1、xxxxx 系统安全等级保护定级报告一、xxxxx 系统描述xxxxx 系统责任主体是 xxxxxxx 科技有限公司,是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。在 xxxxx 系统成功试运营的基础上,建立安全、舒适、便捷的出行监管一体机制,并实现与第三方支付渠道标准软件接口对接,实现订单、结算、统计多元素为一体的综合管理模式。我们致力于为乘客打造快捷、专业的出行 app 平台,提供方便、透明的出行服务。下图为网络信息系统网络拓扑图:xxxxx 系统安全等级保护定级报告一、xxxxx 系统描述xxxxx 系统责任主
2、体是 xxxxxxx 科技有限公司,是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。在 xxxxx 系统成功试运营的基础上,建立安全、舒适、便捷的出行监管一体机制,并实现与第三方支付渠道标准软件接口对接,实现订单、结算、统计多元素为一体的综合管理模式。我们致力于为乘客打造快捷、专业的出行 app 平台,提供方便、透明的出行服务。下图为网络信息系统网络拓扑图:xxxxx 系统安全等级保护定级报告一、xxxxx 系统描述xxxxx 系统责任主体是 xxxxxxx 科技有限公司,是以共享交通出行为主线,以营运管理、乘客服务、
3、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。在 xxxxx 系统成功试运营的基础上,建立安全、舒适、便捷的出行监管一体机制,并实现与第三方支付渠道标准软件接口对接,实现订单、结算、统计多元素为一体的综合管理模式。我们致力于为乘客打造快捷、专业的出行 app 平台,提供方便、透明的出行服务。下图为网络信息系统网络拓扑图:本系统的架构设计遵循如下特点: 采用目前安全性能高,扩展性好,框架技术最为完善 JAVA语言作为系统开发的语言。 采用 SpringMVC 框架技术,使系统能够分层开发,各层之间逻辑分明,层与层之间提供接口方式来实现业务和数据的沟通。让系统具有极
4、强的扩展性。 数据库采用分布式结构,在大量用户高并发的情况下,保证数据 IO 的可扩展性。 LBS 相关实时性要求高的计算,采用 MongoDB 进行快速读取部署,在接入用户数据上升的情况下,利用集群/片区等方式保证扩展性。 基于组件技术,力求将变化封装在组件内部。对应组件可以对外提供 API。 适应能力强,同步、异步都能处理,既能满足快速反映的业务的需求,又能满足大数据量、复杂的、异步的业务的需求。 与 OS、中间件平台、数据库系统无关。 具有很好的可扩展性。模块化使得系统很容易在纵向和水平两个方向拓展:一方面可以将系统升级为更大、更有力的平台,同时也可以适当增加规模来增强系统的网络应用。在
5、扩充或修改功能时,基本不会破坏原有结构的稳定性。 强而可靠的数据库搜索引擎用户端系统用户端主要包括了司机端、乘客端、PC 端三部分构成。司机端及乘客端同时提供了基于主流的 Android 及 IOS 系统打造的移动应用 App,PC 端为 WEB 网站。服务端系统服务端主要包括了五层结构:负载均衡层、应用层、分布服务层、业务逻辑层、数据持久层。负载均衡层接收用户端请求,依据负载策略分发 Request 至应用服务器进行业务处理。应用层接收负载均衡服务器分发的 Request 请求,完成参数验证后,提交相关 Service 服务器处理,并将处理结果通过 Response 反馈给用户端。分布服务层
6、通过 Zookeeper 实现分布式服务部署。业务逻辑层以业务内容为单位提供业务服务,业务服务内容在 Zookeeper注册中心注册,供应用层及业务逻辑层调用。数据持久层持久化存储业务数据。二、xxxxx 系统安全保护等级确定(定级方法参见国家标准信息系统安全等级保护定级指南 )(一)业务信息安全保护等级的确定1、业务信息描述xxxxx 系统的业务信息内容包括:乘客信息:手机号码、昵称、性别、头像;司机信息:机动车驾驶员姓名 、驾驶员手机号、驾驶员性别、出生日期、国籍、驾驶员民族 、驾驶员婚姻状况、驾驶员外语能力、驾驶员学历、户口登记机关名称、户口住址或长住地址、驾驶员通信地址、驾驶员照片、机
7、动车驾驶证号、机动车驾驶证扫描件文件编号、准驾车型、初次领取驾驶证日期、驾驶证有效期限起、驾驶证有效期限止、紧急情况联系人、紧急情况联系人电话、紧急情况联系人通信地址;车辆信息:车辆所在城市、车辆号牌、车牌颜色、核定载客位、车辆厂牌、车辆型号、车辆类型、车辆所有人、车身颜色、发动机号、车辆 VIN 码、车辆注册日期、车辆燃料类型、发动机排量、车辆照片;2、业务信息受到破坏时所侵害客体的确定xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。一旦数据被篡改或被破坏,将对社会秩序和
8、公众利益造成影响。 3、信息受到破坏后对侵害客体的侵害程度的确定本系统存在的信息一旦被破坏或窃取,将对系统正常运行造成影响,导致业务不能正常开展,对社会秩序和公众利益造成严重损害。4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为三级。对相应客体的侵害程度业务信息安全被破坏时所侵害的客体 一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级(二)系统服务安全保护等级的确定1、系统服务描述xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出
9、行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。在 xxxxx 系统成功试运营的基础上,建立安全、舒适、便捷的出行监管一体机制,并实现与第三方支付渠道标准软件接口对接,实现订单、结算、统计多元素为一体的综合管理模式。我们致力于为乘客打造快捷、专业的出行 app 平台,提供方便、透明的出行服务。2、系统服务受到破坏时所侵害客体的确定xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。一旦数据被篡改或被破坏,将对社会秩序
10、和公众利益造成影响。3、系统服务受到破坏后对侵害客体的侵害程度的确定本系统存在的信息一旦被破坏或窃取,将对系统正常运行造成影响,导致业务不能正常开展,对社会秩序和公众利益造成严重损害。4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为三级。对相应客体的侵害程度系统服务安全被破坏时所侵害的客体一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定
11、xxxxx 系统安全保护等级为第三级。信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级本系统的架构设计遵循如下特点: 采用目前安全性能高,扩展性好,框架技术最为完善 JAVA语言作为系统开发的语言。 采用 SpringMVC 框架技术,使系统能够分层开发,各层之间逻辑分明,层与层之间提供接口方式来实现业务和数据的沟通。让系统具有极强的扩展性。 数据库采用分布式结构,在大量用户高并发的情况下,保证数据 IO 的可扩展性。 LBS 相关实时性要求高的计算,采用 MongoDB 进行快速读取部署,在接入用户数据上升的情况下,利用集群/片区等方式保证扩展性。 基于组件技术,力求将变化封装
12、在组件内部。对应组件可以对外提供 API。 适应能力强,同步、异步都能处理,既能满足快速反映的业务的需求,又能满足大数据量、复杂的、异步的业务的需求。 与 OS、中间件平台、数据库系统无关。 xxxxx 系统 三级 三级 三级 具有很好的可扩展性。模块化使得系统很容易在纵向和水平两个方向拓展:一方面可以将系统升级为更大、更有力的平台,同时也可以适当增加规模来增强系统的网络应用。在扩充或修改功能时,基本不会破坏原有结构的稳定性。 强而可靠的数据库搜索引擎用户端系统用户端主要包括了司机端、乘客端、PC 端三部分构成。司机端及乘客端同时提供了基于主流的 Android 及 IOS 系统打造的移动应用
13、 App,PC 端为 WEB 网站。服务端系统服务端主要包括了五层结构:负载均衡层、应用层、分布服务层、业务逻辑层、数据持久层。负载均衡层接收用户端请求,依据负载策略分发 Request 至应用服务器进行业务处理。应用层接收负载均衡服务器分发的 Request 请求,完成参数验证后,提交相关 Service 服务器处理,并将处理结果通过 Response 反馈给用户端。分布服务层通过 Zookeeper 实现分布式服务部署。业务逻辑层以业务内容为单位提供业务服务,业务服务内容在 Zookeeper注册中心注册,供应用层及业务逻辑层调用。数据持久层持久化存储业务数据。二、xxxxx 系统安全保护
14、等级确定(定级方法参见国家标准信息系统安全等级保护定级指南 )(一)业务信息安全保护等级的确定1、业务信息描述xxxxx 系统的业务信息内容包括:乘客信息:手机号码、昵称、性别、头像;司机信息:机动车驾驶员姓名 、驾驶员手机号、驾驶员性别、出生日期、国籍、驾驶员民族 、驾驶员婚姻状况、驾驶员外语能力、驾驶员学历、户口登记机关名称、户口住址或长住地址、驾驶员通信地址、驾驶员照片、机动车驾驶证号、机动车驾驶证扫描件文件编号、准驾车型、初次领取驾驶证日期、驾驶证有效期限起、驾驶证有效期限止、紧急情况联系人、紧急情况联系人电话、紧急情况联系人通信地址;车辆信息:车辆所在城市、车辆号牌、车牌颜色、核定载
15、客位、车辆厂牌、车辆型号、车辆类型、车辆所有人、车身颜色、发动机号、车辆 VIN 码、车辆注册日期、车辆燃料类型、发动机排量、车辆照片;2、业务信息受到破坏时所侵害客体的确定xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。一旦数据被篡改或被破坏,将对社会秩序和公众利益造成影响。 3、信息受到破坏后对侵害客体的侵害程度的确定本系统存在的信息一旦被破坏或窃取,将对系统正常运行造成影响,导致业务不能正常开展,对社会秩序和公众利益造成严重损害。4、业务信息安全等级的确定依据信息受到
16、破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为三级。对相应客体的侵害程度业务信息安全被破坏时所侵害的客体 一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级(二)系统服务安全保护等级的确定1、系统服务描述xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。在 xxxxx 系统成功试运营的基础上,建立安全、舒适、便捷的出行监管一体机制,并实现与第三方支付渠道标准软
17、件接口对接,实现订单、结算、统计多元素为一体的综合管理模式。我们致力于为乘客打造快捷、专业的出行 app 平台,提供方便、透明的出行服务。2、系统服务受到破坏时所侵害客体的确定xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。一旦数据被篡改或被破坏,将对社会秩序和公众利益造成影响。3、系统服务受到破坏后对侵害客体的侵害程度的确定本系统存在的信息一旦被破坏或窃取,将对系统正常运行造成影响,导致业务不能正常开展,对社会秩序和公众利益造成严重损害。4、系统服务安全等级的确定依据系统
18、服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为三级。对相应客体的侵害程度系统服务安全被破坏时所侵害的客体一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定 xxxxx 系统安全保护等级为第三级。信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级xxxxx 系统 三级 三级 三级本系统的架构设计遵循如下特点: 采用目前安全性能高,扩展性好,框架技术最为完善 JA
19、VA语言作为系统开发的语言。 采用 SpringMVC 框架技术,使系统能够分层开发,各层之间逻辑分明,层与层之间提供接口方式来实现业务和数据的沟通。让系统具有极强的扩展性。 数据库采用分布式结构,在大量用户高并发的情况下,保证数据 IO 的可扩展性。 LBS 相关实时性要求高的计算,采用 MongoDB 进行快速读取部署,在接入用户数据上升的情况下,利用集群/片区等方式保证扩展性。 基于组件技术,力求将变化封装在组件内部。对应组件可以对外提供 API。 适应能力强,同步、异步都能处理,既能满足快速反映的业务的需求,又能满足大数据量、复杂的、异步的业务的需求。 与 OS、中间件平台、数据库系统
20、无关。 具有很好的可扩展性。模块化使得系统很容易在纵向和水平两个方向拓展:一方面可以将系统升级为更大、更有力的平台,同时也可以适当增加规模来增强系统的网络应用。在扩充或修改功能时,基本不会破坏原有结构的稳定性。 强而可靠的数据库搜索引擎用户端系统用户端主要包括了司机端、乘客端、PC 端三部分构成。司机端及乘客端同时提供了基于主流的 Android 及 IOS 系统打造的移动应用 App,PC 端为 WEB 网站。服务端系统服务端主要包括了五层结构:负载均衡层、应用层、分布服务层、业务逻辑层、数据持久层。负载均衡层接收用户端请求,依据负载策略分发 Request 至应用服务器进行业务处理。应用层
21、接收负载均衡服务器分发的 Request 请求,完成参数验证后,提交相关 Service 服务器处理,并将处理结果通过 Response 反馈给用户端。分布服务层通过 Zookeeper 实现分布式服务部署。业务逻辑层以业务内容为单位提供业务服务,业务服务内容在 Zookeeper注册中心注册,供应用层及业务逻辑层调用。数据持久层持久化存储业务数据。二、xxxxx 系统安全保护等级确定(定级方法参见国家标准信息系统安全等级保护定级指南 )(一)业务信息安全保护等级的确定1、业务信息描述xxxxx 系统的业务信息内容包括:乘客信息:手机号码、昵称、性别、头像;司机信息:机动车驾驶员姓名 、驾驶员
22、手机号、驾驶员性别、出生日期、国籍、驾驶员民族 、驾驶员婚姻状况、驾驶员外语能力、驾驶员学历、户口登记机关名称、户口住址或长住地址、驾驶员通信地址、驾驶员照片、机动车驾驶证号、机动车驾驶证扫描件文件编号、准驾车型、初次领取驾驶证日期、驾驶证有效期限起、驾驶证有效期限止、紧急情况联系人、紧急情况联系人电话、紧急情况联系人通信地址;车辆信息:车辆所在城市、车辆号牌、车牌颜色、核定载客位、车辆厂牌、车辆型号、车辆类型、车辆所有人、车身颜色、发动机号、车辆 VIN 码、车辆注册日期、车辆燃料类型、发动机排量、车辆照片;2、业务信息受到破坏时所侵害客体的确定xxxxxxx 科技有限公司 xxxxx 系统
23、是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。一旦数据被篡改或被破坏,将对社会秩序和公众利益造成影响。 3、信息受到破坏后对侵害客体的侵害程度的确定本系统存在的信息一旦被破坏或窃取,将对系统正常运行造成影响,导致业务不能正常开展,对社会秩序和公众利益造成严重损害。4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为三级。对相应客体的侵害程度业务信息安全被破坏时所侵害的客体 一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益
24、第二级 第三级 第四级国家安全 第三级 第四级 第五级(二)系统服务安全保护等级的确定1、系统服务描述xxxxxxx 科技有限公司 xxxxx 系统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。在 xxxxx 系统成功试运营的基础上,建立安全、舒适、便捷的出行监管一体机制,并实现与第三方支付渠道标准软件接口对接,实现订单、结算、统计多元素为一体的综合管理模式。我们致力于为乘客打造快捷、专业的出行 app 平台,提供方便、透明的出行服务。2、系统服务受到破坏时所侵害客体的确定xxxxxxx 科技有限公司 xxxxx 系
25、统是以共享交通出行为主线,以营运管理、乘客服务、订单处理为切入点,结合互联网和实时监管措施,提供全方位可视化运营安全管理平台。一旦数据被篡改或被破坏,将对社会秩序和公众利益造成影响。3、系统服务受到破坏后对侵害客体的侵害程度的确定本系统存在的信息一旦被破坏或窃取,将对系统正常运行造成影响,导致业务不能正常开展,对社会秩序和公众利益造成严重损害。4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为三级。对相应客体的侵害程度系统服务安全被破坏时所侵害的客体一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定 xxxxx 系统安全保护等级为第三级。信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级xxxxx 系统 三级 三级 三级
