某業(yè)務運維信息系統(tǒng)風險評估報告

1、XXX業(yè)務運維信息系統(tǒng)風險評估報告文檔控制提交方提交日期版本信息日期版本撰寫者審核者描述所有權聲明文檔里的資料版權歸江蘇開拓信息系統(tǒng)有限公司（以下簡稱“江蘇開拓”）所有。未經江蘇開拓事先書面允許，不得復制或散發(fā)任何部分的內容。任何團體或個人未經批準，擅自觀看方案將被認為獲取了江蘇開拓的私有信息而遭受法律的制裁。目 錄1. 評估項目概述1.1. 評估目的和目標對XXX信息系統(tǒng)進行風險評估，分析系統(tǒng)的脆弱性、所面臨的威脅以及由此可能產生的風險；根據(jù)風險評估結果,給出安全控制措施建議。風險評估范圍包括：（1） 安全環(huán)境：包括機房環(huán)境、主機環(huán)境、網(wǎng)絡環(huán)境等；（2） 硬件設備：包括主機、網(wǎng)絡設備、線路、

2、電源等；（3） 系統(tǒng)軟件：包括操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、監(jiān)控軟件、備份系統(tǒng)等；（4） 網(wǎng)絡結構：包括遠程接入安全、網(wǎng)絡帶寬評估、網(wǎng)絡監(jiān)控措施等；（5） 數(shù)據(jù)交換：包括交換模式的合理性、對業(yè)務系統(tǒng)安全的影響等；（6） 數(shù)據(jù)備份/恢復：包括主機操作系統(tǒng)、數(shù)據(jù)庫、應用程序等的數(shù)據(jù)備份/恢復機制；（7） 人員安全及管理，通信與操作管理；（8） 技術支持手段；（9） 安全策略、安全審計、訪問控制；1.2. 被評估系統(tǒng)概述1.2.1. 系統(tǒng)概況XXX信息系統(tǒng)主要由HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)以及醫(yī)保、大屏、合理用藥、折子工程等業(yè)務系統(tǒng)、內外網(wǎng)安全服務器、雙翼服務器、OA服務器、交換機、防火墻以及

3、安全控制設備等構成，內外網(wǎng)物理隔離，外網(wǎng)為訪問互聯(lián)網(wǎng)相關服務為主，內網(wǎng)為XXX生產網(wǎng)絡。2. 風險綜述2.1. 風險摘要2.1.1. 風險統(tǒng)計與分析經過風險分析，各級風險統(tǒng)計結果如下：風險級別風險數(shù)量百分比極高風險2%高風險9%中風險39%低風險18%總計68100%根據(jù)風險評估統(tǒng)計結果，各級風險統(tǒng)計結果分布如下圖所示：各類風險分布數(shù)量如下表所示：類別風險級別總計低風險中風險高風險極高風險運行維護15006系統(tǒng)開發(fā)14106物理環(huán)境03205網(wǎng)絡通信21115認證授權02002備份容錯00213安裝部署13243040安全審計10001總計18399268各類風險及級別分布如下圖所示：極高風險

4、分布如下圖所示：高風險分布如下圖所示：中風險分布如下圖所示：低風險分布如下圖所示：2.1.2. 極高風險摘要極高風險摘要2備份容錯1² 核心業(yè)務系統(tǒng)單點故障導致業(yè)務中斷1網(wǎng)絡通信1² 內網(wǎng)單點一故障風險造成業(yè)務系統(tǒng)服務停止12.1.3. 高風險摘要高風險摘要9安裝部署3² 非法者極易獲得系統(tǒng)管理員用戶權限攻擊SUN SOLARIS系統(tǒng)1² 非法者利用SQL Server管理員賬號弱口令滲透進系統(tǒng)1² 非法者利用管理員賬號弱口令嘗試登錄Windows系統(tǒng)1備份容錯2² 備份數(shù)據(jù)無異地存儲導致災難發(fā)生后系統(tǒng)不能快速恢復1² 災難

5、發(fā)生后業(yè)務系統(tǒng)難以快速恢復1網(wǎng)絡通信1² 非法者利用醫(yī)保服務器滲透進內網(wǎng)1物理環(huán)境2² 防火措施不當引發(fā)更大損失1² 機房未進行防水處理引起設備老化、損壞1系統(tǒng)開發(fā)1² 未規(guī)范口令管理導致用戶冒用12.1.4. 中風險摘要中風險39安裝部署24² SUN Solaris遠程用戶配置不當造成無需驗證登錄到主機1² 非法者獲得數(shù)據(jù)庫權限進而獲得系統(tǒng)管理員權限1² 非法者或蠕蟲病毒利用默認共享攻擊Windows系統(tǒng)1² 非法者或蠕蟲病毒利用權限控制不當?shù)墓蚕砉鬢indows系統(tǒng)1² 非法者利用Guest賬號攻

6、擊Windows系統(tǒng)1² 非法者利用IIS目錄權限設置問題攻擊Windows系統(tǒng)1² 非法者利用Oracle數(shù)據(jù)庫調度程序漏洞遠程執(zhí)行任意指令1² 非法者利用SQL Server的xp_cmdshell擴展存儲過程滲透進系統(tǒng)1² 非法者利用SQL Server漏洞攻擊Windows系統(tǒng)1² 非法者利用Web server的漏洞來攻擊主機系統(tǒng)1² 非法者利用不當?shù)谋O(jiān)聽器配置攻擊Oracle系統(tǒng)1² 非法者利用匿名FTP服務登錄FTP系統(tǒng)1² 非法者利用已啟用的不需要服務攻擊Windows系統(tǒng)1² 非法者利用

7、已知Windows管理員賬號嘗試攻擊Windows系統(tǒng)1² 非法者利用已知漏洞攻擊SUN SOLARIS系統(tǒng)1² 非法者利用已知漏洞攻擊Windows系統(tǒng)1² 非法者利用遠程桌面登錄Windows系統(tǒng)1² 非法者破解Cisco交換機弱密碼而侵入系統(tǒng)1² 非法者通過SNMP修改cisco交換機配置1² 非法者通過SNMP修改SSG520防火墻配置1² 非法者通過Sun Solaris 不需要服務的安全漏洞入侵系統(tǒng)1² 非法者通過監(jiān)聽和偽造的方式獲得管理員與主機間的通信內容1² 非法者有更多機會破解Windo

8、ws系統(tǒng)密碼1² 系統(tǒng)管理員賬號失控威脅Windows系統(tǒng)安全1認證授權2² 未對數(shù)據(jù)庫連接進行控制導致系統(tǒng)非授權訪問1² 系統(tǒng)未采用安全的身份鑒別機制導致用戶賬戶被冒用1網(wǎng)絡通信1² 外網(wǎng)單一單點故障風險造成Internet訪問中斷1物理環(huán)境3² 機房存在多余出入口可能引起非法潛入1² 機房內無防盜報警設施引起非法潛入1² 未采取防靜電措施引起設備故障1系統(tǒng)開發(fā)4² 生產數(shù)據(jù)通過培訓環(huán)境泄露1² 未對系統(tǒng)會話進行限制影響系統(tǒng)可用性1² 未做用戶登錄安全控制導致用戶被冒用1² 系統(tǒng)開發(fā)

9、外包管理有待完善引發(fā)系統(tǒng)安全問題1運行維護5² 安全管理體系不完善引發(fā)安全問題1² 人員崗位、配備不完善影響系統(tǒng)運行維護1² 未規(guī)范信息系統(tǒng)建設影響系統(tǒng)建設1² 未與相關人員簽訂保密協(xié)議引起信息泄密1² 運維管理不完善引發(fā)安全事件12.1.5. 低風險摘要低風險18安全審計1² 發(fā)生安全事件很難依系統(tǒng)日志追查來源1² 安裝部署13² SQL Server發(fā)生安全事件時難以追查來源或異常行為1² Windows發(fā)生安全事件難以追查來源或非法行為2² 非法者可從多個地點嘗試登錄Cisco交換機1&#

10、178; 非法者利用DVBBS數(shù)據(jù)庫滲透進Windows系統(tǒng)1² 非法者利用IIS默認映射問題攻擊Windows系統(tǒng)1² 非法者利用IIS示例程序問題攻擊Windows系統(tǒng)1² 非法者利用IIS允許父路徑問題攻擊Windows系統(tǒng)1² 非法者利用Oracle數(shù)據(jù)庫漏洞可獲得任意文件讀寫權限1² 非法者利用SNMP服務獲取Windows主機信息1² 非法者利用SUN Solaris匿名FTP服務登錄FTP系統(tǒng)1² 非法者利用開啟過多的snmp服務獲得詳細信息1² 日志無備份對系統(tǒng)管理和安全事件記錄分析帶來困難1網(wǎng)絡通

11、信2² 出現(xiàn)安全事件無法進行有效定位和問責1² 非法者利用防火墻配置不當滲透入外網(wǎng)1系統(tǒng)開發(fā)1² 系統(tǒng)未進行分級管理導致核心系統(tǒng)不能得到更多的保護1運行維護1² 安全管理制度缺乏維護導致安全管理滯后12.2. 風險綜述（1） 網(wǎng)絡通信方面1) 內網(wǎng)設計中存在單點故障風險，當wins/dns服務器發(fā)生故障后，網(wǎng)內所有域用戶全部都不能正常登錄到域，造成業(yè)務信息系統(tǒng)無法提供正常服務。2) 網(wǎng)絡邊界未做訪問控制，XXX內網(wǎng)是生產網(wǎng)，安全級別比較高，但跟安全級別相對較低的醫(yī)保網(wǎng)連接邊界未做訪問控制從而給從醫(yī)保網(wǎng)的非法者入侵內網(wǎng)提供了條件，攻擊者可以通過攻擊醫(yī)保服務

12、器后再滲透入XXX內網(wǎng)。3) 外網(wǎng)設計中存在單點故障風險，外網(wǎng)網(wǎng)絡中存在4個單點故障風險點，每一單點故障點發(fā)生故障都會造成Internet訪問中斷，影響外網(wǎng)用戶的正常工作。4) SSG520防火墻配置策略不當，可能導致非法者更容易利用防火墻的配置問題而滲透入XXX外網(wǎng)，或者外網(wǎng)用戶電腦被植入木馬等程序后，更容易被非法者控制。5) 無專業(yè)審計系統(tǒng)，無法對已發(fā)生安全事件準確回溯，將給確認安全事件發(fā)生時間，分析攻擊源造成極大困難，同時，在依法問責時缺乏審計信息將無法作為安全事件發(fā)生的證據(jù)。（2） 安裝部署方面1) Windows操作系統(tǒng)、SUN Solaris操作系統(tǒng)、SQL Server數(shù)據(jù)庫、C

13、isco交換機等等均存在管理員賬號弱口令的情況，管理員賬號口令強度不足，可能導致管理員賬號口令被破解，從而導致非法者可以利用被破解的管理員賬號登錄系統(tǒng)，對業(yè)務系統(tǒng)的安全穩(wěn)定具有嚴重威脅。2) Windows操作系統(tǒng)、SUN Solaris操作系統(tǒng)、SQL Server數(shù)據(jù)庫等均未安裝最新安全補丁，這將使得已知漏洞仍然存在于系統(tǒng)上。由于這些已知漏洞都已經通過Internet公布而被非法者獲悉，非法者就有可能利用這些已知漏洞攻擊系統(tǒng)。3) Windows操作系統(tǒng)、SUN Solaris操作系統(tǒng)均啟用了多個不需要的服務，不需要的服務卻被啟用，非法者就可以通過嘗試攻擊不需要的服務而攻擊系統(tǒng)，而且管理員

14、在管理維護過程通常會忽略不需要的服務，因此導致不需要服務中所存在的安全漏洞沒有被及時修復，這使得非法者更有可能攻擊成功。4) Windows操作系統(tǒng)、SUN Solaris操作系統(tǒng)、SQL Server數(shù)據(jù)庫、Oracle數(shù)據(jù)庫等均未進行安全配置，存在部分配置不當?shù)膯栴}，錯誤的配置可能導致安全隱患，或者將使得非法者有更多機會利用系統(tǒng)的安全問題攻擊系統(tǒng)，影響業(yè)務系統(tǒng)安全。（3） 認證授權方面1) 未對數(shù)據(jù)庫連接進行控制，數(shù)據(jù)庫連接賬號口令明文存儲在客戶端，可能導致賬戶/口令被盜取的風險，從而致使用戶賬戶被冒用；部分數(shù)據(jù)庫連接直接使用數(shù)據(jù)庫管理員賬號，可能導致DBA賬號被非法獲得，從而影響系統(tǒng)運行

15、，數(shù)據(jù)泄露；數(shù)據(jù)庫服務器沒有限制不必要的客戶端訪問數(shù)據(jù)庫，從而導致非授權用戶連接，影響系統(tǒng)應用。2) 系統(tǒng)未采用安全的身份鑒別機制，缺乏限制帳號不活動時間的機制、缺乏設置密碼復雜性的機制、缺乏記錄密碼歷史的機制、缺乏限制密碼使用期限的機制、缺乏登錄失敗處理的機制、缺乏上次登錄信息提示的機制等可能引起系統(tǒng)用戶被冒用的風險。（4） 安全審計方面1) 無登錄日志和詳細日志記錄功能，未對登錄行為進行記錄，也未實現(xiàn)詳細的日志記錄功能，可能無法檢測到非法用戶的惡意行為，導致信息系統(tǒng)受到嚴重影響。（5） 備份容錯方面1) 核心業(yè)務系統(tǒng)存在單點故障，合理用藥系統(tǒng)無備份容錯機制，而且是用的是PC機提供服務，非常

16、有可能由于系統(tǒng)故障而導致合理用藥系統(tǒng)無法提供服務，而核心業(yè)務系統(tǒng)依賴合理用藥系統(tǒng)，可能導致業(yè)務中斷。2) 數(shù)據(jù)備份無異地存儲，未對系統(tǒng)配置信息和數(shù)據(jù)進行異地存儲和備份，當發(fā)生不可抗力因素造成系統(tǒng)不可用時，無法恢復，嚴重影響到了系統(tǒng)的可用性；未對系統(tǒng)配置進行備份，當系統(tǒng)配置變更導致系統(tǒng)不可用時無法恢復到正常配置，影響到系統(tǒng)的可用性。3) 無異地災備系統(tǒng)，有可能導致發(fā)生災難性事件后，系統(tǒng)難以快速恢復，嚴重影響了系統(tǒng)的可用性。（6） 運行維護方面1) 人員崗位、配備不完善，可能造成未授權訪問、未授權活動等風險；在信息技術人員相對缺乏的情況下，無法做到充分的職責分離和崗位輪換，可能產生潛在的安全隱患。

17、2) 未規(guī)范信息系統(tǒng)建設，無第三方安全檢測，造成檢測結果不能準確、客觀的反應產品的缺陷與問題；缺乏信息系統(tǒng)操作風險控制機制和流程，維護人員和使用人員不按照風險控制機制和流程進行操作，易發(fā)生誤操作風險；開發(fā)公司未提供完整的系統(tǒng)建設文檔、指導運維文檔、系統(tǒng)培訓手冊，使得運維人員無法規(guī)范化管理，無法對系統(tǒng)存檔備案；未針對安全服務單獨簽署保密協(xié)議，存在信息泄露無法追究責任的安全隱患。3) 未形成信息安全管理制度體系，缺乏信息系統(tǒng)運行的相關總體規(guī)范、管理辦法、技術標準和信息系統(tǒng)各組成部分的管理細則等文檔，運維人員將缺乏相關指導，會影響信息系統(tǒng)的安全運行維護工作。4) 未與相關人員簽訂保密協(xié)議，未針對關鍵

18、崗位、第三方單獨簽署保密協(xié)議，存在信息泄露無法追究責任的安全隱患。5) 運維管理待健全，不采用合適的方法為信息系統(tǒng)劃分適當?shù)谋Ｗo等級，就無法評估其安全防護是否適當，不適當?shù)谋Ｗo等級會威脅系統(tǒng)的安全或造成有限的資源被浪費；缺乏管理制度規(guī)章和管理辦法或制度規(guī)章和管理辦法已不適用或難以獲得，則信息中心人員缺乏行為指導，信息中心信息安全處于無序狀態(tài)，極易發(fā)生信息安全事件，影響組織的正常經營活動；暫無網(wǎng)絡和系統(tǒng)漏洞掃描模塊，可能由于網(wǎng)絡或系統(tǒng)漏洞引起業(yè)務中斷。6) 未規(guī)范安全管理制度的維護，信息科技管理制度規(guī)章和管理辦法制定、審批和修訂流程不同規(guī)范會造成版本混亂、互相沖突，影響其貫徹執(zhí)行，極易發(fā)生信息安

19、全事件，影響組織的正常經營活動。（7） 物理環(huán)境方面1) 防火措施不當，無耐火級別的建筑材料無法減小火災造成的損失，不熟悉消防設備使用方法、沒有緊急處理流程或不熟悉緊急處理流程，不能及時處理火災或處理不善，會導致火災損失增大，機房存放雜物，導致不能及時處理火災或處理不善，會導致火災損失增大。2) 機房未進行防水處理，未采取防水處理，可能導致滲水，返潮等問題，會加速設備老化，嚴重的可導致設備不能正常工作。3) 未采取防靜電措施，未使用防靜電手環(huán)，可能遭靜電影響造成計算機系統(tǒng)故障或損壞，影響單位業(yè)務進行；沒有適當?shù)碾姶欧雷o，可能由于電磁影響造成計算機系統(tǒng)故障或損壞或信息泄漏，影響單位業(yè)務進行。4)

20、 機房內無防盜報警設施，機架前后面板未封閉，導致設備被破壞的可能性增大；無警報系統(tǒng)，無法在第一時間通知責任人作出反應5) 機房存在多余出入口，除可控入口外，其他的入口的存在會增加醫(yī)院外部人員潛入醫(yī)院機房破壞信息系統(tǒng)的可能。（8） 系統(tǒng)開發(fā)方面1) 未規(guī)范口令管理，采用通用默認賬號的口令可能引起賬號冒用，引起數(shù)據(jù)泄密或篡改；初始化登陸不強制更改口令，可能引起用戶冒用賬戶的風險，影響業(yè)務數(shù)據(jù)的真實性；不設置復雜口令，可能引起用戶密碼被猜解的風險，影響業(yè)務數(shù)據(jù)的真實性；未設置口令使用期限，可能引起用戶未授權訪問的風險，影響業(yè)務系統(tǒng)的正常應用。2) 未對系統(tǒng)會話進行限制，未對系統(tǒng)最大并發(fā)會話數(shù)進行控制

21、，可能引起系統(tǒng)超載，使系統(tǒng)服務響應變慢或引起宕機，影響系統(tǒng)的可用性；未對空閑會話進行控制，導致占用系統(tǒng)多余資源，無法進行科學合理的資源分配，影響了系統(tǒng)的可用性。3) 未規(guī)范系統(tǒng)培訓環(huán)境，使用病患的真實數(shù)據(jù)對業(yè)務人員進行操作培訓，評估小組現(xiàn)場觀測時發(fā)現(xiàn)，培訓環(huán)境由于某種原因，將所有用戶口令清空，有可能造成有關信息被不必要人員獲得，造成信息泄露。4) 系統(tǒng)開發(fā)外包管理有待完善，系統(tǒng)開發(fā)設計外包服務如果不能很好的做好技術傳遞工作，則離開外包服務方系統(tǒng)可能很難進行安全穩(wěn)定的運行和維護；系統(tǒng)開發(fā)未作安全需求分析，可能導致系統(tǒng)設計架構不合理，影響系統(tǒng)安全穩(wěn)定運行；外部人員調離后，不對其權限進行回收，可能引

22、起非法訪問的風險；開發(fā)公司未提供系統(tǒng)建設文檔、指導運維文檔、系統(tǒng)培訓手冊，使得運維人員無法規(guī)范化管理，無法對系統(tǒng)存檔備案。5) 系統(tǒng)未進行分級管理，不采用合適的方法為信息系統(tǒng)劃分適當?shù)谋Ｗo等級，就無法評估其安全防護是否適當，不適當?shù)谋Ｗo等級會威脅系統(tǒng)的安全或造成有限的資源被浪費。3. 風險分析3.1. 網(wǎng)絡通信3.1.1. VLAN間未做訪問控制（1）現(xiàn)狀描述內網(wǎng)VLAN中的主機網(wǎng)關全部指到內網(wǎng)核心交換機C6509上，外網(wǎng)VLAN的主機網(wǎng)關都指在外網(wǎng)核心交換機4506上。內外網(wǎng)對這些VLAN的路由未作控制，各個VLAN間通過C6509(4506)可以進行互訪。（2）威脅分析由于各個VLAN代表

23、不同的業(yè)務內容，安全級別也是不同的，需要在不同的VLAN間做訪問控制?，F(xiàn)有配置，各個VLAN間路由都是通的，那么各個VLAN間就都可以互訪，安全級別低的VLAN可以訪問安全級別高的VLAN，這樣VLAN設定的目的效果就大大削弱了。安全級別低的VLAN嘗試訪問高級別VLAN，有意或者無意的破壞高級別VLAN中服務器上的數(shù)據(jù)，將會對XXX的業(yè)務造成重大的影響。（3）現(xiàn)有或已計劃的安全措施核心交換機6509上配置了防火墻模塊，但該模塊沒有配置訪問控制策略。（4）風險評價風險名稱非法者從普通VLAN滲透到核心VLAN可能性級別3描述非法者很可能從普通VLAN滲透到核心VLAN。影響級別3描述非法者從普

24、通VLAN滲透到核心VLAN，對XXX的管理運營具有一定影響。風險級別高（5）建議控制措施序號建議控制措施描述1定義VLAN安全級別及訪問關系由網(wǎng)絡管理員定義各個VLAN的安全級別和互相之間的訪問關系表2修改核心交換機上VLAN間訪問控制策略按照已定義好的VLAN間訪問關系表，重新定義訪問控制列表，控制VLAN間的訪問關系3.1.2. 內網(wǎng)設計中存在單點故障風險（1）現(xiàn)狀描述分析XXX目前實際的網(wǎng)絡情況，我們發(fā)現(xiàn)內網(wǎng)中存在蛋單點故障風險，其中內網(wǎng)接入訪問控制系統(tǒng)中WINS/DNS服務器沒有采用熱備或冷備措施。（2）威脅分析當此服務器發(fā)生故障后，網(wǎng)內所有域用戶全部都不能正常登錄到域，造成業(yè)務系統(tǒng)

25、服務停止。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱內網(wǎng)單點故障風險造成業(yè)務系統(tǒng)服務停止可能性級別4描述內網(wǎng)單點故障風險很可能造成業(yè)務系統(tǒng)服務停止。影響級別5描述業(yè)務系統(tǒng)服務停止會造成用戶對外服務效率降低，并由于用戶業(yè)務為公眾服務業(yè)務，服務停止后會對用戶造成極大的影響。風險級別極高（5）建議控制措施序號建議控制措施描述1配備內網(wǎng)Wins/dns熱備服務器采用雙機熱備技術，有效降低單一故障風險。2配備內網(wǎng)Wins/dns冷備服務器配備冷備設備，能滿足在可接受的時間范圍恢復服務3.1.3. 外網(wǎng)設計中存在單點故障風險（1）現(xiàn)狀描述分析XXX目前實際的網(wǎng)絡情況我們發(fā)現(xiàn)外網(wǎng)中存在單點故障風

26、險，其中外網(wǎng)接入訪問控制系統(tǒng)中WINS/DNS服務器沒有采用熱備或冷備措施。Internet接入設備SSG520防火墻，城市熱點計費網(wǎng)關與外網(wǎng)核心交換機4506-1單線接入，沒有鏈路和設備備份措施。（2）威脅分析外網(wǎng)網(wǎng)絡中存在4個單點故障風險點，每一單點故障點發(fā)生故障都會造成Internet訪問中斷，影響外網(wǎng)用戶的正常工作。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱外網(wǎng)單點故障風險造成Internet訪問中斷可能性級別4描述網(wǎng)絡接入控制系統(tǒng)系統(tǒng)中存在點故障風險，故障發(fā)生可能性較高影響級別2描述外網(wǎng)單點故障風險造成Internet訪問中斷，對XXX管理運營具有輕微影響。風險級別中（5

27、）建議控制措施序號建議控制措施描述1外網(wǎng)單點設備配備熱備服務器采用雙機熱備技術，有效降低單點故障風險。2外網(wǎng)單點設備配備冷備服務器配備冷備設備，能滿足在可接受的時間范圍恢復服務3.1.4. 無專業(yè)審計系統(tǒng)（1）現(xiàn)狀描述現(xiàn)有XXX內外網(wǎng)網(wǎng)絡均無專業(yè)審計系統(tǒng)。（2）威脅分析無專業(yè)審計系統(tǒng)，無法對已發(fā)生安全事件準確回溯，將給確認安全事件發(fā)生時間，分析攻擊源造成極大困難，同時，在依法問責時缺乏審計信息將無法作為安全事件發(fā)生的證據(jù)。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱出現(xiàn)安全事件無法進行有效定位和問責可能性級別2描述出現(xiàn)安全事件而無法發(fā)現(xiàn)的情況有可能發(fā)生影響級別2描述出現(xiàn)安全事件無法進

28、行有效定位和問責，將對XXX的管理運營具有輕微影響風險級別低（5）建議控制措施序號建議控制措施描述1采購專業(yè)的審計系統(tǒng)采購并集中部署專業(yè)的審計系統(tǒng)，并啟動網(wǎng)絡設備和安全設備上的日志服務。2定期審計日志中的異常記錄指定專人負責，定期對日志進行審計，查看是否有異常記錄。3.1.5. SSG520防火墻配置策略不當（1）現(xiàn)狀描述分析SSG520的配置文件，發(fā)現(xiàn)防火墻配置的端口控制中開放了過多的不用使用端口，例如10700，3765，8888，445端口等。 set service "" protocol tcp src-port 0-65535 dst-port 10700-10

29、700 set service "" + tcp src-port 0-65535 dst-port 21-22 set service "" + tcp src-port 0-65535 dst-port 445-445 set service "" + tcp src-port 0-65535 dst-port 25-25 set service "" + tcp src-port 0-65535 dst-port 110-110 set service "" + tcp src-port

30、0-65535 dst-port 8888-8888 set service "" + tcp src-port 0-65535 dst-port 8080-8080 set service "" + tcp src-port 0-65535 dst-port 3765-3765 set service "" protocol tcp src-port 0-65535 dst-port 80-80 set service "" + tcp src-port 0-65535 dst-port 53-53 set se

31、rvice "" + udp src-port 0-65535 dst-port 53-53 set service "" + tcp src-port 0-65535 dst-port 443-443 et （2）威脅分析防火墻配置不當，可能導致非法者更容易利用防火墻的配置問題而滲透入XXX外網(wǎng)，或者外網(wǎng)用戶電腦被植入木馬等程序后，更容易被非法者控制。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱非法者利用防火墻配置不當滲透入外網(wǎng)可能性級別2描述非法者可能利用防火墻配置不當滲透入外網(wǎng)。影響級別2描述非法者利用防火墻配置不當滲透入外網(wǎng)，將對XXX

32、的管理運營具有輕微的影響。風險級別低（5）建議控制措施序號建議控制措施描述1刪除SSG520防火墻不使用的端口的訪問控制策略刪除service ""中的10700，3765，8888，445等不使用的端口訪問控制策略3.1.6. 網(wǎng)絡邊界未做訪問控制（1）現(xiàn)狀描述根據(jù)我們檢查和訪談得知XXX內網(wǎng)和市醫(yī)保網(wǎng)通過一臺醫(yī)保服務器配置的雙網(wǎng)卡和市醫(yī)保網(wǎng)連接，醫(yī)保網(wǎng)是不屬于XXX范圍內的專網(wǎng)，通過醫(yī)保服務器采集數(shù)據(jù)通過專網(wǎng)傳送到相關使用部門，跟醫(yī)保網(wǎng)的連接屬于邊界連接，但在邊界上未做任何訪問控制。醫(yī)保服務器也未作安全控制，醫(yī)保的人可以遠程登錄該系統(tǒng)。（2）威脅分析XXX內網(wǎng)是生產網(wǎng)，

33、安全級別比較高，但跟安全級別相對較低的醫(yī)保網(wǎng)連接邊界未做訪問控制從而給從醫(yī)保網(wǎng)的非法者入侵內網(wǎng)提供了條件，攻擊者可以通過攻擊醫(yī)保服務器后再滲透入XXX內網(wǎng)。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱非法者利用醫(yī)保服務器滲透進內網(wǎng)可能性級別3描述非法者可能利用醫(yī)保服務器滲透進內網(wǎng)影響級別4描述非法者可能利用醫(yī)保服務器滲透進內網(wǎng)，對XXX管理運營具有嚴重影響。風險級別高（5）建議控制措施序號建議控制措施描述1制定醫(yī)保網(wǎng)對醫(yī)保服務器的訪問策略可在醫(yī)保服務器上加裝放火墻軟件來實現(xiàn)對從醫(yī)保網(wǎng)來的訪問控制2制定加強醫(yī)保服務器和內網(wǎng)連接的訪問控制策略通過改變網(wǎng)絡拓撲在醫(yī)保服務器和內網(wǎng)間配置硬件防

34、火墻，或通過內網(wǎng)核心交換機實現(xiàn)對醫(yī)保服務器的訪問控制。3.2. 安裝部署3.2.1. Windows系統(tǒng)未安裝最新補?。?）現(xiàn)狀描述當前，被檢查windows系統(tǒng)均未安裝最新補丁，并且補丁安裝情況各不相同，有些補丁缺失較少，有些缺失較多，甚至缺失一系列重要安全補丁。掃描結果也顯示某些服務器具有嚴重安全漏洞：（2）威脅分析未及時安裝Windows操作系統(tǒng)的最新安全補丁，將使得已知漏洞仍然存在于系統(tǒng)上。由于這些已知漏洞都已經通過Internet公布而被非法者獲悉，非法者就有可能利用這些已知漏洞攻擊系統(tǒng)。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略

35、，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者利用已知漏洞攻擊Windows系統(tǒng)可能性級別2描述非法者有可能利用已知漏洞攻擊Windows系統(tǒng)影響級別4描述非法者利用已知漏洞攻擊Windows系統(tǒng)，對XXX附屬兒童醫(yī)院的管理運營具有嚴重影響。風險級別中（5）建議控制措施序號建議控制措施描述1訂閱安全漏洞補丁通告訂閱Windows系統(tǒng)的安全漏洞補丁通告，以及時獲知Windows系統(tǒng)的安全漏洞補丁信息。2安裝組件最新安全版本從廠商站點下載最新安全補丁，在測試環(huán)境里測試正常后，在生產環(huán)境里及時安裝。3.2.2. Windows系統(tǒng)

36、開放了不需要的服務（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)均開放了不需要的服務，如：l DHCP Clientl Print Spoolerl Wireless Configurationl MSFTPl SMTP等可能不需要的服務。（2）威脅分析不需要的服務卻被啟用，非法者就可以通過嘗試攻擊不需要的服務而攻擊系統(tǒng)，而且管理員在管理維護過程通常會忽略不需要的服務，因此導致不需要服務中所存在的安全漏洞沒有被及時修復，這使得非法者更有可能攻擊成功。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操

37、作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者利用已啟用的不需要服務攻擊Windows系統(tǒng)可能性級別2描述非法者有可能利用利用已啟用的不需要服務攻擊Windows系統(tǒng)影響級別4描述非法者利用已啟用的不需要服務攻擊Windows系統(tǒng)，對XXX附屬兒童醫(yī)院的管理運營具有嚴重影響。風險級別中（5）建議控制措施序號建議控制措施描述1禁用不需要的服務從系統(tǒng)正常運行、主機系統(tǒng)管理維護角度，確認系統(tǒng)上哪些服務是不需要的。對于系統(tǒng)上存在的不需要的服務，立即禁用。3.2.3. Windows系統(tǒng)開放了默認共享（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)均開放了默認共享，如：等系統(tǒng)默認共享。（2

38、）威脅分析存在的默認共享可能使非法者獲得訪問共享文件夾內數(shù)據(jù)的機會，對非法者侵入系統(tǒng)、擴大滲透程度提供了額外的機會，另外，默認共享可能增加受蠕蟲病毒的傳播機會。因此，除非必要，應該去掉默認共享。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者或蠕蟲病毒利用默認共享攻擊Windows系統(tǒng)可能性級別1描述非法者或蠕蟲病毒有可能利用默認共享攻擊Windows系統(tǒng)。影響級別3描述非法者或蠕蟲病毒利用默認共享攻擊Windows系統(tǒng)，對XXX附

39、屬兒童醫(yī)院的管理運營具有一定影響。風險級別中（5）建議控制措施序號建議控制措施描述1關閉系統(tǒng)默認共享關閉所有非必要開放的系統(tǒng)默認共享。2設置訪問控制策略對所有相關服務器設置必要的訪問控制策略，限制非必要客戶端對相關服務器的非必要端口的訪問。3.2.4. Windows系統(tǒng)存在權限控制不當?shù)墓蚕恚?）現(xiàn)狀描述當前，被檢查windows系統(tǒng)（、）存在一些權限控制不當?shù)墓蚕?，如下圖：共享權限設置為Everyone完全控制。（2）威脅分析存在權限控制不當?shù)墓蚕砜赡苁狗欠ㄕ攉@得訪問共享文件夾內數(shù)據(jù)的機會大大增加，對非法者侵入系統(tǒng)、擴大滲透程度提供了額外的機會，另外，也很可能增加受蠕蟲病毒的傳播機會。因此

40、，應對共享設置適當?shù)脑L問控制權限。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者或蠕蟲病毒利用權限控制不當?shù)墓蚕砉鬢indows系統(tǒng)可能性級別2描述非法者或蠕蟲病毒有可能利用權限控制不當?shù)墓蚕砉鬢indows系統(tǒng)。影響級別3描述非法者或蠕蟲病毒利用權限控制不當?shù)墓蚕砉鬢indows系統(tǒng)，對XXX附屬兒童醫(yī)院的管理運營具有一定影響。風險級別中（5）建議控制措施序號建議控制措施描述1對共享進行適當?shù)脑L問控制權限設置對共享進行適當

41、的訪問控制權限設置，限制非必要的賬號對共享的訪問。2取消共享如非必要，取消共享。3設置訪問控制策略對所有相關服務器設置必要的訪問控制策略，限制非必要客戶端對相關服務器的非必要端口的訪問。3.2.5. Windows系統(tǒng)過多的管理員賬號（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)部分主機存在過多的管理員賬號，如主域控制器上存在大量本地管理員賬號和域管理員賬號，其中zyc賬號（住院處）屬于域管理員組，權限過高。另外，醫(yī)保服務器、醫(yī)保論壇、外網(wǎng)托管服務器，均存在過多本地管理員賬號。而醫(yī)保論壇上還存在大量本地賬號（不受域控制器控制）。（2）威脅分析過多的管理員賬號意味著有更多的人具有操作系統(tǒng)的管理權限

42、，不利于服務器的安全管理，另外，過多的管理員賬號，可能由于管理員疏忽等原因而導致無法控制賬號的安全性，可能對服務器造成安全威脅，另一方面，過多的管理員賬號，發(fā)生安全事件可能難以追查安全責任。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱系統(tǒng)管理員賬號失控威脅Windows系統(tǒng)安全可能性級別2描述可能由于系統(tǒng)管理員賬號失控威脅Windows系統(tǒng)安全。影響級別4描述系統(tǒng)管理員賬號失控威脅Windows系統(tǒng)安全，對XXX附屬兒童醫(yī)院的管理運營

43、具有嚴重影響。風險級別中（5）建議控制措施序號建議控制措施描述1收回多余的管理員賬號將不需要的多余的管理員賬號收回，僅分配適當權限的賬號。2所有管理員賬號設置強壯密碼要求所有管理員設置強壯的密碼，并妥善保管。3取消多余的本地賬號取消多余的本地賬號，統(tǒng)一使用域賬號。3.2.6. Windows系統(tǒng)賬戶策略配置不當（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)賬戶策略均配置不當，均為默認配置，如下圖所示：未啟用密碼復雜性要求，未設置密碼長度最小值，未設置密碼最短使用期限，沒有強制密碼歷史。沒有設置賬號鎖定策略。（2）威脅分析不當?shù)腤indows密碼策略，如將“密碼必需復雜性要求”設置為“已停用”，則

44、無法強制用戶使用復雜密碼；未設置“密碼長度最小值”，將使得用戶可以使用短密碼甚至空密碼；未設置密碼最短存留期和強制密碼歷史，用戶就可以在達到密碼最長存留期、系統(tǒng)強制要求更改密碼時通過再次輸入相同的密碼而滿足系統(tǒng)的要求（也就是密碼最長存留期實際上無法起到原有的作用）。以上這些都可能使得非法者有更多的機會可以破解用戶密碼，從而使用用戶密碼登錄windows主機。未設置帳號鎖定閾值，將使得非法者可無限制地嘗試登錄Windows系統(tǒng)，最終有可能破解windows系統(tǒng)帳號密碼，從而登錄系統(tǒng)。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特定的業(yè)

45、務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者有更多機會破解Windows系統(tǒng)密碼可能性級別1描述可能由于系統(tǒng)管理員賬號失控威脅Windows系統(tǒng)安全。影響級別4描述系統(tǒng)管理員賬號失控威脅Windows系統(tǒng)安全，對XXX附屬兒童醫(yī)院的管理運營具有嚴重影響。風險級別中（5）建議控制措施序號建議控制措施描述1明確規(guī)定要求的密碼組合在密碼管理規(guī)定中，明確說明系統(tǒng)允許的密碼字符組合。2明確規(guī)定允許的最短密碼長度在密碼管理規(guī)定中，明確說明系統(tǒng)允許的最短密碼長度（如普通用戶為6位，管理員為8位）。3明確規(guī)定密碼變更要求在密碼管理規(guī)定中，明確要求用戶多長時

46、間更改一次密碼（如普通用戶為90天，管理員為30天）。4設置密碼策略根據(jù)密碼策略，設置windows主機的密碼策略，例如：啟用“密碼必須符合復雜性要求”；將“最小密碼長度”設置為8位；將“密碼最長存留期”的值設為不長于90天的值；將“密碼最短存留期”的值設為不少于1天的值；啟用“強制密碼歷史”，將值設為如24個的值。5進行安全意識培訓和教育在提供訪問之前，以及此后定期或不定期對員工進行有關帳號密碼的安全意識培訓和教育。6啟用限制不成功登錄嘗試的功能將Windows系統(tǒng)上的“帳號鎖定閾值”設為如3次或5次的值。3.2.7. Windows系統(tǒng)審核策略配置不當（1）現(xiàn)狀描述當前，被檢查window

47、s系統(tǒng)的審核策略均為默認，不同版本策略不一，如下圖所示：（2）威脅分析系統(tǒng)審核可以記錄安全相關事件，如果不記錄，或者記錄的不夠完整，則一旦發(fā)生安全事件，將很難利用審核日志記錄來追查安全事件的來源，追蹤非法者，難以最大程度消除由此帶來的影響。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱Windows發(fā)生安全事件難以追查來源或非法行為可能性級別2描述可能在Windows發(fā)生安全事件時難以追查來源或非法行為影響級別2描述Windows發(fā)生安全事件難以追查來源或非法行為，對XXX附屬兒童醫(yī)院的管理運營具有輕微影響。風險級別低（5）建議控制措施序號建議控制措施描述1配置適當?shù)腤indows系統(tǒng)

48、審核策略根據(jù)Windows主機的用途及公司的策略，設置適當?shù)膶徍瞬呗裕纾簩ⅰ皩徍瞬呗愿摹?、“審核登錄事件”、“審核對象訪問”、“審核過程追蹤”、“審核目錄服務訪問”、“審核特權使用”、“審核系統(tǒng)事件”、“審核帳號登錄事件”、“審核帳號管理”設置為“成功，失敗”。3.2.8. Windows系統(tǒng)事件日志策略配置不當（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)的事件日志策略均為默認，不同版本策略不一，如下圖所示：（2）威脅分析事件日志的大小如果過小，則在高負載服務器上由于產生的事件非常多，可能很快達到日志文件的最大值。達到日志文件最大值后，歷史事件將被按需要覆蓋，如果日志文件很快被填滿，則可

49、追查的歷史時間將大大縮短，不利于安全事件發(fā)生時的追查來源和非法行為。XXX應用系統(tǒng)服務器處理量大，事件日志大小最大值配置為至少 80 MB 應足以存儲足夠的執(zhí)行審核信息，或根據(jù)檢查日志的頻率、可用磁盤空間等設置為適當值。（3）現(xiàn)有或已計劃的安全措施無。（4）風險評價風險名稱Windows發(fā)生安全事件難以追查來源或非法行為可能性級別2描述可能在Windows發(fā)生安全事件時難以追查來源或非法行為影響級別2描述Windows發(fā)生安全事件難以追查來源或非法行為，對XXX附屬兒童醫(yī)院的管理運營具有輕微影響。風險級別低（5）建議控制措施序號建議控制措施描述1配置適當?shù)腤indows系統(tǒng)日志策略設置日志文件

50、上限為適當值。3.2.9. Windows系統(tǒng)終端服務開放在常規(guī)端口（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)（、）等開放了終端服務（遠程桌面），并且終端服務開放在常規(guī)端口，如下圖所示：（2）威脅分析Windows遠程桌面是windows操作系統(tǒng)遠程管理的重要手段，默認服務端口為TCP3389，非法者可以輕易根據(jù)端口判斷為遠程桌面服務，如果非法者通過某種手段獲得了管理員帳號，則可以輕易的通過遠程桌面服務完全控制主機。如果開放在非常規(guī)端口，或者高端端口，則非法者無法輕易獲得遠程桌面開放的信息，增加了非法者成功登錄服務器的難度。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端

51、登錄域，具有登錄終端的域策略，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者利用遠程桌面登錄Windows系統(tǒng)可能性級別2描述非法者可能利用遠程桌面登錄Windows系統(tǒng)影響級別3描述非法者利用遠程桌面登錄Windows系統(tǒng)，對XXX附屬兒童醫(yī)院的管理運營具有一定影響。風險級別中（5）建議控制措施序號建議控制措施描述1調整遠程桌面端口將遠程桌面端口設置為非常規(guī)端口或高端端口。2設置訪問控制策略對所有相關服務器的遠程桌面端口設置必要的訪問控制策略，限制非必要客戶端對相關服務器的遠程桌面端口的訪問。3.2.10. Windows系

52、統(tǒng)未禁用Guest賬號（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)（、）的Guest賬號未被禁用。如下圖所示：（2）威脅分析Windows系統(tǒng)中，Guest默認是禁用的，啟用Guest賬號可能帶來一定風險，可能被非法者利用對操作系統(tǒng)進行攻擊。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特定的業(yè)務系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。數(shù)據(jù)每天進行備份，具有應急系統(tǒng)。（4）風險評價風險名稱非法者利用Guest賬號攻擊Windows系統(tǒng)可能性級別2描述非法者可能利用Guest賬號攻擊Windows系統(tǒng)影響級別3描述非法者利用Guest賬號攻

53、擊Windows系統(tǒng)，對XXX附屬兒童醫(yī)院的管理運營具有一定影響。風險級別中（5）建議控制措施序號建議控制措施描述1立即禁用Guest賬號立即將啟用的Guest賬號禁用2為Guest賬號設置強壯密碼如果一定要啟用Guest賬號，則為Guest賬號設置強壯密碼。3.2.11. Windows系統(tǒng)沒有重命名管理員賬號（1）現(xiàn)狀描述當前，被檢查windows系統(tǒng)均沒有重命名管理員賬號和Guest賬號。（2）威脅分析Windows 2003 中兩個最常見的已知內置帳戶是 Guest 和 Administrator。默認情況下，在成員服務器和域控制器上禁用 Guest 帳戶，應當重命名內置的 Administrator 帳戶并更改說明，以便防止攻擊者使用已知帳戶攻擊遠程服務器。許多惡意代碼的變體在首次嘗試攻擊服務器時使用內置 Administrator 帳戶。（3）現(xiàn)有或已計劃的安全措施內網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進行控制，終端登錄域，具有登錄終端的域策略，只能使用特