信息系統(tǒng)資產(chǎn)評估報告

《信息系統(tǒng)資產(chǎn)評估報告》由會員分享，可在線閱讀，更多相關《信息系統(tǒng)資產(chǎn)評估報告（42頁珍藏版）》請在裝配圖網(wǎng)上搜索。

密 級： 內(nèi)部 文檔編號： 2007002目編號 ： 2007002 息系統(tǒng) 資產(chǎn)評估報告 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 1 頁 共 41 頁 目 錄 1 概述 . 3 2 信息資產(chǎn)分類和識別 . 3 息資產(chǎn)調(diào)查的過程 . 3 查范圍及方法 . 4 息資料識別 . 5 件資產(chǎn) . 5 件資產(chǎn) . 9 據(jù)資產(chǎn) . 11 檔資產(chǎn) . 12 員資產(chǎn) . 15 3 資產(chǎn)賦值方法 . 21 密性賦值 . 22 整性賦值 . 22 用性賦值 . 23 產(chǎn)重要性等級 . 24 4 地稅局資產(chǎn)賦值 . 26 件資產(chǎn)賦值 . 26 機設備 . 26 絡設備 . 28 全設備 . 29 儲設備 . 29 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 2 頁 共 41 頁 障設備 . 30 訊線路 . 31 件資產(chǎn)賦值 . 32 統(tǒng)軟件 . 32 用軟件 . 33 據(jù)資產(chǎn)賦值 . 34 檔資產(chǎn)賦值 . 35 員資產(chǎn)賦值 . 38 5 地稅信息資產(chǎn)統(tǒng)計分析 . 40 產(chǎn)價值分布 . 40 段價值分布 . 40 產(chǎn)分類對比 . 41 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 3 頁 共 41 頁 1 概述 根據(jù) 人民政府信息化工作辦公室關于印發(fā) 的通知文件精神， 信息安全測評中心承擔了 地稅局“征管信息系統(tǒng)”的風險評估工作。我中心以建立符合我省情況的風險評估方法、積累風險評估工作經(jīng) 驗、培養(yǎng)隊伍、協(xié)助 地稅局更深入地了解其信息系統(tǒng)安全現(xiàn)狀為目標 ， 通過文檔分析、現(xiàn)場訪談、問卷調(diào)查、技術評估等方法，對地稅局“征管信息系統(tǒng)”進行了全面的 信息安全 風險評估。 在整個風險評估項目過程中 ，資產(chǎn)調(diào)查是其首要工作。資產(chǎn)調(diào)查過程主要包括資產(chǎn)識別和資產(chǎn)賦值。一方面，項目組根據(jù)資產(chǎn)識別的情況設計出 地稅局 保護對象框架，并在此基礎上進行安全體系設計；另一方面，項目組將資產(chǎn)賦值結(jié)果用于風險計算，以便準確地表達安全調(diào)查的結(jié)果。 2 信息資產(chǎn)分類和識別 息資產(chǎn)調(diào)查的過程 在本項目中，項目組首先定制了資產(chǎn)調(diào) 查表，通過訪談方式，對安全管理人員、網(wǎng)絡管理人員、主機系統(tǒng)管理人員、應用開發(fā)和維護人員等進行了訪談。逐步地識別 地稅局 信息資產(chǎn)并收集其信息。 隨后，項目組通過對信息中心進行掃描，從第二條渠道獲得了可掃描系統(tǒng)的系統(tǒng)信息，包括服務器主機、可網(wǎng)管的網(wǎng)絡設備、數(shù)據(jù)庫系統(tǒng)和 。 通過將上述訪談和掃描的結(jié)果進行人工對比，合并和除錯，項目組獲得所有必要的資產(chǎn)信息。 最后，項目組對所有已識別的資產(chǎn)進行賦值，并編制本報告。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 4 頁 共 41 頁 查范圍 及方法 資料分類 技術參考點 輸出成果 評估范圍 評估方式 涉及地稅人員 評估人員 硬件資產(chǎn) 主機設備 硬件資產(chǎn)調(diào)查表 11臺主機 調(diào)查訪談、實際核查 趙白、梁志 網(wǎng)絡設備 3臺設備 調(diào)查訪談、實際核查 王維 、梁 立新、朱寧寧 安全設備 1臺設備 調(diào)查訪談、實際核查 趙白、梁志 存儲設備 1臺設備 調(diào)查訪談、實際核查 陳修杰、梁立 新、朱寧寧 保障設備 6種保障設備 調(diào)查訪談、實際核查 趙白、梁志 通訊線路 140條線路 調(diào)查訪談、實際核查 陳修杰、梁立 新、朱寧寧 軟件資產(chǎn) 系統(tǒng)軟件 軟件資產(chǎn)調(diào)查表 11套主機系統(tǒng) 調(diào)查訪談、實際核查 趙白、串廣義 應用軟件 4套應用系統(tǒng) 調(diào)查訪談、實際核查 梁志、梁 立新、朱寧寧 人員資產(chǎn) 中心人員 人員資產(chǎn)調(diào)查表 9人 調(diào)查訪談、文檔檢查 趙白、串廣義 數(shù)據(jù)資產(chǎn) 信息數(shù)據(jù) 數(shù)據(jù)資產(chǎn)調(diào)查表 征管系統(tǒng)數(shù)據(jù) 調(diào)查訪談、實際核查 趙白、梁 立新、朱寧寧 文檔資產(chǎn) 資料文檔 文檔資料調(diào)查表 224個相關文檔 調(diào)查訪談、實際核查 梁 立 新、朱寧寧 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 5 頁 共 41 頁 息資料識別 地稅局 的信息資產(chǎn)是指在 地稅局 信息系統(tǒng)范圍內(nèi)，具有價值并需要保護的對象。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有數(shù)據(jù)， 也有服務等。它們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。 參照 國家最新信息安全風險評估規(guī)范 對信息資產(chǎn)的描述和定義，并結(jié)合地稅局 的基本情況，我們將 地稅局 的信息資產(chǎn)分為 5 類，分別為：硬件資產(chǎn) 、 軟件資產(chǎn) 、 數(shù)據(jù)資產(chǎn) 、 人員資產(chǎn) 、 文檔資產(chǎn) ，以下為本次調(diào)查的結(jié)果。 件資產(chǎn) 國家信息安全風險評估規(guī)范把硬件資 產(chǎn) 分為以下 7 大類： 1. 網(wǎng)絡設備：路由器、網(wǎng)關、交換機等 ； 2. 計算機設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等 ； 3. 存儲設備：磁帶機 、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等 ； 4. 傳輸線路：光纖、雙絞線等 ； 5. 保障設備：動力保障設備（ 電設備等）、空調(diào)、保險柜、文件柜、門禁、消防設施等 ； 6. 安全保障設備：防火墻、入侵檢測系統(tǒng)、身份鑒別等 ； 7. 其他：打印機、復印機、掃描儀、傳真機等 。 根據(jù) 地稅局實際情況 并 結(jié)合信息安全風險評估規(guī)范，我們把 產(chǎn) 分為以下 6 大類進行分別的調(diào)查識別： 1. 主機設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等 ； 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 6 頁 共 41 頁 2. 網(wǎng)絡設備：路由器、網(wǎng)關、交換機等 ； 3. 安全設備：和信息安全相關的設備 ； 4. 存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等 ； 5. 傳輸線路：光纖、雙絞線等 ； 6. 保障設備：動力保障設備（ 電設備等）、空調(diào)、保險柜、文件柜、門禁、消防設施等 。 機 設備 序號 設備名稱 硬件型號 硬件配置 操作系統(tǒng) 用途說明 1 8*512 管業(yè)務系統(tǒng)數(shù)據(jù)庫 2 8*512 管業(yè)務系統(tǒng)數(shù)據(jù)庫 3 BM 4 管業(yè)務系統(tǒng)應用 4 BM 4 管業(yè)務系統(tǒng)應用 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 7 頁 共 41 頁 5 BM 4 管業(yè)務系統(tǒng)應用 6 BM 4 管業(yè)務系統(tǒng)應用 7 BM 4 8 BM 4 9 472 收管理員應用 10 P 272 11） RV 11 P 272 9） 文流轉(zhuǎn) 服務器 /瑞星殺毒服務器 12 360 2聯(lián)網(wǎng)服務器 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 8 頁 共 41 頁 72 絡設備 序號 設備名稱 硬件型號 出產(chǎn)廠商 用途 安裝日期 1 513 思科 核心路由器 2003年 5月 2 506 思科 核心交換機 2003年 5月 3 f5 載均衡器 2005年 9月 全設備 序號 設備名稱 設備形態(tài) 出產(chǎn)廠商 品牌 用途 1 件 盟 冰之眼 儲設備 序號 設備名稱 硬件型號 出產(chǎn) 廠商 品牌 操作系統(tǒng) 用途 1 194BM 00 000 盤陣列 障設備 序號 設備名稱 物理地址 硬件型號 出產(chǎn)廠商 品牌 用途 1 房 電時供機房所有設 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 9 頁 共 41 頁 備電源 2 空調(diào) 機房 房制冷設備 3 防雷 配電柜 房防雷設備 4 視頻監(jiān)控器 機房 房視頻監(jiān)控 5 動力、環(huán)境監(jiān)測 機房 機房電力、防水監(jiān)控 6 氣體消防系統(tǒng) 機房 灣安全技術有限公司 房自動消防系統(tǒng) 訊線路 用戶名稱 線路供應商 端口速率 單位 責任人 市局 網(wǎng)通 2M*115 各稅務所 各單位 網(wǎng)通 8M*25 各縣（市）區(qū)局 各單位 件資產(chǎn) 國家信息安全風險評估規(guī)范把軟件資產(chǎn)分為以下 3 大類： 1. 系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等 ； 2. 應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等 ； 3. 源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等 。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 10 頁 共 41 頁 根據(jù) 地稅局實際情況 并 結(jié)合信息安全風險評估規(guī)范，我們把 大類進行分別的調(diào)查識別： 1. 系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等 ； 2. 應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等 。 統(tǒng)軟件 序號 系統(tǒng)名稱 版本號 對應主機資產(chǎn) 應用服務 出產(chǎn)廠商 軟件服務期限 1 2000 020 8090 80 2 2000 020 8090 80 3 2000 020 8090 80 4 2000 020 8090 80 5 2000 6 2000 7 2000 10 25 80 8 9 10 521 甲骨文 是 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 11 頁 共 41 頁 11 521 甲骨文 是 用軟件 序號 應用軟件名稱 對應主機資產(chǎn) 應用服務 軟件版本號 出產(chǎn)廠商 1 8020 8090 80 2005版 北京華安 通聯(lián)有限責任公司 2 8020 8090 80 2005版 北京華安通聯(lián)有限責任公司 3 8020 8090 80 2005版 北京華安通聯(lián)有限責任公司 4 8020 8090 80 2005版 北京華安通聯(lián)有限責任公司 據(jù)資產(chǎn) 國家信息安全風險評估規(guī)范把數(shù)據(jù)資產(chǎn) 定義為 保存在信息媒 介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等 根據(jù) 地 稅局實際情況 并 結(jié)合信息安全風險評估規(guī)范，我們把 據(jù) 資產(chǎn) 的評估范圍設定在核心征管系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)。 序號 數(shù)據(jù)名稱 用途 分發(fā)范圍 對應主機資產(chǎn) 應用服務 數(shù)據(jù)期限 1 稅收征管相關資料 反映納稅人相關情況 地稅系統(tǒng)內(nèi)部 收征管系統(tǒng) 10年 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 12 頁 共 41 頁 檔資產(chǎn) 國家信息安全風險評估規(guī)范文檔資產(chǎn)定義為 紙質(zhì)的各種文件，如傳真、電報、財務報告、發(fā)展 計劃等 。 根據(jù) 地稅局實際情況 并 結(jié)合信息安全風險評估規(guī)范，我們把 范、制度及培訓手冊等。 此次共整理 224 個各類文檔，從中提取出 31 個文檔作為此次文檔資產(chǎn)評估范圍。 序號 文檔年份 文檔名稱 用途 存放方式 1 2006 系統(tǒng)管理制度 紙質(zhì)文檔與電子檔 2 2006 系統(tǒng)數(shù)據(jù)庫口令管理 系統(tǒng)管理制度 紙質(zhì)文檔與電子檔 3 2004 管理制度 紙質(zhì)文檔與電子檔 4 2004 004年信息化建設實施方案 管理制度 紙質(zhì)文檔與電子檔 5 2004 信息化主要建設項目實行統(tǒng)一審批管理 管理制度 紙質(zhì)文檔與電子檔 6 2004 關于成立信息化工作領導小組 管理制度 紙質(zhì)文檔與電子檔 7 2004 管理制度 紙質(zhì)文檔與電子檔 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 13 頁 共 41 頁 8 2004 管理制度 紙質(zhì)文檔與電子檔 9 2004 管理制度 紙質(zhì)文檔與電子檔 10 2004 絡運行維護管理制度 管理制度 紙質(zhì)文檔與電子檔 11 2004 行）辦法 2004理制度 紙質(zhì)文檔與電子檔 12 2004 信息化星級管理辦法 管理制度 紙質(zhì)文檔與電子檔 13 2004 稿 ) 管理制度 紙質(zhì)文檔與電子檔 14 2004 管理制度 紙質(zhì)文檔與電子檔 15 2006 應用軟件維護制度 22號文 管理制度 紙質(zhì)文檔與電子檔 16 2007 2007年信息化工作要點（定稿 ) 管理制度 紙質(zhì)文檔與電子檔 17 2007 新） 管理制度 紙質(zhì)文檔與電子檔 18 2007 信息化星級管理辦法 2007 管理制度 紙質(zhì)文檔與電子檔 19 2006 理制度 紙質(zhì)文檔與 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 14 頁 共 41 頁 統(tǒng)維護管理辦法 電子檔 20 2005 維護手冊 紙質(zhì)文檔與電子檔 21 2006 維護手冊 紙質(zhì)文檔與電子檔 22 2006 行） 管理制度 紙 質(zhì)文檔與電子檔 23 2005 2005版征管系統(tǒng)稅務登記說明書（一） 征管軟件說明書 紙質(zhì)文檔與電子檔 24 2005 2005版征管系統(tǒng)申報征收說明書（二） 征管軟件說明書 紙質(zhì)文檔與電子檔 25 2005 2005版征管系統(tǒng)稅收計會說明書（三） 征管軟件說明書 紙質(zhì)文檔與電子檔 26 2005 2005版征管系統(tǒng)稅務管理說明書（四） 征管軟件說明書 紙質(zhì)文檔與電子檔 27 2005 2005版征管系統(tǒng)征收管理說明書（五） 征管軟件說明書 紙質(zhì)文檔與電子檔 28 2005 2005版征管系統(tǒng) 文書審批說明書（六） 征管軟件說明書 紙質(zhì)文檔與電子檔 29 2005 2005版征管系統(tǒng)基層查詢說明書（七） 征管軟件說明書 紙質(zhì)文檔與電子檔 30 2005 2005版征管系統(tǒng)設置說明書（八） 征管軟件說明書 紙質(zhì)文檔與電子檔 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 15 頁 共 41 頁 31 2005 2005版征管系統(tǒng)典型業(yè)務說明書（九） 征管軟件說明書 紙質(zhì)文檔與電子檔 員資產(chǎn) 國家信息安全風險評估規(guī)范人員資產(chǎn)定義為 掌握重要信息和核心業(yè)務的人員，如主機維護主管、網(wǎng)絡維護主管及應用項目 主管 等 。 根據(jù) 地稅局實際情況 并 結(jié)合信息安全風險評估規(guī)范 ，我們把 息中心在職人員共有 13 人，主要進行高級管理的主任或副級的人員有三人，重要系統(tǒng)管理人員為六人。因此，此次人 員資產(chǎn)的評估范圍是信息中心高級管理人員及重要資產(chǎn)管理人員共九人 。 序號 人員名稱 所屬 部門 人員 職務 人員職責 1 息中心 主任 1 負責全面工作。 2 負責全系統(tǒng)信息化建設規(guī)劃和實施方案的組織制定工作。 3 負責協(xié)調(diào)組織全系統(tǒng)信息化建設規(guī)劃和方案的實施工作。 4 負責信息化隊伍建設工作。 5 完成領導交辦的 其他工作。 2 息中心 副主任 1主管軟件維護工作。 2主管軟件試點和推廣工作。 3主管辦公自動化工作。 4主管安全防范工作。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 16 頁 共 41 頁 5完成領導交辦的其他工作。 3 息中心 副主任 1主管網(wǎng)絡維護工作。 2主管系統(tǒng)運維工作。 3主管軟件開發(fā)工作。 4主管綜合工作。 5完成領導交辦的其他工作。 4 息中心 組長 1負責網(wǎng)絡管理工作 2負責系統(tǒng)維護工作 3負責 4負責 5負責 的硬件及數(shù)據(jù)備份的管理與維護 6負責 7負責輔助應用系統(tǒng)的硬件及操作系統(tǒng)的升級與維護 8負責機房空調(diào)維護工作 9負責消防系統(tǒng)維護工作 10負責機房環(huán)境監(jiān)控工作 11負責軟件開發(fā)的前期開發(fā)工作 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 17 頁 共 41 頁 12領導安排的其他工作 5 息中心 科員 1. 負責市局辦公網(wǎng)站的框架規(guī)劃、版式設計及組織編寫網(wǎng)站程序。 2. 負責辦公網(wǎng)站的部署實施與程序維護。 3. 負責辦公網(wǎng)站的信息發(fā)布工作的技術指導和培訓。 4. 負責市局辦公網(wǎng)站的數(shù)據(jù)備份及服務器日常管理 。 5. 負責全系統(tǒng)計算機防病毒工作的維護工作，定時升級防病毒軟件。 6. 負責監(jiān)控全系統(tǒng)下級防計算機病毒中心，督導客戶端及時升級查殺。 7. 負責全系統(tǒng)每年的計算機安全培訓工作。 8. 負責長安辦公樓的辦公網(wǎng)站服務器的資源管理。 9完成領導交辦的其他工作。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 18 頁 共 41 頁 6 息中心 科員 7 21層電腦維護及局域網(wǎng)維護工作 電井設備維護工作 7 息中心 科員 1. 負責有關網(wǎng)絡的日常事務性維護； 2. 負責市局中心端內(nèi)、外網(wǎng)網(wǎng)絡設備故障的排除； 3. 負責 4. 負責市局內(nèi)、外網(wǎng)監(jiān)控與管理； 5. 與有關同志共同負責網(wǎng)絡建設項目； 6. 與有關同志共同負責有關網(wǎng)絡知識的培訓； 7. 協(xié)助基層單位分析網(wǎng)絡故障； 8. 協(xié)調(diào)網(wǎng)通、基層局排除廣域網(wǎng)線路故障； 9. 了解網(wǎng)絡現(xiàn)狀，適時向領導提出網(wǎng)絡發(fā)展規(guī)劃； 10. 領導交辦的其它工作 。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 19 頁 共 41 頁 8 息中心 科員 1負責小型機硬件維護、調(diào)試及保養(yǎng) 2負責小型機操作系統(tǒng) 護 3負責征管系統(tǒng)后臺 據(jù)備份、狀態(tài)監(jiān)控及性能調(diào)優(yōu) 4負責征管系統(tǒng)應用服務器的硬件及操作系統(tǒng)的維護及升級 5負責 6負責 7負責 8負責 9負責輔助應用系統(tǒng)的硬件及操作系統(tǒng)的升級與維護 10負責培訓環(huán)境的硬件及操作系統(tǒng)的升級與維護 11負責車船稅征收管理軟件、建安房地產(chǎn)軟件相關設備維護及軟件運行管理 12負責 軟件開發(fā)工作 13領導安排的其他工作 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 20 頁 共 41 頁 9 息中心 科員 1. 負責征管軟件的運行維護工作 . 2. 負責個人所得稅軟件的運行維護工作 . 3. 負責網(wǎng)上報稅軟件的運行維護工作 . 4. 負責決策支持系統(tǒng)的運行維護工作 . 5. 負責法制軟件的運行維護工作 . 6. 負責人事管理軟件維護工作 . 7. 負責其它軟件的維護工作 . 8. 負責應用軟件的試點測試工作 ,做好方案制定、培訓和試點軟件技術問題搜集、分析、解答工作。 9. 負責應用軟件的推廣工作，做好方案制定、培訓和技術問題分析、解答工作。 10. 完成 其它工作。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 21 頁 共 41 頁 3 資產(chǎn)賦值 方法 信息資產(chǎn)價值有別于資產(chǎn)的帳面價值和重置價值，而是指資產(chǎn)在安全方面的相對價值。本文中所指的信息資產(chǎn)價值全部都表示相對價值。 進行資產(chǎn)估價時，不僅要考慮資產(chǎn)的帳面價值，更重要的是考慮資產(chǎn)對于組織商務或業(yè)務的重要性，即資產(chǎn)損失所引發(fā)潛在的商務或業(yè)務的影響來決定，例如導致業(yè)務中斷、資金和市場份額的損失、企業(yè)形象的損害等直接和間接的經(jīng)濟損失。為確保資產(chǎn)估價的一致性和準確性，應建立一個資產(chǎn)的價值尺度，即資產(chǎn)評價標準，以明確如何對資產(chǎn)進行賦值。 信息資產(chǎn)分別具有不同的安全屬性，機密性、完整 性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產(chǎn)價值的定性的數(shù)值。在信息資產(chǎn)估價時，主要對資產(chǎn)的這三個安全屬性分別賦予價值，以此反映出信息資產(chǎn)的價值。 密性、完整性和可用性的定義如下： 保密性：確保只有經(jīng)過授權(quán)的人才能訪問信息。如果信息或者服務被無關甚至懷有惡意的人獲得，則表明該資產(chǎn)的保密性受到了損害。 完整性：保護信息和信息的處理方法準確而完整；如果信息或者服務在傳遞過程中因為系統(tǒng)故障或者惡意的方 法導致被修改，并引起錯誤，則表明該資產(chǎn)的完整性受到了損害。 可用性：確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關信息資產(chǎn)。如果信息非正常丟失或者服務非正常中斷，則表明該資產(chǎn)的可用性受到了損害。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 22 頁 共 41 頁 保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn) 生影響。為此，有必要對組織中的資產(chǎn)進行識別。 密性賦值 根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在保密性上應達成的不同程度或者保密性缺失時對整個組織的影響。表提供了一種保密性賦值的參考。 資產(chǎn) 保密性 賦值表 賦值 標識 定義 5 很 高 包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害 4 高 包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害 3 中等 組織的一般性秘密，其泄露會使組織的安全和利益受到損害 2 低 僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害 1 很低 可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等 整性賦值 根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在完整性上缺失時對整個組織的影響。表提供了一種完整性賦值的參考。 資產(chǎn)完整性賦值表 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 23 頁 共 41 頁 賦值 標識 定義 5 很 高 完整性價值非常關鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補。 4 高 完整性價值較高，未經(jīng) 授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，較難彌補。 3 中等 完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補。 2 低 完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務沖擊輕微，容易彌補。 1 很低 完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略。 用性賦值 根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在可用性上應達成的不同程度。表 4 提供了一種可用性賦值的參考。 資產(chǎn)可用性賦 值表 賦值 標識 定義 5 很 高 可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度 上，或系統(tǒng)不允許中斷。 4 高 可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天 90%以上，或系統(tǒng)允許中斷時間小于 10 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 24 頁 共 41 頁 3 中等 可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于 30 2 低 可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于 60 1 很低 可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于 25%。 產(chǎn)重要性等級 資產(chǎn)價值應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務特點確定。 本標準中，為與上述安全屬性的賦值相對應，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要， 也可以根據(jù)組織的實際情況確定資產(chǎn)識別中的賦值依據(jù)和等級。表中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。評估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進行下一步的風險評估。 資產(chǎn)等級及含義描述 等級 標識 描述 5 很高 非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失。 4 高 重要，其安全屬性破壞后可能對組織造成比較嚴重的損失。 3 中 比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 25 頁 共 41 頁 2 低 不太重要，其安全屬性破壞后可能對組織造成較低的損失。 1 很低 不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計。 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 26 頁 共 41 頁 4 地稅局資產(chǎn)賦值 件資產(chǎn)賦值 機設備 保密性賦值： 數(shù)據(jù)庫 主機 中 運行的是核心應用征管系統(tǒng)的數(shù)據(jù)庫 ， 保密性設為 5； 控制器為征管系統(tǒng)提供 集中身 份 驗證，保密性為 4； 征管應用服務器為 核心 應用系統(tǒng)，保密性 設為 3； 稅收管理應用，為內(nèi)部應用服務器，保密性設為 3； 務器為發(fā)布服務器，保密性要求相對比較低，因此設為 2； 公文流轉(zhuǎn)及防病毒服務器，承擔內(nèi)部公文流轉(zhuǎn)及防病毒的任務， 由于有公文流轉(zhuǎn) ， 因此 設為 4； 可用性賦值 數(shù)據(jù)庫 主機 承 擔征管系統(tǒng)數(shù)據(jù)查詢及 數(shù)據(jù) 存儲功能，雖然由兩臺數(shù)據(jù)庫主機分別提供此項功能，但由于平時數(shù)據(jù)庫主機的壓力比較高，一臺主機如果發(fā)生故障有可能影響整個征管系統(tǒng)的應用，因此可用性要求最高，設為 5； 控制器為征管提供身體驗證，由兩臺 制器分別進行，可能用性要求不是非常高，設為 3； 征管應用系統(tǒng)由四臺主機分別提供，任何一臺或兩臺主機發(fā)生故障，一般不會影響整個系統(tǒng)的應用，因此可用性設為 2； 稅收管理應用，現(xiàn)階段沒有正式開通，可用性要求不高，設為 2； 務器為發(fā)布服務器，只有一臺主機提供服務，可用性要求相對較高 ，設為 4； 公文流轉(zhuǎn)及防病毒服務器，承擔內(nèi)部公文流轉(zhuǎn)及防病毒的任務，只有一臺主 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 27 頁 共 41 頁 機提供相關服務，可用性要求相對較高，設為 4； 完整性賦值 數(shù)據(jù)庫承擔征管系統(tǒng)數(shù)據(jù)查詢及 數(shù)據(jù) 存儲功能，數(shù)據(jù)內(nèi)容不容被破壞或修改，因此，完整性要求最高，設為 4； 控制器為征管提供身體驗證，完整性要求相對較高設為 3； 征管應用系統(tǒng)由四臺主機分別提供，征管應用是一項流程一項業(yè)務，對于流程或業(yè)務完整性的要求比較高，因此，設為 4； 稅收管理應用，是一項應用服務，完整性的要求比較高，設為 4； 務器為發(fā)布服務器，但由于此服務器不是核 心應用系統(tǒng)，因此完整性要求不是要求很嚴格，設為 3 公文流轉(zhuǎn)及防病毒服務器，承擔內(nèi)部公文流轉(zhuǎn)及防病毒的任務，公文流轉(zhuǎn)和防病毒都是比較重要的應用服務，完整性要求相對較高，設為 4； 具體列表如下： 序號 設備名稱 用途說明 保密性 可用性 完整性 資產(chǎn) 等級 1 管業(yè)務系統(tǒng)數(shù)據(jù)庫 5 4 4 2 管業(yè)務系統(tǒng)數(shù)據(jù)庫 5 4 4 3 管業(yè)務系統(tǒng)應用 3 2 4 4 管業(yè)務系統(tǒng)應用 3 2 4 5 管業(yè)務系統(tǒng)應用 3 2 4 6 管業(yè)務系統(tǒng)應用 3 2 4 7 4 3 3 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 28 頁 共 41 頁 8 4 3 3 9 收管理員應用 3 2 4 10 11） 2 4 3 11 9） 公文流轉(zhuǎn)服務器 /瑞星殺毒服務器 4 4 4 絡設備 保密性賦值 核心路由器 、核心交換機上的數(shù)據(jù)為重要的征管數(shù)據(jù)，保密 性 設為 3； 載均衡的數(shù)據(jù)為重要的征管數(shù)據(jù)，保密 性 設為 3； 可用性賦值 核心路由器、核心交換機是整個設級地稅網(wǎng)絡的核心網(wǎng)絡設備，可用性要求比較高，設為 4 載均衡設備承擔為內(nèi)部四臺征管應用提供數(shù)據(jù)中轉(zhuǎn)， 否可用直接會影響整個征管系統(tǒng)，可用性要求最高，設為 5； 完整性賦 值 核心路由器、核心交換機上的數(shù)據(jù)為重要的征管數(shù)據(jù)，因此，完整性要求比較高，設為 4； 載均衡的數(shù)據(jù)為重要的征管數(shù)據(jù)，因此，完整性要求比較高，設為 4； 序號 設備名稱 用途 保密性 可用性 完整性 資產(chǎn) 等級 1 心路由器 3 4 4 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 29 頁 共 41 頁 2 心交換機 3 4 4 3 載均衡器 3 5 4 全設備 保密性賦值 入侵防御系統(tǒng)，是一種安全設備，保密性要求比 較低，設為 2； 可用性賦值 入侵防御系統(tǒng)，是一種安全設備，作為入侵防御系統(tǒng)，它串連在核心路由與核心交換機之間， 否可用，直接影響市地稅與下面分局或所的數(shù)據(jù)能信，因此，可用性設為 4 完整性賦值 入侵防御系統(tǒng)，是一種安全設備，完整性要求不是很高，設為 3； 序號 設備名稱 保密性 可用性 完整性 資產(chǎn)等級 1 4 3 儲設備 保密性賦值 存儲設備存儲的是重要數(shù)據(jù)庫數(shù)據(jù)，保密性要求比較高，設為 4； 可用性賦值 存儲設備對數(shù)據(jù)庫進行備 份，可用性要求比較高，設為 4； 完整性賦值 存儲設備對數(shù)據(jù)庫進行備份，如果備份數(shù)據(jù)有問題，可以進行重新備份，因 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 30 頁 共 41 頁 此完整性的要求不是特別高，設為 3； 序號 設備名稱 硬件型號 出產(chǎn) 廠商 保密性 可用性 完整性 1 194 4 3 障設備 保密性賦值 調(diào)、防雷 、氣體消防系統(tǒng)均不存在數(shù)據(jù)和重要的監(jiān)控信息，因此，保密性設為 1； 視頻監(jiān)控系統(tǒng)，由于負責機房視頻監(jiān)控，視頻數(shù)據(jù)有比較強的保密性要求，因此，保密性設為 4； 可用性賦值 防系統(tǒng)分別承擔電源保障及機房消防，可用性要求最高，為 4； 空調(diào)設備有兩臺，一臺出現(xiàn)故障不會很大程度影響機房運行，因此可用性設為 2； 防雷設備，由于地稅大廈已經(jīng)做了防雷處理，因此，機房防雷的可用性要求不是很高，設為 2； 動力和環(huán)境監(jiān)測系統(tǒng)，不是核心保障設備，可用性設為 2； 設頻監(jiān)控系統(tǒng)，負責監(jiān)控機房日常情況，可用性要求設為 3 完整性賦值 防系統(tǒng)分別承擔電源保障及機房消防， 設備的完整性直接影響整個機房的運行狀態(tài)，因此完整性設為 4； 空調(diào)設備有兩臺，一臺出現(xiàn)故障不會很大程度影響機房運行，因此 完整性 設為 2； 地稅局信息系統(tǒng)資產(chǎn)評估報告 第 31 頁 共 41 頁 防雷設備，由于地稅大廈已經(jīng)做了防雷處理，因此，機房防雷的 完整 性要求不是很高，設為 2； 動力和環(huán)境監(jiān)測系統(tǒng)，不是核心保障設備， 完整 性設為 2； 設頻監(jiān)控系統(tǒng)，負責監(jiān)控機房日常情況， 完整 性要求設為 3 序號 設備名稱 硬件型號 出產(chǎn)廠商 保密性 可用性 完整性 資產(chǎn) 等級 1 4 4 2 空調(diào) 2 2 3 空調(diào) 2 2 4 防雷 2 2 5 視頻監(jiān)控器 4 3 3 6 動力、環(huán)境監(jiān)測 2 2 2 7 氣體消防系統(tǒng) LD-