信息系统资产评估报告实例

密级内部文档编号2007002-005项目编号2007002XX市地税局信息系统资产评估报告备电源机房制2空调机房S23DW001HIROSS HIROSS冷设备机房防3防雷配电柜VAL-MS PhcenixPHCENIX雷设备机房视4视频监控器机房ARES频监控机房电动力、环境力、防水5机房监测监控机房自气体消防系海湾安全技动消防6机房LD-KP06GST统术有限公司系统通讯线路

231.6用户名称线路供应商端口速率单位责任人网通2M*115各税务所各单位市局网通8M*25各县（市）区局各单位软件资产

2.

3.2国家《信息安全风险评估规范》把软件资产分为以下3大类

1.系统软件操作系统、语句包、工具软件、各种库等；

2.应用软件外部购买的应用软件，外包开发的应用软件等;

3.源程序各种共享源代码、自行或合作开发的各种代码等根据XX市地税局实际情况并结合《信息安全风险评估规范》，我们把XX市地税局的软件资产分为以下2大类进行分别的调查识别

1.系统软件操作系统、语句包、工具软件、各种库等；

2.应用软件外部购买的应用软件，外包开发的应用软件等系统软件

2.321系统名软件服序号版本号对应主机资产应用服务出产厂商称务期限tcp/ip80201windows2000server XX.

20.

225.19Microsoft是809080tcp/ip80202windows2000server XX.

20.

225.21Microsoft是809080tcp/ip80203windows2000server XX.

20.

225.23Microsoft是809080tcp/ip80204windows2000server XX.

20.

225.25Microsoft是8090805windows2000server XX.

20.

225.10tcp/ip Microsoft是6windows2000server XX.

20.

225.11tcp/ip Microsoft是tcp/ip110257windows2000server XX.

20.

225.14Microsoft是808AIX

4.

3.3XX.

20.

225.1tcp/ip Ibm是9AIX

4.

3.3XX.

20.

225.3tcp/ip Ibm是1Oracle

9.

2.

0.1XX.

20.

225.1tcp/ip1521甲骨文是Oracle

9.

2.

0.1XX.

20.

225.3tcp/ip1521甲骨文是11应用软件

2.

3.

2.2序软件版应用软件名称对应主机资产应用服务出产厂商号本号XX地税税收征收管北京华安通联有限tcp/ip80201XX.

20.

225.192005版理系统809080责任公司XX地税税收征收管北京华安通联有限tcp/ip80202XX.

20.

225.212005版理系统809080责任公司XX地税税收征收管北京华安通联有限tcp/ip80203XX.

20.

225.232005版理系统809080责任公司XX地税税收征收管北京华安通联有限tcp/ip80204XX.

20.

225.252005版理系统809080责任公司数据资产

2.

3.3国家《信息安全风险评估规范》把数据资产定义为保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等根据XX市地税局实际情况并结合《信息安全风险评估规范》，我们把XX市地税局数据资产的评估范围设定在核心征管系统的数据库数据序号数据名称用途分发范围对应主机资产应用服务数据期限税收征管相关反映纳税人相地税系统XX.

20.

225.1税收征管110年资料关情况内部XX.

20.

52.

52.

92.

112.

122.

264.

264.

284.

294.

294.

304.

324.

324.

2.1在本项目中，项目组首先定制了资产调查表，通过访谈方式，对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈逐步地识别XX市地税局信息资产并收集其信息随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的系统信息，包括服务器主机、可网管的网络设备、数据库系统和PC机通过将上述访谈和扫描的结果进行人工对比，合并和除错，项目组获得所有必要的资产信息最后，项目组对所有已识别的资产进行赋值，并编制本报告调查范围及方法

2.2资料分类技术参考点输出成果评估范围评估方式涉及地税人员评估人员主机设备11台主机调查访谈、实际核查赵白、梁志王维、梁立网络设备3台设备调查访谈、实际核查新、朱宁宁安全设备1台设备调查访谈、实际核查赵白、梁志陈修杰、梁硬件资产硬件资产存储设备1台设备调查访谈、实际核查立新、朱宁调查表宁保障设备6种保障设备调查访谈、实际核查赵白、梁志陈修杰、梁通讯线路140条线路调查访谈、实际核查立新、朱宁宁11套主机系赵白、串广系统软件调查访谈、实际核查软件资产统义软件资产调查表梁志、梁立应用软件4套应用系统调查访谈、实际核查新、朱宁宁人员资产赵白、串广人员资产中心人员9人调查访谈、文档检查调查表义数据资产征管系统数赵白、梁立数据资产信息数据调查访谈、实际核查调查表据新、朱宁宁文档资文档资料224个相关梁立新、资料文档调查访谈、实际核查产调查表文档朱宁宁信息资料识别

2.3XX市地税局的信息资产是指在XX市地税局信息系统范围内，具有价值并需要保护的对象它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有数据，也有服务等它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同参照国家最新《信息安全风险评估规范》对信息资产的描述和定义，并结合XX市地税局的基本情况，我们将XX市地税局的信息资产分为5类，分别为硬件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果硬件资产

2.

3.1国家《信息安全风险评估规范》把硬件资产分为以下7大类

1.网络设备路由器、网关、交换机等；

2.计算机设备大型机、小型机、服务器、工作站、台式计算机、便携计算机等；

3.存储设备磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；

4.传输线路光纤、双绞线等；

5.保障设备动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等；

6.安全保障设备防火墙、入侵检测系统、身份鉴别等；

7.其他打印机、复印机、扫描仪、传真机等根据XX市地税局实际情况并结合《信息安全风险评估规范》，我们把XX市地税局的硬件资产分为以下6大类进行分别的调查识别

1.主机设备大型机、小型机、服务器、工作站、台式计算机、便携计算机等；

2.网络设备路由器、网关、交换机等；

3.安全设备和信息安全相关的设备；

4.存储设备磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；

5.传输线路光纤、双绞线等；

6.保障设备动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等主机设备

231.1序设备名称硬件型号硬件配置IP地址操作系统用途说明号RS64HI750MHz*41SJZ_NODE1IBM RS6000XX.

20.

225.1ATX征管业务系统数据库8*512MB*

218.2GB*2RS64III750MHZM2SJZ N0DE2IBM RS6000XX.

20.

225.3AIX征管业务系统数据库8*512MB*

218.2GB*3XEON

2.4G*24GB3ZG-APP1IBM x440XX.

20.

225.19Win2000SRV征管业务系统应用

36.4GB*2XEON

2.4G*24GB4SJAPP2IBM x440XX.

20.

225.21Win2000SRV征管业务系统应用

36.4GB*2XEON

2.4G*24GB

36.4GB*25SJAPP3IBM x440XX.

20.

225.23Win2000SRV征管业务系统应用XEON

2.4G*24GB6SJAPP4IBM x440XX.

20.

225.25Win2000SRV征管业务系统应用

36.4GB*2XEON

2.4G*24GB7s jdclIBM x440XX.

20.

225.10Win2000SRV主域控制器DC

36.4GB*2XEON

2.4G*24GB8sjdc2IBM x440XX.

20.

225.11Win2000SRV主域控制器DC

36.4GB*2XEON

2.8G*44GB9IBM x366XX.

20.

225.71Win2000SRV税收管理员应用72GB*3XEONXX.

20.

224.

103.0G*22GB10sjz-oa-web HP D360Win2000SRV服务器WWW1172GB*2XEONXX.

20.

224.19公文流转服务器/瑞

3.0G*22GB11sjzds-odps HPD360Win2000SRV9星杀毒服务器72GB*2XEON12HPD360XX.

168.

10.2Win2000SRV互联网服务器

3.0G*22GB72GB*2网络设备

2.

3.

1.2序号设备名称IP地址硬件型号出产厂商用途安装日期2003年5Cisco1sj7513XX.

20.

231.254思科核心路由器7513月2003年5Cisco2sj4506XX.

20.

231.1思科核心交换机4506月2005年93f5XX.

20.

225.18f5f5负载均衡器月安全设备

231.3序号设备名称设备形态IP地址出产厂商品牌用途1IPS硬件XX.

20.

225.251绿盟冰之眼IPS存储设备

231.4出产序号设备名称IP地址硬件型号品牌操作系统用途厂商磁盘阵Windows1sjnas XX.

20.

225.165194-226IBM nas2002000Srv列保障设备

231.

5.5序号设备名称物理地址硬件型号出产厂商品牌用途Emerson停电时1UPS机房UL33-0600L networkEMERSON供机房power所有设。