《系统网络安全等级保护定级报告》由会员分享,可在线阅读,更多相关《系统网络安全等级保护定级报告(12页珍藏版)》请在金锄头文库上搜索。
1、一、 xx 系统描述(一) xx 系统于 20xx 年 x 月 x 日上线,由 xx 公司(以 下 简称“本公司”)自主研发和维护。 xx 公司为 xx 系统 定级的责任单位。二) xx 系统通过K12 院校及培训机构APP 客户端为国内师生提供基于移动互联网方式的智慧教育及管理服务,提 供教学 资源、测试习题、教学管理、在线课程等内容和工具为学 校解决 智慧教学的核心需求。目前该系统由本公司运维部负责运 维工作, 本公司是该信息系统业务的主要负责机构, 该信息 系统业务 主要包含:用户信息管理、平台内容管理、课堂教学管 理、在线 课程学习、数据采集分析、增值服务购买支付等业务。系 统针对 业
2、务实现的差异分别提供实时联机处理和批量处理两种方式。 其中: 通过网络与第三方支付平台的连接, 均采用约定好 的报文格式进行通讯,业务处理流程实时完成。(三)业务处理系统以学校内部集中结构模式, 负 责各学校教学环节的业务处理,包括与第三方实时连接、接口协议 转换、非实时批量数据的采集分析、业务处理逻辑的实现等。XX 系统选用了阿里云提供的 IAAS 服务,核心业务区与外界网络 互联的边界设备采用了阿里云的云防火墙(高级版),核心业务 区部署X 台阿里云ECS 服务器,每台ECS 服务器安装了云安全中心(企XX 系统使用阿里云的 RDS 数据库作为业务数据中核心业务区的运维操作只能由该运维终端
3、进 行, 日6 个月的原始操作日志供回溯分 析。国ME 网缩拓扑图Q H Q Q . QQQQ H!ECSVW xx 系统安全保护等级的确定 业务信息安全保护等级的确定1、业务信息描述xx 公司是为国内学校提供智慧化教学解决方案的教 育高科xx 系统主要通过提供教学资源、测试习 题、教在线课程等内容和工具满足学校教学核心需求, 业务信xx 多 个班级正在使用课堂教学管理服务,共上线发布 xx 门精 品在线 课程, 每日购课人数达xx人, 系统累计注册学生用户数量xx 万xx 条,日活跃用户 xx条,老师用户数量人,每日产生近 xx 万 条教学活动数据信息及购买服务支付信息,每年可增加XX 万条
4、 业务数据。2、业务信息受到破坏时所侵害客体的确定 侵害的客观方面表现为: 一旦 XX 系统的业务信息遭 到入侵、修改、增加、删除等侵害,将使XX系统服务范围内的各个 K12院校、各类教育机构以及本公司的权益受到侵害,如 XX 系统面 向各个院校打造的教学活动数据平台,教研备课、课堂教 学、课后作业、考试测评、在线学习等业务数据,最终形成了教学活动 数据, 一旦这些信息遭到破坏或泄露, 将会导致学校无 法进行正常的教学活动,侵害老师和学生的合法权益。同时也会对公共教教材配套育资源和用户信息造成侵害,如 XX 系统面向各个院校、 各类教 育机构提供了教育资源数据平台,数字资源、公共数字 教育资源
5、、公共在线题库、公共在线课程、用户在线支付 记录等业务数据,育资源数据最终形成了公共教 一旦这些信息遭到破坏或泄露, 会造成较大范围的社会不良影响和较大程度 的公共利益的损害。综上,以上业务信息遭到破坏后,所侵害的客 体是公民、 法人和其他组织的合法权益,同时也侵害社会秩序 和公共利益但不损害国家安全。客观方面表现的侵害结果为: 1 可以对公民、 法人和其他组织的合法权益造成侵害 (影响正常工 作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可 以对社会秩序公共利益造成侵害 (造成社 会不良影响, 引起公共利益的损害等)。根据定级指南的要求,出现上述两个 侵害客体时,优先考虑社会
6、秩序和公共利益,另外一个不做考 虑。3、信息受到破坏后对侵害客体的侵害程度 业务数据遭到破坏将侵害学校、 老 师和学生的合法权益, 公共教育资源数据遭到破坏将较大程度地侵害公共利益。上述结 果的侵害程度表现为:1 对公民、法人和其他组织的合法权益造成严重损害, 即日常教学活动受到 严重影响 , 智慧化教学和自主式学习效果显著下降,造成 较大范围 的不良影响 等;2 对社会秩序和公共利益造成严重损害 , 即会出现 较大范围的公共教育资源数据的损害和较大程度 的老师、学生用户信息的泄露等。4、确定业务信息安全等级查定级指南表2 知,由于侵害的客体有两个,侵 害的程度也有两个,则业务信息安全保护等级
7、为第三级。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级二) 系统服务安全保护等级的确定1、系统服务描述该系统属于为K12教育提供的基于移动互联网的智慧教学和自主学习信息系统,各大院校、各类教育机构以其服务范围为及广大院校师生,为用户提供平台内容建设、课堂教学管 理、在线课程学习等服务,学校和机构可以管理和获取教育内容 资源、组织各种教学活动、 进行各项教学数 据分析, 老师和学生可进行 在线教学和在线学习。为确保 xx 系统的服务质量,本 公司为客7X
8、 24小时不随时可处理各种户提供了 间断的应急响应服务 突 发状况。2、系统服务受到破坏时所侵害客体的确定侵害的客观方面表现为: xx 系统服务遭到破坏 后,将会侵害学校、 老师和学生的合法权益。 由于服务范围内的 院校需要使 用 xx 系统进行课堂教学管理, 当系统受到侵害并导致 服务中断, 将破坏正常的教学秩序,损害学校、老师和学生的合法权 益。学 生需要使用 xx 系统进行在线课程的自主学习,如果系统 因受到 破坏,学生的合法权益也将被侵害。另外, xx 系统还为 合作院校提供国家精品在线课程的平台发布服务和教材配套数字 资源的平台管理服务, 一旦服务遭到破坏而中断,将出现较大范围的社会
9、不良影响和较大程度的公共利益的损害。 发生上述 侵害的同时,也给本公司的利益带来严重的侵害。综上,客观方面 表现的侵害结果为:当系统服务中断后, xx 系统的教学活动数 据平台 和公共教育资源数据平台的处理能力将会下降或无法进 行, 无法 正常对学校、 机构和个人提供服务, 直接影响教学相关业务的效率,所侵害的客体是公民、法人和其他组织的合法权益。 同时也 将导致国家精品在线课程等公共教育服务无法正常进行 所侵 害优先考另外一上述两个侵害客体时, 虑社会秩序和公共利益 个 不做考虑。3、系统服务受到破坏后对侵害客体的侵害程度当 xx 系统服务受到破坏后,将给服务范围内各个院 校的教学工作带来困
10、扰, 线课程的自主学习, 堂教学秩序和效率, 导致国家精品在线课程 数影响学生在影响院校课同时也将教材配套字资源等公共教育服务无法正常进行。 上述结果的侵害 程度表现 为: 1 对公民、法人和其他组织的合法权益造成 严重损害 ,即智 慧化教学和自主式学习受到 严重影响 , 教学活动数 据平台和教育资源数据平台的业务能力显著下降, 引 起 较严重 的教学事故, 造成 较大范围 的不良影响等; 2 对 社会秩序和公共利益造成 严重 损 害 , 即会出现 较大范围 的公共教育服务的中断和较 大程度的服务范围内的院校利益的损害等。4、确定系统服务安全等级查定级指南表3 知,由于侵害的客体有两个,侵 害的程度也有两个,则系统服务安全保护等级为第三级。对相应各体的侵害程度系统服务被破坏时所侵害的客体公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级安全保护等级的确定安等级的较高者决定。因此, xx 系统网络安全保护等 级为第三级。信息系统名称安全保护等级业务信息安全等级系统服务安全等级XX系统第三级第三级第三级
