IT基础架构评估主要从外部广域网接入、内部局域网与交换设备、数据中心基础设施（服务器）、智能楼宇及通信设施、IT资产五个方面评估企业IT架构的现状、问题并进行评估；信息安全评估主要从物理安全、网络安全、主机安全、应用安全、数据安全五个方面评估企业信息安全的现状、问题并进行综合评估。下面以DBJ公司的信息安全评估作为范例。

1.物理安全管理评估

在物理安全方面，DBJ公司的数据中心机房建立在防盗、防破坏、防震、防风、防雨的建筑物内，并且具备基本的防雷、防火、防水和防潮、防静电措施，采用精密空调进行室内温湿度控制；数据中心供电线路采用了稳压、过电压防护设备，并采用UPS为数据中心提供短期的备用电力供应；目前正在新增UPS电源已满足数据中心现有需求（见图5-11）。

图5-11 某公司数据中心布局图

2.网络安全管理评估

在网络安全管理方面，DBJ公司网络采用VLAN技术，对不同功能、区域的设备接入做了划分，访问总原则为：支持用户VLAN向服务器VLAN的访问，但是不同功能的用户VLAN间不能互相访问，如办公VLAN与工业网VLAN不能通信，但这两个VLAN都能与服务器VLAN通信。

在网络边界，DBJ公司采用了硬件防火墙防御外来攻击，采用了互联网访问行为监控与不良网站过滤来监控上网行为，采用了垃圾邮件网关防御垃圾邮件，采用了入侵防护抵御恶意代码；针对内网采用了网络接入控制管控局域网接入主机，采用全域内防病毒服务进行内网防病毒，采用域管理对内网资源访问权限进行管控，采用防毒软件对小型机进行病毒防护；并在发生网络安全事件时记录重要网络设备日志和服务器日志；目前正在实施威胁监控系统，实现对域内异常攻击点的实时监控。

3.主机安全管理评估

在主机安全管理方面，DBJ公司采用域管理对主机安全策略（权限、补丁、服务等）进行管控；已建立补丁分发、病毒库升级服务器；已建立防恶意代码软件（包括防病毒、防木马等）的统一管理；已建立主机统一安全策略，并在出现主机安全事件时记录操作系统日志。

4.应用安全管理评估

在应用安全管理方面，DBJ公司部分应用系统与AD域集成可以进行单点登录；各应用系统账户实施了安全策略管理，并指定专人管理各应用系统；通过权限分配限制用户对应用系统资源的访问；各应用系统接口输入数据格式、长度符合应用系统设定要求，并能够对最大并发连接数进行限制。

5.数据安全管理评估

在数据安全管理方面，DBJ公司采用了存储备份系统进行数据存储与备份，异地备份采用人工方式；对终端数据进行分级管理，根据用户情况和应用需求，不同级别的应用产生的数据采用不同的备份和恢复策略。目前，正在实施电子数据防泄露项目，主要面向文件服务器的管理与客户机数据操作跟踪，具体情况见表5-8。

表5-8 某公司信息安全综合评估一览表

(www.daowen.com)

（续）

6.提升与优化

整体而言，DBJ公司数据中心具备完整安管措施，采用防火墙、IPS、行为监控等进行网络监控和资源权限控制，通过VLAN、域管理和访问控制列表对用户进行访问控制，建立主机统一管理和日志审计，实施NAS存储对数据进行备份。但也存在以下需要提升和优化的地方。

●身份管理与访问控制

DBJ公司现有十多个应用系统，各信息系统身份、权限完全独立管理。仅有部分能够与AD域集成的信息系统实现了单点登录，但账户、权限仍然独立归各系统管理。随着公司不断发展，信息系统会不断增加，如果不采取统一的身份管理与访问控制，幽灵账户、越权操作、权限逻辑漏洞等问题会成为企业信息安全的重大隐患。

●网络设备管理和管理员操作监控

DBJ公司局域网结构复杂，大量的网络设备与安全设备需要远程管理。目前还没有统一的管理系统对网络设备权限进行管理，管理员策略设置的合理性和正确性也无法审核。网络设备的权限管理和对管理员的策略配置监控审计是企业局域网安全管理的关键。

●核心数据存储加密问题

DBJ公司的核心数据，在企业内部有严格的权限控制。但针对外带核心数据的保密和针对移动存储设备的管理，目前还没有系统化的工具进行管理。

●应用系统权限管理

DBJ公司目前应用系统权限由IT部门归口管理，但在实际系统运用中各业务部门比IT部门更了解员工职责和权限分配，应用系统权限管理应分配给各关键业务部门进行管理，以避免应用系统越权操作、幽灵账户等风险。

●终端数据存储备份

DBJ公司终端数据管理规定终端重要数据必须即时存储在文件服务器上。但目前部分员工仍然习惯性地将数据文件存储在本地主机，终端出现故障很容易产生数据丢失。应通过逐步加强员工信息安全意识和专业性的终端备份系统，加强对终端数据存储的规范管理。