《xx系统网络安全等级保护定级报告.pdf》由会员分享,可在线阅读,更多相关《xx系统网络安全等级保护定级报告.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、xx系统一、xx系统描述(一)20 xx年x月x日上线,由下xx系统于xx公司(以简称“本公司”)自主研发和维护。xx公司为xx系统定级的责任单位。(二)xx系统通过K12院校及培训机构APP客户端为国内师生提供基于移动互联网方式的智慧教育及管理服务,提供教学资源、测试习题、教学管理、在线课程等内容和工具为学校解决智慧教学的核心需求。目前该系统由本公司运维部负责运维工作, 本公司是该信息系统业务的主要负责机构, 该信息系统业务主要包含:用户信息管理、平台内容管理、课堂教学管理、在线课程学习、数据采集分析、增值服务购买支付等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中
2、: 通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。(三)业务处理系统以学校内部集中结构模式, 负责各学校教学环节的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集分析、业务处理逻辑的实现等。xx系统选用了阿里云提供的IAAS服务,核心业务区与外界网络互联的边界设备采用了阿里云的云防火墙(高级版),核心业务区部署x台阿里云ECS服务器,ECS服务器安装了云安全中心每台(企xx系统使用阿里云的RDS数据库作为业务数据中心,核心业务区的运维操作只能由该运维终端进行,日6个月的原始操作日志供回溯分析。xx系统安全保护等级的确定业务信息安全保护等
3、级的确定1、业务信息描述xx公司是为国内学校提供智慧化教学解决方案的教育高科xx系统主要通过提供教学资源、测试习题、教在线课程等内容和工具满足学校教学核心需求, 业务信xx多个班级正在使用课堂教学管理服务,共上线发布xx门精品在线课程, 每日购课人数达人, 系统累计注册学生用户数量条,老师用户数量xxxx万xx条,日活跃用户xx人,每日产生近xx万条教学活动数据信息及购买服务支付信息,每年可增加xx万条业务数据。2、业务信息受到破坏时所侵害客体的确定侵害的客观方面表现为: 一旦xx系统的业务信息遭到入侵、修改、增加、删除等侵害,将使系统服务范围内的各个K12xx院校、各类教育机构以及本公司的权
4、益受到侵害,如xx系统面向各个院校打造的教学活动数据平台,教研备课、课堂教学、课后作业、考试测评、在线学习等业务数据,最终形成了教学活动数据, 一旦这些信息遭到破坏或泄露, 将会导致学校无法进行正常的教学活动,的合法权益。同时也会对公共教侵害老师和学生育资源和用户信息造成侵害,如xx系统面向各个院校、各类教育机构提供了教育资源数据平台,数字资源、公共数字教材配套教育资源、公共在线题库、公共在线课程、用户在线支付记录等业务数据,育资源数据,最终形成了公共教一旦这些信息遭到破坏或泄露, 会造成较大范围的社会不良影响和较大程度的公共利益的损害。综上,以上业务信息遭到破坏后,所侵害的客体是公民、 法人
5、和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现的侵害结果为:1可以对公民、 法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可以对社会秩序公共利益造成侵害会不良影响,引起公共利(造成社益的损害等)。根据定级指南的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。3、信息受到破坏后对侵害客体的侵害程度业务数据遭到破坏将侵害学校、师和学生的合法权益,公老共教育资源数据遭到破坏将较大程度地侵害公共利益。上述结果的侵害程度表现为:1对公民、法人和其他组织的合法权益造成严重损害, 即日常
6、教学活动受到 严重影响, 智慧化教学和自主式学习效果显著下降,造成较大范围等;2对社会秩序的不良影响和公共利益造成严重损害 , 即会出现 较大范围的公共教育资源数据的损害和露等。较大程度的老师、学生用户信息的泄4、确定业务信息安全等级查定级指南表2知,由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第三级。对相应客体的侵害程度业务信息安全被破坏时所侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害第一级第二级第三级严重损害第二级第三级第四级特别严重损害第二级第四级第五级(二) 系统服务安全保护等级的确定1、系统服务描述该系统属于为K12教育提供的基于移
7、动互联网的智慧教学和自主学习信息系统,各大院校、各类教育机构以其服务范围为及广大院校师生,为用户提供平台内容建设、课堂教学管理、在线课程学习等服务,学校和机构可以管理和获取教育内容资源、组织各种教学活动、据分析,老师和学生可进行进行各项教学数在线教学和在线学习。为确保xx系统的服务质量,本公司为客户提供了间断的应急响应服务,突发状况。2、系统服务受到破坏时所侵害客体的确定724小时不随时可处理各种侵害的客观方面表现为:xx系统服务遭到破坏后,将会侵害学校、 老师和学生的合法权益。 由于服务范围内的院校需要使用xx系统进行课堂教学管理, 当系统受到侵害并导致服务中断,将破坏正常的教学秩序,损害学
8、校、老师和学生的合法权益。学生需要使用xx系统进行在线课程的自主学习,如果系统因受到破坏,学生的合法权益也将被侵害。另外,xx系统还为合作院校提供国家精品在线课程的平台发布服务和教材配套数字资源的平台管理服务,坏而中断,将出现较大范围的一旦服务遭到破社会不良影响和较大程度的公共利益的损害。 发生上述侵害的同时,也给本公司的利益带来严重的侵害。综上,客观方面表现的侵害结果为:当系统服务中断后,xx系统的教学活动数据平台和公共教育资源数据平台的处理能力将会下降或无法进行,无法正常对学校、机构和个人提供服务,直接影响教学相关业务的效率,所侵害的客体是公民、法人和其他组织的合法权益。同时也将导致国家精
9、品在线课程等公共教育服务无法正常进行,所侵害上述两个侵害客体时,虑社会秩序和公共利益,个不做考虑。优先考另外一3、系统服务受到破坏后对侵害客体的侵害程度当xx系统服务受到破坏后,将给服务范围内各个院校的教学工作带来困扰,线课程的自主学习,堂教学秩序和效率,导致国家精品在线课程、数影响学生在影响院校课同时也将教材配套字资源等公共教育服务无法正常进行。 上述结果的侵害程度表现为:1对公民、法人和其他组织的合法权益造成 严重损害,即智慧化教学和自主式学习受到据平台和教育严重影响, 教学活动数引2对严重资源数据平台的业务能力显著下降,起 较严重 的教学事故,造成 较大范围的不良影响等;社会秩序和公共利益造成损害 , 即会出现大程度的服务较大范围 的公共教育服务的中断和较范围内的院校利益的损害等。4、确定系统服务安全等级查定级指南表3知,由于侵害的客体有两个,侵害的程度也有两个,则系统服务安全保护等级为第三级。对相应客体的侵害程度系统服务被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益社会秩序、公共利益国家安全第一级第二级第三级第二级第三级第四级第二级第四级第五级安全保护等级的确定安等级的较高者决定。因此,xx系统网络安全保护等级为第三级。信息系统名称xx 系统安全保护等级第三级业务信息安全等级第三级系统服务安全等级第三级