网络安全等级保护定级报告
一、xx系统描述
(一)xx系统于20xx年x月x日上线,由xx公司(以下简称“本公司”)自主研发和维护。xx公司为xx系统定级的责任单位。
(二)xx系统通过APP客户端为国内K12院校及培训机构师生提供基于移动互联网方式的智慧教育及管理服务,提供教学资源、测试习题、教学管理、在线课程等内容和工具为学校解决智慧教学的核心需求。目前该系统由本公司运维部负责运维工作,本公司是该信息系统业务的主要负责机构,该信息系统业务主要包含:用户信息管理、平台内容管理、课堂教学管理、在线课程学习、数据采集分析、增值服务购买支付等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。
(三)业务处理系统以学校内部集中结构模式,负责各学校教学环节的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集分析、业务处理逻辑的实现等。xx系统选用了阿里云提供的IAAS服务,核心业务区与外界网络互联的边界设备采用了阿里云的云防火墙(高级版),核心业务区部署了x台阿里云ECS服务器,每台ECS服务器安装了云安全中心(企业版),xx系统使用阿里云的RDS数据库作为业务数据中心,同时配备了数据库审计(高级版),运维区部署了运维终端和日志审计服务,核心业务区的运维操作只能由该运维终端进行,日志审计服务可记录不少于6个月的原始操作日志供回溯分析。
二、xx系统安全保护等级的确定
(一)业务信息安全保护等级的确定
1、业务信息描述
xx公司是为国内学校提供智慧化教学解决方案的教育高科技企业,旗下的xx系统主要通过提供教学资源、测试习题、教学管理、在线课程等内容和工具满足学校教学核心需求,业务信息包含:用户信息(用户名、手机号码等)、学校班级信息、教学活动数据信息、在线课程信息、服务购买支付信息等。xx多个班级正在使用课堂教学管理服务,共上线发布xx门精品在线课程,每日购课人数达xx人,系统累计注册学生用户数量xx万条,老师用户数量xx条,日活跃用户xx人,每日产生近xx万条教学活动数据信息及购买服务支付信息,每年可增加xx万条业务数据。
2、业务信息受到破坏时所侵害客体的确定
侵害的客观方面表现为:一旦xx系统的业务信息遭到入侵、修改、增加、删除等侵害,将使xx系统服务范围内的各个K12院校、各类教育机构以及本公司的权益受到侵害,如xx系统面向各个院校打造的教学活动数据平台,教研备课、课堂教学、课后作业、考试测评、在线学习等业务数据,最终形成了教学活动数据,一旦这些信息遭到破坏或泄露,将会导致学校无法进行正常的教学活动,侵害老师和学生的合法权益。同时也会对公共教育资源和用户信息造成侵害,如xx系统面向各个院校、各类教育机构提供了教育资源数据平台,教材配套数字资源、公共数字教育资源、公共在线题库、公共在线课程、用户在线支付记录等业务数据,最终形成了公共教育资源数据,一旦这些信息遭到破坏或泄露,会造成较大范围的社会不良影响和较大程度的公共利益的损害。综上,以上业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害。客观方面表现的侵害结果为:1可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);2可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、信息受到破坏后对侵害客体的侵害程度
业务数据遭到破坏将侵害学校、老师和学生的合法权益,公共教育资源数据遭到破坏将较大程度地侵害公共利益。上述结果的侵害程度表现为:1对公民、法人和其他组织的合法权益造成严重损害,即日常教学活动受到严重影响,智慧化教学和自主式学习效果显著下降,造成较大范围的不良影响等;2对社会秩序和公共利益造成严重损害,即会出现较大范围的公共教育资源数据的损害和较大程度的老师、学生用户信息的泄露等。
4、确定业务信息安全等级
查《定级指南》表2知,由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第三级。
| 业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 第三级 | 第四级 | 第五级 | |
1、系统服务描述
该系统属于为K12教育提供的基于移动互联网的智慧教学和自主学习信息系统,其服务范围为各大院校、各类教育机构以及广大院校师生,为用户提供平台内容建设、课堂教学管理、在线课程学习等服务,学校和机构可以管理和获取教育内容资源、组织各种教学活动、进行各项教学数据分析,老师和学生可进行在线教学和在线学习。为确保xx系统的服务质量,本公司为客户提供了7×24小时不间断的应急响应服务,随时可处理各种突发状况。
2、系统服务受到破坏时所侵害客体的确定
侵害的客观方面表现为:xx系统服务遭到破坏后,将会侵害学校、老师和学生的合法权益。由于服务范围内的院校需要使用xx系统进行课堂教学管理,当系统受到侵害并导致服务中断,将破坏正常的教学秩序,损害学校、老师和学生的合法权益。学生需要使用xx系统进行在线课程的自主学习,如果系统因受到破坏,学生的合法权益也将被侵害。另外,xx系统还为合作院校提供国家精品在线课程的平台发布服务和教材配套数字资源的平台管理服务,一旦服务遭到破坏而中断,将出现较大范围的社会不良影响和较大程度的公共利益的损害。发生上述侵害的同时,也给本公司的利益带来严重的侵害。综上,客观方面表现的侵害结果为:当系统服务中断后,xx系统的教学活动数据平台和公共教育资源数据平台的处理能力将会下降或无法进行,无法正常对学校、机构和个人提供服务,直接影响教学相关业务的效率,所侵害的客体是公民、法人和其他组织的合法权益。同时也将导致国家精品在线课程等公共教育服务无法正常进行,所侵害的客体是社会秩序和公共利益。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
3、系统服务受到破坏后对侵害客体的侵害程度
当xx系统服务受到破坏后,将给服务范围内各个院校的教学工作带来困扰,影响学生在线课程的自主学习,影响院校课堂教学秩序和效率,同时也将导致国家精品在线课程、教材配套数字资源等公共教育服务无法正常进行。上述结果的侵害程度表现为:1对公民、法人和其他组织的合法权益造成严重损害,即智慧化教学和自主式学习受到严重影响,教学活动数据平台和教育资源数据平台的业务能力显著下降,引起较严重的教学事故,造成较大范围的不良影响等;2对社会秩序和公共利益造成严重损害,即会出现较大范围的公共教育服务的中断和较大程度的服务范围内的院校利益的损害等。
4、确定系统服务安全等级
查《定级指南》表3知,由于侵害的客体有两个,侵害的程度也有两个,则系统服务安全保护等级为第三级。
| 系统服务被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 第三级 | 第四级 | 第五级 | |
网络安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。因此,xx系统网络安全保护等级为第三级。
| 信息系统名称 | 安全保护等级 | 业务信息安全等级 | 系统服务安全等级 |
| xx系统 | 第三级 | 第三级 | 第三级 |
