業務系統是企事(shì)業單位中最重要的信息資産之一，直接關系到(dào)企事(shì)業單位的運營和(hé)安全。在網絡安全工(gōng)作(zuò)中，我們通常以業務系統爲對(duì)象開(kāi)展等級保護測評、風(fēng)險評估、滲透測試。因此，對(duì)業務系統進行分級管理(lǐ)，可以幫助企事(shì)業單位确定哪些(xiē)系統需要更高(gāo)的安全級别，并采取相應的措施來(lái)保護敏感數據和(hé)信息。但(dàn)是，基于現(xiàn)實中很(hěn)多企業缺乏專業的網絡安全人員、或人員水(shuǐ)平參差不齊的情況，如果有一種簡便的業務系統分級方法，将可以有效地縮小(xiǎo)水(shuǐ)平差、提高(gāo)工(gōng)作(zuò)效率。

本文(wén)展示的方法是大(dà)數據公司在實踐嘗試過程中總結而出的，從(cóng)後果、範圍、措施等維度将業務系統劃分爲四級，由低(dī)至高(gāo)分别爲L1級、L2級、L3級、L4級。分級方法采用(yòng)以下(xià)四個步驟：

步驟一. 明(míng)确系統被入侵或數據洩漏的後果

第一步考慮該業務系統被惡意攻擊者入侵成功或其中數據洩漏，産生的後果有多影響。這(zhè)個後果同樣分爲四級，由低(dī)至高(gāo)分别爲無影響、輕微、一般、嚴重。按照下(xià)表進行區(qū)分：

步驟二. 明(míng)确系統可被訪問的範圍規模

第二步考慮該業務系統可以被多少人訪問，其規模有多大(dà)。這(zhè)個規模可能(néng)有人會(huì)誤以爲是用(yòng)戶規模，其實不然。用(yòng)戶規模是指已注冊或使用(yòng)該業務系統的真實用(yòng)戶，但(dàn)是這(zhè)裏僅僅指可以通過網絡訪問到(dào)該系統的人數。舉個例子來(lái)說，處于内網中的OA系統，其可訪問的人數肯定沒有處于互聯網中的門(mén)戶系統多，但(dàn)是其用(yòng)戶規模卻要更多。

這(zhè)個範圍規模分爲三級，由低(dī)至高(gāo)分别爲較小(xiǎo)範圍、較大(dà)範圍、超大(dà)範圍。按照下(xià)表進行區(qū)分：

步驟三.初步定級

第三步将根據前兩步明(míng)确的後果和(hé)範圍進行初步定級，其定級方法參考下(xià)表：