信息系统资产评估报告实例.doc

1、.密级： 内部文档编号： 2007002-005项目编号： 2007002XX 市地税局信息系统资产评估报告Word 文档.目录1概述32信息资产分类和识别32.1信息资产调查的过程.32.2调查范围及方法 .42.3信息资料识别 .52.3.1硬件资产 .52.3.2软件资产 .92.3.3数据资产 .112.3.4文档资产 .122.3.5人员资产 .153资产赋值方法 .213.1保密性赋值 .223.2完整性赋值 .223.3可用性赋值 .233.4资产重要性等级 .244XX 市地税局资产赋值 .264.1硬件资产赋值 .264.1.1主机设备 .264.1.2网络设备 .28Wor

2、d 文档.4.1.3安全设备294.1.4存储设备294.1.5保障设备304.1.6通讯线路324.2软件资产赋值324.2.1系统软件324.2.2应用软件344.3数据资产赋值354.4文档资产赋值354.5人员资产赋值385地税信息资产统计分析415.1资产价值分布415.2分段价值分布415.3资产分类对比42Word 文档.1 概述根据XX 省人民政府信息化工作办公室关于印发 的通知文件精神， XX 省信息安全测评中心承担了XX 市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX 市地税局更深入地了解其信息系统安

3、全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。在整个风险评估项目过程中，资产调查是其首要工作。 资产调查过程主要包括资产识别和资产赋值。一方面，项目组根据资产识别的情况设计出XX 市地税局保护对象框架，并在此基础上进行安全体系设计；另一方面，项目组将资产赋值结果用于风险计算，以便准确地表达安全调查的结果。2 信息资产分类和识别2.1信息资产调查的过程在本项目中， 项目组首先定制了资产调查表，通过访谈方式，对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐步地识别 XX 市地税局信息资产

4、并收集其信息。随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的系统信息，包括服务器主机、可网管的网络设备、数据库系统和PC 机。通过将上述访谈和扫描的结果进行人工对比，合并和除错， 项目组获得所有必要的资产信息。Word 文档.最后，项目组对所有已识别的资产进行赋值，并编制本报告。2.2调查范围及方法资料分类技术参考点输出成果评估范围评估方式涉及地税人员评估人员主机设备11 台主机调查访谈、实际核查赵白、梁志王维、梁立网络设备3 台设备调查访谈、实际核查新、朱宁宁安全设备1 台设备调查访谈、实际核查赵白、梁志陈修杰、梁硬件资产硬件资产存储设备1 台设备调查访谈、实际核查立新、

5、朱宁调查表宁保障设备6 种保障设备调查访谈、实际核查赵白、梁志陈修杰、梁通讯线路140 条线路调查访谈、实际核查立新、朱宁宁11 套主机系赵白、串广系统软件调查访谈、实际核查软件资产统义软件资产调查表梁志、梁立应用软件4 套应用系统调查访谈、实际核查新、朱宁宁人员资产赵白、串广人员资产中心人员9 人调查访谈、文档检查调查表义数据资产征管系统数赵白、梁立数据资产信息数据调查访谈、实际核查调查表据新、朱宁宁文档资资料文档文档资料224 个相关调查访谈、实际核查梁立新、Word 文档.产调查表文档朱宁宁2.3信息资料识别XX 市地税局的信息资产是指在 XX 市地税局信息系统范围内， 具有价值并需要保

6、护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有数据，也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。参照国家最新 信息安全风险评估规范对信息资产的描述和定义，并结合XX 市地税局的基本情况， 我们将 XX 市地税局的信息资产分为 5 类，分别为：硬件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。2.3.1 硬件资产国家信息安全风险评估规范把硬件资产分为以下7 大类：1. 网络设备：路由器、网关、交换机等；2. 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等；3.

7、存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；4. 传输线路：光纤、双绞线等；5. 保障设备：动力保障设备 （ UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等；6. 安全保障设备：防火墙、入侵检测系统、身份鉴别等；7. 其他：打印机、复印机、扫描仪、传真机等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局的硬件资产分为以下6 大类进行分别的调查识别：Word 文档.1. 主机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等；2. 网络设备：路由器、网关、交换机等；3. 安全设备：和信息安全相关的设备；4. 存储设备：磁带机

8、、磁盘阵列、磁带、光盘、软盘、移动硬盘等；5. 传输线路：光纤、双绞线等；6. 保障设备：动力保障设备 （ UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等。 主机设备序设备名称硬件型号硬件配置IP 地址操作系统用途说明号RS64III750MHZ*41SJZ_NODE1IBM RS6000XX.20.225.1AIX征管业务系统数据库8*512MB*218.2GB*2RS64III750MHZ*42SJZ_NODE2IBM RS6000XX.20.225.3AIX征管业务系统数据库8*512MB*218.2GB*3XEON3ZG-APP1IBM x4402.4G*2

9、 4GBXX.20.225.19Win2000 SRV征管业务系统应用36.4GB*2Word 文档.XEON4SJAPP2IBM x4402.4G*2 4GBXX.20.225.21Win2000 SRV征管业务系统应用36.4GB*2XEON5SJAPP3IBM x4402.4G*2 4GBXX.20.225.23Win2000 SRV征管业务系统应用36.4GB*2XEON6SJAPP4IBM x4402.4G*2 4GBXX.20.225.25Win2000 SRV征管业务系统应用36.4GB*2XEON7sjdc1IBM x4402.4G*2 4GBXX.20.225.10Win20

10、00 SRVDC 主域控制器36.4GB*2XEON8sjdc2IBM x4402.4G*2 4GBXX.20.225.11Win2000 SRVDC 主域控制器36.4GB*2XEON9IBM x3662.8G*4 4GBXX.20.225.71Win2000 SRV税收管理员应用72GB*3XEONXX.20.224.1010sjz-oa-webHP D3603.0G*2 2GBWin2000 SRVwww 服务器（11）72GB*2XEONXX.20.224.19公文流转服务器 /瑞11sjzds-odpsHP D360Win2000 SRV3.0G*2 2GB（ 9）星杀毒服务器Wor

11、d 文档.72GB*2XEON12HP D3603.0G*2 2GBXX.168.10.2Win2000 SRV互联网服务器72GB* 网络设备序号设备名称IP 地址硬件型号出产厂商用途安装日期Cisco2003 年 51sj7513XX.20.231.254思科核心路由器7513月Cisco2003 年 52sj4506XX.20.231.1思科核心交换机4506月2005 年 93f5XX.20.225.18f5f5负载均衡器月 安全设备序号设备名称设备形态IP 地址出产厂商品牌用途1IPS硬件XX.20.225.251绿盟冰之眼IPS 存储设备

12、出产序号设备名称IP 地址硬件型号品牌操作系统用途厂商Windows磁盘阵1sjnasXX.20.225.165194-226IBMnas 2002000 Srv列 保障设备序号设备名称物理地址硬件型号出产厂商品牌用途Word 文档.停电时Emerson供机房1UPS机房UL33-0600LnetworkEMERSON所有设power备电源机房制2空调机房S23DW001HIROSSHIROSS冷设备机房防3防雷配电柜VAL-MSPhcenixPHCENIX雷设备视频监控机房视4机房ARES器频监控机房电动力、环境5机房力、防水监测监控机房自气体消防海湾安全技6机房LD-KP06

13、GST动消防系统术有限公司系统 通讯线路用户名称线路供应商端口速率单位责任人网通2M*115各税务所各单位市局网通8M*25各县（市）区局各单位2.3.2 软件资产国家信息安全风险评估规范把软件资产分为以下3 大类：Word 文档.1. 系统软件：操作系统、语句包、工具软件、各种库等；2. 应用软件：外部购买的应用软件，外包开发的应用软件等；3. 源程序：各种共享源代码、自行或合作开发的各种代码等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局的软件资产分为以下2 大类进行分别的调查识别：1. 系统软件：操作系统、语句包、工具软件、各种库等；2.

14、应用软件：外部购买的应用软件，外包开发的应用软件等。 系统软件系统名软件服序号版本号对应主机资产应用服务出产厂商称务期限tcp/ip 80201windows2000 serverXX.20.225.19Microsoft是809080tcp/ip 80202windows2000 serverXX.20.225.21Microsoft是809080tcp/ip 80203windows2000 serverXX.20.225.23Microsoft是809080tcp/ip 80204windows2000 serverXX.20.225.25Microsoft是8090805

15、windows2000 serverXX.20.225.10tcp/ipMicrosoft是6windows2000 serverXX.20.225.11tcp/ipMicrosoft是7windows2000 serverXX.20.225.14tcp/ip 110 25Microsoft是Word 文档.808AIX4.3.3XX.20.225.1tcp/ipIbm是9AIX4.3.3XX.20.225.3tcp/ipIbm是10OracleXX.20.225.1tcp/ip 1521甲骨文是11OracleXX.20.225.3tcp/ip 1521甲骨文是2

16、.3.2.2 应用软件序软件版应用软件名称对应主机资产应用服务出产厂商号本号XX 地税税收征收管tcp/ip8020北京华安通联有限1XX.20.225.192005 版理系统809080责任公司XX 地税税收征收管tcp/ip8020北京华安通联有限2XX.20.225.212005 版理系统809080责任公司XX 地税税收征收管tcp/ip8020北京华安通联有限3XX.20.225.232005 版理系统809080责任公司XX 地税税收征收管tcp/ip8020北京华安通联有限4XX.20.225.252005 版理系统809080责任公司2.3.3 数据资产国家信息安全风险评估规范

17、 把数据资产定义为保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局数据资产的评估范围设定在核心征管系统的数据库数据。Word 文档.序号数据名称用途分发范围对应主机资产应用服务数据期限税收征管相关反映纳税人相地税系统XX.20.225.1税收征管110 年资料关情况内部XX.20.225.3系统2.3.4 文档资产国家信息安全风险评估规范文档资产定义为纸质的各种文件，如传真、电报、财务报告、发展计划等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把

18、 XX 市地税局的文档资产的评估范围设定在信息中心现存的重要的文档、规范、制度及培训手册等。此次共整理224 个各类文档，从中提取出31 个文档作为此次文档资产评估范围。序文档年份文档名称用途存放方式号纸质文档与12006XX 地税计算机系统管理制度系统管理制度电子档纸质文档与22006系统数据库口令管理系统管理制度电子档XX 市地方税务局信息化星级管纸质文档与32004管理制度理办法电子档XX 市地方税务局 2004 年信息纸质文档与42004管理制度化建设实施方案电子档信息化主要建设项目实行统一纸质文档与52004管理制度审批管理电子档Word 文档.纸质文档与62004关于成立信息化工作

19、领导小组管理制度电子档XX 市地方税务局基层局机房维纸质文档与72004管理制度护管理制度电子档XX 市地方税务局计算机使用维纸质文档与82004管理制度护管理制度电子档XX 市地方税务局网络安全管理纸质文档与92004管理制度制度电子档XX 市地方税务局网络运行维护纸质文档与102004管理制度管理制度电子档XX 市地方税务局应用软件维护纸质文档与112004管理制度管理（暂行）办法 2004-7-29电子档纸质文档与122004信息化星级管理办法管理制度电子档XX 地税计算机系统管理制度纸质文档与132004管理制度(定稿 )电子档纸质文档与142004XX 地税市局机房维护制度管理制度电

20、子档纸质文档与152006应用软件维护制度 22 号文管理制度电子档纸质文档与1620072007 年信息化工作要点 （定稿 )管理制度电子档172007XX 市基层单位兼职信息化管理管理制度纸质文档与Word 文档.人员职责 (新）电子档纸质文档与182007信息化星级管理办法 2007管理制度电子档XX 地税市局征管数据库备份系纸质文档与192006管理制度统维护管理办法电子档XX 地税市局征管数据库备份系纸质文档与202005维护手册统维护手册电子档XX 地税数据复制系统使用维护纸质文档与212006维护手册手册电子档XX 地税数据复制系统维护管理纸质文档与222006管理制度办法（试行

21、）电子档2005 版征管系统税务登记说明纸质文档与232005征管软件说明书书（一）电子档2005 版征管系统申报征收说明纸质文档与242005征管软件说明书书（二）电子档2005 版征管系统税收计会说明纸质文档与252005征管软件说明书书（三）电子档2005 版征管系统税务管理说明纸质文档与262005征管软件说明书书（四）电子档2005 版征管系统征收管理说明纸质文档与272005征管软件说明书书（五）电子档2005 版征管系统文书审批说明纸质文档与282005征管软件说明书书（六）电子档Word 文档.2005 版征管系统基层查询说明纸质文档与292005征管软件说明书书（七）电子档2

22、005 版征管系统设置说明书纸质文档与302005征管软件说明书（八）电子档2005 版征管系统典型业务说明纸质文档与312005征管软件说明书书（九）电子档2.3.5人员资产国家信息安全风险评估规范 人员资产定义为掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目主管等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局的人员资产的评估范围设定在信息中心在职工作人员。信息中心在职人员共有 13 人，主要进行高级管理的主任或副级的人员有三人，重要系统管理人员为六人。因此，此次人员资产的评估范围是信息中心高级管理人员及重要资产管理人员共九人。所属人员

23、序号人员名称人员职责部门职务1 负责全面工作。2 负责全系统信息化建设规划和实施方案的组织制定工作。1XXX信息中心主任3 负责协调组织全系统信息化建设规划和方案的实施工作。4 负责信息化队伍建设工作。5 完成领导交办的其他工作。Word 文档.1主管软件维护工作。2主管软件试点和推广工作。2XXX信息中心副主任3主管办公自动化工作。4主管安全防范工作。5完成领导交办的其他工作。1主管网络维护工作。2主管系统运维工作。3XXX信息中心副主任3主管软件开发工作。4主管综合工作。5完成领导交办的其他工作。1负责网络管理工作2负责系统维护工作3负责 DC1 、DC2 服务器的硬件及系统的维护4负责

24、FTP 服务器的硬件及软件的维护5负责 NAS 服务器的硬件及数据备份的管理与维护6负责 Exchange 服务器的硬件及邮件系统的4XXX信息中心组长维护7负责辅助应用系统的硬件及操作系统的升级与维护8负责机房空调维护工作9负责消防系统维护工作10负责机房环境监控工作11负责软件开发的前期开发工作Word 文档.12领导安排的其他工作1. 负责市局办公网站的框架规划、版式设计及组织编写网站程序。2. 负责办公网站的部署实施与程序维护。3. 负责办公网站的信息发布工作的技术指导和培训。4. 负责市局办公网站的数据备份及服务器日常管理。5XXX信息中心科员5. 负责全系统计算机防病毒工作的维护工

25、作，定时升级防病毒软件。6. 负责监控全系统下级防计算机病毒中心，督导客户端及时升级查杀。7. 负责全系统每年的计算机安全培训工作。8. 负责长安办公楼的办公网站服务器的资源管理。9完成领导交办的其他工作。Word 文档.1.负责机房UPS 维护工作2.负责 UPS 电池维护工作3.负责机房强电维护工作4.负责机房KVM 维护工作5.负责主控室设备维护工作6XXX信息中心科员6.负责软件开发的后期工作7.负责 17 21 层电脑维护及局域网维护工作8.负责弱电井设备维护工作9.负责视频会议会前调试和维护工作10.负责数据分析工作1. 负责有关网络的日常事务性维护；2. 负责市局中心端内、外网网

26、络设备故障的排除；3. 负责CDMA 线路故障的排除；4. 负责市局内、外网监控与管理；5. 与有关同志共同负责网络建设项目；7XXX信息中心科员6. 与有关同志共同负责有关网络知识的培训；7. 协助基层单位分析网络故障；8. 协调网通、基层局排除广域网线路故障；9. 了解网络现状，适时向领导提出网络发展规划；10. 领导交办的其它工作。Word 文档.1负责小型机硬件维护、调试及保养2负责小型机操作系统AIX 的升级、维护3负责征管系统后台Oracle 数据库的日常维护、数据备份、状态监控及性能调优4负责征管系统应用服务器的硬件及操作系统的维护及升级5负责 DC1 、DC2 服务器的硬件及系

27、统的维护6负责 Exchange 服务器的硬件及邮件系统的维护7负责 FTP 服务器的硬件及软件的维护8XXX信息中心科员8负责 NAS 服务器的硬件及数据备份的管理与维护9负责辅助应用系统的硬件及操作系统的升级与维护10负责培训环境的硬件及操作系统的升级与维护11负责车船税征收管理软件、建安房地产软件相关设备维护及软件运行管理12负责软件开发工作13领导安排的其他工作Word 文档.1. 负责征管软件的运行维护工作.2. 负责个人所得税软件的运行维护工作.3. 负责网上报税软件的运行维护工作.4. 负责决策支持系统的运行维护工作.5. 负责法制软件的运行维护工作.6. 负责人事管理软件维护工

28、作.9XXX信息中心科员7. 负责其它软件的维护工作.8. 负责应用软件的试点测试工作,做好方案制定、培训和试点软件技术问题搜集、分析、解答工作。9. 负责应用软件的推广工作，做好方案制定、培训和技术问题分析、解答工作。10. 完成其它工作。Word 文档.3 资产赋值方法信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。进行资产估价时， 不仅要考虑资产的帐面价值，更重要的是考虑资产对于组织商务或业务的重要性， 即资产损失所引发潜在的商务或业务的影响来决定，例如导致业务中断、 资金和市场份额的损失、 企业形象的损害等直接和间

29、接的经济损失。为确保资产估价的一致性和准确性，应建立一个资产的价值尺度，即资产评价标准，以明确如何对资产进行赋值。信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。 安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性， 可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。密性、完整性和可用性的定义如下：保密性：确保只有经过授权的人才能访问信息。如果信息或者服务被无关甚至怀有恶意的人获得，则表明该资产的保密性受到了损害。完整性：保护信息和信息的处理方

30、法准确而完整；如果信息或者服务在传递过程中因为系统故障或者恶意的方法导致被修改，并引起错误，则表明该资产的完整性受到了损害。可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。如果信息非正常丢失或者服务非正常中断，则表明该资产的可用性受到了损害。Word 文档.保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量， 而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、 以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为

31、此，有必要对组织中的资产进行识别。3.1保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。表提供了一种保密性赋值的参考。资产保密性赋值表赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系

32、统资源等3.2完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级， 分别对应资产在完整性上缺失时对整个组织的影响。表提供了一种完整性赋值的参考。Word 文档.资产完整性赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补。3中等完整性价值中等， 未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补。1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。3.3可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级， 分别对应资产在可用性上应达成的不同程度。表4 提供了一种可用性赋值的