信息系统资产评估报告

密 级： 内部 文档编号： 2007002目编号 ： 2007002 息系统 资产评估报告 地税局信息系统资产评估报告 第 1 页 共 41 页 目 录 1 概述 . 3 2 信息资产分类和识别 . 3 息资产调查的过程 . 3 查范围及方法 . 4 息资料识别 . 5 件资产 . 5 件资产 . 9 据资产 . 11 档资产 . 12 员资产 . 15 3 资产赋值方法 . 21 密性赋值 . 22 整性赋值 . 22 用性赋值 . 23 产重要性等级 . 24 4 地税局资产赋值 . 26 件资产赋值 . 26 机设备 . 26 络设备 . 28 全设备 . 29 储设备 . 29 地税局信息系统资产评估报告 第 2 页 共 41 页 障设备 . 30 讯线路 . 31 件资产赋值 . 32 统软件 . 32 用软件 . 33 据资产赋值 . 34 档资产赋值 . 35 员资产赋值 . 38 5 地税信息资产统计分析 . 40 产价值分布 . 40 段价值分布 . 40 产分类对比 . 41 地税局信息系统资产评估报告 第 3 页 共 41 页 1 概述 根据 人民政府信息化工作办公室关于印发 的通知文件精神， 信息安全测评中心承担了 地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经 验、培养队伍、协助 地税局更深入地了解其信息系统安全现状为目标 ， 通过文档分析、现场访谈、问卷调查、技术评估等方法，对地税局“征管信息系统”进行了全面的 信息安全 风险评估。 在整个风险评估项目过程中 ，资产调查是其首要工作。资产调查过程主要包括资产识别和资产赋值。一方面，项目组根据资产识别的情况设计出 地税局 保护对象框架，并在此基础上进行安全体系设计；另一方面，项目组将资产赋值结果用于风险计算，以便准确地表达安全调查的结果。 2 信息资产分类和识别 息资产调查的过程 在本项目中，项目组首先定制了资产调 查表，通过访谈方式，对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐步地识别 地税局 信息资产并收集其信息。 随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的系统信息，包括服务器主机、可网管的网络设备、数据库系统和 。 通过将上述访谈和扫描的结果进行人工对比，合并和除错，项目组获得所有必要的资产信息。 最后，项目组对所有已识别的资产进行赋值，并编制本报告。 地税局信息系统资产评估报告 第 4 页 共 41 页 查范围 及方法 资料分类 技术参考点 输出成果 评估范围 评估方式 涉及地税人员 评估人员 硬件资产 主机设备 硬件资产调查表 11台主机 调查访谈、实际核查 赵白、梁志 网络设备 3台设备 调查访谈、实际核查 王维 、梁 立新、朱宁宁 安全设备 1台设备 调查访谈、实际核查 赵白、梁志 存储设备 1台设备 调查访谈、实际核查 陈修杰、梁立 新、朱宁宁 保障设备 6种保障设备 调查访谈、实际核查 赵白、梁志 通讯线路 140条线路 调查访谈、实际核查 陈修杰、梁立 新、朱宁宁 软件资产 系统软件 软件资产调查表 11套主机系统 调查访谈、实际核查 赵白、串广义 应用软件 4套应用系统 调查访谈、实际核查 梁志、梁 立新、朱宁宁 人员资产 中心人员 人员资产调查表 9人 调查访谈、文档检查 赵白、串广义 数据资产 信息数据 数据资产调查表 征管系统数据 调查访谈、实际核查 赵白、梁 立新、朱宁宁 文档资产 资料文档 文档资料调查表 224个相关文档 调查访谈、实际核查 梁 立 新、朱宁宁 地税局信息系统资产评估报告 第 5 页 共 41 页 息资料识别 地税局 的信息资产是指在 地税局 信息系统范围内，具有价值并需要保护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有数据， 也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。 参照 国家最新信息安全风险评估规范 对信息资产的描述和定义，并结合地税局 的基本情况，我们将 地税局 的信息资产分为 5 类，分别为：硬件资产 、 软件资产 、 数据资产 、 人员资产 、 文档资产 ，以下为本次调查的结果。 件资产 国家信息安全风险评估规范把硬件资 产 分为以下 7 大类： 1. 网络设备：路由器、网关、交换机等 ； 2. 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 ； 3. 存储设备：磁带机 、磁盘阵列、磁带、光盘、软盘、移动硬盘等 ； 4. 传输线路：光纤、双绞线等 ； 5. 保障设备：动力保障设备（ 电设备等）、空调、保险柜、文件柜、门禁、消防设施等 ； 6. 安全保障设备：防火墙、入侵检测系统、身份鉴别等 ； 7. 其他：打印机、复印机、扫描仪、传真机等 。 根据 地税局实际情况 并 结合信息安全风险评估规范，我们把 产 分为以下 6 大类进行分别的调查识别： 1. 主机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 ； 地税局信息系统资产评估报告 第 6 页 共 41 页 2. 网络设备：路由器、网关、交换机等 ； 3. 安全设备：和信息安全相关的设备 ； 4. 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 ； 5. 传输线路：光纤、双绞线等 ； 6. 保障设备：动力保障设备（ 电设备等）、空调、保险柜、文件柜、门禁、消防设施等 。 机 设备 序号 设备名称 硬件型号 硬件配置 操作系统 用途说明 1 8*512 管业务系统数据库 2 8*512 管业务系统数据库 3 BM 4 管业务系统应用 4 BM 4 管业务系统应用 地税局信息系统资产评估报告 第 7 页 共 41 页 5 BM 4 管业务系统应用 6 BM 4 管业务系统应用 7 BM 4 8 BM 4 9 472 收管理员应用 10 P 272 11） RV 11 P 272 9） 文流转 服务器 /瑞星杀毒服务器 12 360 2联网服务器 地税局信息系统资产评估报告 第 8 页 共 41 页 72 络设备 序号 设备名称 硬件型号 出产厂商 用途 安装日期 1 513 思科 核心路由器 2003年 5月 2 506 思科 核心交换机 2003年 5月 3 f5 载均衡器 2005年 9月 全设备 序号 设备名称 设备形态 出产厂商 品牌 用途 1 件 盟 冰之眼 储设备 序号 设备名称 硬件型号 出产 厂商 品牌 操作系统 用途 1 194BM 00 000 盘阵列 障设备 序号 设备名称 物理地址 硬件型号 出产厂商 品牌 用途 1 房 电时供机房所有设 地税局信息系统资产评估报告 第 9 页 共 41 页 备电源 2 空调 机房 房制冷设备 3 防雷 配电柜 房防雷设备 4 视频监控器 机房 房视频监控 5 动力、环境监测 机房 机房电力、防水监控 6 气体消防系统 机房 湾安全技术有限公司 房自动消防系统 讯线路 用户名称 线路供应商 端口速率 单位 责任人 市局 网通 2M*115 各税务所 各单位 网通 8M*25 各县（市）区局 各单位 件资产 国家信息安全风险评估规范把软件资产分为以下 3 大类： 1. 系统软件：操作系统、语句包、工具软件、各种库等 ； 2. 应用软件：外部购买的应用软件，外包开发的应用软件等 ； 3. 源程序：各种共享源代码、自行或合作开发的各种代码等 。 地税局信息系统资产评估报告 第 10 页 共 41 页 根据 地税局实际情况 并 结合信息安全风险评估规范，我们把 大类进行分别的调查识别： 1. 系统软件：操作系统、语句包、工具软件、各种库等 ； 2. 应用软件：外部购买的应用软件，外包开发的应用软件等 。 统软件 序号 系统名称 版本号 对应主机资产 应用服务 出产厂商 软件服务期限 1 2000 020 8090 80 2 2000 020 8090 80 3 2000 020 8090 80 4 2000 020 8090 80 5 2000 6 2000 7 2000 10 25 80 8 9 10 521 甲骨文 是 地税局信息系统资产评估报告 第 11 页 共 41 页 11 521 甲骨文 是 用软件 序号 应用软件名称 对应主机资产 应用服务 软件版本号 出产厂商 1 8020 8090 80 2005版 北京华安 通联有限责任公司 2 8020 8090 80 2005版 北京华安通联有限责任公司 3 8020 8090 80 2005版 北京华安通联有限责任公司 4 8020 8090 80 2005版 北京华安通联有限责任公司 据资产 国家信息安全风险评估规范把数据资产 定义为 保存在信息媒 介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等 根据 地 税局实际情况 并 结合信息安全风险评估规范，我们把 据 资产 的评估范围设定在核心征管系统的数据库数据。 序号 数据名称 用途 分发范围 对应主机资产 应用服务 数据期限 1 税收征管相关资料 反映纳税人相关情况 地税系统内部 收征管系统 10年 地税局信息系统资产评估报告 第 12 页 共 41 页 档资产 国家信息安全风险评估规范文档资产定义为 纸质的各种文件，如传真、电报、财务报告、发展 计划等 。 根据 地税局实际情况 并 结合信息安全风险评估规范，我们把 范、制度及培训手册等。 此次共整理 224 个各类文档，从中提取出 31 个文档作为此次文档资产评估范围。 序号 文档年份 文档名称 用途 存放方式 1 2006 系统管理制度 纸质文档与电子档 2 2006 系统数据库口令管理 系统管理制度 纸质文档与电子档 3 2004 管理制度 纸质文档与电子档 4 2004 004年信息化建设实施方案 管理制度 纸质文档与电子档 5 2004 信息化主要建设项目实行统一审批管理 管理制度 纸质文档与电子档 6 2004 关于成立信息化工作领导小组 管理制度 纸质文档与电子档 7 2004 管理制度 纸质文档与电子档 地税局信息系统资产评估报告 第 13 页 共 41 页 8 2004 管理制度 纸质文档与电子档 9 2004 管理制度 纸质文档与电子档 10 2004 络运行维护管理制度 管理制度 纸质文档与电子档 11 2004 行）办法 2004理制度 纸质文档与电子档 12 2004 信息化星级管理办法 管理制度 纸质文档与电子档 13 2004 稿 ) 管理制度 纸质文档与电子档 14 2004 管理制度 纸质文档与电子档 15 2006 应用软件维护制度 22号文 管理制度 纸质文档与电子档 16 2007 2007年信息化工作要点（定稿 ) 管理制度 纸质文档与电子档 17 2007 新） 管理制度 纸质文档与电子档 18 2007 信息化星级管理办法 2007 管理制度 纸质文档与电子档 19 2006 理制度 纸质文档与 地税局信息系统资产评估报告 第 14 页 共 41 页 统维护管理办法 电子档 20 2005 维护手册 纸质文档与电子档 21 2006 维护手册 纸质文档与电子档 22 2006 行） 管理制度 纸 质文档与电子档 23 2005 2005版征管系统税务登记说明书（一） 征管软件说明书 纸质文档与电子档 24 2005 2005版征管系统申报征收说明书（二） 征管软件说明书 纸质文档与电子档 25 2005 2005版征管系统税收计会说明书（三） 征管软件说明书 纸质文档与电子档 26 2005 2005版征管系统税务管理说明书（四） 征管软件说明书 纸质文档与电子档 27 2005 2005版征管系统征收管理说明书（五） 征管软件说明书 纸质文档与电子档 28 2005 2005版征管系统 文书审批说明书（六） 征管软件说明书 纸质文档与电子档 29 2005 2005版征管系统基层查询说明书（七） 征管软件说明书 纸质文档与电子档 30 2005 2005版征管系统设置说明书（八） 征管软件说明书 纸质文档与电子档 地税局信息系统资产评估报告 第 15 页 共 41 页 31 2005 2005版征管系统典型业务说明书（九） 征管软件说明书 纸质文档与电子档 员资产 国家信息安全风险评估规范人员资产定义为 掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目 主管 等 。 根据 地税局实际情况 并 结合信息安全风险评估规范 ，我们把 息中心在职人员共有 13 人，主要进行高级管理的主任或副级的人员有三人，重要系统管理人员为六人。因此，此次人 员资产的评估范围是信息中心高级管理人员及重要资产管理人员共九人 。 序号 人员名称 所属 部门 人员 职务 人员职责 1 息中心 主任 1 负责全面工作。 2 负责全系统信息化建设规划和实施方案的组织制定工作。 3 负责协调组织全系统信息化建设规划和方案的实施工作。 4 负责信息化队伍建设工作。 5 完成领导交办的 其他工作。 2 息中心 副主任 1主管软件维护工作。 2主管软件试点和推广工作。 3主管办公自动化工作。 4主管安全防范工作。 地税局信息系统资产评估报告 第 16 页 共 41 页 5完成领导交办的其他工作。 3 息中心 副主任 1主管网络维护工作。 2主管系统运维工作。 3主管软件开发工作。 4主管综合工作。 5完成领导交办的其他工作。 4 息中心 组长 1负责网络管理工作 2负责系统维护工作 3负责 4负责 5负责 的硬件及数据备份的管理与维护 6负责 7负责辅助应用系统的硬件及操作系统的升级与维护 8负责机房空调维护工作 9负责消防系统维护工作 10负责机房环境监控工作 11负责软件开发的前期开发工作 地税局信息系统资产评估报告 第 17 页 共 41 页 12领导安排的其他工作 5 息中心 科员 1. 负责市局办公网站的框架规划、版式设计及组织编写网站程序。 2. 负责办公网站的部署实施与程序维护。 3. 负责办公网站的信息发布工作的技术指导和培训。 4. 负责市局办公网站的数据备份及服务器日常管理 。 5. 负责全系统计算机防病毒工作的维护工作，定时升级防病毒软件。 6. 负责监控全系统下级防计算机病毒中心，督导客户端及时升级查杀。 7. 负责全系统每年的计算机安全培训工作。 8. 负责长安办公楼的办公网站服务器的资源管理。 9完成领导交办的其他工作。 地税局信息系统资产评估报告 第 18 页 共 41 页 6 息中心 科员 7 21层电脑维护及局域网维护工作 电井设备维护工作 7 息中心 科员 1. 负责有关网络的日常事务性维护； 2. 负责市局中心端内、外网网络设备故障的排除； 3. 负责 4. 负责市局内、外网监控与管理； 5. 与有关同志共同负责网络建设项目； 6. 与有关同志共同负责有关网络知识的培训； 7. 协助基层单位分析网络故障； 8. 协调网通、基层局排除广域网线路故障； 9. 了解网络现状，适时向领导提出网络发展规划； 10. 领导交办的其它工作 。 地税局信息系统资产评估报告 第 19 页 共 41 页 8 息中心 科员 1负责小型机硬件维护、调试及保养 2负责小型机操作系统 护 3负责征管系统后台 据备份、状态监控及性能调优 4负责征管系统应用服务器的硬件及操作系统的维护及升级 5负责 6负责 7负责 8负责 9负责辅助应用系统的硬件及操作系统的升级与维护 10负责培训环境的硬件及操作系统的升级与维护 11负责车船税征收管理软件、建安房地产软件相关设备维护及软件运行管理 12负责 软件开发工作 13领导安排的其他工作 地税局信息系统资产评估报告 第 20 页 共 41 页 9 息中心 科员 1. 负责征管软件的运行维护工作 . 2. 负责个人所得税软件的运行维护工作 . 3. 负责网上报税软件的运行维护工作 . 4. 负责决策支持系统的运行维护工作 . 5. 负责法制软件的运行维护工作 . 6. 负责人事管理软件维护工作 . 7. 负责其它软件的维护工作 . 8. 负责应用软件的试点测试工作 ,做好方案制定、培训和试点软件技术问题搜集、分析、解答工作。 9. 负责应用软件的推广工作，做好方案制定、培训和技术问题分析、解答工作。 10. 完成 其它工作。 地税局信息系统资产评估报告 第 21 页 共 41 页 3 资产赋值 方法 信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。 进行资产估价时，不仅要考虑资产的帐面价值，更重要的是考虑资产对于组织商务或业务的重要性，即资产损失所引发潜在的商务或业务的影响来决定，例如导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济损失。为确保资产估价的一致性和准确性，应建立一个资产的价值尺度，即资产评价标准，以明确如何对资产进行赋值。 信息资产分别具有不同的安全属性，机密性、完整 性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。 密性、完整性和可用性的定义如下： 保密性：确保只有经过授权的人才能访问信息。如果信息或者服务被无关甚至怀有恶意的人获得，则表明该资产的保密性受到了损害。 完整性：保护信息和信息的处理方法准确而完整；如果信息或者服务在传递过程中因为系统故障或者恶意的方 法导致被修改，并引起错误，则表明该资产的完整性受到了损害。 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。如果信息非正常丢失或者服务非正常中断，则表明该资产的可用性受到了损害。 地税局信息系统资产评估报告 第 22 页 共 41 页 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产 生影响。为此，有必要对组织中的资产进行识别。 密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。表提供了一种保密性赋值的参考。 资产 保密性 赋值表 赋值 标识 定义 5 很 高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。表提供了一种完整性赋值的参考。 资产完整性赋值表 地税局信息系统资产评估报告 第 23 页 共 41 页 赋值 标识 定义 5 很 高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。 4 高 完整性价值较高，未经 授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补。 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补。 1 很低 完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。 用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。表 4 提供了一种可用性赋值的参考。 资产可用性赋 值表 赋值 标识 定义 5 很 高 可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 上，或系统不允许中断。 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度达到每天 90%以上，或系统允许中断时间小于 10 地税局信息系统资产评估报告 第 24 页 共 41 页 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于 30 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于 60 1 很低 可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于 25%。 产重要性等级 资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。 本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产越重要， 也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。 资产等级及含义描述 等级 标识 描述 5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失。 4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失。 3 中 比较重要，其安全属性破坏后可能对组织造成中等程度的损失。 地税局信息系统资产评估报告 第 25 页 共 41 页 2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失。 1 很低 不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计。 地税局信息系统资产评估报告 第 26 页 共 41 页 4 地税局资产赋值 件资产赋值 机设备 保密性赋值： 数据库 主机 中 运行的是核心应用征管系统的数据库 ， 保密性设为 5； 控制器为征管系统提供 集中身 份 验证，保密性为 4； 征管应用服务器为 核心 应用系统，保密性 设为 3； 税收管理应用，为内部应用服务器，保密性设为 3； 务器为发布服务器，保密性要求相对比较低，因此设为 2； 公文流转及防病毒服务器，承担内部公文流转及防病毒的任务， 由于有公文流转 ， 因此 设为 4； 可用性赋值 数据库 主机 承 担征管系统数据查询及 数据 存储功能，虽然由两台数据库主机分别提供此项功能，但由于平时数据库主机的压力比较高，一台主机如果发生故障有可能影响整个征管系统的应用，因此可用性要求最高，设为 5； 控制器为征管提供身体验证，由两台 制器分别进行，可能用性要求不是非常高，设为 3； 征管应用系统由四台主机分别提供，任何一台或两台主机发生故障，一般不会影响整个系统的应用，因此可用性设为 2； 税收管理应用，现阶段没有正式开通，可用性要求不高，设为 2； 务器为发布服务器，只有一台主机提供服务，可用性要求相对较高 ，设为 4； 公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，只有一台主 地税局信息系统资产评估报告 第 27 页 共 41 页 机提供相关服务，可用性要求相对较高，设为 4； 完整性赋值 数据库承担征管系统数据查询及 数据 存储功能，数据内容不容被破坏或修改，因此，完整性要求最高，设为 4； 控制器为征管提供身体验证，完整性要求相对较高设为 3； 征管应用系统由四台主机分别提供，征管应用是一项流程一项业务，对于流程或业务完整性的要求比较高，因此，设为 4； 税收管理应用，是一项应用服务，完整性的要求比较高，设为 4； 务器为发布服务器，但由于此服务器不是核 心应用系统，因此完整性要求不是要求很严格，设为 3 公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，公文流转和防病毒都是比较重要的应用服务，完整性要求相对较高，设为 4； 具体列表如下： 序号 设备名称 用途说明 保密性 可用性 完整性 资产 等级 1 管业务系统数据库 5 4 4 2 管业务系统数据库 5 4 4 3 管业务系统应用 3 2 4 4 管业务系统应用 3 2 4 5 管业务系统应用 3 2 4 6 管业务系统应用 3 2 4 7 4 3 3 地税局信息系统资产评估报告 第 28 页 共 41 页 8 4 3 3 9 收管理员应用 3 2 4 10 11） 2 4 3 11 9） 公文流转服务器 /瑞星杀毒服务器 4 4 4 络设备 保密性赋值 核心路由器 、核心交换机上的数据为重要的征管数据，保密 性 设为 3； 载均衡的数据为重要的征管数据，保密 性 设为 3； 可用性赋值 核心路由器、核心交换机是整个设级地税网络的核心网络设备，可用性要求比较高，设为 4 载均衡设备承担为内部四台征管应用提供数据中转， 否可用直接会影响整个征管系统，可用性要求最高，设为 5； 完整性赋 值 核心路由器、核心交换机上的数据为重要的征管数据，因此，完整性要求比较高，设为 4； 载均衡的数据为重要的征管数据，因此，完整性要求比较高，设为 4； 序号 设备名称 用途 保密性 可用性 完整性 资产 等级 1 心路由器 3 4 4 地税局信息系统资产评估报告 第 29 页 共 41 页 2 心交换机 3 4 4 3 载均衡器 3 5 4 全设备 保密性赋值 入侵防御系统，是一种安全设备，保密性要求比 较低，设为 2； 可用性赋值 入侵防御系统，是一种安全设备，作为入侵防御系统，它串连在核心路由与核心交换机之间， 否可用，直接影响市地税与下面分局或所的数据能信，因此，可用性设为 4 完整性赋值 入侵防御系统，是一种安全设备，完整性要求不是很高，设为 3； 序号 设备名称 保密性 可用性 完整性 资产等级 1 4 3 储设备 保密性赋值 存储设备存储的是重要数据库数据，保密性要求比较高，设为 4； 可用性赋值 存储设备对数据库进行备 份，可用性要求比较高，设为 4； 完整性赋值 存储设备对数据库进行备份，如果备份数据有问题，可以进行重新备份，因 地税局信息系统资产评估报告 第 30 页 共 41 页 此完整性的要求不是特别高，设为 3； 序号 设备名称 硬件型号 出产 厂商 保密性 可用性 完整性 1 194 4 3 障设备 保密性赋值 调、防雷 、气体消防系统均不存在数据和重要的监控信息，因此，保密性设为 1； 视频监控系统，由于负责机房视频监控，视频数据有比较强的保密性要求，因此，保密性设为 4； 可用性赋值 防系统分别承担电源保障及机房消防，可用性要求最高，为 4； 空调设备有两台，一台出现故障不会很大程度影响机房运行，因此可用性设为 2； 防雷设备，由于地税大厦已经做了防雷处理，因此，机房防雷的可用性要求不是很高，设为 2； 动力和环境监测系统，不是核心保障设备，可用性设为 2； 设频监控系统，负责监控机房日常情况，可用性要求设为 3 完整性赋值 防系统分别承担电源保障及机房消防， 设备的完整性直接影响整个机房的运行状态，因此完整性设为 4； 空调设备有两台，一台出现故障不会很大程度影响机房运行，因此 完整性 设为 2； 地税局信息系统资产评估报告 第 31 页 共 41 页 防雷设备，由于地税大厦已经做了防雷处理，因此，机房防雷的 完整 性要求不是很高，设为 2； 动力和环境监测系统，不是核心保障设备， 完整 性设为 2； 设频监控系统，负责监控机房日常情况， 完整 性要求设为 3 序号 设备名称 硬件型号 出产厂商 保密性 可用性 完整性 资产 等级 1 4 4 2 空调 2 2 3 空调 2 2 4 防雷 2 2 5 视频监控器 4 3 3 6 动力、环境监测 2 2 2 7 气体消防系统 LD-