业务系统是企事业单位中最重要的信息资产之一,直接关系到企事业单位的运营和安全。在网络安全工作中,我们通常以业务系统为对象开展等级保护测评、风险评估、渗透测试。因此,对业务系统进行分级管理,可以帮助企事业单位确定哪些系统需要更高的安全级别,并采取相应的措施来保护敏感数据和信息。但是,基于现实中很多企业缺乏专业的网络安全人员、或人员水平参差不齐的情况,如果有一种简便的业务系统分级方法,将可以有效地缩小水平差、提高工作效率。
本文展示的方法是大数据公司在实践尝试过程中总结而出的,从后果、范围、措施等维度将业务系统划分为四级,由低至高分别为L1级、L2级、L3级、L4级。分级方法采用以下四个步骤:
步骤一. 明确系统被入侵或数据泄漏的后果
第一步考虑该业务系统被恶意攻击者入侵成功或其中数据泄漏,产生的后果有多影响。这个后果同样分为四级,由低至高分别为无影响、轻微、一般、严重。按照下表进行区分:
步骤二. 明确系统可被访问的范围规模
第二步考虑该业务系统可以被多少人访问,其规模有多大。这个规模可能有人会误以为是用户规模,其实不然。用户规模是指已注册或使用该业务系统的真实用户,但是这里仅仅指可以通过网络访问到该系统的人数。举个例子来说,处于内网中的OA系统,其可访问的人数肯定没有处于互联网中的门户系统多,但是其用户规模却要更多。
这个范围规模分为三级,由低至高分别为较小范围、较大范围、超大范围。按照下表进行区分:
步骤三.初步定级
第三步将根据前两步明确的后果和范围进行初步定级,其定级方法参考下表: