huì)帶來(lái)資源共享風(fēng)險(xiǎn)。如果一個(gè)虛擬機(jī)被攻擊，可能會(huì)影響其他虛擬機(jī)的運(yùn)行。最后，云計(jì)算技術(shù)中的供應(yīng)鏈攻擊是指攻擊者通過(guò)攻擊云服務(wù)提供商的供應(yīng)鏈，獲取用戶的敏感信息。例如，攻擊者可以通過(guò)攻擊云服務(wù)提供商的第三方供應(yīng)商，獲取用戶的登錄憑證。

大數(shù)據(jù)應(yīng)用下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括數(shù)據(jù)濫用、數(shù)據(jù)隱私和數(shù)據(jù)治理等方面，首先，大數(shù)據(jù)中的數(shù)據(jù)可能會(huì)被不法分子利用，進(jìn)行詐騙、垃圾郵件、網(wǎng)絡(luò)釣魚(yú)等活動(dòng)，給用戶帶來(lái)不必要的麻煩和損失。其次，大數(shù)據(jù)中的數(shù)據(jù)可能包含個(gè)人隱私信息，如姓名、地址、電話號(hào)碼等，如果未經(jīng)妥善保護(hù)，可能會(huì)被濫用，導(dǎo)致個(gè)人隱私泄露。最后，大數(shù)據(jù)中的數(shù)據(jù)來(lái)源復(fù)雜，數(shù)據(jù)質(zhì)量難以保證，數(shù)據(jù)治理成為大數(shù)據(jù)安全的一個(gè)重要方面。數(shù)據(jù)治理包括數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)安全管理、數(shù)據(jù)合規(guī)管理等。

移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)包括應(yīng)用程序安全風(fēng)險(xiǎn)、惡意軟件和病毒風(fēng)險(xiǎn)、無(wú)線網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)等。首先，移動(dòng)應(yīng)用程序安全風(fēng)險(xiǎn)：移動(dòng)應(yīng)用程序可能存在漏洞和安全漏洞，使黑客可以輕松地訪問(wèn)用戶的個(gè)人信息和敏感數(shù)據(jù)。其次惡意軟件和病毒可以通過(guò)移動(dòng)設(shè)備訪問(wèn)用戶的個(gè)人信息和敏感數(shù)據(jù)。最后，黑客可以通過(guò)無(wú)線網(wǎng)絡(luò)攻擊來(lái)竊取用戶的個(gè)人信息和敏感數(shù)據(jù)。

此外，物聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要包括感知設(shè)備風(fēng)險(xiǎn)、感知網(wǎng)絡(luò)風(fēng)險(xiǎn)、物理安全風(fēng)險(xiǎn)和供應(yīng)鏈安全風(fēng)險(xiǎn)等。工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括網(wǎng)絡(luò)攻擊、惡意軟件、人為操作失誤、社會(huì)工程學(xué)攻擊和物理攻擊等。

因此，新技術(shù)的應(yīng)用對(duì)網(wǎng)絡(luò)安全提出了更高的要求。為了保障網(wǎng)絡(luò)安全，必須采取一系列措施，其中之一就是網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)的重要性

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是一種有效的網(wǎng)絡(luò)安全保障措施。通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)，可以將網(wǎng)絡(luò)系統(tǒng)劃分為不同的等級(jí)，并對(duì)每個(gè)等級(jí)制定相應(yīng)的安全保護(hù)措施。這種做法可以有效地提高網(wǎng)絡(luò)安全保障水平，減少網(wǎng)絡(luò)安全事故的發(fā)生。

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)的重要性主要體現(xiàn)在提高網(wǎng)絡(luò)安全保障水平、保護(hù)國(guó)家安全、保護(hù)企業(yè)利益、提高信息安全意識(shí)、促進(jìn)信息安全技術(shù)發(fā)展等方面。

3 新技術(shù)應(yīng)用定級(jí)

新技術(shù)應(yīng)用定級(jí)包括云計(jì)算系統(tǒng)定級(jí)、大數(shù)據(jù)定級(jí)、移動(dòng)互聯(lián)定級(jí)、物聯(lián)網(wǎng)定級(jí)、工業(yè)控制系統(tǒng)定級(jí)等。具體定級(jí)要點(diǎn)如圖1 所示。

圖1：新技術(shù)應(yīng)用定級(jí)要點(diǎn)

4 云計(jì)算系統(tǒng)定級(jí)

4.1 云平臺(tái)定級(jí)

一般一而言，在開(kāi)展云計(jì)算平臺(tái)定級(jí)的時(shí)候，會(huì)將其中的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、軟件系統(tǒng)、云計(jì)算平臺(tái)、管理系統(tǒng)等都納入到定級(jí)范圍之中，作為統(tǒng)一的云平臺(tái)進(jìn)行定級(jí)。但是對(duì)于大型的云計(jì)算平臺(tái)，有可能將基礎(chǔ)網(wǎng)絡(luò)或者安全管理中心進(jìn)行單獨(dú)的定級(jí)，然后將其他的軟硬件組件進(jìn)行統(tǒng)一定級(jí)。云計(jì)算平臺(tái)的級(jí)別一般情況下都確定為S3A3，這樣其所承載的云租戶系統(tǒng)的級(jí)別可以更為多樣化，云平臺(tái)的業(yè)務(wù)范圍也能更寬廣些。然后，通過(guò)將不同級(jí)別的云租戶進(jìn)行邏輯或物理隔離，而開(kāi)展安全保護(hù)[2]。

對(duì)于需要開(kāi)展商用密碼應(yīng)用安全性評(píng)估的云平臺(tái)，其商用密碼安全性保護(hù)等級(jí)一般確定為第三級(jí)，然后采用第三級(jí)的商用密碼應(yīng)用安全性保護(hù)措施來(lái)開(kāi)展保護(hù)工作。

4.2 云租戶定級(jí)

對(duì)于云租戶而言，部署在云平臺(tái)上的云租戶系統(tǒng)可以根據(jù)自身的安全保護(hù)需要進(jìn)行定級(jí)或者是不定級(jí)。對(duì)于確定等級(jí)的系統(tǒng)，可以確定為第三級(jí)或第二級(jí)，一般而言，極少有云租戶系統(tǒng)確定為第四級(jí)、第四級(jí)的云租戶系統(tǒng)一定要選擇第四級(jí)的云計(jì)算平臺(tái)來(lái)承載其服務(wù)。

云租戶系統(tǒng)的具體定級(jí)一般為S3A3、S3A2 或S2 A2，然后根據(jù)其業(yè)務(wù)信息和系統(tǒng)服務(wù)的保護(hù)等級(jí)來(lái)確定和S 和A 的保護(hù)等級(jí)。租戶的云計(jì)算系統(tǒng)開(kāi)展定級(jí)后，在測(cè)評(píng)的過(guò)程中，需要將云平臺(tái)的測(cè)評(píng)報(bào)告關(guān)鍵頁(yè)索要到，以便于判斷云租戶系統(tǒng)是否能夠確實(shí)滿足相應(yīng)等級(jí)的安全要求。

部分云租戶需要開(kāi)展商用密碼應(yīng)用安全性評(píng)估時(shí)，其安全保護(hù)等級(jí)一般確定為第二級(jí)或第三級(jí)，與相應(yīng)的等級(jí)保護(hù)等級(jí)一般保持一致。

5 大數(shù)據(jù)定級(jí)

5.1 大數(shù)據(jù)平臺(tái)定級(jí)

對(duì)于大數(shù)據(jù)平臺(tái)開(kāi)展定級(jí)工作時(shí)，應(yīng)首先確定其定級(jí)范圍，而定級(jí)范圍的確定與大數(shù)據(jù)技術(shù)架構(gòu)及部署實(shí)現(xiàn)密切相關(guān)，所以需要對(duì)相關(guān)架構(gòu)信息進(jìn)行分析。比如計(jì)算資源池和存儲(chǔ)資源池是否屬于大數(shù)據(jù)平臺(tái)，計(jì)算模型和模型的實(shí)現(xiàn)是否屬于大數(shù)據(jù)平臺(tái)，這些都需要進(jìn)行明確。目前，較少大數(shù)據(jù)平臺(tái)開(kāi)展了商用密碼應(yīng)用安全性評(píng)估工作，對(duì)大數(shù)據(jù)的安全評(píng)估，還需要不斷積累經(jīng)驗(yàn)和探索。

對(duì)大數(shù)據(jù)平臺(tái)開(kāi)展定級(jí)工作時(shí)，應(yīng)首先確定其定級(jí)范圍，而定級(jí)范圍的確定與大數(shù)據(jù)技術(shù)架構(gòu)及部署實(shí)現(xiàn)密切相關(guān)，所以需要對(duì)相關(guān)架構(gòu)信息進(jìn)行分析。比如計(jì)算資源池和存儲(chǔ)資源池是否屬于大數(shù)據(jù)平臺(tái)，計(jì)算模型和模型的實(shí)現(xiàn)是否屬于大數(shù)據(jù)平臺(tái)，這些都需要進(jìn)行明確。

5.2 大數(shù)據(jù)應(yīng)用定級(jí)

對(duì)大數(shù)據(jù)應(yīng)用開(kāi)展定級(jí)工作時(shí)，應(yīng)確定其應(yīng)用部署方式，并確定該系統(tǒng)是以大數(shù)據(jù)資源定級(jí)為主，還是以應(yīng)用系統(tǒng)定制為主，因?yàn)椴糠执髷?shù)據(jù)應(yīng)用是以軟件即服務(wù)的模式租用的大數(shù)據(jù)平臺(tái)資源。比如使用大數(shù)據(jù)平臺(tái)的數(shù)據(jù)分析池及數(shù)據(jù)建模工具，在大數(shù)據(jù)平臺(tái)中進(jìn)行數(shù)據(jù)處理，然后進(jìn)行數(shù)據(jù)的輸入和輸出及模型管理工作。這就是典型的軟件及服務(wù)式的大數(shù)據(jù)應(yīng)用，在這種情況下，其定級(jí)的主體一般為大數(shù)據(jù)資源。

5.3 大數(shù)據(jù)資源定級(jí)

對(duì)大數(shù)據(jù)資源開(kāi)展定級(jí)時(shí)，應(yīng)關(guān)注其數(shù)據(jù)的安全保護(hù)需求和數(shù)據(jù)的全生命周期安全管理。不同數(shù)據(jù)是有不同的安全保護(hù)需求的，比如說(shuō)口令數(shù)據(jù)具有保密性和完整性的需求。對(duì)于個(gè)人信息，比如身份證號(hào)碼、姓名、電話、住址等，需要根據(jù)業(yè)務(wù)應(yīng)用場(chǎng)景的不同，確定其安全保護(hù)需求，比如在普通的系統(tǒng)中更關(guān)注相關(guān)數(shù)據(jù)的保密性，一旦泄露，可能會(huì)造成用戶的損失和個(gè)人信息的侵犯。對(duì)于需要根據(jù)這些數(shù)據(jù)做分析的系統(tǒng)，則會(huì)同時(shí)關(guān)注其保密性、完整性甚至可用性。

在開(kāi)展數(shù)據(jù)全生命周期識(shí)別的時(shí)候，需要進(jìn)行數(shù)據(jù)的梳理，梳理其數(shù)據(jù)類型以及生命周期中的操作和保護(hù)措施[3]。

在數(shù)據(jù)收集方面，需要重點(diǎn)關(guān)注大數(shù)據(jù)資源收集的方式以及收集的安全性，比如說(shuō)對(duì)于人工收集的，可能會(huì)關(guān)注數(shù)據(jù)的有效性和數(shù)據(jù)的可用性。對(duì)于機(jī)器收集的，可能要關(guān)注數(shù)據(jù)的來(lái)源及數(shù)據(jù)的可用性。在導(dǎo)入階段，重點(diǎn)關(guān)注數(shù)據(jù)資源的訪問(wèn)控制。此外，還需要對(duì)導(dǎo)入的數(shù)據(jù)進(jìn)行內(nèi)容管理，避免數(shù)據(jù)中混淆有腳本、可執(zhí)行代碼或者惡意程序。在數(shù)據(jù)廢棄階段，需要重點(diǎn)關(guān)注數(shù)據(jù)銷毀的不可逆性及數(shù)據(jù)及相關(guān)存儲(chǔ)介質(zhì)銷毀的可靠性。

在數(shù)據(jù)備份階段，需要關(guān)注數(shù)據(jù)備份的頻率、方式、有效性以及備份數(shù)據(jù)的可恢復(fù)性。

6 移動(dòng)互聯(lián)定級(jí)

6.1 移動(dòng)應(yīng)用程序

對(duì)于移動(dòng)應(yīng)用程序，也就是常說(shuō)的APP，其定級(jí)時(shí)通常是將APP 的客戶端、后臺(tái)管理中臺(tái)及其基礎(chǔ)設(shè)施等一并開(kāi)始展定級(jí)。

對(duì)于部署在云平臺(tái)上或大數(shù)據(jù)平臺(tái)上的移動(dòng)應(yīng)用程序，則需要選擇具備高于或等于其等級(jí)的平臺(tái)或系統(tǒng)進(jìn)行承載。然后將云平臺(tái)和大數(shù)據(jù)平臺(tái)外的相關(guān)部分開(kāi)展定級(jí)，如數(shù)據(jù)庫(kù)、中間件、操作系統(tǒng)、管理后臺(tái)和APP 等。

除了關(guān)注基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫(kù)等軟硬件外，還需要關(guān)注APP 的安裝包、應(yīng)用市場(chǎng)的部署以及APP 自身安全相關(guān)內(nèi)容。

對(duì)于移動(dòng)APP 的數(shù)據(jù)而言，需要關(guān)注在后臺(tái)中處理的數(shù)據(jù)、后臺(tái)數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)，以及終端存儲(chǔ)的APP 數(shù)據(jù)和終端處理的APP 數(shù)據(jù)。此外，由于移動(dòng)互聯(lián)的特點(diǎn)，還涉及到終端與后臺(tái)管理系統(tǒng)之間傳輸?shù)臄?shù)據(jù)。數(shù)據(jù)所存儲(chǔ)位置、傳輸方式及用途的不同都將導(dǎo)致其安全保護(hù)需求有所迥異。

6.2 移動(dòng)互聯(lián)系統(tǒng)

對(duì)于移動(dòng)互聯(lián)系統(tǒng)，重點(diǎn)關(guān)注移動(dòng)終端方面、終端接入方面以及后臺(tái)管理方面。

在移動(dòng)終端方面，范圍包括通用的終端以及專用的終端，相關(guān)的終端都需要納入到定期的范圍之內(nèi)，而且要根據(jù)終端接入的規(guī)模、跨地域的情況、使用用戶情況等進(jìn)行綜合的判斷。比如物流系統(tǒng)中的數(shù)據(jù)采集終端，存在著地域覆蓋范圍廣、用戶量龐大等特點(diǎn)。

終端接入方面，包括無(wú)線接入網(wǎng)關(guān)和無(wú)線接入設(shè)備等內(nèi)容，來(lái)提供終端的接入管理。以及終端的接入網(wǎng)絡(luò)，為終端的接入和管理提供基礎(chǔ)的網(wǎng)絡(luò)支撐能力。對(duì)于接入專用終端的網(wǎng)絡(luò)，比如手持執(zhí)法設(shè)備終端網(wǎng)絡(luò)，其手持終端和無(wú)線設(shè)備接入網(wǎng)關(guān)之間，可通過(guò)專用無(wú)線網(wǎng)或者公共無(wú)線網(wǎng)絡(luò)進(jìn)行接入和支撐。在后臺(tái)管理方面，與傳統(tǒng)信息系統(tǒng)有著一定的相似之處，均是部署在服務(wù)器之上，通過(guò)管理員進(jìn)行后臺(tái)管理，運(yùn)維和操作。此時(shí)的定級(jí)范圍主要包括操作系統(tǒng)、服務(wù)器、中間件、數(shù)據(jù)庫(kù)、移動(dòng)終端的后臺(tái)管理系統(tǒng)以及統(tǒng)一管理系統(tǒng)等。

7 物聯(lián)網(wǎng)定級(jí)

開(kāi)展物聯(lián)網(wǎng)定級(jí)的時(shí)候，通常需要將相關(guān)設(shè)備、相關(guān)網(wǎng)絡(luò)以及相關(guān)系統(tǒng)和管理組件等進(jìn)行統(tǒng)一定級(jí)，主要包括感知設(shè)備、感知信息傳輸網(wǎng)絡(luò)以及感知信息處理系統(tǒng)。

對(duì)于感知設(shè)備而言，需要明確感知設(shè)備的類型、感知設(shè)備的架構(gòu)以及具體感知設(shè)備的數(shù)量和范圍。部分感知設(shè)備是以組件或者是小型傳感器等多種多樣形式存在的。

對(duì)于感知網(wǎng)絡(luò)而言，往往采用專用網(wǎng)、互聯(lián)網(wǎng)或移動(dòng)網(wǎng)絡(luò)。對(duì)于專用網(wǎng)絡(luò)，多采用傳感網(wǎng)網(wǎng)關(guān)以及傳感網(wǎng)防護(hù)設(shè)備開(kāi)展數(shù)據(jù)交換和安全防范。對(duì)于互聯(lián)網(wǎng)絡(luò)，通常是傳感網(wǎng)、網(wǎng)關(guān)與其他網(wǎng)絡(luò)設(shè)備綜合運(yùn)用，或者是不使用傳感網(wǎng)網(wǎng)關(guān)，直接通過(guò)互聯(lián)網(wǎng)將傳感器的數(shù)據(jù)傳輸?shù)交虬l(fā)送到處理系統(tǒng)之中。對(duì)于移動(dòng)網(wǎng)絡(luò)，常見(jiàn)的場(chǎng)景是傳感器或者采集設(shè)備將數(shù)據(jù)采集后直接通過(guò)移動(dòng)網(wǎng)絡(luò)進(jìn)行傳輸。

對(duì)于感知信息處理系統(tǒng)，與傳統(tǒng)信息系統(tǒng)有一定的相似之處，都是部署在服務(wù)器之上，包括操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)和感知信息處理系統(tǒng)，以及相關(guān)統(tǒng)一管理系統(tǒng)及軟硬件組件等。進(jìn)行感知信息的分析處理和統(tǒng)一調(diào)度，以及感知設(shè)備的管理。

8 工業(yè)控制系統(tǒng)定級(jí)

工業(yè)控制系統(tǒng)定級(jí)范圍主要包括現(xiàn)場(chǎng)設(shè)備、監(jiān)控控制系統(tǒng)、生產(chǎn)系統(tǒng)以及管理系統(tǒng)不同的層面。開(kāi)展工業(yè)控制系統(tǒng)定級(jí)的時(shí)候，需要根據(jù)系統(tǒng)的規(guī)模，具體的業(yè)務(wù)情況，以及跨地域部署等狀況來(lái)進(jìn)行綜合判定。對(duì)于大型工業(yè)控制系統(tǒng)，根據(jù)具體的部署情況可以分為不同的定級(jí)對(duì)象來(lái)開(kāi)展定級(jí)工作。

現(xiàn)場(chǎng)設(shè)備方面，包括工業(yè)控制的具體相關(guān)的設(shè)備和機(jī)器，部分工業(yè)控制設(shè)備現(xiàn)場(chǎng)具有現(xiàn)場(chǎng)的管理系統(tǒng)和監(jiān)控系統(tǒng)，也需要納入到這一層面之中去，此外還包括現(xiàn)場(chǎng)的控制網(wǎng)絡(luò)，需要將這部分的網(wǎng)絡(luò)設(shè)備及防護(hù)設(shè)備等納入定級(jí)范圍。

控制監(jiān)控系統(tǒng)一般是指對(duì)現(xiàn)場(chǎng)設(shè)備和機(jī)械設(shè)備進(jìn)行控制、發(fā)送指令、運(yùn)行情況監(jiān)測(cè)等的系統(tǒng)。監(jiān)控控制系統(tǒng)和生產(chǎn)系統(tǒng)的定級(jí)跟系統(tǒng)規(guī)模有關(guān)，對(duì)于定級(jí)范圍被包含在整個(gè)工業(yè)控制系統(tǒng)中的情況，需要覆蓋監(jiān)控控制設(shè)備、生產(chǎn)設(shè)備、系統(tǒng)軟硬件、監(jiān)控控制網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)。

對(duì)于管理系統(tǒng)的定級(jí)范圍確定，和傳統(tǒng)信息系統(tǒng)大致相同，主要包括管理系統(tǒng)相關(guān)的數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件、管理平臺(tái)、指揮系統(tǒng)、監(jiān)控系統(tǒng)、分析系統(tǒng)和決策系統(tǒng)等。

9 保護(hù)等級(jí)的分析

對(duì)于保護(hù)等級(jí)的分析，主要?jiǎng)澐譃閮蓚€(gè)方面，一個(gè)方面是業(yè)務(wù)信息安全等級(jí)的劃分分析，以及業(yè)務(wù)服務(wù)安全保護(hù)等級(jí)的劃分分析。

9.1 業(yè)務(wù)信息安全保護(hù)等級(jí)

對(duì)于業(yè)務(wù)信息安全保護(hù)等級(jí)，需要從業(yè)務(wù)數(shù)據(jù)的角度來(lái)進(jìn)行安全性的分析，首先需要確定業(yè)務(wù)數(shù)據(jù)的范圍，具體包括的類別、級(jí)別及安全防護(hù)措施等。對(duì)于未進(jìn)行數(shù)據(jù)分類分級(jí)的系統(tǒng)，也需要在梳理完數(shù)據(jù)類別之后，給出重要性的劃分。做到重要數(shù)據(jù)重要保護(hù)，一般數(shù)據(jù)一般保護(hù)。

根據(jù)不同的數(shù)據(jù)類型和數(shù)據(jù)級(jí)別，還可以進(jìn)行數(shù)據(jù)所面臨的威脅、存在的脆弱性和風(fēng)險(xiǎn)的分析，只有在全面的分析之后。才能夠更清晰的了解到一旦數(shù)據(jù)發(fā)生泄露，或者是被篡改，或者不可用之后造成后果的嚴(yán)重性[4]。

最后是需要確定業(yè)務(wù)信息在不同的安全風(fēng)險(xiǎn)和安全威脅之下，可能會(huì)發(fā)生的安全事件，以及造成這些事件所產(chǎn)生的影響程度，然后根據(jù)影響程度所處的情況來(lái)判斷級(jí)別。判斷時(shí)主要依據(jù)判斷矩陣，其中影響方包括公民組織、社會(huì)公共利益和公共秩序、國(guó)家安全。以及所造成的影響是一般、嚴(yán)重，還是特別嚴(yán)重。在這樣一個(gè)矩陣中可以確定出業(yè)務(wù)信息的具體等級(jí)。

9.2 業(yè)務(wù)服務(wù)安全保護(hù)等級(jí)

業(yè)務(wù)服務(wù)的安全保護(hù)等級(jí)主要取決于業(yè)務(wù)服務(wù)的連續(xù)性運(yùn)行要求，以及服務(wù)遭受威脅后可能產(chǎn)生的惡劣影響和影響程度。

主要內(nèi)容包括業(yè)務(wù)的連續(xù)運(yùn)行時(shí)間要求、業(yè)務(wù)中斷最多可承受的時(shí)間長(zhǎng)度以及業(yè)務(wù)中斷后產(chǎn)生的影響等方面。不同的業(yè)務(wù)中斷連續(xù)性要求不一樣，需要根據(jù)具體的業(yè)務(wù)要求來(lái)開(kāi)展分析。一般而言，大數(shù)據(jù)平臺(tái)、云計(jì)算平臺(tái)等基礎(chǔ)性平臺(tái)的業(yè)務(wù)連續(xù)性運(yùn)行要求較高，通常為7×24 小時(shí)，而對(duì)于大數(shù)據(jù)應(yīng)用、云計(jì)算租戶則會(huì)根據(jù)其不同的業(yè)務(wù)實(shí)現(xiàn)、業(yè)務(wù)內(nèi)容來(lái)確定業(yè)務(wù)運(yùn)行的要求。