2019年郵政金融網(wǎng)信息系統(tǒng)信息安全等級專家評審申請報告

1、X省郵政金融網(wǎng)信息系統(tǒng) 信息安全等級專家評審申請報告（示例，試用參考版本）申報單位：（蓋章）申報日期：受理單位：受理日期：目錄填 寫 說 明 11 申請評審的信息系統(tǒng)匯總表 32 信息系統(tǒng)劃分 42.1管理機構 42.2網(wǎng)絡結構 42.3業(yè)務應用 52.4信息系統(tǒng)劃分結果 53 郵政金融網(wǎng)中間業(yè)務系統(tǒng)自定級報告 74 郵政綜合計算機網(wǎng)系統(tǒng)自定級報告 125 系統(tǒng)使用的安全產(chǎn)品清單及認證、銷售許可證明 13附件 1 郵政金融網(wǎng)中間業(yè)務系統(tǒng)定級評審意見表 14附件 2 郵政綜合計算機網(wǎng)系統(tǒng)定級評審意見表 18附件 3 信息系統(tǒng)安全等級保護備案表 21填寫說明1、 填報依據(jù)。根據(jù)浙江省信息安全等級保

2、護管理辦法（省政府令223號）和浙江省信息安全等級評審實施細則之規(guī)定，制作本表；2、填報范圍。本報告由基礎信息網(wǎng)絡與重要信息系統(tǒng)（第二級以上） 的運營、使用單位或主管部門填寫，一級以下信息系統(tǒng)無需申報。3、申報方式。本報告一式五份，由申請單位向受理申請的信息化機構 提交。申報時，同時將電子版本申請材料發(fā)電子郵箱：wgc <4、受理申請單位：本報告圭寸面中的“受理申請單位”填寫受理申請的信息 化機構名稱。此項由受理申請的信息化機構負責填寫。5、系統(tǒng)自定級報告：是指依據(jù)定級報告模版編寫的定級報告。所 有信息系統(tǒng)均應該填寫。6、 系統(tǒng)使用的安全產(chǎn)品清單及認證、銷售許可證明：是指該信息系統(tǒng) 具體

3、使用的信息安全產(chǎn)品名稱、型號、數(shù)量、購置日期、生產(chǎn)單位、銷 售單位、是否取得計算機安全專用產(chǎn)品銷售許可證、銷售許可證號、在 同類型（功能）產(chǎn)品中該產(chǎn)品的使用率等信息。7、信息系統(tǒng)安全等級保護備案表：按照備案表中的填寫要求準確填寫。&解釋：本表由市信息產(chǎn)業(yè)局負責解釋。聯(lián)系人：趙英，聯(lián)系電話： 87183416，聯(lián)系地址：寧波市解放北路91號市政府北大院4號樓1102 , 郵編：3150101申請評審的信息系統(tǒng)匯總表系統(tǒng)編號定級系統(tǒng)名稱自定級別0001郵政金融網(wǎng)中間業(yè)務系統(tǒng)30002綜合計算機網(wǎng)22信息系統(tǒng)劃分2.1管理機構X省郵政儲匯局成立于1986年。主要負責對全省37個市縣局郵 政儲

4、蓄、匯兌以及代理保險等金融業(yè)務進行管理、指導。郵政局高度 重視郵政信息化建設，建立了覆蓋全省各市的郵政金融中間業(yè)務系統(tǒng) 和省局辦公綜合計算機網(wǎng)絡系統(tǒng)。在整個網(wǎng)絡信息系統(tǒng)中，省郵政儲蓄局和地方局承擔了不同的安全 管理責任。省郵政儲蓄局負責省數(shù)據(jù)中心核心系統(tǒng)的運行、維護等安 全責任，各市分支機構直接負責所在地的系統(tǒng)的運行、維護和安全責 任。2.2網(wǎng)絡結構省郵政金融系統(tǒng)包括金融網(wǎng)中間業(yè)務系統(tǒng)和綜合計算機網(wǎng)兩個 邏輯上隔離的網(wǎng)絡系統(tǒng)。金融網(wǎng)中間業(yè)務系統(tǒng)包括省級數(shù)據(jù)中心和部 分市局域網(wǎng)絡，涉及的操作系統(tǒng)為HPUX，WINDOWS 和SCOUNIXE。綜合計算機網(wǎng)是省局的辦公網(wǎng)，包括四臺電子匯兌主機，兩

5、臺報刊發(fā)機服務器和兩臺綜合網(wǎng)網(wǎng)管服務器，操作系統(tǒng)涉及Linux和WINDOWS，數(shù)據(jù)庫為 ORACLE，另外在綜合網(wǎng)網(wǎng)管服務器上安裝NETVIEW。具體網(wǎng)絡結構如下:郵政金融網(wǎng)中間業(yè)務系統(tǒng)郵政綜合辦公網(wǎng)絡2.3業(yè)務應用郵政金融網(wǎng)中間業(yè)務系統(tǒng)主要是承擔：中國移動代收費、中國聯(lián)通代收費、代理國債、批量工資代發(fā)、批量水電氣等費用代扣、代收 煙草款等業(yè)務。綜合計算機網(wǎng)是部門辦公業(yè)務網(wǎng)，主要承擔：公文收 發(fā)、郵件處理、日常辦公、財務管理等工作。郵政網(wǎng)的兩個業(yè)務系統(tǒng)均不涉及國家秘密信息。2.4信息系統(tǒng)劃分結果從管理機構的不同考慮，應將省局信息系統(tǒng)和地方信息系統(tǒng)分別 進行劃分，形成省局信息系統(tǒng)和地方分支機構

6、信息系統(tǒng)。省局信息系 統(tǒng)中，由于郵政金融網(wǎng)中間業(yè)務系統(tǒng)和綜合計算機網(wǎng)各自擁有一套獨 立的軟硬件，且分別承載不同業(yè)務，系統(tǒng)業(yè)務之間不存在依賴性，故 劃分為兩個獨立的系統(tǒng)。各市的網(wǎng)絡和數(shù)據(jù)中心還要作為整個系統(tǒng)的 分系統(tǒng)另行定級。信息系統(tǒng)劃分結果如下：系統(tǒng)編號信息系統(tǒng)名稱0001郵政金融網(wǎng)中間業(yè)務系統(tǒng)0002綜合計算機網(wǎng)3郵政金融網(wǎng)中間業(yè)務系統(tǒng)自定級報告一、X省郵政金融網(wǎng)中間業(yè)務系統(tǒng)描述（一）該中間業(yè)務于 2006年7月1日X省郵政儲蓄局科技立項， 省郵政信息技術局自主研發(fā)。目前該系統(tǒng)由技術局運行維護部負責運 行維護。省郵政局是該信息系統(tǒng)業(yè)務的主管部門，省郵政局委托技術 局為該信息系統(tǒng)定級的責任單位

7、。（二）此系統(tǒng)是計算機及其相關的和配套的設備、設施構成的，是按照一定的應用目標和規(guī)則對郵儲金融中間業(yè)務信息進行采集、力口 工、存儲、傳輸、檢索等處理的人機系統(tǒng)。整個網(wǎng)絡分為兩部分，（圖略），第一部分為省數(shù)據(jù)中心，第二部分為市局局域網(wǎng)。在省數(shù)據(jù)中心的核心設備部署了華為的Switch三層交換機，在省數(shù)據(jù)中心的網(wǎng)絡中配置了兩臺與外部網(wǎng)絡互聯(lián)的邊界設備：天融信NGFW 4防火墻和Cisco 2008路由器。省數(shù)據(jù)中心網(wǎng)絡中剩下的一部分就是與下面各個地市的互聯(lián)。其 中主要設備部署的是整個省數(shù)據(jù)中心網(wǎng)絡中的所有設備系統(tǒng)都按 照統(tǒng)一的設備管理策略，只能現(xiàn)場配置，不可遠程撥號登錄。整個信息系統(tǒng)的網(wǎng)絡系統(tǒng)邊界設

8、備可定為NGFW 4與 Cisco 2008Cisco 2008外聯(lián)的其它系統(tǒng)都劃分為外部網(wǎng)絡部分，而NGFW 4*以內的部分包括與各地市互聯(lián)的部分都可歸為中心的內部網(wǎng)絡，與中間業(yè) 務系統(tǒng)相關的省數(shù)據(jù)中心網(wǎng)絡邊界部分和內部網(wǎng)絡部分都是等級保護 定級的范圍和對象。在此次定級過程中，將各市的網(wǎng)絡和數(shù)據(jù)中心連 同省中心統(tǒng)一作為一個定級對象加以考慮，統(tǒng)一進行定級、備案。各市的網(wǎng)絡和數(shù)據(jù)中心還要作為整個系統(tǒng)的分系統(tǒng)分別進行定級、備案。（三）該信息系統(tǒng)業(yè)務主要包含：中國移動代收費、中國聯(lián)通代 收費、代理國債、批量工資代發(fā)、批量水電氣等費用代扣、代收煙草 款等業(yè)務，并新增加了代收國稅、地稅，代辦保險等業(yè)務。

9、系統(tǒng)針對 業(yè)務實現(xiàn)的差異分別提供實時聯(lián)機處理和批量處理兩種方式。其中： 通過網(wǎng)絡與第三方機構的連接，均采用約定好的報文格式進行通訊， 業(yè)務處理流程實時完成。業(yè)務處理系統(tǒng)以省集中結構模式， 負責各類中間業(yè)務的業(yè)務處理， 包括與第三方實時連接、接口協(xié)議轉換、非實時批量數(shù)據(jù)的采集、業(yè) 務處理邏輯的實現(xiàn)、與會計核算系統(tǒng)的連接等。二、X省郵政金融網(wǎng)中間業(yè)務系統(tǒng)安全保護等級的確定（一）業(yè)務信息安全保護等級的確定1、業(yè)務信息描述金融網(wǎng)中間業(yè)務信息包括：代收費情況信息，繳費公民、法人和其他 組織的的個人（單位）信息，欠費情況，以及代收費的銀行、電信、燃氣、 稅務、保險等部門的信息等。屬于公民、法人和其他組織的

10、專有信息。2、 業(yè)務信息受到破壞時所侵害客體的確定（侵害的客體包括：1國 家安全，2社會秩序和公共利益，3公民、法人和其他組織的合法權益等共 三個客體）該業(yè)務信息遭到破壞后，所侵害的客體是公民、法人和其他組織 的合法權益。侵害的客觀方面（客觀方面是指定級對象的具體侵害行為， 侵害形式 以及對客體的造成的侵害結果）表現(xiàn)為：一旦信息系統(tǒng)的業(yè)務信息遭到 入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損 壞等），會對公民、法人和其他組織的合法權益造成影響和損害，可以 表現(xiàn)為：影響正常工作的開展，導致業(yè)務能力下降，造成不良影響，引起法律糾紛等。3、 信息受到破壞后對侵害客體的侵害程度（即上述

11、分析的結果的 表現(xiàn)程度）上述結果的程度表現(xiàn)為 嚴重損害，即工作職能收到嚴重影響，業(yè) 務能力顯著先將，出現(xiàn) 較嚴重的法律問題，較大范圍的不良影響等。4、確定業(yè)務信息安全等級查定級指南表2知，業(yè)務信息安全保護等級為第二級。業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級（二）系統(tǒng)服務安全保護等級的確定1系統(tǒng)服務描述該系統(tǒng)屬于為國計民生、經(jīng)濟建設等提供服務的信息系統(tǒng)，其服 務范圍為全省范圍內的普通公民、法人等。2、系統(tǒng)服務受到破壞時所侵害客體的確定該系統(tǒng)服務遭

12、到破壞后，所侵害的客體是公民、法人和其他組織 的合法權益，同時也侵害社會秩序和公共利益但不損害國家安全。客 觀方面表現(xiàn)得侵害結果為：1可以對公民、法人和其他組織的合法權益 造成侵害（影響正常工作的開展，導致業(yè)務能力下降，造成不良影響， 引起法律糾紛等）；2可以對社會秩序公共利益造成侵害（造成社會不 良影響，引起公共利益的損害等）。根據(jù)定級指南的要求，出現(xiàn)上 述兩個侵害客體時，優(yōu)先考慮社會秩序和公共利益，另外一個不做考 慮。3、 服務受到破壞后對侵害客體的侵害程度（即上述分析的結果的 表現(xiàn)程度）上述結果的程度表現(xiàn)為：對社會秩序和公共利益造成嚴重損害，即會出現(xiàn)較大范圍的社會不良影響和 較大程度的公

13、共利益的損害等。4、確定系統(tǒng)服務安全等級查定級指南表 3知，由于侵害的客體有兩個，侵害的程度也有兩個，則系統(tǒng)服務安全保護等級為第二級。系統(tǒng)服務被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級（三）安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全務安等級的較高者決定。所以，X省郵政金融網(wǎng)中間業(yè)務系統(tǒng)安全保護等級為第三級。信息系統(tǒng)名稱安全保護等級業(yè)務信息安全等級系統(tǒng)服務安全等級X省郵政金融網(wǎng)中間業(yè)務系統(tǒng)第三級二二二-三4 郵政綜合計算機網(wǎng)系統(tǒng)自定

14、級報告參考金融網(wǎng)中間業(yè)務系統(tǒng)定級方式，具體內容略。5系統(tǒng)使用的安全產(chǎn)品清單及認證、銷售許可證明是指該信息系統(tǒng)具體使用的信息安全產(chǎn)品名稱、型號、數(shù)量、購置日期、生產(chǎn)單位、銷售單位、是否取得計算機安全專用產(chǎn)品銷售許 可證、銷售許可證號、在同類型（功能）產(chǎn)品中該產(chǎn)品的使用率等信附件1郵政金融網(wǎng)中間業(yè)務系統(tǒng)定級評審意見表信息系統(tǒng)運營、使用單位名稱郵政金融網(wǎng)中間業(yè)務系統(tǒng)項目負責人聯(lián)系電話信息系統(tǒng)名稱XXXX系統(tǒng)系統(tǒng)自定安全級別XX級專家評審建議級別XX級評審專家組組長XXX評審專家組意見：2007年11月1日，省信息產(chǎn)業(yè)廳組織省信息安全等級保護專家 組對*電子銀行系統(tǒng)進行了安全等級定級評審。專家組在聽取

15、*對該系統(tǒng)的情況介紹、審議有關材料和對現(xiàn)場進行實地考察的基礎上， 經(jīng)過認真討論，形成如下評審意見：1、提交評審的資料基本齊全，符合信息安全等級評審要求；2、*郵政金融網(wǎng)中間業(yè)務系統(tǒng)包括兩部分，第一部分為省數(shù) 據(jù)中心，第二部分為市局局域網(wǎng)；定級工作中，將各市的網(wǎng)絡和數(shù)據(jù)中心連同省中心統(tǒng)一作為一個定級對象加以考慮，網(wǎng)絡邊界基本清晰，并具有明確的安全責任單位和信息系統(tǒng)的基本要素；3、*郵政金融網(wǎng)中間業(yè)務系統(tǒng)的業(yè)務主要浙包括息安全國移動審代請報告 收費、中國聯(lián)通代收費、代理國債、批量工資代發(fā)等，承載的業(yè)務應 用相對獨立；4> *郵政金融網(wǎng)中間業(yè)務系統(tǒng)的業(yè)務信息主要包括：代收費情 況信息，繳費公民

16、、法人和其他組織的的個人（單位）信息，欠費情況， 以及代收費的銀行、電信、燃氣、稅務、保險等部門的信息等，屬于公民、 法人和其他組織的專有信息。該業(yè)務信息遭到破壞后，所侵害的客體： 公民經(jīng)綜合考慮上述要素，專家組討論認為：*郵政金融網(wǎng)中間業(yè)務系統(tǒng)信息安全等級為三級。信息化主管部門意見信息化主管部門意見（蓋章）：簽字：時間：專家組成員姓名單位職稱/職務附件2郵政綜合計算機網(wǎng)系統(tǒng)定級評審意見表信息系統(tǒng)運營、使用單位名稱郵政綜合計算機網(wǎng)系統(tǒng)項目負責人聯(lián)系電話信息系統(tǒng)名稱XXXX系統(tǒng)系統(tǒng)自定安全級別XX級專家評審建議級別XX級評審專家組組長XXX評審專家組意見：年月日信息化主管部門意見信息化主管部門意

17、見（蓋章）：簽字：時間：專家組成員姓名單位職稱/職務附件3信息系統(tǒng)安全等級保護備案表備案表編號:信息系統(tǒng)安全等級保護備案表備案單位：（蓋章）備案日期：受理備案單位： （蓋章）受理日期：中華人民共和國公安部監(jiān)制填表說明一、制表依據(jù)。根據(jù)信息安全等級保護管理辦法（公通字200743號）之規(guī)定，制作本表；二、填表范圍。本表由第二級以上信息系統(tǒng)運營使用單位或主管部門（以下簡稱“備案單位”）填寫；本表由四張表單構成，表一為單位信息，每個填表單位填寫一張；表二為信息系統(tǒng)基本信息，表三為信息系統(tǒng)定級信息，表二、表三每個信息系統(tǒng)填寫一張；表四為第信息系統(tǒng)需要同時提交的內容，由每個第三級以上信息系統(tǒng)填寫一張，并

18、在完成系統(tǒng)建設、 整改、測評等工作，投入運行后三十日內向受理備案公安機關提交；表二、表三、表四可以 復印使用；三、保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機關存檔；四、本表中有選擇的地方請在選項左側“”劃“V”，如選擇“其他”，請在其后的橫線中注明詳細內容；五、封面中備案表編號（由受理備案的公安機關填寫并校驗）:分兩部分共11位，第一部分6位,為受理備案公安機關代碼前六位（可參照行標GA380-2002）。第二部分5位，為受理備案的公安機關給出的備案單位的順序編號；六、封面中備案單位：是指負責運營使用信息系統(tǒng)的法人單位全稱；七、封面中受理備案單位：是指受理備案的公安機關公

19、共信息網(wǎng)絡安全監(jiān)察部門名稱。此項由受 _理備案的公安機關負責填寫并蓋章；八、表一 04行政區(qū)劃代碼： 是指備案單位所在的地（區(qū)、市、州、盟）行政區(qū)劃代碼；九、表一 05單位負責人：是指主管本單位信息安全工作的領導；十、表一 06責任部門：是指單位內負責信息系統(tǒng)安全工作的部門；十一、表一 08隸屬關系：是指信息系統(tǒng)運營使用單位與上級行政機構的從屬關系，須按照單位隸屬關系代碼（GB/T124041997 ）填寫；十二、表二02系統(tǒng)編號：是由運營使用單位給出的本單位備案信息系統(tǒng)的編號；十三、表二05系統(tǒng)網(wǎng)絡平臺：是指系統(tǒng)所處的網(wǎng)絡環(huán)境和網(wǎng)絡構架情況；十四、表二07關鍵產(chǎn)品使用情況：國產(chǎn)品是指系統(tǒng)中該

20、類產(chǎn)品的研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內具有獨立的法人資格，產(chǎn)品的核心 技術、關鍵部件具有我國自主知識產(chǎn)權；十五、表二08系統(tǒng)采用服務情況：國內服務商是指服務機構在中華人民共和國境內注冊成立（港澳臺地區(qū)除外），由中國公民、法人或國家投資的企事業(yè)單位；十六、表三01、02、03項：填寫上述三項內容，確定信息系統(tǒng)安全保護等級時可參考信息系統(tǒng) 安全等級保護定級指南，信息系統(tǒng)安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級 較高者決定。01、02項中每一個確定的級別所對應的損害客體及損害程度可多選；十七、表三06主管部門：是指對備案單位信息系統(tǒng)負領導責任的

21、行政或業(yè)務主管單位或部門。部 級單位此項可不填；十八、解釋：本表由公安部公共信息網(wǎng)絡安全監(jiān)察局監(jiān)制并負責解釋，未經(jīng)允許，任何單位和個人 不得對本表進行改動。01單位名稱02單位地址省（自治區(qū)、直轄市）地（區(qū)、市、州、盟）縣（區(qū)、市、旗）03郵政編碼04行政區(qū)劃代碼05單位負責人姓 名職務/職稱辦公電話電子郵件06責任部門07責任部門 聯(lián)系人姓 名職務/職稱辦公電話電子郵件移動電話08隸屬關系1中央2?。ㄗ灾螀^(qū)、直轄市）3地（區(qū)、市、州、盟）4縣（區(qū)、市、旗）9其他09單位類型1黨委機關2政府機關3事業(yè)單位4企業(yè)9其他10行業(yè)類別11電信12廣電13經(jīng)營性公眾互聯(lián)網(wǎng)21鐵路22銀行23海關24稅

22、務25民航26電力27證券28保險31國防科技工業(yè)32公安33人事勞動和社會保障34財政35審計36商業(yè)貿(mào)易37國土資源38能源39交通40統(tǒng)計41工商行政管理42郵政43教育44文化45衛(wèi)生46農(nóng)業(yè)47水利48外交49發(fā)展改革50科技51宣傳52質量監(jiān)督檢驗檢疫99其他11信息系統(tǒng) 總數(shù)個12第二級信息系統(tǒng)數(shù)個13第三級信息系統(tǒng)數(shù)個14第四級信息系統(tǒng)數(shù)個15第五級信息系統(tǒng)數(shù)個表一單位基本情況01系統(tǒng)名稱02系統(tǒng)編號03系統(tǒng)承載業(yè)務情況業(yè)務類型1生產(chǎn)作業(yè)2指揮調度3管理控制4內部辦公5公眾服務9其他業(yè)務描述04系統(tǒng)服務情況服務范圍10全國11跨?。▍^(qū)、市） 跨個20全?。▍^(qū)、市）21跨地（市、區(qū)） 跨個30地（市、區(qū)）內99其它服務對象1單位內部人員2社會公眾人員3兩者均包括9其他05系統(tǒng)網(wǎng)絡平臺覆蓋范圍1局域網(wǎng)2城域網(wǎng)3廣域網(wǎng)9其他網(wǎng)絡性質1業(yè)務專網(wǎng)2互聯(lián)網(wǎng)9其它06系統(tǒng)互聯(lián)情況1與其他行業(yè)系統(tǒng)連接2與本行業(yè)其他單位系統(tǒng)連接3與本單位其他系統(tǒng)連接9其它07關鍵產(chǎn)品使用情況序號產(chǎn)品類型數(shù)量使用國產(chǎn)品率全部使用全部未使用部分使用及使用率1安全專用產(chǎn)品%2網(wǎng)絡產(chǎn)品%3操作系統(tǒng)%4數(shù)據(jù)庫%5服務器%6其他%08系統(tǒng)采用服務情況序號服務類型服務責任方類型本行業(yè)（單位）國內其他服務商國外服務商1等級測評有無2風險