首页 →文档下载

以下为《《信息系统安全等级保护定级报告》》的无排版文字预览，完整内容请下载

《信息系统安全等级保护定级报告》

一、门户网站系统描述

（一）门户网站系统作为医院对外的信息发布渠道，方便社会大众了解淮南东方医院集团总院的各项情况。该系统由**_*开发，于2019年投入使用并由**_*托管运维，对该系统具有信息安全保护责任。淮南东方医院集团是该系统的主管单位以及定级的责任单位。

（二）网站系统部署于阿里云华东2（上海）机房内云服务器，该系统为B/S架构，安全配置采用了云防火墙，主动防御、实时漏洞检测、报警（windows服务器系统漏洞、WEB-CMS漏洞、应急漏洞）、对安全漏洞可进行云端自动修复以及人工跟进修复，系统配备有阿里云原生DDos防护功能，通过配置安全组启动访问控制策略，实现对数据保护与隔离；日志系统对网站的访问、系统运行的记录进行收集与分析，为系统提供完善的安全诊断、维护、管理功能。系统部署应用服务器以及数据库服务器等，对整个系统中的数据进行存储与处理，提供系统核心业务的支撑。

系统每日自动快照异地备份，可随时恢复指定日期的快照节点备份。

门户网站系统网络拓扑图所示，主要包括：外联接入区、核心区、服务器区、运维管理区和办公区。

1、网络环境

门户网站系统与外部网络的边界清晰，边界处部署下一代防火墙并配置相应的访问控制策略，为系统提供DDoS防御、病毒防护、入侵防护等防护，通过数据分析处理，将事件日志分类、整合，提供潜在威胁的预警。

2、计算环境

系统的计算环境主要包括应用服务器、数据库服务器，配置相应安全防护策略实现系统数据安全。

该系统承担淮南东方医院集团东方总院对外公开信息服务。向公众提供医院信息、通知公告、专家科室信息、体检预防保健信息在线查询以及专家门诊、出诊告知、检验检查指南等信息。

系统不与医院内部进行任何敏感数据交换，且系统不涉及任何敏感信息存储。

二、门户网站系统网络安全保护等级确定（定级方法参见《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

（一）业务信息安全保护等级的确定

1、业务信息描述

系统所涉及的信息包括对外信息和内部管理信息：对外信息主要有医院介绍信息，如医院概况信息、科室信息、专家信息、领导信息、医疗设备介绍信息、友情链接信息等；公众服务信息，如就医指南信息、医学科普知识信息、网上服务信息。内部管理信息主要有管理员基本信息、科室基本信息、人员详细信息、角色权限分配信息、系统基本参数信息、公用代码和公用基础数据资料等。

2、业务信息受到破坏时所侵害客体的确定

该信息受到破坏时，所侵害的客体社会秩序和公众利益。

侵害的客观方面表现为：

（1）如果门户网站管理员、科室部门、人员角色权限信息等被恶意修改或删除后，相关职能部门如院办无法正常维护网站相关新闻发布模块，会严重阻碍行使该工作职能，导致医院业务能力受到一定程度影响；

（2）如果对外发布的本单位介绍信息，如科室信息、专家信息被修改或删除，可能会导致公众无法准确得知本单位公开信息等，影响社会成员获取公开信息的合法权益，对公共利益造成一定的损害；如因不良、虚假医疗相关资讯信息、就医指南信息等被发布传播，可能导致与拟就医患者的纠纷，容易造成一定范围内的社会不良影响，对本单位造成严重的名誉损害。

（3）如果其他各系统链接接口、友情单位链接接口地址被篡改，指向恶意网站，则会对公众利益造成安全隐患，医院业务可能因此受到一定影响，对本单位名誉和社会形象造成损害；

（4）如果信息数据被恶意窃取和对外公布，容易产生财产数据损失以及相关安全隐患，对本单位的合法利益造成极大影响。

3、信息受到 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 客体以及侵害程度确定系统服务安全等级为第三级。

系统服务被破坏时所侵害的客体

对相应客体的侵害程度





一般损害

严重损害

特别严重损害



公民、法人和其他组织的合法权益

第一级

第二级

第二级



社会秩序、公共利益

第二级

第三级

第四级



国家安全

第三级

第四级

第五级



（三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定门户网站系统网络安全保护等级为第三级。

信息系统名称

安全保护等级

业务信息安全等级

系统服务安全等级



门户网站系统

第三级

第三级

第三级





[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《《信息系统安全等级保护定级报告》》的无排版文字预览，完整内容请下载

《信息系统安全等级保护定级报告》由用户“差你i”分享发布，转载请注明出处 回顶部 | 首页 | 电脑版 | 举报反馈 更新时间2021-10-04 13:33:58