【正文】 n 數(shù)據(jù)庫(kù)認(rèn)證采取用戶(hù)名/口令的方式；n 數(shù)據(jù)庫(kù)能夠?qū)B接數(shù)進(jìn)行控制；n 數(shù)據(jù)在網(wǎng)絡(luò)中傳輸沒(méi)有任何加密措施，但對(duì)于遠(yuǎn)程訪問(wèn)的分支機(jī)構(gòu)，系統(tǒng)通過(guò)增加的SSL VPN設(shè)備進(jìn)行加密和完整性保護(hù)（金蝶和用友的系統(tǒng)已基本停用，分支機(jī)構(gòu)不會(huì)對(duì)其進(jìn)行訪問(wèn)）；n 系統(tǒng)內(nèi)對(duì)數(shù)據(jù)沒(méi)有根據(jù)重要程度進(jìn)行分類(lèi)；n 模塊之間根據(jù)數(shù)據(jù)庫(kù)并發(fā)機(jī)制，以及各種接口表進(jìn)行通信；n 模塊之間的通信和訪問(wèn)沒(méi)有認(rèn)證機(jī)制；n 應(yīng)用系統(tǒng)對(duì)最大并發(fā)會(huì)話(huà)數(shù)有限制；n 應(yīng)用系統(tǒng)不能對(duì)單個(gè)用戶(hù)的多次登錄進(jìn)行判斷和限制；n 應(yīng)用系統(tǒng)的用戶(hù)帳號(hào)是以密文的方式存放的；n 應(yīng)用系統(tǒng)對(duì)用戶(hù)口令有長(zhǎng)度限制，通過(guò)應(yīng)用程序參數(shù)設(shè)置，可限制口令的長(zhǎng)度和強(qiáng)度，對(duì)于弱口令進(jìn)行報(bào)警，并通知用戶(hù)更新口令（如果口令強(qiáng)度不足，則建立新用戶(hù)不成功）；n 當(dāng)訪問(wèn)應(yīng)用系統(tǒng)的用戶(hù)連續(xù)多次錯(cuò)誤輸入口令，應(yīng)用系統(tǒng)將對(duì)用戶(hù)進(jìn)行死鎖（該用戶(hù)無(wú)法正常訪問(wèn)應(yīng)用系統(tǒng)），只有管理員進(jìn)行手工解鎖后方可繼續(xù)進(jìn)行操作，并且應(yīng)用系統(tǒng)可通過(guò)參數(shù)配置來(lái)指定錯(cuò)誤認(rèn)證的次數(shù)；n 如果用戶(hù)忘記密碼，那么由用戶(hù)提出申請(qǐng)，管理員對(duì)用戶(hù)名進(jìn)行檢驗(yàn)后，重置密碼；然后用戶(hù)利用重置的密碼登錄應(yīng)用系統(tǒng)，并再次修改密碼后方可正常訪問(wèn)應(yīng)用系統(tǒng)；n 應(yīng)用系統(tǒng)支持超時(shí)退出措施，當(dāng)用戶(hù)認(rèn)證通過(guò)后長(zhǎng)時(shí)間沒(méi)有任何操作，系統(tǒng)將自動(dòng)退出，超時(shí)時(shí)間可通過(guò)應(yīng)用系統(tǒng)的參數(shù)配置來(lái)指定；n 應(yīng)用系統(tǒng)的以組的方式來(lái)管理用戶(hù)，訪問(wèn)權(quán)限配置到組，用戶(hù)增加到不同的組，則自動(dòng)獲得了該組的訪問(wèn)權(quán)限；n 應(yīng)用系統(tǒng)采取了多種方式來(lái)控制訪問(wèn)用戶(hù)的權(quán)限，包括特殊賬號(hào)、菜單控制、子功能控制、角色控制、資源組控制等；n 應(yīng)用系統(tǒng)對(duì)管理員有很?chē)?yán)格的限制，管理員無(wú)法查看用戶(hù)的口令，無(wú)法進(jìn)行業(yè)務(wù)操作，無(wú)法配置業(yè)務(wù)流等；n 應(yīng)用系統(tǒng)在安全審計(jì)進(jìn)行了很多加強(qiáng)，審計(jì)覆蓋所有用戶(hù)，安全審計(jì)的內(nèi)容包括訪問(wèn)事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果； n 應(yīng)用系統(tǒng)支持對(duì)審計(jì)記錄的數(shù)據(jù)統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表的功能；n 應(yīng)用系統(tǒng)的日志信息單獨(dú)存放，除指定的審計(jì)人員以外其他任何人均無(wú)法訪問(wèn)日志信息，審計(jì)人員只能刪除日志信息，但無(wú)法修改；n 應(yīng)用系統(tǒng)沒(méi)有采取集中的日志審計(jì)；n 應(yīng)用系統(tǒng)采取的備份措施為：每周自動(dòng)全備份：全備份數(shù)據(jù)異機(jī)保存，每季度數(shù)據(jù)異地存放；歷史備份數(shù)據(jù)以光盤(pán)的形式保存下來(lái)，并提交給法務(wù)部進(jìn)行長(zhǎng)期保存；n 該系統(tǒng)已購(gòu)買(mǎi)原廠商的服務(wù)支持，但廠商對(duì)源代碼不會(huì)再做大的調(diào)整。 研發(fā)應(yīng)用系統(tǒng)主要提供給研發(fā)體系進(jìn)行源代碼管理、BUG管理。CVS代碼管理系統(tǒng)CVS是一個(gè)版本控制系統(tǒng)，用于在多人開(kāi)發(fā)環(huán)境下的源碼的維護(hù)。XXX公司從2004起開(kāi)始啟用此系統(tǒng)，研發(fā)人員在修改代碼時(shí)，首先將代碼從CVS服務(wù)器上獲取下到個(gè)人計(jì)算機(jī)，然后在個(gè)人計(jì)算機(jī)上進(jìn)行修改；修改完畢后再通過(guò)CVS上傳代碼，CVS會(huì)自動(dòng)記錄代碼文件的修改過(guò)程，進(jìn)行版本控制，如果需要不同版本的代碼文件時(shí)，可以從CVS服務(wù)器上找到。CVS為開(kāi)源軟件，系統(tǒng)運(yùn)行在Linux服務(wù)器上，采用C/S模式，在終端上安裝WinCVS軟件，以實(shí)現(xiàn)對(duì)源代碼文件的訪問(wèn)。根據(jù)調(diào)查該系統(tǒng)的基本情況為：n CVS為典型的文件管理類(lèi)系統(tǒng)，后臺(tái)無(wú)數(shù)據(jù)庫(kù)支持；n 當(dāng)文件在局域網(wǎng)上傳輸，WinCVS客戶(hù)端軟件內(nèi)置了SSH，數(shù)據(jù)將以加密的方式從CVS服務(wù)器下載或上傳，保障了文件的傳輸安全性和完整性；n 系統(tǒng)內(nèi)根據(jù)目錄，將不同的代碼文件進(jìn)行歸類(lèi)存放，不同級(jí)別的用戶(hù)有不同的權(quán)限，去訪問(wèn)不同的文件資源；n 處理的文件是XXX公司產(chǎn)品的核心代碼，是公司非常重要的數(shù)據(jù)；n 應(yīng)用系統(tǒng)對(duì)最大并發(fā)會(huì)話(huà)沒(méi)有限制；n 應(yīng)用系統(tǒng)對(duì)單個(gè)賬戶(hù)的多重登錄會(huì)話(huà)沒(méi)有判斷和限制；n 應(yīng)用系統(tǒng)的用戶(hù)帳號(hào)是采用加密的方式進(jìn)行存放的，除管理員以外的任何人都無(wú)法看到用戶(hù)帳號(hào)信息，并且管理員無(wú)法查看用戶(hù)的口令（但管理員可以重置用戶(hù)口令）；n 系統(tǒng)對(duì)密碼的長(zhǎng)度沒(méi)有任何約束，軟件中對(duì)密碼也沒(méi)有限制，但是管理員建議用戶(hù)采取復(fù)雜密碼，以防止密碼被竊??；n 系統(tǒng)對(duì)錯(cuò)誤的登錄沒(méi)有采取措施，當(dāng)多次登錄失敗時(shí)系統(tǒng)不會(huì)鎖定帳號(hào)；n 應(yīng)用系統(tǒng)也沒(méi)有超時(shí)退出措施，當(dāng)用戶(hù)認(rèn)證通過(guò)后長(zhǎng)時(shí)間沒(méi)有任何操作，系統(tǒng)不會(huì)自動(dòng)退出；n 系統(tǒng)對(duì)賬戶(hù)的管理采用分組的方式進(jìn)行，首先系統(tǒng)需要將各個(gè)代碼文件，按照代碼文件對(duì)應(yīng)的不同產(chǎn)品進(jìn)行分類(lèi)，然后創(chuàng)建不同的目錄，將不同產(chǎn)品的代碼防止在不同目錄下；然后系統(tǒng)將目錄和組建立訪問(wèn)關(guān)系，建立成功后，對(duì)于不同目錄下的文件，只有對(duì)應(yīng)組下的用戶(hù)方可訪問(wèn)；n 此外，目錄下對(duì)組內(nèi)用戶(hù)的操作權(quán)限也有控制，共包含兩大類(lèi)，一是讀取的權(quán)限；二是修改的權(quán)限；用戶(hù)根據(jù)分配到的權(quán)限可對(duì)代碼文件執(zhí)行不同的操作；n 如果應(yīng)用系統(tǒng)的訪問(wèn)用戶(hù)忘記密碼，可向管理員進(jìn)行申請(qǐng)，管理員對(duì)密碼進(jìn)行初始化后，再次由用戶(hù)登錄系統(tǒng)，對(duì)密碼進(jìn)行修改后可正常訪問(wèn)系統(tǒng)；n 管理員不能查看用戶(hù)設(shè)定的口令，除此之外可以執(zhí)行任何操作，沒(méi)有具體的限制；n 應(yīng)用系統(tǒng)支持比較好的審計(jì)功能，對(duì)文件的任何修改都將產(chǎn)生記錄，詳細(xì)記錄了文件修改的日期、時(shí)間、人員、修改內(nèi)容、修改結(jié)果等信息；但是審計(jì)記錄尚未有采取集中的方式；n 應(yīng)用系統(tǒng)的審計(jì)記錄主要是體現(xiàn)在版本控制上，僅提供查詢(xún)，不支持報(bào)表統(tǒng)計(jì)。n 應(yīng)用系統(tǒng)支持自動(dòng)備份，并且備份完畢后結(jié)果會(huì)自動(dòng)上傳到備份服務(wù)器上，周期為每天一次，系統(tǒng)管理員每半月將備份服務(wù)器上的內(nèi)容刻錄到光盤(pán)中，并提交給公司法務(wù)部進(jìn)行長(zhǎng)期保存；n 系統(tǒng)為開(kāi)源軟件，系統(tǒng)的由研發(fā)體系的軟件開(kāi)發(fā)人員根據(jù)XXX的研發(fā)管理辦法進(jìn)行修改和編譯，可以根據(jù)實(shí)際需求進(jìn)行適當(dāng)修改（無(wú)法修改底層架構(gòu)方面的內(nèi)容）。BUGzilla應(yīng)用系統(tǒng)該系統(tǒng)實(shí)現(xiàn)對(duì)產(chǎn)品BUG的管理，系統(tǒng)包含兩個(gè)部分，一是對(duì)研發(fā)體系外部開(kāi)放，可進(jìn)行提交的外部BUG收集系統(tǒng)；另外是研發(fā)體系內(nèi)部使用的BUG跟蹤系統(tǒng)。其基本的使用過(guò)程為：技術(shù)服務(wù)中心或其他部門(mén)（非研發(fā)體系的部門(mén)）可通過(guò)外部BUG收集系統(tǒng)上傳BUG說(shuō)明信息，研發(fā)體系人員根據(jù)上傳的BUG信息進(jìn)行分析，確定哪些是需要修改的，哪些是已經(jīng)完善的，將進(jìn)行信息的反饋；對(duì)于確認(rèn)要進(jìn)行修改的BUG則再次輸入到BUG跟蹤系統(tǒng)中，并定期維護(hù)BUG的修改狀況。該系統(tǒng)采用B/S結(jié)構(gòu)設(shè)計(jì)，設(shè)計(jì)語(yǔ)言為Perl，后臺(tái)數(shù)據(jù)庫(kù)為MySql，系統(tǒng)運(yùn)行在Linux服務(wù)器上，對(duì)外采用Apache進(jìn)行主頁(yè)發(fā)布。根據(jù)調(diào)查結(jié)果該系統(tǒng)的詳細(xì)情況為：n 應(yīng)用軟件后臺(tái)采用MySql數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)采用單獨(dú)的用戶(hù)名和口令；n 應(yīng)用軟件對(duì)數(shù)據(jù)庫(kù)的調(diào)用方式為PerlDBI（類(lèi)似于ODBC）；n 數(shù)據(jù)庫(kù)的訪問(wèn)連接方式為IP地址訪問(wèn)控制；n 數(shù)據(jù)庫(kù)的安全配置比較弱，數(shù)據(jù)在網(wǎng)上傳播時(shí)沒(méi)有采用加密協(xié)議，并且系統(tǒng)內(nèi)數(shù)據(jù)也沒(méi)有根據(jù)重要程度分類(lèi)；n 數(shù)據(jù)庫(kù)內(nèi)存放著公司產(chǎn)品的BUG信息，這些信息對(duì)公司非常重要，也對(duì)公司的產(chǎn)品改進(jìn)有很重要的意義；n 應(yīng)用系統(tǒng)對(duì)最大并發(fā)會(huì)話(huà)沒(méi)有限制；n 應(yīng)用系統(tǒng)對(duì)單個(gè)賬戶(hù)的多重登錄會(huì)話(huà)沒(méi)有判斷和限制；n 應(yīng)用系統(tǒng)的用戶(hù)帳號(hào)是采用加密的方式進(jìn)行存放的，除管理員以外的任何人都無(wú)法看到用戶(hù)帳號(hào)信息，并且管理員無(wú)法查看用戶(hù)的口令（但管理員可以重置用戶(hù)口令）；n 系統(tǒng)對(duì)密碼的長(zhǎng)度沒(méi)有任何約束，軟件中對(duì)密碼也沒(méi)有限制，但是管理員建議用戶(hù)采取復(fù)雜密碼，以防止密碼被竊??；n 系統(tǒng)對(duì)錯(cuò)誤的登錄沒(méi)有采取措施，當(dāng)多次登錄失敗時(shí)系統(tǒng)不會(huì)鎖定帳號(hào)；n 應(yīng)用系統(tǒng)也沒(méi)有超時(shí)退出措施，當(dāng)用戶(hù)認(rèn)證通過(guò)后長(zhǎng)時(shí)間沒(méi)有任何操作，系統(tǒng)不會(huì)自動(dòng)退出；n 系統(tǒng)對(duì)賬戶(hù)的管理采用分組的方式進(jìn)行，首先系統(tǒng)需要將各個(gè)代碼文件，按照代碼文件對(duì)應(yīng)的不同產(chǎn)品進(jìn)行分類(lèi)，然后創(chuàng)建不同的目錄，將不同產(chǎn)品的代碼防止在不同目錄下；然后系統(tǒng)將目錄和組建立訪問(wèn)關(guān)系，建立成功后，對(duì)于不同目錄下的文件，只有對(duì)應(yīng)組下的用戶(hù)方可訪問(wèn)；n 通過(guò)權(quán)限訪問(wèn)控制，限制了用戶(hù)只能看自己負(fù)責(zé)產(chǎn)品的BUG信息，而無(wú)法訪問(wèn)其他產(chǎn)品的BUG信息；n 如果應(yīng)用系統(tǒng)的訪問(wèn)用戶(hù)忘記密碼，可向管理員進(jìn)行申請(qǐng)，管理員對(duì)密碼進(jìn)行初始化后，再次由用戶(hù)登錄系統(tǒng)，對(duì)密碼進(jìn)行修改后可正常訪問(wèn)系統(tǒng)；n 管理員不能查看用戶(hù)設(shè)定的口令，除此之外可以執(zhí)行任何操作，沒(méi)有具體的限制；n 應(yīng)用系統(tǒng)不支持審計(jì)功能；n 應(yīng)用系統(tǒng)支持自動(dòng)備份，并且備份完畢后結(jié)果會(huì)自動(dòng)上傳到備份服務(wù)器上，周期為每天一次，系統(tǒng)管理員每半月將備份服務(wù)器上的內(nèi)容刻錄到光盤(pán)中，并提交給公司法務(wù)部進(jìn)行長(zhǎng)期保存；n 系統(tǒng)為開(kāi)源軟件，系統(tǒng)的由研發(fā)體系的軟件開(kāi)發(fā)人員根據(jù)XXX的研發(fā)管理辦法進(jìn)行修改和編譯，可以根據(jù)實(shí)際需求進(jìn)行適當(dāng)修改（無(wú)法修改底層架構(gòu)方面的內(nèi)容）。 外部服務(wù)系統(tǒng)XXX公司提供對(duì)外服務(wù)的系統(tǒng)包括公司主頁(yè)系統(tǒng)、郵件系統(tǒng)和產(chǎn)品升級(jí)服務(wù)器，各系統(tǒng)的具體情況說(shuō)明如下：公司主頁(yè)系統(tǒng)系統(tǒng)主要實(shí)現(xiàn)了對(duì)外的信息發(fā)布、公司宣傳、XXX在線(xiàn)客服、公司技術(shù)論壇等欄目，通過(guò)Apache進(jìn)行主頁(yè)發(fā)布，并利用主頁(yè)系統(tǒng)開(kāi)發(fā)了“及時(shí)雨”在線(xiàn)客服系統(tǒng)（相當(dāng)于及時(shí)通訊軟件），互聯(lián)網(wǎng)的訪客可通過(guò)該平臺(tái)進(jìn)行業(yè)務(wù)咨詢(xún)、技術(shù)咨詢(xún)和售后服務(wù)咨詢(xún)等；經(jīng)過(guò)調(diào)查，該系統(tǒng)的具體情況為：n 應(yīng)用系統(tǒng)為主頁(yè)發(fā)布，后臺(tái)無(wú)支持?jǐn)?shù)據(jù)庫(kù)；發(fā)布的信息大多以靜態(tài)文本的方式發(fā)送；n 主頁(yè)系統(tǒng)對(duì)互聯(lián)網(wǎng)用戶(hù)最大并發(fā)會(huì)話(huà)數(shù)有限制；n 主頁(yè)發(fā)布、“及時(shí)語(yǔ)”等應(yīng)用對(duì)互聯(lián)網(wǎng)完全開(kāi)放，因此不需要進(jìn)行認(rèn)證即可進(jìn)行訪問(wèn)；技術(shù)論壇部分需要進(jìn)行認(rèn)證，認(rèn)證方式采用用戶(hù)名＋口令，互聯(lián)網(wǎng)訪問(wèn)用戶(hù)需要注冊(cè)信息（但是如果不注冊(cè)也可以訪問(wèn)論壇，但無(wú)法發(fā)表話(huà)題和回復(fù)話(huà)題）；n 主頁(yè)系統(tǒng)中的技術(shù)論壇，需要進(jìn)行認(rèn)證；并且用戶(hù)帳號(hào)是以明文的方式存放的；n 主頁(yè)技術(shù)論壇對(duì)用戶(hù)帳號(hào)沒(méi)有長(zhǎng)度和強(qiáng)度的建議；n 技術(shù)論壇沒(méi)有鎖定帳號(hào)的措施，系統(tǒng)連續(xù)多次錯(cuò)誤輸入，系統(tǒng)不會(huì)進(jìn)行任何處理；n 技術(shù)論壇也沒(méi)有超時(shí)退出措施，當(dāng)用戶(hù)認(rèn)證通過(guò)后長(zhǎng)時(shí)間沒(méi)有任何操作，論壇不會(huì)自動(dòng)退出；n 技術(shù)論壇的賬戶(hù)管理沒(méi)有設(shè)置組，對(duì)賬戶(hù)的管理只是針對(duì)到單個(gè)用戶(hù)；n 技術(shù)論壇管理員具有很高的權(quán)限，除了不能查看訪問(wèn)應(yīng)用系統(tǒng)用戶(hù)的口令以外，具有使用系統(tǒng)的所有權(quán)限；n 主頁(yè)服務(wù)器目前還沒(méi)有啟動(dòng)安全審計(jì)功能。郵件系統(tǒng)提供給XXX員工進(jìn)行郵件交互，系統(tǒng)采用Mirapoint的郵件解決方案，在硬件上也采取了Micrapoint專(zhuān)用郵件服務(wù)器Mirapoint M500，共使用兩臺(tái)，其操作系統(tǒng)也是專(zhuān)用的MOS操作系統(tǒng)，通過(guò)調(diào)查了解到郵件系統(tǒng)的具體情況為：n 系統(tǒng)采用Mirapoint的專(zhuān)業(yè)郵件系統(tǒng)，后臺(tái)無(wú)第三方數(shù)據(jù)庫(kù)；n 系統(tǒng)對(duì)帳號(hào)進(jìn)行嚴(yán)格管理，用戶(hù)采用帳號(hào)＋口令方式進(jìn)行認(rèn)證，并訪問(wèn)郵件系統(tǒng)獲取郵件；n 郵件系統(tǒng)對(duì)最大并發(fā)會(huì)話(huà)數(shù)沒(méi)有限制；n 郵件系統(tǒng)對(duì)單個(gè)賬戶(hù)的多重登錄沒(méi)有限制；n 用戶(hù)賬戶(hù)采用專(zhuān)用模塊進(jìn)行管理和存放，郵件賬戶(hù)的口令必須達(dá)到一定的強(qiáng)度；n 郵件在傳輸過(guò)程中不加密；n 目前XXX公司針對(duì)郵件引入數(shù)字證書(shū)系統(tǒng)，可實(shí)現(xiàn)對(duì)郵件的簽名和加密；n 郵件系統(tǒng)有日志記錄，能夠?qū)︵]件的發(fā)起方，接收方、時(shí)間、主題、發(fā)送結(jié)果（發(fā)送是否成功）等信息進(jìn)行記錄；n 對(duì)郵件的備份由用戶(hù)自行完成。 內(nèi)部辦公系統(tǒng)內(nèi)部辦公系統(tǒng)主要是提供給員工進(jìn)行軟件和工具下載使用，沒(méi)有使用限制，只要是接入到公司內(nèi)網(wǎng)的終端均可上網(wǎng)下載，另外還有內(nèi)部考勤系統(tǒng)，經(jīng)過(guò)調(diào)查具體情況包括：文件服務(wù)采取標(biāo)準(zhǔn)的FTP服務(wù)器，提供給內(nèi)部辦公人員進(jìn)行軟件和工具的下載，設(shè)備型號(hào)為組裝的PC服務(wù)器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，系統(tǒng)管理人員定期更新各類(lèi)工具，系統(tǒng)沒(méi)有身份鑒別要求，只要是接入到辦公內(nèi)網(wǎng)的用戶(hù)均可使用FTP。內(nèi)部考勤服務(wù)器實(shí)現(xiàn)辦公考勤的應(yīng)用，設(shè)備型號(hào)為聯(lián)想PC服務(wù)器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫(kù)為Sql Server，是門(mén)禁系統(tǒng)的一部分，系統(tǒng)詳細(xì)記錄了員工的刷卡記錄（通過(guò)門(mén)禁進(jìn)入辦公區(qū)域）。3 安全需求分析 系統(tǒng)定級(jí)建議信息系統(tǒng)定級(jí)是進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的首要環(huán)節(jié)，根據(jù)國(guó)家信息安全等級(jí)保護(hù)實(shí)施指南，信息系統(tǒng)定級(jí)階段的目標(biāo)是信息系統(tǒng)運(yùn)營(yíng)、使用單位按照國(guó)家有關(guān)管理規(guī)范和GB/T AAAAAAAA，確定信息系統(tǒng)的安全保護(hù)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)、使用單位有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。XXX信息安全等級(jí)保護(hù)的總體思路是：以公司的信息系統(tǒng)特點(diǎn)為核心，結(jié)合國(guó)家相關(guān)標(biāo)準(zhǔn)要求，根據(jù)公司實(shí)際業(yè)務(wù)需求，和對(duì)公司實(shí)際業(yè)務(wù)的影響來(lái)劃分安全等級(jí)，在確定定級(jí)方面更重視系統(tǒng)對(duì)公司業(yè)務(wù)開(kāi)展的影響性而確定等級(jí)，目的只是為體現(xiàn)對(duì)不同等級(jí)的信息系統(tǒng)，如何加強(qiáng)保護(hù)措施方面。而不是根據(jù)國(guó)家標(biāo)準(zhǔn)，嚴(yán)格地評(píng)估信息系統(tǒng)受到破壞后的影響范圍和影響程度而確定。 確定定級(jí)對(duì)象根據(jù)公安部的《信息安全等級(jí)保護(hù)定級(jí)指南》指出作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：n 具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。n 具有信息系統(tǒng)的基本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。n 承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒(méi)有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。對(duì)于XXX公司，則根據(jù)承載業(yè)務(wù)的獨(dú)立性，以應(yīng)用系統(tǒng)為核心來(lái)劃分定級(jí)對(duì)象，并針對(duì)不同的應(yīng)用系統(tǒng)來(lái)設(shè)計(jì)保護(hù)措施，確定的保護(hù)對(duì)象分別為：企業(yè)業(yè)務(wù)處理系統(tǒng)（將承載公司核心業(yè)務(wù)應(yīng)用的EBS、金蝶K金蝶CRM以及用友U8帳務(wù)處理系統(tǒng)合并）；研發(fā)應(yīng)用系統(tǒng)（包括CVS系統(tǒng)以及BUGzilla系統(tǒng)）；外部服務(wù)系統(tǒng)（包括公司主頁(yè)服務(wù)器、郵件服務(wù)器）；內(nèi)部