【正文】 家安全第三級(jí)第四級(jí)第五級(jí)表1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定系統(tǒng)服務(wù)描述該系統(tǒng)主要為國家某局與下屬某某局之間提供電子公文交換服務(wù)。系統(tǒng)服務(wù)安全等級(jí)的確定信息系統(tǒng)服務(wù)安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、公共利益類。信信息系統(tǒng)名稱安安全保護(hù)等級(jí)業(yè)業(yè)務(wù)信息安全等級(jí)系系統(tǒng)服務(wù)安全等級(jí)國國家某局電子政務(wù)信息交換系統(tǒng)第二級(jí)第二級(jí)第二級(jí)表3 系統(tǒng)安全保護(hù)等級(jí)矩陣表通過上述的分析過程，最終確定電子政務(wù)信息交換系統(tǒng)的定級(jí)為2級(jí)，且對(duì)應(yīng)等級(jí)保護(hù)要求選擇措施為：S2A2G2 “十一五”重點(diǎn)某系統(tǒng)一、國家某局“十一五”重點(diǎn)某系統(tǒng)描述“十一五”重點(diǎn)某系統(tǒng)承擔(dān)著為社會(huì)公眾提供全國范圍內(nèi)重點(diǎn)某SSS信息和TTT信息的查詢服務(wù)工作。國家某局信息辦承擔(dān)著“十一五”重點(diǎn)某系統(tǒng)的安全保護(hù)責(zé)任。（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定業(yè)務(wù)信息描述該系統(tǒng)的主要業(yè)務(wù)信息為國家某局“十一五”重點(diǎn)某項(xiàng)目的SSS信息和TTT信息。因此確定其侵害程度為一般損害。系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定該系統(tǒng)為國家某局“十一五”重點(diǎn)某服務(wù)信息的業(yè)務(wù)系統(tǒng)，受到破壞時(shí)將影響國家某局該項(xiàng)服務(wù)工作的開展，因此，所侵害的客體為社會(huì)秩序和公共利益類。侵害程度為一般損害，根據(jù)表2，確定該系統(tǒng)的信息系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)。繼續(xù)教育管理系統(tǒng)部署在國家某局機(jī)房的HP 服務(wù)器上，通過外網(wǎng)局域網(wǎng)供醫(yī)藥管理局局機(jī)關(guān)外網(wǎng)用戶訪問，通過互聯(lián)網(wǎng)供全國某某繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)單位、管理單位及社會(huì)公眾訪問。二、國家某局繼續(xù)教育管理系統(tǒng)安全保護(hù)等級(jí)確定國家某局繼續(xù)教育管理系統(tǒng)受到破壞時(shí)，對(duì)信息安全的危害方式表現(xiàn)為對(duì)其業(yè)務(wù)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞。業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定該系統(tǒng)為某某繼續(xù)教育相關(guān)機(jī)構(gòu)及社會(huì)公眾提供服務(wù)，主要承擔(dān)著全國某某行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案任務(wù)，同時(shí)提供學(xué)分證書查詢服務(wù)。業(yè)務(wù)信息安全等級(jí)的確定業(yè)務(wù)信息安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、公共利益類。系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體侵害程度的確定該系統(tǒng)為國家某某行業(yè)繼續(xù)教育管理的業(yè)務(wù)系統(tǒng)，當(dāng)遭到破壞時(shí)將對(duì)國家某某行業(yè)繼續(xù)教育管理工作的順利進(jìn)行造成一定的損害。系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)表2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表（三）安全保護(hù)等級(jí)的確定信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定。為了全面地對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析和歸類，參考信息資產(chǎn)的分類，對(duì)安全風(fēng)險(xiǎn)將從物理（主要指設(shè)備運(yùn)行故障帶來的安全風(fēng)險(xiǎn)）、網(wǎng)絡(luò)（主要指?jìng)鬏斁€路、網(wǎng)絡(luò)設(shè)備方面存在的安全風(fēng)險(xiǎn)）、系統(tǒng)（主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用應(yīng)用平臺(tái)系統(tǒng)方面存在的安全風(fēng)險(xiǎn)）、應(yīng)用（主要指實(shí)現(xiàn)業(yè)務(wù)的專有應(yīng)用系統(tǒng)自身及應(yīng)用交互過程中的安全風(fēng)險(xiǎn)）、數(shù)據(jù)（主要指威脅到信息數(shù)據(jù)的安全風(fēng)險(xiǎn)）、管理（主要指網(wǎng)絡(luò)和系統(tǒng)管理不善帶來的安全風(fēng)險(xiǎn)）六個(gè)層面進(jìn)行。下面分別對(duì)國家某局外網(wǎng)的主干通訊網(wǎng)絡(luò)、不同的網(wǎng)絡(luò)區(qū)域以及區(qū)域邊界分別進(jìn)行網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn)分析。 政府網(wǎng)站系統(tǒng)互聯(lián)網(wǎng)邊界的安全風(fēng)險(xiǎn)對(duì)于國家某局托管的政府網(wǎng)站的互聯(lián)網(wǎng)邊界，可能存在的安全風(fēng)險(xiǎn)包括：l 非法訪問：外部用戶或托管機(jī)房內(nèi)其他網(wǎng)絡(luò)區(qū)域的用戶試圖訪問國家某局政府網(wǎng)站系統(tǒng)所開放服務(wù)之外的信息和服務(wù)；l 非法入侵：黑客通過身份假冒、應(yīng)用層攻擊等方式，穿透訪問控制機(jī)制，進(jìn)入國家某局政府網(wǎng)站系統(tǒng)內(nèi)部進(jìn)行非法操作； l 惡意攻擊：包括各種常規(guī)攻擊和DoS/DDoS攻擊； l 病毒和蠕蟲：計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲的傳播和爆發(fā)，將可能使整個(gè)政府網(wǎng)站系統(tǒng)處于癱瘓狀態(tài)。 網(wǎng)絡(luò)訪問的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)訪問策略是否可行，網(wǎng)絡(luò)訪問的來源和目標(biāo)是否受控，網(wǎng)絡(luò)訪問行為是否有記錄等問題，都會(huì)直接影響到國家某局外網(wǎng)的穩(wěn)定與安全。 主機(jī)安全風(fēng)險(xiǎn)主機(jī)安全通常是指服務(wù)器和客戶機(jī)的操作系統(tǒng)及運(yùn)行在其上的應(yīng)用支撐平臺(tái)系統(tǒng)的安全。 客戶終端安全風(fēng)險(xiǎn)計(jì)算機(jī)終端涉及到每個(gè)使用電腦的人員，由于其分散性、不被重視、安全手段缺乏的特點(diǎn)，已經(jīng)成為信息安全體系的薄弱環(huán)節(jié)，除了本身易遭攻擊破壞、病毒感染外，還容易通過它迅速傳播網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。目前，應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題。如果由于對(duì)用戶管理的松懈而致使非法用戶或匿名用戶侵入系統(tǒng)，將可能對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)造成極大的危害。（2）非授權(quán)訪問（3）遠(yuǎn)程應(yīng)用通訊風(fēng)險(xiǎn)由于許多員工安全意識(shí)比較淡薄，對(duì)一些非法網(wǎng)頁或來歷不明的即時(shí)信息，沒有警惕性，給入侵者提供機(jī)會(huì)，讓黑客掌握了系統(tǒng)的主動(dòng)權(quán)，給系統(tǒng)帶來不安全因素。 數(shù)據(jù)保密性風(fēng)險(xiǎn)數(shù)據(jù)保密性問題主要體現(xiàn)在：l 存儲(chǔ)保密問題：對(duì)于存放在服務(wù)器上的數(shù)據(jù)，其所存在的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)自身是否具有足夠的控制和監(jiān)視手段來防止信息泄露；對(duì)于存放在工作人員的計(jì)算機(jī)硬盤上的數(shù)據(jù)，用戶是否會(huì)有意、無意的把數(shù)據(jù)存放目錄共享給網(wǎng)絡(luò)鄰居任意訪問，或者主動(dòng)將數(shù)據(jù)通過網(wǎng)絡(luò)或物理手段傳播給非法接收者。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理的安全風(fēng)險(xiǎn)，即使采用了各種先進(jìn)的安全技術(shù)手段，信息系統(tǒng)仍然無法有效抵御所受到的各種安全威脅。 安全制度風(fēng)險(xiǎn)國家某局在安全管理制度的建設(shè)還不全面，如：l 缺乏完善的制度策略體系，部分安全管理工作開展無據(jù)可依，隨意性大；l 對(duì)安全策略和制度執(zhí)行狀況的定期審查制度及對(duì)安全策略和制度符合性的評(píng)估制度不夠完善；l 沒有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確；l 缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，不利于在發(fā)生安全事件后及時(shí)發(fā)現(xiàn)，并采取措施；l 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒有制定有效的應(yīng)對(duì)措施，沒有有效的機(jī)制和手段來發(fā)現(xiàn)和監(jiān)控安全事件，沒有有效的對(duì)安全事件的處理流程和制度。l 國家某局信息管理部門對(duì)安全的認(rèn)識(shí)相對(duì)較高，但在安全策略的具體執(zhí)行和落實(shí)、安全防范的技能等方面還有待加強(qiáng)。限制網(wǎng)絡(luò)殺毒服務(wù)器及終端安全管理服務(wù)器與終端區(qū)域之間的訪問行為，禁止網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)管理服務(wù)器對(duì)終端區(qū)域發(fā)起訪問；僅允許終端區(qū)域的管理維護(hù)終端對(duì)所有管理服務(wù)器的管理訪問；n 對(duì)管理服務(wù)器的自身防護(hù)：應(yīng)統(tǒng)一部署服務(wù)器防病毒系統(tǒng)，并進(jìn)行管理服務(wù)器系統(tǒng)的安全加固配置，提升服務(wù)器系統(tǒng)自身的安全性。 符合等級(jí)保護(hù)管理要求的需求根據(jù)對(duì)等級(jí)保護(hù)管理要求，分析而得到的差異性需求包括：防護(hù)層面要求選擇差異性需求管理機(jī)構(gòu)崗位設(shè)置（G3）應(yīng)補(bǔ)充設(shè)置安全管理員、安全審計(jì)員職位；并定義其崗位的工作職責(zé)和技術(shù)能力要求。審核和授權(quán)須保存書面文檔。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動(dòng)外，還必須要有合適的、可行的發(fā)布和推動(dòng)手段。人員安全人員錄用（G3）信息安全關(guān)鍵崗位的人員，應(yīng)從內(nèi)部人員中選拔，并與之簽署崗位安全協(xié)議。國家某局發(fā)布新的安全管理策略體系時(shí)，應(yīng)對(duì)全體員工進(jìn)行制度的培訓(xùn)。補(bǔ)充系統(tǒng)定級(jí)專家論證文檔。216。n 制定并落實(shí)《安全方案管理制度》，對(duì)總。 明確了系統(tǒng)遠(yuǎn)期安全建設(shè)計(jì)劃n 為各系統(tǒng)制定總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件，并得到國家某局管理層批準(zhǔn)。獲得批準(zhǔn)蓋章。外部人員訪問管理（G3）應(yīng)該針對(duì)外部人員訪問制定相應(yīng)的管理規(guī)定，執(zhí)行正規(guī)的申請(qǐng)審批和記錄，訪問過程中須由專人陪同和監(jiān)督。人員考核（G3）應(yīng)定期對(duì)各個(gè)崗位人員進(jìn)行安全知識(shí)和技能的考核，并對(duì)關(guān)鍵崗位人員進(jìn)行安全審計(jì)。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)不需要全部更新，可以僅對(duì)因系統(tǒng)變更而受影響的部分進(jìn)行更新。安全制度管理制度（G3）制度體系應(yīng)包含信息安全總體策略、信息安全標(biāo)準(zhǔn)與規(guī)范、信息安全指南和細(xì)則三個(gè)層面。授權(quán)和審批（G3）建立健全授權(quán)和審批程序，對(duì)系統(tǒng)變更、物理訪問、系統(tǒng)接入、補(bǔ)丁升級(jí)等事件，均須經(jīng)過授權(quán)和審批方可執(zhí)行；同時(shí)，根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等。限制不同類型的終端對(duì)不同的應(yīng)用服務(wù)器進(jìn)行訪問，禁止普通辦公終端訪問安全管理服務(wù)器；對(duì)于管理維護(hù)終端則在策略上允許對(duì)安全管理服務(wù)器的維護(hù)操作。終端安全管理服務(wù)器和網(wǎng)絡(luò)殺毒管理服務(wù)器在對(duì)應(yīng)用系統(tǒng)服務(wù)器的訪問上屬于混用模式，無法做到按不同系統(tǒng)進(jìn)行劃分，因此本規(guī)劃中將安全管理系統(tǒng)視為單獨(dú)的系統(tǒng)，進(jìn)行單獨(dú)的防護(hù)，其防護(hù)需求包括：n 對(duì)其他系統(tǒng)服務(wù)器的訪問控制：利用防火墻進(jìn)行網(wǎng)絡(luò)層邊界防護(hù)和訪問控制。在國家某局外網(wǎng)信息系統(tǒng)中，人員方面的安全風(fēng)險(xiǎn)主要是因人員配置不足、穩(wěn)定性不夠、安全意識(shí)不夠及安全操作經(jīng)驗(yàn)不足而導(dǎo)致的安全問題。 安全管理風(fēng)險(xiǎn)國家某局目前缺乏有效的安全事件流程化處理機(jī)制，每當(dāng)出現(xiàn)安全問題，管理員總是要嘗試很多種辦法才能解決問題，要做大量的重復(fù)性工作，而好的經(jīng)驗(yàn)和方法并不能形成整個(gè)單位的安全事件處理規(guī)范供大家共享，技術(shù)人員安全響應(yīng)慢、工作效率低等現(xiàn)象時(shí)有發(fā)生。 數(shù)據(jù)完整性風(fēng)險(xiǎn)數(shù)據(jù)完整性問題主要體現(xiàn)在：l 靜態(tài)存儲(chǔ)數(shù)據(jù)的完整性問題：對(duì)于存放在服務(wù)器上的數(shù)據(jù)，其所存在的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)自身是否具有足夠的控制和監(jiān)視手段來防止信息被篡改；l 網(wǎng)絡(luò)傳輸數(shù)據(jù)的完整性問題：攻擊者在截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文后，即可對(duì)報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤理解；或者通過刪減信息內(nèi)容等方式，造成對(duì)信息的破壞，導(dǎo)致信息的嚴(yán)重失真；還可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊，而對(duì)于一些業(yè)務(wù)系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會(huì)造成數(shù)據(jù)失真以及數(shù)據(jù)錯(cuò)誤。 數(shù)據(jù)可用性風(fēng)險(xiǎn)數(shù)據(jù)可用性問題主要體現(xiàn)在：l 靜態(tài)存儲(chǔ)數(shù)據(jù)的可用性問題：關(guān)鍵數(shù)據(jù)的存儲(chǔ)設(shè)備自身是否可靠，設(shè)備是否有充分的冗余措施，如果因存儲(chǔ)設(shè)備物理損壞或其他原因?qū)е略诰€數(shù)據(jù)丟失或破壞時(shí)，數(shù)據(jù)是否能夠可靠地被恢復(fù)。 Internet應(yīng)用安全風(fēng)險(xiǎn)國家某局外網(wǎng)中的Internet應(yīng)用主要指外網(wǎng)員工的Internet訪問應(yīng)用，包括網(wǎng)頁瀏覽、文件下載和即時(shí)通信等。其風(fēng)險(xiǎn)來源于兩點(diǎn)：一是應(yīng)用系統(tǒng)沒有正確設(shè)置訪問權(quán)限，使合法用戶通過正常手段就可以訪問到不在權(quán)限范圍之內(nèi)的資源；二是應(yīng)用系統(tǒng)中存在一些后門、隱通道、陷阱等，使非法用戶（特別是系統(tǒng)開發(fā)人員）可以通過非法的途徑進(jìn)入應(yīng)用系統(tǒng)。 非法用戶假冒合法用戶的身份訪問應(yīng)用資源，如攻擊者通過各種手段取得應(yīng)用系統(tǒng)的一個(gè)合法用戶的賬號(hào)訪問應(yīng)用資源，或是一個(gè)內(nèi)部的合法用戶盜用領(lǐng)導(dǎo)的用戶賬號(hào)訪問應(yīng)用資源。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的，應(yīng)用的安全性也動(dòng)態(tài)的，這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。國家某局外網(wǎng)中，客戶終端的安全風(fēng)險(xiǎn)主要存在于辦公網(wǎng)絡(luò)的大量采用Windows桌面操作系統(tǒng)的辦公終端中，來自客戶終端的安全問題包括：l 終端設(shè)備自身操作系統(tǒng)的弱點(diǎn)，會(huì)造成整體網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；l 用戶利用終端設(shè)備進(jìn)行的誤操作、違規(guī)操作和故意破壞，對(duì)國家某局外網(wǎng)業(yè)務(wù)系統(tǒng)造成很大的安全威脅；l 終端設(shè)備缺乏有效的病毒防護(hù)機(jī)制。如何確保這些重要的網(wǎng)絡(luò)服務(wù)器能夠穩(wěn)定、可靠、安全地運(yùn)行，是保證國家某局外網(wǎng)各項(xiàng)業(yè)務(wù)正常開展的基礎(chǔ)。這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的各種訪問，乃至網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包進(jìn)行很好的監(jiān)控。 內(nèi)部網(wǎng)絡(luò)不同區(qū)域邊界的安全風(fēng)險(xiǎn)國家某局外網(wǎng)劃分成了對(duì)外服務(wù)區(qū)域、安全管理區(qū)域和辦公區(qū)域，主要目的是為了對(duì)安全級(jí)別要求比較高的網(wǎng)絡(luò)系統(tǒng)資源和信息數(shù)據(jù)進(jìn)行保護(hù)，防范來自低安全級(jí)別區(qū)域的安全威脅，同時(shí)盡可能將安全風(fēng)險(xiǎn)（如黑客攻擊或病毒蠕蟲傳播）限制在較小的、不太重要的局部區(qū)域范圍內(nèi)。在國家某局外網(wǎng)的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間、不同網(wǎng)絡(luò)區(qū)域之間、不同部門網(wǎng)絡(luò)之間的數(shù)據(jù)交互的活動(dòng)中，對(duì)TCP/IP網(wǎng)絡(luò)通訊過程的任一環(huán)節(jié)的攻擊，都有可能威脅到重要信息數(shù)據(jù)的安全，存在一定的安全風(fēng)險(xiǎn)，主要包括：l 攻擊者可能在傳輸線路上安裝竊聽裝置，竊取網(wǎng)上傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)或賬戶信息，或者做一些篡改來破壞數(shù)據(jù)的完整性，任何一個(gè)具有網(wǎng)絡(luò)偵聽工具的人都可以對(duì)通信進(jìn)行監(jiān)測(cè)；l 通信鏈路上的中間人攻擊，將導(dǎo)致兩個(gè)節(jié)點(diǎn)之間的所有通信內(nèi)容被非法的第三方截獲和篡改；l 局域網(wǎng)用戶隨意更改物理地址或盜用他人的物理地址來進(jìn)行網(wǎng)絡(luò)活動(dòng)，將會(huì)給訪問控制、網(wǎng)絡(luò)審計(jì)等帶來麻煩；這些都將對(duì)信息數(shù)據(jù)構(gòu)成嚴(yán)重安全威脅。物理層面存在的安全風(fēng)險(xiǎn)具體如下：l 機(jī)房為新建，尚未建立起機(jī)房安全管理制度；l 尚未指定專職的機(jī)房管理員和機(jī)房職守人員；l 尚未建立來訪人員的批準(zhǔn)、限制和監(jiān)控程序以及監(jiān)控人員；l 尚未建立介質(zhì)管理制度；l 尚未建立機(jī)房基礎(chǔ)實(shí)施的運(yùn)行維護(hù)管理制度和流程，未明確相關(guān)工作責(zé)任人；l 此外，政府網(wǎng)站系統(tǒng)采用了托管方式，基礎(chǔ)實(shí)施安全取決于托管機(jī)房的安全防護(hù)水平和管理水平。信息系統(tǒng)名稱安全保護(hù)等級(jí)業(yè)務(wù)信息安全等級(jí)系統(tǒng)服務(wù)安全等級(jí)國家某局繼續(xù)教育管理系統(tǒng)第二級(jí)第二級(jí)第二級(jí)表3 系統(tǒng)安全保護(hù)等級(jí)矩陣表通過上述的分析過程，最終確定繼續(xù)教育管理系統(tǒng)的定級(jí)為2級(jí)，且對(duì)應(yīng)等級(jí)保護(hù)要求選擇措施為：S2A2G2 外網(wǎng)安全風(fēng)險(xiǎn)分析信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的安全屬性（保密性、完整性和可用性等）遭到破壞的可能性。系統(tǒng)服務(wù)安全等級(jí)的確定信息系統(tǒng)服務(wù)安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、公共利益類。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)表1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定系統(tǒng)服務(wù)描述該系統(tǒng)主要服務(wù)于全國某某行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案工作，同時(shí)提供學(xué)分證書查詢服務(wù)。業(yè)務(wù)信息