门户网站系统等级保护定级报告

一、 门户网站系统描述

（一）XXXXXX门户网站系统由XXXXXX有限公司进行开发，于2016年3月正式上线。目前该系统由XXXXXX信息中心负责运行维护。XXXXXX是该系统的主管部门，同时也是该信息系统定级的责任单位。

（二）XXXXXX门户网站系统是一个对外发布的综合平台，系统的计算机及其相关的网络及安全设备按照系统功能和安全运行的要求进行实施部署。整个网络分为两部分，第一部分为核心交换区，第二部分为服务器区域，核心业务系统部署在服务器交换区，服务器区域汇聚交换机与核心交换三层互联，集中进行安全管控。

XXXXXX本地数据中心核心设备部署了H3C S5700核心交换机，核心交换机前分别部署1台天融信负载均衡，1台天融信防火墙，1台绿盟IDS，1台上网行为管理，核心交换机与行为管理之间串联1台镜像交换机，镜像交换机旁路部署1台网络审计设备。在服务器区域部署了H3C E552服务器交换机。服务器区域与核心交换机之间部署一台绿盟WAF。

（三）XXXXXX门户网站系统部署在本单位机房中。该信息系统业务主要包含：发布政务信息、宣传xxxx信息工作、与公众进行互动交流、面向社会公众和企业提供信息化服务。

二、 门户网站系统安全保护等级的确定

（一） 业务信息安全保护等级的确定

1、业务信息描述

XXXXXX门户网站是发布政务信息、宣传XXXXXX工作、与公众进行互动交流的重要网络平台，也是面向社会公众和企业提供信息化服务的重要平台和窗口。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。

侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度

XXXXXX门户网站系统受到破坏后会对公民、法人和其他组织的合法权益造成严重损害，影响正常工作的开展，导致业务能力下降，造成不良影响等。

4、确定业务信息安全等级

查《定级指南》表2知，业务信息安全保护等级为第二级。

业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 对相应客体的侵害程度 一般损害 第一级 第二级 严重损害 第二级 第三级 特别严重损害 第二级 第四级 第三级 第四级 第五级

（二） 系统服务安全保护等级的确定

1、系统服务描述

该系统是XXXXXX发布政务信息、宣传XXXXXX工作、与公众进行互动交流的重要网络平台，是XXXXXX面向社会公众和企业提供信息化服务的重要平台和窗口，其服务范围是社会全体公众和企业。

2、系统服务受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度

上述结果的程度表现为：对公民、法人和其他组织的合法权益造成严重损害，会出现有限的社会不良影响和公共利益的损害等。

4、确定系统服务安全等级

查《定级指南》表3知，由于侵害的客体有两个，侵害的程度也有两个，则业务信息安全保护等级为第二级。

系统服务被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 对相应客体的侵害程度 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级

（三） 安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。所以，XXXXXX门户网站系统安全保护等级为第二级。

信息系统名称 安全保护 等级 XXXXXX门户网站系统 第二级 业务信息 安全等级 二 系统服务 安全等级 二 因此，该系统的安全防护等级为S2A2G2。