门户网站系统安全等级保护定级报告.docxVIP

X网站系统 安全等级保护等级报告  X门户网站系统描述 （一）信息系统责任单位 X门户网站系统是面向社会公众用户开放的实时综合性教育门户网站，是X行政部门推行信息公开工作的重要途径。网站系统为社会公众提供教育新闻资讯，为社会公众提供网上办事、便民问答、交流互动等服务，也是为广大师生提供教育资源的便捷通道。 X门户网站系统平台是由XX信息技术推广部负责日常运维和管理工作，XX信息技术推广部有健全的领导组织架构和规范的工作管理制度，信息安全主管通过信息安全管理部门对信息安全工作人员进行工作分配和工作职责划分。信息安全工作人员依据《网站安全管理制度》和《网站安全事件报告和处理制度》等管理规范对网站管理工作进行规范操作，并依据相关管理制度对因违反制度规定造成的信息安全责任事故对相关责任人进行追究。 （二）信息系统基本情况 系统特征情况 整个网站系统部署在电信张江机房，机房有专人负责并建立有完善的机房管理制度，机房提供不间断电源、恒温、恒湿，四防工作到位。网络层采用网神硬件防火墙，网站服务器外围采用WAF Web应用防护设备，应用服务器和数据库服务器独立分离，并安装最新版本的Mcafee病毒防护系统；网站程序有严格的字符过滤功能，能有效防止SQL注入和跨站脚本攻击。 系统网络结构 系统平台主要由网络设备、安全设备、流控设备、主机服务器组成，4台网站服务器划分在服务器专用的VLAN内，并有网站服务器备份设备。服务器前端设置有web防火墙和服务器区网络防火墙，设置相应的安全策略对网站系统提供安全防护。交换机和路由器都有主备冗余，增强了系统平台的稳定、可靠性。出口防火墙使用主备冗余，并且设置相应的安全策略，抵御互联网的第一层网络攻击。流控设备能有效的监控和控制内网设备的出口流量，能为门户网站服务器提供稳定的带宽。 网络边界防护 X局门户网站系统部署在X局服务器区内，4台服务器划分在服务器专用vlan中。整个系统网络边界分别部署有外网防火墙、安全审计设备、流控设备、服务器区防火墙及web防火墙设备。网络划分为出口区域、服务器区域、下联用户区域，针对不同网络区域分别部署了相应的安全设备及安全策略。互联网出口使用电信1000M带宽，在外网防火墙及流控设备上配置有相应安全策略。外部访问服务器采用限制端口及用户开放方式。 （三）业务情况描述 门户系统集中了X的相关资讯信息、教育咨询以及X信息公开等数据内容，服务对象主要面向社会公众，是实时性的业务应用。门户系统若停止运行，将造成X门户网无法运行，对X信息公开工作造成严重影响；系统若遭受攻击破坏、信息泄露或域名被劫持等安全威胁时，会造成系统无法正常运行，对社会公众正常生活、公众利益等产生严重影响。  X门户网站系统安全保护等级确定 （一）业务信息安全保护等级确定 业务信息描述 门户网站系统主要负责处理X的相关资讯信息、教育咨询以及X行政部门信息公开等数据内容。 业务信息受到破坏时所侵害客体的确定 业务信息受到破坏时所侵害的客体主要包括：公民、法人和其他组织。 信息系统受到破坏后对侵害客体侵害程度的确定 信息系统受到破坏后，会造成X门户网站平台无法运行，对X信息公开工作造成严重影响，对公民、法人的合法权益造成严重损害。 业务信息安全等级的确定 根据上述业务信息系统遭到破坏时所侵害客体的范围和对侵害客体造成的影响，并依据《信息系统安全保护等级定级指南》，确定X门户网站系统业务信息安全等级为第二级。 （二）系统服务安全保护等级确定 系统服务描述 X门户网站系统主要为社会公众提供网上办事、便民问答、交流互动等服务，也为广大师生提供教育资源共享服务。 系统服务受到破坏时所侵害客体的确定 系统服务受到破坏后所侵害的客体主要包括：公民、法人和其他组织的合法权益。 系统服务受到破坏后对侵害客体侵害程度的确定 门户系统若遭受攻击、信息泄露、域名劫持等破坏后，会对社会公众正常生活、使用者的合法权益等造成严重损害，对社会秩序和公众利益造成一般损害。 系统服务安全等级的确定 根据上述业务信息系统遭到破坏时所侵害客体的范围和对侵害客体造成的影响，并依据《信息系统安全保护等级定级指南》，确定X门户网站系统系统服务安全保护等级为第二级。 （三）安全保护等级确定 依据《信息系统安全保护等级定级指南》，以及X门户网站系统业务系统信息安全和系统服务安全等级定级情况，确定X门户网站系统安全保护等级为第二级。 表1 信息系统定级表 信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级 X门户网站系统 第二级 第二级 第二级