xx系统网络安全等级保护定级报告.docx
《xx系统网络安全等级保护定级报告.docx》由会员分享,可在线阅读,更多相关《xx系统网络安全等级保护定级报告.docx(7页珍藏版)》请在冰点文库上搜索。
xx系统网络安全等级保护定级报告
xx系统
一、xx系统描述
(一)xx系统于20xx年x月x日上线,由xx公司(以下
简称“本公司”)自主研发和维护。
xx公司为xx系统定级的责
任单位。
(二)xx系统通过APP客户端为国内K12院校及培训机构
师生提供基于移动互联网方式的智慧教育及管理服务,提供教学
资源、测试习题、教学管理、在线课程等内容和工具为学校解决
智慧教学的核心需求。
目前该系统由本公司运维部负责运维工
作,本公司是该信息系统业务的主要负责机构,该信息系统业务
主要包含:
用户信息管理、平台内容管理、课堂教学管理、在线
课程学习、数据采集分析、增值服务购买支付等业务。
系统针对
业务实现的差异分别提供实时联机处理和批量处理两种方式。
其
中:
通过网络与第三方支付平台的连接,均采用约定好的报文格
式进行通讯,业务处理流程实时完成。
(三)业务处理系统以学校内部集中结构模式,负责各学校
教学环节的业务处理,包括与第三方实时连接、接口协议转换、
非实时批量数据的采集分析、业务处理逻辑的实现等。
xx系统
选用了阿里云提供的IAAS服务,核心业务区与外界网络互联的
边界设备采用了阿里云的云防火墙(高级版),核心业务区部署
x台阿里云ECS服务器,每台ECS服务器安装了云安全中心(企
xx系统使用阿里云的RDS数据库作为业务数据中心,
核心业务区的运维操作只能由该运维终端进行,日
6个月的原始操作日志供回溯分析。
xx系统安全保护等级的确定
业务信息安全保护等级的确定
1、业务信息描述
xx公司是为国内学校提供智慧化教学解决方案的教育高科
xx系统主要通过提供教学资源、测试习题、教
在线课程等内容和工具满足学校教学核心需求,业务信
xx多
个班级正在使用课堂教学管理服务,共上线发布xx门精品在线
课程,每日购课人数达xx人,系统累计注册学生用户数量xx万
条,老师用户数量xx条,日活跃用户xx人,每日产生近xx万
条教学活动数据信息及购买服务支付信息,每年可增加xx万条
业务数据。
2、业务信息受到破坏时所侵害客体的确定
侵害的客观方面表现为:
一旦xx系统的业务信息遭到入侵、
修改、增加、删除等侵害,将使xx系统服务范围内的各个K12
院校、各类教育机构以及本公司的权益受到侵害,如xx系统面
向各个院校打造的教学活动数据平台,教研备课、课堂教学、课
后作业、考试测评、在线学习等业务数据,最终形成了教学活动
数据,一旦这些信息遭到破坏或泄露,将会导致学校无法进行正
常的教学活动,侵害老师和学生的合法权益。
同时也会对公共教
育资源和用户信息造成侵害,如xx系统面向各个院校、各类教
育机构提供了教育资源数据平台,教材配套数字资源、公共数字
教育资源、公共在线题库、公共在线课程、用户在线支付记录等
业务数据,最终形成了公共教育资源数据,一旦这些信息遭到破
坏或泄露,会造成较大范围的社会不良影响和较大程度的公共利
益的损害。
综上,以上业务信息遭到破坏后,所侵害的客体是公
民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利
益但不损害国家安全。
客观方面表现的侵害结果为:
1可以对公
民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,
导致业务能力下降,造成不良影响,引起法律纠纷等);2可以
对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利
益的损害等)。
根据《定级指南》的要求,出现上述两个侵害客
体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、信息受到破坏后对侵害客体的侵害程度
业务数据遭到破坏将侵害学校、老师和学生的合法权益,公
共教育资源数据遭到破坏将较大程度地侵害公共利益。
上述结果
的侵害程度表现为:
1对公民、法人和其他组织的合法权益造成
严重损害,即日常教学活动受到严重影响,智慧化教学和自主式
学习效果显著下降,造成较大范围的不良影响等;2对社会秩序
和公共利益造成严重损害,即会出现较大范围的公共教育资源数
据的损害和较大程度的老师、学生用户信息的泄露等。
4、确定业务信息安全等级
查《定级指南》表2知,由于侵害的客体有两个,侵害的程
度也有两个,则业务信息安全保护等级为第三级。
业务信息安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
(二)系统服务安全保护等级的确定
1、系统服务描述
该系统属于为K12教育提供的基于移动互联网的智慧教学
和自主学习信息系统,其服务范围为各大院校、各类教育机构以
及广大院校师生,为用户提供平台内容建设、课堂教学管理、在
线课程学习等服务,学校和机构可以管理和获取教育内容资源、
组织各种教学活动、进行各项教学数据分析,老师和学生可进行
在线教学和在线学习。
为确保xx系统的服务质量,本公司为客
户提供了7×24小时不间断的应急响应服务,随时可处理各种突
发状况。
2、系统服务受到破坏时所侵害客体的确定
侵害的客观方面表现为:
xx系统服务遭到破坏后,将会侵
害学校、老师和学生的合法权益。
由于服务范围内的院校需要使
用xx系统进行课堂教学管理,当系统受到侵害并导致服务中断,
将破坏正常的教学秩序,损害学校、老师和学生的合法权益。
学
生需要使用xx系统进行在线课程的自主学习,如果系统因受到
破坏,学生的合法权益也将被侵害。
另外,xx系统还为合作院
校提供国家精品在线课程的平台发布服务和教材配套数字资源
的平台管理服务,一旦服务遭到破坏而中断,将出现较大范围的
社会不良影响和较大程度的公共利益的损害。
发生上述侵害的同
时,也给本公司的利益带来严重的侵害。
综上,客观方面表现的
侵害结果为:
当系统服务中断后,xx系统的教学活动数据平台
和公共教育资源数据平台的处理能力将会下降或无法进行,无法
正常对学校、机构和个人提供服务,直接影响教学相关业务的效
率,所侵害的客体是公民、法人和其他组织的合法权益。
同时也
将导致国家精品在线课程等公共教育服务无法正常进行,所侵害
上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个
不做考虑。
3、系统服务受到破坏后对侵害客体的侵害程度
当xx系统服务受到破坏后,将给服务范围内各个院校的教
学工作带来困扰,影响学生在线课程的自主学习,影响院校课堂
教学秩序和效率,同时也将导致国家精品在线课程、教材配套数
字资源等公共教育服务无法正常进行。
上述结果的侵害程度表现
为:
1对公民、法人和其他组织的合法权益造成严重损害,即智
慧化教学和自主式学习受到严重影响,教学活动数据平台和教育
资源数据平台的业务能力显著下降,引起较严重的教学事故,造
成较大范围的不良影响等;2对社会秩序和公共利益造成严重损
害,即会出现较大范围的公共教育服务的中断和较大程度的服务
范围内的院校利益的损害等。
4、确定系统服务安全等级
查《定级指南》表3知,由于侵害的客体有两个,侵害的程
度也有两个,则系统服务安全保护等级为第三级。
系统服务被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
安全保护等级的确定
安等级的较高者决定。
因此,xx系统网络安全保护等级为第三
级。
信息系统名称
安全保护等级
业务信息安全等级
系统服务安全等级
xx系统
第三级
第三级
第三级
升级会员 