二、XXX系统安全保护等级的确定.docVIP

信息系统安全等级保护定级报告 （倾斜文字是要求，写正式报告后删除） 一、XXX系统描述 （一）该系统于XX年XX月XX日由XX部门立项，XXX公司研发。目前该系统由XXX公司负责运行维护。XXX部门是该信息系统业务的主管部门和责任单位。 【基本要素】 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对XXX业务信息进行采集、加工、存储、传输、检索等处理的人机系统。 【系统网络结构】 {要求：1、网络结构图 2、对网络结构中关键产品的部署情况进行描述，注明品牌和型号，主要包括下列产品： （1）安全专用产品类型：指根据《计算机信息系统安全专用产品检测和销售许可证管理办法》规定，用于保护计算机信息系统安全的专用硬件和软件产品，主要包括：扫描类产品（包括入侵检测、防御等产品），防雷产品，防火墙，数据完整类（包括身份认证、访问控制、签章、指纹识别等），网络安全（包括网吧安全管理、审计产品等），病毒产品等。 （2）网络产品类型：是指除上述安全产品外的其它网络产品，主要包括：路由器、网关、网闸等。 （3）操作系统：常见的有Windows系列，Linux系列，Unix系列等； （4）数据库：常见的数据库软件有Oracle、Sybase、DB2、SQL server 、Access、MySQL、BD2等； （5）服务器：又叫主机。主要是为信息系统集中提供各种类型服务的主机。} 如下实例为： 在数据中心的核心设备部署了华为的XXXX（型号）三层交换机，…… 在数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 数据中心网络中剩下的一部分就是与下面各个县市的互联。其中主要设备部署的是……整个数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。 【系统边界和边界设备】 {要求：描述整个信息系统的网络边界关键设备部署情况} 如下实例： 整个信息系统的网络边界部署天融信天融信 【业务情况描述】 {要求：对系统的主要功能进行描述，如有与其他行业和部门系统存在数据交换的，必须要注明。} 实例； 1---扬州信息安全等级保护网：该网站主要是向社会单位宣传国家信息安全等级保护制度，发布国家信息安全法规政策和信息安全标准规范，实现信息安全工作信息公开，加强信息安全服务机构备案管理，搭建信息网络安全专业技术人员继续教育学习平台，促进市等保办与各单位之间信息安全交流与互动。 2---教育系统的教务管理系统：该系统业务主要包含教学计划、教学资源、网上选课、课表编排、学生学籍、学生成绩、考试事务、实践教学、实验教学、教学考评、教材管理与系统管理十二个方面，基于校园网/互联网为教学工作提供先进、实用的信息化管理手段，为学生、教师教辅人员及管理人员提供简便、快捷的网络化信息服务。 3--该系统业务主要包含移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、XXX系统安全保护等级的确定 {信息系统安全保护等级由业务信息和系统服务两个层次的安全等级之中的较高中决定；} （一）业务信息安全保护等级的确定 1、业务信息描述 【处理的主要业务数据情况】 例1----扬州信息安全等级保护网为例：该网站主要处理的业务信息包括工作公开信息、国家法规政策和标准规范、等级测评与风险评估申请、信息安全等级保护专家评审申请、网络与信息安全信息通报、网络违法犯罪举报平台、信息网络安全专业继续教育培训、安全服务机构管理、工具资料下载等等信息。 例2---该系统处理的信息主要包括：代收费情况信息，缴费公民、法人和其他组织的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。 2、业务信息受到破坏时所侵害客体的确定 “涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。” 【信息受到破坏时，侵害的客体】 （侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他