【正文】 國(guó)家XX局發(fā)布新的安全管理策略體系。人員考核（G3）應(yīng)定期對(duì)各個(gè)崗位人員進(jìn)行安全知識(shí)和技能的考核，并對(duì)關(guān)鍵崗位人員進(jìn)行安全審計(jì)。人員安全人員錄用（G3）信息安全關(guān)鍵崗位的人員，應(yīng)從內(nèi)部人員中選拔，并與之簽署崗位安全協(xié)議。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)不需要全部更新，可以僅對(duì)因系統(tǒng)變更而受影響的部分進(jìn)行更新。發(fā)布和執(zhí)行過(guò)程中除了要得到管理層的大力支持和推動(dòng)外，還必須要有合適的、可行的發(fā)布和推動(dòng)手段。安全制度管理制度（G3）制度體系應(yīng)包含信息安全總體策略、信息安全標(biāo)準(zhǔn)與規(guī)范、信息安全指南和細(xì)則三個(gè)層面。審核和授權(quán)須保存書(shū)面文檔。授權(quán)和審批（G3）建立健全授權(quán)和審批程序，對(duì)系統(tǒng)變更、物理訪問(wèn)、系統(tǒng)接入、補(bǔ)丁升級(jí)等事件，均須經(jīng)過(guò)授權(quán)和審批方可執(zhí)行；同時(shí)，根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等。 符合等級(jí)保護(hù)管理要求的需求根據(jù)對(duì)等級(jí)保護(hù)管理要求，分析而得到的差異性需求包括：防護(hù)層面要求選擇差異性需求管理機(jī)構(gòu)崗位設(shè)置（G3）應(yīng)補(bǔ)充設(shè)置安全管理員、安全審計(jì)員職位；并定義其崗位的工作職責(zé)和技術(shù)能力要求。限制不同類(lèi)型的終端對(duì)不同的應(yīng)用服務(wù)器進(jìn)行訪問(wèn)，禁止普通辦公終端訪問(wèn)安全管理服務(wù)器；對(duì)于管理維護(hù)終端則在策略上允許對(duì)安全管理服務(wù)器的維護(hù)操作。限制網(wǎng)絡(luò)殺毒服務(wù)器及終端安全管理服務(wù)器與終端區(qū)域之間的訪問(wèn)行為，禁止網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)管理服務(wù)器對(duì)終端區(qū)域發(fā)起訪問(wèn)；僅允許終端區(qū)域的管理維護(hù)終端對(duì)所有管理服務(wù)器的管理訪問(wèn)；n 對(duì)管理服務(wù)器的自身防護(hù)：應(yīng)統(tǒng)一部署服務(wù)器防病毒系統(tǒng)，并進(jìn)行管理服務(wù)器系統(tǒng)的安全加固配置，提升服務(wù)器系統(tǒng)自身的安全性。終端安全管理服務(wù)器和網(wǎng)絡(luò)殺毒管理服務(wù)器在對(duì)應(yīng)用系統(tǒng)服務(wù)器的訪問(wèn)上屬于混用模式，無(wú)法做到按不同系統(tǒng)進(jìn)行劃分，因此本規(guī)劃中將安全管理系統(tǒng)視為單獨(dú)的系統(tǒng)，進(jìn)行單獨(dú)的防護(hù)，其防護(hù)需求包括：n 對(duì)其他系統(tǒng)服務(wù)器的訪問(wèn)控制：利用防火墻進(jìn)行網(wǎng)絡(luò)層邊界防護(hù)和訪問(wèn)控制。l 國(guó)家XX局信息管理部門(mén)對(duì)安全的認(rèn)識(shí)相對(duì)較高，但在安全策略的具體執(zhí)行和落實(shí)、安全防范的技能等方面還有待加強(qiáng)。在國(guó)家XX局外網(wǎng)信息系統(tǒng)中，人員方面的安全風(fēng)險(xiǎn)主要是因人員配置不足、穩(wěn)定性不夠、安全意識(shí)不夠及安全操作經(jīng)驗(yàn)不足而導(dǎo)致的安全問(wèn)題。 安全制度風(fēng)險(xiǎn)國(guó)家XX局在安全管理制度的建設(shè)還不全面，如：l 缺乏完善的制度策略體系，部分安全管理工作開(kāi)展無(wú)據(jù)可依，隨意性大；l 對(duì)安全策略和制度執(zhí)行狀況的定期審查制度及對(duì)安全策略和制度符合性的評(píng)估制度不夠完善；l 沒(méi)有根據(jù)各類(lèi)信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確；l 缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，不利于在發(fā)生安全事件后及時(shí)發(fā)現(xiàn)，并采取措施；l 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒(méi)有制定有效的應(yīng)對(duì)措施，沒(méi)有有效的機(jī)制和手段來(lái)發(fā)現(xiàn)和監(jiān)控安全事件，沒(méi)有有效的對(duì)安全事件的處理流程和制度。 安全管理風(fēng)險(xiǎn)國(guó)家XX局目前缺乏有效的安全事件流程化處理機(jī)制，每當(dāng)出現(xiàn)安全問(wèn)題，管理員總是要嘗試很多種辦法才能解決問(wèn)題，要做大量的重復(fù)性工作，而好的經(jīng)驗(yàn)和方法并不能形成整個(gè)單位的安全事件處理規(guī)范供大家共享，技術(shù)人員安全響應(yīng)慢、工作效率低等現(xiàn)象時(shí)有發(fā)生。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理的安全風(fēng)險(xiǎn)，即使采用了各種先進(jìn)的安全技術(shù)手段，信息系統(tǒng)仍然無(wú)法有效抵御所受到的各種安全威脅。 數(shù)據(jù)完整性風(fēng)險(xiǎn)數(shù)據(jù)完整性問(wèn)題主要體現(xiàn)在：l 靜態(tài)存儲(chǔ)數(shù)據(jù)的完整性問(wèn)題：對(duì)于存放在服務(wù)器上的數(shù)據(jù)，其所存在的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)自身是否具有足夠的控制和監(jiān)視手段來(lái)防止信息被篡改；l 網(wǎng)絡(luò)傳輸數(shù)據(jù)的完整性問(wèn)題：攻擊者在截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文后，即可對(duì)報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤理解；或者通過(guò)刪減信息內(nèi)容等方式，造成對(duì)信息的破壞，導(dǎo)致信息的嚴(yán)重失真；還可以通過(guò)重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊，而對(duì)于一些業(yè)務(wù)系統(tǒng)，特別是數(shù)據(jù)庫(kù)系統(tǒng)，這種重放攻擊會(huì)造成數(shù)據(jù)失真以及數(shù)據(jù)錯(cuò)誤。 數(shù)據(jù)保密性風(fēng)險(xiǎn)數(shù)據(jù)保密性問(wèn)題主要體現(xiàn)在：l 存儲(chǔ)保密問(wèn)題：對(duì)于存放在服務(wù)器上的數(shù)據(jù)，其所存在的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)自身是否具有足夠的控制和監(jiān)視手段來(lái)防止信息泄露；對(duì)于存放在工作人員的計(jì)算機(jī)硬盤(pán)上的數(shù)據(jù)，用戶是否會(huì)有意、無(wú)意的把數(shù)據(jù)存放目錄共享給網(wǎng)絡(luò)鄰居任意訪問(wèn)，或者主動(dòng)將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)或物理手段傳播給非法接收者。 數(shù)據(jù)可用性風(fēng)險(xiǎn)數(shù)據(jù)可用性問(wèn)題主要體現(xiàn)在：l 靜態(tài)存儲(chǔ)數(shù)據(jù)的可用性問(wèn)題：關(guān)鍵數(shù)據(jù)的存儲(chǔ)設(shè)備自身是否可靠，設(shè)備是否有充分的冗余措施，如果因存儲(chǔ)設(shè)備物理?yè)p壞或其他原因?qū)е略诰€數(shù)據(jù)丟失或破壞時(shí)，數(shù)據(jù)是否能夠可靠地被恢復(fù)。由于許多員工安全意識(shí)比較淡薄，對(duì)一些非法網(wǎng)頁(yè)或來(lái)歷不明的即時(shí)信息，沒(méi)有警惕性，給入侵者提供機(jī)會(huì)，讓黑客掌握了系統(tǒng)的主動(dòng)權(quán)，給系統(tǒng)帶來(lái)不安全因素。 Internet應(yīng)用安全風(fēng)險(xiǎn)國(guó)家XX局外網(wǎng)中的Internet應(yīng)用主要指外網(wǎng)員工的Internet訪問(wèn)應(yīng)用，包括網(wǎng)頁(yè)瀏覽、文件下載和即時(shí)通信等。（3）遠(yuǎn)程應(yīng)用通訊風(fēng)險(xiǎn)其風(fēng)險(xiǎn)來(lái)源于兩點(diǎn)：一是應(yīng)用系統(tǒng)沒(méi)有正確設(shè)置訪問(wèn)權(quán)限，使合法用戶通過(guò)正常手段就可以訪問(wèn)到不在權(quán)限范圍之內(nèi)的資源；二是應(yīng)用系統(tǒng)中存在一些后門(mén)、隱通道、陷阱等，使非法用戶（特別是系統(tǒng)開(kāi)發(fā)人員）可以通過(guò)非法的途徑進(jìn)入應(yīng)用系統(tǒng)。（2）非授權(quán)訪問(wèn) 非法用戶假冒合法用戶的身份訪問(wèn)應(yīng)用資源，如攻擊者通過(guò)各種手段取得應(yīng)用系統(tǒng)的一個(gè)合法用戶的賬號(hào)訪問(wèn)應(yīng)用資源，或是一個(gè)內(nèi)部的合法用戶盜用領(lǐng)導(dǎo)的用戶賬號(hào)訪問(wèn)應(yīng)用資源。如果由于對(duì)用戶管理的松懈而致使非法用戶或匿名用戶侵入系統(tǒng)，將可能對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)造成極大的危害。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的，應(yīng)用的安全性也動(dòng)態(tài)的，這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。目前，應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒(méi)有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問(wèn)題。國(guó)家XX局外網(wǎng)中，客戶終端的安全風(fēng)險(xiǎn)主要存在于辦公網(wǎng)絡(luò)的大量采用Windows桌面操作系統(tǒng)的辦公終端中，來(lái)自客戶終端的安全問(wèn)題包括：l 終端設(shè)備自身操作系統(tǒng)的弱點(diǎn)，會(huì)造成整體網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；l 用戶利用終端設(shè)備進(jìn)行的誤操作、違規(guī)操作和故意破壞，對(duì)國(guó)家XX局外網(wǎng)業(yè)務(wù)系統(tǒng)造成很大的安全威脅；l 終端設(shè)備缺乏有效的病毒防護(hù)機(jī)制。 客戶終端安全風(fēng)險(xiǎn)計(jì)算機(jī)終端涉及到每個(gè)使用電腦的人員，由于其分散性、不被重視、安全手段缺乏的特點(diǎn)，已經(jīng)成為信息安全體系的薄弱環(huán)節(jié)，除了本身易遭攻擊破壞、病毒感染外，還容易通過(guò)它迅速傳播網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如何確保這些重要的網(wǎng)絡(luò)服務(wù)器能夠穩(wěn)定、可靠、安全地運(yùn)行，是保證國(guó)家XX局外網(wǎng)各項(xiàng)業(yè)務(wù)正常開(kāi)展的基礎(chǔ)。 主機(jī)安全風(fēng)險(xiǎn)主機(jī)安全通常是指服務(wù)器和客戶機(jī)的操作系統(tǒng)及運(yùn)行在其上的應(yīng)用支撐平臺(tái)系統(tǒng)的安全。這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的各種訪問(wèn)，乃至網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包進(jìn)行很好的監(jiān)控。 網(wǎng)絡(luò)訪問(wèn)的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)訪問(wèn)策略是否可行，網(wǎng)絡(luò)訪問(wèn)的來(lái)源和目標(biāo)是否受控，網(wǎng)絡(luò)訪問(wèn)行為是否有記錄等問(wèn)題，都會(huì)直接影響到國(guó)家XX局外網(wǎng)的穩(wěn)定與安全。 內(nèi)部網(wǎng)絡(luò)不同區(qū)域邊界的安全風(fēng)險(xiǎn)國(guó)家XX局外網(wǎng)劃分成了對(duì)外服務(wù)區(qū)域、安全管理區(qū)域和辦公區(qū)域，主要目的是為了對(duì)安全級(jí)別要求比較高的網(wǎng)絡(luò)系統(tǒng)資源和信息數(shù)據(jù)進(jìn)行保護(hù)，防范來(lái)自低安全級(jí)別區(qū)域的安全威脅，同時(shí)盡可能將安全風(fēng)險(xiǎn)（如黑客攻擊或病毒蠕蟲(chóng)傳播）限制在較小的、不太重要的局部區(qū)域范圍內(nèi)。 政府網(wǎng)站系統(tǒng)互聯(lián)網(wǎng)邊界的安全風(fēng)險(xiǎn)對(duì)于國(guó)家XX局托管的政府網(wǎng)站的互聯(lián)網(wǎng)邊界，可能存在的安全風(fēng)險(xiǎn)包括：l 非法訪問(wèn)：外部用戶或托管機(jī)房?jī)?nèi)其他網(wǎng)絡(luò)區(qū)域的用戶試圖訪問(wèn)國(guó)家XX局政府網(wǎng)站系統(tǒng)所開(kāi)放服務(wù)之外的信息和服務(wù)；l 非法入侵：黑客通過(guò)身份假冒、應(yīng)用層攻擊等方式，穿透訪問(wèn)控制機(jī)制，進(jìn)入國(guó)家XX局政府網(wǎng)站系統(tǒng)內(nèi)部進(jìn)行非法操作； l 惡意攻擊：包括各種常規(guī)攻擊和DoS/DDoS攻擊； l 病毒和蠕蟲(chóng)：計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲(chóng)的傳播和爆發(fā)，將可能使整個(gè)政府網(wǎng)站系統(tǒng)處于癱瘓狀態(tài)。在國(guó)家XX局外網(wǎng)的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間、不同網(wǎng)絡(luò)區(qū)域之間、不同部門(mén)網(wǎng)絡(luò)之間的數(shù)據(jù)交互的活動(dòng)中，對(duì)TCP/IP網(wǎng)絡(luò)通訊過(guò)程的任一環(huán)節(jié)的攻擊，都有可能威脅到重要信息數(shù)據(jù)的安全，存在一定的安全風(fēng)險(xiǎn)，主要包括：l 攻擊者可能在傳輸線路上安裝竊聽(tīng)裝置，竊取網(wǎng)上傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)或賬戶信息，或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性，任何一個(gè)具有網(wǎng)絡(luò)偵聽(tīng)工具的人都可以對(duì)通信進(jìn)行監(jiān)測(cè)；l 通信鏈路上的中間人攻擊，將導(dǎo)致兩個(gè)節(jié)點(diǎn)之間的所有通信內(nèi)容被非法的第三方截獲和篡改；l 局域網(wǎng)用戶隨意更改物理地址或盜用他人的物理地址來(lái)進(jìn)行網(wǎng)絡(luò)活動(dòng)，將會(huì)給訪問(wèn)控制、網(wǎng)絡(luò)審計(jì)等帶來(lái)麻煩；這些都將對(duì)信息數(shù)據(jù)構(gòu)成嚴(yán)重安全威脅。下面分別對(duì)國(guó)家XX局外網(wǎng)的主干通訊網(wǎng)絡(luò)、不同的網(wǎng)絡(luò)區(qū)域以及區(qū)域邊界分別進(jìn)行網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn)分析。物理層面存在的安全風(fēng)險(xiǎn)具體如下：l 機(jī)房為新建，尚未建立起機(jī)房安全管理制度；l 尚未指定專(zhuān)職的機(jī)房管理員和機(jī)房職守人員；l 尚未建立來(lái)訪人員的批準(zhǔn)、限制和監(jiān)控程序以及監(jiān)控人員；l 尚未建立介質(zhì)管理制度；l 尚未建立機(jī)房基礎(chǔ)實(shí)施的運(yùn)行維護(hù)管理制度和流程，未明確相關(guān)工作責(zé)任人；l 此外，政府網(wǎng)站系統(tǒng)采用了托管方式，基礎(chǔ)實(shí)施安全取決于托管機(jī)房的安全防護(hù)水平和管理水平。為了全面地對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析和歸類(lèi)，參考信息資產(chǎn)的分類(lèi)，對(duì)安全風(fēng)險(xiǎn)將從物理（主要指設(shè)備運(yùn)行故障帶來(lái)的安全風(fēng)險(xiǎn)）、網(wǎng)絡(luò)（主要指?jìng)鬏斁€路、網(wǎng)絡(luò)設(shè)備方面存在的安全風(fēng)險(xiǎn)）、系統(tǒng)（主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、通用應(yīng)用平臺(tái)系統(tǒng)方面存在的安全風(fēng)險(xiǎn)）、應(yīng)用（主要指實(shí)現(xiàn)業(yè)務(wù)的專(zhuān)有應(yīng)用系統(tǒng)自身及應(yīng)用交互過(guò)程中的安全風(fēng)險(xiǎn)）、數(shù)據(jù)（主要指威脅到信息數(shù)據(jù)的安全風(fēng)險(xiǎn)）、管理（主要指網(wǎng)絡(luò)和系統(tǒng)管理不善帶來(lái)的安全風(fēng)險(xiǎn)）六個(gè)層面進(jìn)行。信息系統(tǒng)名稱安全保護(hù)等級(jí)業(yè)務(wù)信息安全等級(jí)系統(tǒng)服務(wù)安全等級(jí)國(guó)家XX局繼續(xù)教育管理系統(tǒng)第二級(jí)第二級(jí)第二級(jí)表3 系統(tǒng)安全保護(hù)等級(jí)矩陣表通過(guò)上述的分析過(guò)程，最終確定繼續(xù)教育管理系統(tǒng)的定級(jí)為2級(jí)，且對(duì)應(yīng)等級(jí)保護(hù)要求選擇措施為：S2A2G2 外網(wǎng)安全風(fēng)險(xiǎn)分析信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的安全屬性（保密性、完整性和可用性等）遭到破壞的可能性。系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表（三）安全保護(hù)等級(jí)的確定信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定。系統(tǒng)服務(wù)安全等級(jí)的確定信息系統(tǒng)服務(wù)安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、公共利益類(lèi)。系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體侵害程度的確定該系統(tǒng)為國(guó)家XXX行業(yè)繼續(xù)教育管理的業(yè)務(wù)系統(tǒng)，當(dāng)遭到破壞時(shí)將對(duì)國(guó)家XXX行業(yè)繼續(xù)教育管理工作的順利進(jìn)行造成一定的損害。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表1 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定系統(tǒng)服務(wù)描述該系統(tǒng)主要服務(wù)于全國(guó)XXX行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案工作，同時(shí)提供學(xué)分證書(shū)查詢服務(wù)。業(yè)務(wù)信息安全等級(jí)的確定業(yè)務(wù)信息安全受到破壞時(shí)，受到影響的客體是社會(huì)秩序、公共利益類(lèi)。業(yè)務(wù)信息受到破壞后對(duì)侵害客體侵害程度的確定該信息系統(tǒng)受到破壞時(shí)，可能會(huì)導(dǎo)致國(guó)家XXX行業(yè)繼續(xù)教育及培訓(xùn)申報(bào)數(shù)據(jù)及學(xué)分、證書(shū)信息的泄漏和篡改，影響國(guó)家XXX行業(yè)繼續(xù)教育管理工作的有序開(kāi)展。業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定該系統(tǒng)為XXX繼續(xù)教育相關(guān)機(jī)構(gòu)及社會(huì)公眾提供服務(wù)，主要承擔(dān)著全國(guó)XXX行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案任務(wù)，同時(shí)提供學(xué)分證書(shū)查詢服務(wù)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過(guò)程中，分別從業(yè)務(wù)信息安全和信息系統(tǒng)服務(wù)安全兩方面評(píng)定對(duì)客體的侵害程度，確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。二、國(guó)家XX局繼續(xù)教育管理系統(tǒng)安全保護(hù)等級(jí)確定國(guó)家XX局繼續(xù)教育管理系統(tǒng)受到破壞時(shí)，對(duì)信息安全的危害方式表現(xiàn)為對(duì)其業(yè)務(wù)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞。國(guó)家XX局的維護(hù)工作人員通過(guò)網(wǎng)絡(luò)登陸后臺(tái)、維護(hù)信息及數(shù)據(jù)。繼續(xù)教育管理系統(tǒng)部署在國(guó)家XX局機(jī)房的HP 服務(wù)器上，通過(guò)外網(wǎng)局域網(wǎng)供醫(yī)藥管理局局機(jī)關(guān)外網(wǎng)用戶訪問(wèn)，通過(guò)互聯(lián)網(wǎng)供全國(guó)XXX繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)單位、管理單位及社會(huì)公眾訪問(wèn)。根據(jù)表3，最終確定該系統(tǒng)的安全保護(hù)等級(jí)為第二級(jí)。侵害程度為一般損害，根據(jù)表2，確定該系統(tǒng)的信息系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)。根據(jù)系統(tǒng)的重要性，確定其侵害程度為一般損害。系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定該系統(tǒng)為國(guó)家XX局“十一五”重點(diǎn)YYY服務(wù)信息的業(yè)務(wù)系統(tǒng)，受到破壞時(shí)將影響國(guó)家XX局該項(xiàng)服務(wù)工作的開(kāi)展，因此，所侵害的客體為社會(huì)秩序和公共利益類(lèi)。侵害程度為一般損害，根據(jù)表1，確定該系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)。因此確定其侵害程度為一般損害。當(dāng)信息系統(tǒng)受到破壞時(shí)，將主要影響社會(huì)公眾對(duì)重點(diǎn)信息的獲取和使用，并影響國(guó)家XX局相關(guān)職能的正常履行，因此，所侵害的客體為社會(huì)秩序和公共利益類(lèi)。（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定業(yè)務(wù)信息描述該系統(tǒng)的主要業(yè)務(wù)信息為國(guó)家XX局“十一五”重點(diǎn)YYY項(xiàng)目的SSS信息和TTT信息。其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。國(guó)家XX局信息辦承擔(dān)著“十一五”重點(diǎn)YYY系統(tǒng)的安全保護(hù)責(zé)任?！笆晃濉敝攸c(diǎn)YYY系統(tǒng)由一臺(tái)服務(wù)器組成，數(shù)據(jù)庫(kù)與系統(tǒng)服務(wù)器安裝部署在同一臺(tái)HP服務(wù)器上。信信息系統(tǒng)名稱安安全保護(hù)等級(jí)業(yè)業(yè)務(wù)信息安全等級(jí)系系統(tǒng)服務(wù)安全等級(jí)國(guó)國(guó)家XX局