密 级： 内部 文档编号：2007002-005 项目编号：2007002 XXXX 市地税局信息系统市地税局信息系统 资产评估报告资产评估报告 目目 录录 1概述概述3 2信息信息资产资产分分类类和和识别识别 3 2.1信息资产调查的过程 .3 2.2调查范围及方法 4 2.3信息资料识别5 2.3.1硬件资产.5 2.3.2软件资产.9 2.3.3数据资产.11 2.3.4文档资产.12 2.3.5人员资产.15 3资产赋值资产赋值方法方法.21 3.1保密性赋值22 3.2完整性赋值22 3.3可用性赋值23 3.4资产重要性等级 24 4XX 市地税局市地税局资产赋值资产赋值 26 4.1硬件资产赋值26 4.1.1主机设备.26 4.1.2网络设备.28 4.1.3安全设备.29 4.1.4存储设备.29 4.1.5保障设备.30 4.1.6通讯线路.31 4.2软件资产赋值32 4.2.1系统软件.32 4.2.2应用软件.33 4.3数据资产赋值34 4.4文档资产赋值35 4.5人员资产赋值38 5地税信息地税信息资产统计资产统计分析分析.40 5.1资产价值分布40 5.2分段价值分布40 5.3资产分类对比41 1 概述概述 根据XX 省人民政府信息化工作办公室关于印发的通知文件精神，XX 省信息安全测评中心承担了 XX 市地税局 “征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、 积累风险评估工作经验、培养队伍、协助 XX 市地税局更深入地了解其信息系统 安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对 XX 市地税局“征管信息系统”进行了全面的信息安全风险评估。 在整个风险评估项目过程中，资产调查是其首要工作。资产调查过程主要包 括资产识别和资产赋值。一方面，项目组根据资产识别的情况设计出 XX 市地税 局保护对象框架，并在此基础上进行安全体系设计；另一方面，项目组将资产赋 值结果用于风险计算，以便准确地表达安全调查的结果。 2 信息资产分类和识别信息资产分类和识别 2.1信息资产调查的过程信息资产调查的过程 在本项目中，项目组首先定制了资产调查表，通过访谈方式，对安全管理人 员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐 步地识别 XX 市地税局信息资产并收集其信息。 随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的 系统信息，包括服务器主机、可网管的网络设备、数据库系统和 PC 机。 通过将上述访谈和扫描的结果进行人工对比，合并和除错，项目组获得所有 必要的资产信息。 最后，项目组对所有已识别的资产进行赋值，并编制本报告。 2.2调查范围及方法调查范围及方法 资料分类技术参考点输出成果评估范围评估方式涉及地税人员评估人员 主机设备 11 台主机 调查访谈、实际核查赵白、梁志 网络设备3 台设备调查访谈、实际核查 王维、梁立 新、朱宁宁 安全设备1 台设备调查访谈、实际核查赵白、梁志 存储设备1 台设备调查访谈、实际核查 陈修杰、梁 立新、朱宁 宁 保障设备6 种保障设备调查访谈、实际核查赵白、梁志 硬件资产 通讯线路 硬件资产 调查表 140 条线路调查访谈、实际核查 陈修杰、梁 立新、朱宁 宁 系统软件 11 套主机系 统 调查访谈、实际核查 赵白、串广 义 软件资产 应用软件 软件资产 调查表 4 套应用系统调查访谈、实际核查 梁志、梁立 新、朱宁宁 人员资产中心人员 人员资产 调查表 9 人 调查访谈、文档检查 赵白、串广 义 数据资产 信息数据 数据资产 调查表 征管系统数 据 调查访谈、实际核查 赵白、梁立 新、朱宁宁 文档资资料文档文档资料 224 个相关 调查访谈、实际核 梁立新、 产 调查表 文档 查 朱宁宁 2.3信息资料识别信息资料识别 XX 市地税局的信息资产是指在 XX 市地税局信息系统范围内，具有价值并 需要保护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软 件，有数据，也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱 点、面临的威胁、需要进行的保护和安全控制都各不相同。 参照国家最新信息安全风险评估规范对信息资产的描述和定义，并结合 XX 市地税局的基本情况，我们将 XX 市地税局的信息资产分为 5 类，分别为：硬 件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。 2.3.1 硬件硬件资产资产 国家信息安全风险评估规范把硬件资产分为以下 7 大类： 1.网络设备：路由器、网关、交换机等； 2.计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机 等； 3.存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等； 4.传输线路：光纤、双绞线等； 5.保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门 禁、消防设施等； 6.安全保障设备：防火墙、入侵检测系统、身份鉴别等； 7.其他：打印机、复印机、扫描仪、传真机等。 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局的硬件资产分为以下 6 大类进行分别的调查识别： 1.主机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等； 2.网络设备：路由器、网关、交换机等； 3.安全设备：和信息安全相关的设备； 4.存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等； 5.传输线路：光纤、双绞线等； 6.保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门 禁、消防设施等。 2.3.1.1主机设备主机设备 序序 号号 设备设备名称名称 硬件型号硬件型号硬件配置硬件配置IPIP 地址地址 操作系操作系统统用途用途说说明明 1SJZ_NODE1IBM RS6000 RS64 III750MHZ*4 8*512MB*2 18.2GB*2 XX.20.225.1AIX 征管业务系统数据库 2SJZ_NODE2IBM RS6000 RS64 III750MHZ*4 8*512MB*2 18.2GB*3 XX.20.225.3AIX 征管业务系统数据库 3ZG-APP1IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.19Win2000 SRV 征管业务系统应用 4SJAPP2IBM x440XEON XX.20.225.21Win2000 SRV 征管业务系统应用 2.4G*2 4GB 36.4GB*2 5SJAPP3IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.23Win2000 SRV 征管业务系统应用 6SJAPP4IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.25Win2000 SRV 征管业务系统应用 7sjdc1IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.10Win2000 SRV DC 主域控制器 8sjdc2IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.11Win2000 SRV DC 主域控制器 9IBM x366 XEON 2.8G*4 4GB 72GB*3 XX.20.225.71Win2000 SRV 税收管理员应用 10sjz-oa-webHP D360 XEON 3.0G*2 2GB 72GB*2 XX.20.224.10 （11） Win2000 SRV www 服务器 11sjzds-odpsHP D360 XEON 3.0G*2 2GB 72GB*2 XX.20.224.19 （9） Win2000 SRV 公文流转服务器/瑞 星杀毒服务器 12HP D360 XEON 3.0G*2 2GB 72GB*2 XX.168.10.2Win2000 SRV 互联网服务器 2.3.1.2网络设备网络设备 序号序号 设备设备名称名称 IPIP 地址地址硬件型号硬件型号 出出产产厂商厂商 用途用途安装日期安装日期 1sj7513XX.20.231.254 Cisco 7513 思科核心路由器 2003 年 5 月 2sj4506XX.20.231.1 Cisco 4506 思科 核心交换机 2003 年 5 月 3f5XX.20.225.18f5f5 负载均衡器 2005 年 9 月 2.3.1.3安全设备安全设备 序号序号 设备设备名称名称设备设备形形态态 IPIP 地址地址 出出产产厂商厂商 品牌品牌用途用途 1IPS 硬件 XX.20.225.251 绿盟 冰之眼 IPS 2.3.1.4存储设备存储设备 序号序号 设备设备名称名称 IPIP 地址地址硬件型号硬件型号 出出产产 厂商厂商 品牌品牌 操作系操作系统统 用途用途 1sjnasXX.20.225.165194-226IBM nas 200 Windows 2000 Srv 磁盘阵 列 2.3.1.5保障设备保障设备 序号序号 设备设备名称名称 物理地址物理地址硬件型号硬件型号 出出产产厂商厂商 品牌品牌用途用途 1UPS 机房 UL33-0600L Emerson network power EMERSON 停电时 供机房 所有设 备电源 2 空调 机房 S23DW001HIROSSHIROSS 机房制 冷设备 3 防雷 配电柜 VAL-MSPhcenixPHCENIX 机房防 雷设备 4 视频监控器 机房 ARES 机房视 频监控 5 动力、环境 监测 机房 机房电 力、防水 监控 6 气体消防系 统 机房 LD-KP06 海湾安全技 术有限公司 GST 机房自 动消防 系统 2.3.1.6通讯线路通讯线路 用用户户名称名称线线路供路供应应商商 端口速率端口速率 单单位位责责任人任人 网通2M*115 各税务所各单位 市局 网通 8M*25 各县（市）区局各单位 2.3.2 软软件件资产资产 国家信息安全风险评估规范把软件资产分为以下 3 大类： 1.系统软件：操作系统、语句包、工具软件、各种库等； 2.应用软件：外部购买的应用软件，外包开发的应用软件等； 3.源程序：各种共享源代码、自行或合作开发的各种代码等。 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局的软件资产分为以下 2 大类进行分别的调查识别： 1.系统软件：操作系统、语句包、工具软件、各种库等； 2.应用软件：外部购买的应用软件，外包开发的应用软件等。 2.3.2.1系统软件系统软件 序号序号 系系统统名名 称称 版本号版本号 对应对应主机主机资产资产应应用服用服务务出出产产厂商厂商 软软件服件服 务务期限期限 1windows 2000 server XX.20.225.19 tcp/ip 8020 8090 80 Microsoft 是 2windows 2000 server XX.20.225.21 tcp/ip 8020 8090 80 Microsoft 是 3windows 2000 server XX.20.225.23 tcp/ip 8020 8090 80 Microsoft 是 4windows 2000 server XX.20.225.25 tcp/ip 8020 8090 80 Microsoft 是 5windows 2000 server XX.20.225.10tcp/ipMicrosoft 是 6windows 2000 server XX.20.225.11tcp/ip Microsoft 是 7windows 2000 server XX.20.225.14 tcp/ip 110 25 80 Microsoft 是 8AIX4.3.3XX.20.225.1tcp/ipIbm 是 9AIX