某业务运维信息系统风险评估报告.docx

《某业务运维信息系统风险评估报告.docx》由会员分享，可在线阅读，更多相关《某业务运维信息系统风险评估报告.docx（100页珍藏版）》请在三一办公上搜索。

1、XXX业务运维信息系统风险评估报告文档控制提交方提交日期版本信息日期版本撰写者审核者描述所有权声明文档里的资料版权归江苏开拓信息系统有限公司（以下简称“江苏开拓”）所有。未经江苏开拓事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。目 录1.评估项目概述61.1.评估目的和目标61.2.被评估系统概述61.2.1.系统概况62.风险综述62.1.风险摘要62.1.1.风险统计与分析62.1.2.极高风险摘要102.1.3.高风险摘要102.1.4.中风险摘要112.1.5.低风险摘要122.2.风险综述133.风险

2、分析173.1.网络通信173.1.1.VLAN间未做访问控制173.1.2.内网设计中存在单点故障风险183.1.3.外网设计中存在单点故障风险193.1.4.无专业审计系统203.1.5.SSG520防火墙配置策略不当203.1.6.网络边界未做访问控制223.2.安装部署233.2.1.Windows系统未安装最新补丁233.2.2.Windows系统开放了不需要的服务243.2.3.Windows系统开放了默认共享253.2.4.Windows系统存在权限控制不当的共享263.2.5.Windows系统过多的管理员账号283.2.6.Windows系统账户策略配置不当293.2.7.W

3、indows系统审核策略配置不当313.2.8.Windows系统事件日志策略配置不当323.2.9.Windows系统终端服务开放在常规端口333.2.10.Windows系统未禁用Guest账号343.2.11.Windows系统没有重命名管理员账号363.2.12.Windows系统管理员账号弱口令373.2.13.Windows系统允许匿名FTP访问383.2.14.Windows系统IIS允许父路径393.2.15.Windoiws系统存在IIS示例程序403.2.16.Windoiws系统存在IIS目录权限设置不当413.2.17.Windoiws系统IIS脚本默认映射433.2.

4、18.Windoiws系统SNMP默认团体字443.2.19.BBS数据库文件未改名453.2.20.SQL Server数据库未安装最新补丁473.2.21.SQL Server数据库审核级别设置不当483.2.22.SQL Server数据库服务运行在特权账号下493.2.23.SQL Server数据库存在存在xp_cmdshell等扩展存储过程503.2.24.SQL Server数据库管理员账户使用弱口令513.2.25.未限制可登录Cisco交换机的IP地址533.2.26.Cisco交换机开放过多不需要的SNMP服务543.2.27.使用弱密码管理Cisco交换机563.2.28

5、.cisco交换机的SNMP只读及读写存在弱密码563.2.29.SSG520的SNMP只读及读写存在弱密码583.2.30.SUN Solaris 未安装最新安全补丁593.2.31.SUN Solaris存在弱口令帐户603.2.32.SUN Solaris使用明文协议维护主机613.2.33.SUN Solaris ftp服务允许匿名用户访问623.2.34.SUN Solaris存在极危险的.rhosts文件633.2.35.系统存在有安全漏洞的HTTP服务器643.2.36.SUN Solaris启用了多个不需要的服务663.2.37.Oracle监听器安全配置不当673.2.38.

6、Oracle 数据库调度程序漏洞683.2.39.Oracle 数据库多重目录遍历漏洞693.2.40.SUN Solaris主机系统日志无备份713.3.认证授权713.3.1.系统未采用安全的身份鉴别机制713.3.2.未对数据库连接进行控制733.4.安全审计743.4.1.无登录日志和详细日志记录功能743.5.备份容错753.5.1.无异地灾备系统753.5.2.数据备份无异地存储763.5.3.核心业务系统存在单点故障773.6.运行维护783.6.1.未形成信息安全管理制度体系783.6.2.未规范安全管理制度的维护793.6.3.人员岗位、配备不完善803.6.4.未与相关人员

7、签订保密协议813.6.5.未规范信息系统建设823.6.6.运维管理待健全833.7.物理环境843.7.1.机房存在多余出入口843.7.2.机房未进行防水处理853.7.3.机房内无防盗报警设施863.7.4.防火措施不当873.7.5.未采取防静电措施883.8.系统开发893.8.1.系统未进行分级管理893.8.2.系统开发外包管理有待完善903.8.3.未规范系统培训环境913.8.4.未规范口令管理923.8.5.未对用户登陆进行安全控制933.8.6.未对系统会话进行限制944.安全建议总结954.1.网络通信954.2.安装部署954.3.认证授权964.4.安全审计964

8、.5.备份容错964.6.运行维护964.7.物理环境974.8.系统开发975.附录:信息安全风险级别定义991. 评估项目概述1.1. 评估目的和目标对XXX信息系统进行风险评估，分析系统的脆弱性、所面临的威胁以及由此可能产生的风险；根据风险评估结果,给出安全控制措施建议。风险评估范围包括：（1） 安全环境：包括机房环境、主机环境、网络环境等；（2） 硬件设备：包括主机、网络设备、线路、电源等；（3） 系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等；（4） 网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；（5） 数据交换：包括交换模式的合理性、对业务系统安全的影响

9、等；（6） 数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份/恢复机制；（7） 人员安全及管理，通信与操作管理；（8） 技术支持手段；（9） 安全策略、安全审计、访问控制；1.2. 被评估系统概述1.2.1. 系统概况XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成，内外网物理隔离，外网为访问互联网相关服务为主，内网为XXX生产网络。2. 风险综述2.1. 风险摘要2.1.1. 风险统计与分析经过风险分析，各级风险统计结果如下：风险级别风险数量百分比

10、极高风险22.94%高风险913.24%中风险3957.35%低风险1826.47%总计68100%根据风险评估统计结果，各级风险统计结果分布如下图所示：各类风险分布数量如下表所示：类别风险级别总计低风险中风险高风险极高风险运行维护15006系统开发14106物理环境03205网络通信21115认证授权02002备份容错00213安装部署13243040安全审计10001总计18399268各类风险及级别分布如下图所示：极高风险分布如下图所示：高风险分布如下图所示：中风险分布如下图所示：低风险分布如下图所示：2.1.2. 极高风险摘要极高风险摘要2备份容错1 核心业务系统单点故障导致业务中断1

11、网络通信1 内网单点一故障风险造成业务系统服务停止12.1.3. 高风险摘要高风险摘要9安装部署3 非法者极易获得系统管理员用户权限攻击SUN SOLARIS系统1 非法者利用SQL Server管理员账号弱口令渗透进系统1 非法者利用管理员账号弱口令尝试登录Windows系统1备份容错2 备份数据无异地存储导致灾难发生后系统不能快速恢复1 灾难发生后业务系统难以快速恢复1网络通信1 非法者利用医保服务器渗透进内网1物理环境2 防火措施不当引发更大损失1 机房未进行防水处理引起设备老化、损坏1系统开发1 未规范口令管理导致用户冒用12.1.4. 中风险摘要中风险39安装部署24 SUN Sol

12、aris远程用户配置不当造成无需验证登录到主机1 非法者获得数据库权限进而获得系统管理员权限1 非法者或蠕虫病毒利用默认共享攻击Windows系统1 非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统1 非法者利用Guest账号攻击Windows系统1 非法者利用IIS目录权限设置问题攻击Windows系统1 非法者利用Oracle数据库调度程序漏洞远程执行任意指令1 非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进系统1 非法者利用SQL Server漏洞攻击Windows系统1 非法者利用Web server的漏洞来攻击主机系统1 非法者利用不当的监听器配

13、置攻击Oracle系统1 非法者利用匿名FTP服务登录FTP系统1 非法者利用已启用的不需要服务攻击Windows系统1 非法者利用已知Windows管理员账号尝试攻击Windows系统1 非法者利用已知漏洞攻击SUN SOLARIS系统1 非法者利用已知漏洞攻击Windows系统1 非法者利用远程桌面登录Windows系统1 非法者破解Cisco交换机弱密码而侵入系统1 非法者通过SNMP修改cisco交换机配置1 非法者通过SNMP修改SSG520防火墙配置1 非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统1 非法者通过监听和伪造的方式获得管理员与主机间的通信内容1 非法者

14、有更多机会破解Windows系统密码1 系统管理员账号失控威胁Windows系统安全1认证授权2 未对数据库连接进行控制导致系统非授权访问1 系统未采用安全的身份鉴别机制导致用户账户被冒用1网络通信1 外网单一单点故障风险造成Internet访问中断1物理环境3 机房存在多余出入口可能引起非法潜入1 机房内无防盗报警设施引起非法潜入1 未采取防静电措施引起设备故障1系统开发4 生产数据通过培训环境泄露1 未对系统会话进行限制影响系统可用性1 未做用户登录安全控制导致用户被冒用1 系统开发外包管理有待完善引发系统安全问题1运行维护5 安全管理体系不完善引发安全问题1 人员岗位、配备不完善影响系统

15、运行维护1 未规范信息系统建设影响系统建设1 未与相关人员签订保密协议引起信息泄密1 运维管理不完善引发安全事件12.1.5. 低风险摘要低风险18安全审计1 发生安全事件很难依系统日志追查来源1 安装部署13 SQL Server发生安全事件时难以追查来源或异常行为1 Windows发生安全事件难以追查来源或非法行为2 非法者可从多个地点尝试登录Cisco交换机1 非法者利用DVBBS数据库渗透进Windows系统1 非法者利用IIS默认映射问题攻击Windows系统1 非法者利用IIS示例程序问题攻击Windows系统1 非法者利用IIS允许父路径问题攻击Windows系统1 非法者利用O

16、racle数据库漏洞可获得任意文件读写权限1 非法者利用SNMP服务获取Windows主机信息1 非法者利用SUN Solaris匿名FTP服务登录FTP系统1 非法者利用开启过多的snmp服务获得详细信息1 日志无备份对系统管理和安全事件记录分析带来困难1网络通信2 出现安全事件无法进行有效定位和问责1 非法者利用防火墙配置不当渗透入外网1系统开发1 系统未进行分级管理导致核心系统不能得到更多的保护1运行维护1 安全管理制度缺乏维护导致安全管理滞后12.2. 风险综述（1） 网络通信方面1) 内网设计中存在单点故障风险，当wins/dns服务器发生故障后，网内所有域用户全部都不能正常登录到域

17、，造成业务信息系统无法提供正常服务。2) 网络边界未做访问控制，XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。3) 外网设计中存在单点故障风险，外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。4) SSG520防火墙配置策略不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。5) 无专业审计系统，无法对已发生安全事件准确回溯，将给确

18、认安全事件发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。（2） 安装部署方面1) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco交换机等等均存在管理员账号弱口令的情况，管理员账号口令强度不足，可能导致管理员账号口令被破解，从而导致非法者可以利用被破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。2) Windows操作系统、SUN Solaris操作系统、SQL Server数据库等均未安装最新安全补丁，这将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非

19、法者获悉，非法者就有可能利用这些已知漏洞攻击系统。3) Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务，不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。4) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Oracle数据库等均未进行安全配置，存在部分配置不当的问题，错误的配置可能导致安全隐患，或者将使得非法者有更多机会利用系统的安全问题攻击系统，影响业务系统安全。（3） 认证

20、授权方面1) 未对数据库连接进行控制，数据库连接账号口令明文存储在客户端，可能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库服务器没有限制不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。2) 系统未采用安全的身份鉴别机制，缺乏限制帐号不活动时间的机制、缺乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统用户被冒用的风险。（4） 安全审计方面1) 无登录日志和详细日志记录功能，未对登

21、录行为进行记录，也未实现详细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系统受到严重影响。（5） 备份容错方面1) 核心业务系统存在单点故障，合理用药系统无备份容错机制，而且是用的是PC机提供服务，非常有可能由于系统故障而导致合理用药系统无法提供服务，而核心业务系统依赖合理用药系统，可能导致业务中断。2) 数据备份无异地存储，未对系统配置信息和数据进行异地存储和备份，当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。3) 无异地灾备系统，有可能导致发生灾难性事件后，系

22、统难以快速恢复，严重影响了系统的可用性。（6） 运行维护方面1) 人员岗位、配备不完善，可能造成未授权访问、未授权活动等风险；在信息技术人员相对缺乏的情况下，无法做到充分的职责分离和岗位轮换，可能产生潜在的安全隐患。2) 未规范信息系统建设，无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提供完整的系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。3)

23、未形成信息安全管理制度体系，缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护工作。4) 未与相关人员签订保密协议，未针对关键岗位、第三方单独签署保密协议，存在信息泄露无法追究责任的安全隐患。5) 运维管理待健全，不采用合适的方法为信息系统划分适当的保护等级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费；缺乏管理制度规章和管理办法或制度规章和管理办法已不适用或难以获得，则信息中心人员缺乏行为指导，信息中心信息安全处于无序状态，极易发生信息安全事件，影响组织的正常经营

24、活动；暂无网络和系统漏洞扫描模块，可能由于网络或系统漏洞引起业务中断。6) 未规范安全管理制度的维护，信息科技管理制度规章和管理办法制定、审批和修订流程不同规范会造成版本混乱、互相冲突，影响其贯彻执行，极易发生信息安全事件，影响组织的正常经营活动。（7） 物理环境方面1) 防火措施不当，无耐火级别的建筑材料无法减小火灾造成的损失，不熟悉消防设备使用方法、没有紧急处理流程或不熟悉紧急处理流程，不能及时处理火灾或处理不善，会导致火灾损失增大，机房存放杂物，导致不能及时处理火灾或处理不善，会导致火灾损失增大。2) 机房未进行防水处理，未采取防水处理，可能导致渗水，返潮等问题，会加速设备老化，严重的可

25、导致设备不能正常工作。3) 未采取防静电措施，未使用防静电手环，可能遭静电影响造成计算机系统故障或损坏，影响单位业务进行；没有适当的电磁防护，可能由于电磁影响造成计算机系统故障或损坏或信息泄漏，影响单位业务进行。4) 机房内无防盗报警设施，机架前后面板未封闭，导致设备被破坏的可能性增大；无警报系统，无法在第一时间通知责任人作出反应5) 机房存在多余出入口，除可控入口外，其他的入口的存在会增加医院外部人员潜入医院机房破坏信息系统的可能。（8） 系统开发方面1) 未规范口令管理，采用通用默认账号的口令可能引起账号冒用，引起数据泄密或篡改；初始化登陆不强制更改口令，可能引起用户冒用账户的风险，影响业

26、务数据的真实性；不设置复杂口令，可能引起用户密码被猜解的风险，影响业务数据的真实性；未设置口令使用期限，可能引起用户未授权访问的风险，影响业务系统的正常应用。2) 未对系统会话进行限制，未对系统最大并发会话数进行控制，可能引起系统超载，使系统服务响应变慢或引起宕机，影响系统的可用性；未对空闲会话进行控制，导致占用系统多余资源，无法进行科学合理的资源分配，影响了系统的可用性。3) 未规范系统培训环境，使用病患的真实数据对业务人员进行操作培训，评估小组现场观测时发现，培训环境由于某种原因，将所有用户口令清空，有可能造成有关信息被不必要人员获得，造成信息泄露。4) 系统开发外包管理有待完善，系统开发

27、设计外包服务如果不能很好的做好技术传递工作，则离开外包服务方系统可能很难进行安全稳定的运行和维护；系统开发未作安全需求分析，可能导致系统设计架构不合理，影响系统安全稳定运行；外部人员调离后，不对其权限进行回收，可能引起非法访问的风险；开发公司未提供系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案。5) 系统未进行分级管理，不采用合适的方法为信息系统划分适当的保护等级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费。3. 风险分析3.1. 网络通信3.1.1. VLAN间未做访问控制（1）现状描述内网VLAN中的主机网

28、关全部指到内网核心交换机C6509上，外网VLAN的主机网关都指在外网核心交换机4506上。内外网对这些VLAN的路由未作控制，各个VLAN间通过C6509(4506)可以进行互访。（2）威胁分析由于各个VLAN代表不同的业务内容，安全级别也是不同的，需要在不同的VLAN间做访问控制。现有配置，各个VLAN间路由都是通的，那么各个VLAN间就都可以互访，安全级别低的VLAN可以访问安全级别高的VLAN，这样VLAN设定的目的效果就大大削弱了。安全级别低的VLAN尝试访问高级别VLAN，有意或者无意的破坏高级别VLAN中服务器上的数据，将会对XXX的业务造成重大的影响。（3）现有或已计划的安全措

29、施核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略。（4）风险评价风险名称非法者从普通VLAN渗透到核心VLAN可能性级别3描述非法者很可能从普通VLAN渗透到核心VLAN。影响级别3描述非法者从普通VLAN渗透到核心VLAN，对XXX的管理运营具有一定影响。风险级别高（5）建议控制措施序号建议控制措施描述1定义VLAN安全级别及访问关系由网络管理员定义各个VLAN的安全级别和互相之间的访问关系表2修改核心交换机上VLAN间访问控制策略按照已定义好的VLAN间访问关系表，重新定义访问控制列表，控制VLAN间的访问关系3.1.2. 内网设计中存在单点故障风险（1）现状描述分析X

30、XX目前实际的网络情况，我们发现内网中存在蛋单点故障风险，其中内网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。（2）威胁分析当此服务器发生故障后，网内所有域用户全部都不能正常登录到域，造成业务系统服务停止。（3）现有或已计划的安全措施无。（4）风险评价风险名称内网单点故障风险造成业务系统服务停止可能性级别4描述内网单点故障风险很可能造成业务系统服务停止。影响级别5描述业务系统服务停止会造成用户对外服务效率降低，并由于用户业务为公众服务业务，服务停止后会对用户造成极大的影响。风险级别极高（5）建议控制措施序号建议控制措施描述1配备内网Wins/dns热备服务器采用双机热备技术

31、，有效降低单一故障风险。2配备内网Wins/dns冷备服务器配备冷备设备，能满足在可接受的时间范围恢复服务3.1.3. 外网设计中存在单点故障风险（1）现状描述分析XXX目前实际的网络情况我们发现外网中存在单点故障风险，其中外网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。Internet接入设备SSG520防火墙，城市热点计费网关与外网核心交换机4506-1单线接入，没有链路和设备备份措施。（2）威胁分析外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。（3）现有或已计划的安全措施无。（4）风险评价风险名称外网

32、单点故障风险造成Internet访问中断可能性级别4描述网络接入控制系统系统中存在点故障风险，故障发生可能性较高影响级别2描述外网单点故障风险造成Internet访问中断，对XXX管理运营具有轻微影响。风险级别中（5）建议控制措施序号建议控制措施描述1外网单点设备配备热备服务器采用双机热备技术，有效降低单点故障风险。2外网单点设备配备冷备服务器配备冷备设备，能满足在可接受的时间范围恢复服务3.1.4. 无专业审计系统（1）现状描述现有XXX内外网网络均无专业审计系统。（2）威胁分析无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难，同时，在依法问责时

33、缺乏审计信息将无法作为安全事件发生的证据。（3）现有或已计划的安全措施无。（4）风险评价风险名称出现安全事件无法进行有效定位和问责可能性级别2描述出现安全事件而无法发现的情况有可能发生影响级别2描述出现安全事件无法进行有效定位和问责，将对XXX的管理运营具有轻微影响风险级别低（5）建议控制措施序号建议控制措施描述1采购专业的审计系统采购并集中部署专业的审计系统，并启动网络设备和安全设备上的日志服务。2定期审计日志中的异常记录指定专人负责，定期对日志进行审计，查看是否有异常记录。3.1.5. SSG520防火墙配置策略不当（1）现状描述分析SSG520的配置文件，发现防火墙配置的端口控制中开放了

34、过多的不用使用端口，例如10700，3765，8888，445端口等。 set service protocol tcp src-port 0-65535 dst-port 10700-10700 set service + tcp src-port 0-65535 dst-port 21-22 set service + tcp src-port 0-65535 dst-port 445-445 set service + tcp src-port 0-65535 dst-port 25-25 set service + tcp src-port 0-65535 dst-port 110-1

35、10 set service + tcp src-port 0-65535 dst-port 8888-8888 set service + tcp src-port 0-65535 dst-port 8080-8080 set service + tcp src-port 0-65535 dst-port 3765-3765 set service protocol tcp src-port 0-65535 dst-port 80-80 set service + tcp src-port 0-65535 dst-port 53-53 set service + udp src-port 0

36、-65535 dst-port 53-53 set service + tcp src-port 0-65535 dst-port 443-443 et （2）威胁分析防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。（3）现有或已计划的安全措施无。（4）风险评价风险名称非法者利用防火墙配置不当渗透入外网可能性级别2描述非法者可能利用防火墙配置不当渗透入外网。影响级别2描述非法者利用防火墙配置不当渗透入外网，将对XXX的管理运营具有轻微的影响。风险级别低（5）建议控制措施序号建议控制措施描述1删除SSG520防火

37、墙不使用的端口的访问控制策略删除service 中的10700，3765，8888，445等不使用的端口访问控制策略3.1.6. 网络边界未做访问控制（1）现状描述根据我们检查和访谈得知XXX内网和市医保网通过一台医保服务器配置的双网卡和市医保网连接，医保网是不属于XXX范围内的专网，通过医保服务器采集数据通过专网传送到相关使用部门，跟医保网的连接属于边界连接，但在边界上未做任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统。（2）威胁分析XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过

38、攻击医保服务器后再渗透入XXX内网。（3）现有或已计划的安全措施无。（4）风险评价风险名称非法者利用医保服务器渗透进内网可能性级别3描述非法者可能利用医保服务器渗透进内网影响级别4描述非法者可能利用医保服务器渗透进内网，对XXX管理运营具有严重影响。风险级别高（5）建议控制措施序号建议控制措施描述1制定医保网对医保服务器的访问策略可在医保服务器上加装放火墙软件来实现对从医保网来的访问控制2制定加强医保服务器和内网连接的访问控制策略通过改变网络拓扑在医保服务器和内网间配置硬件防火墙，或通过内网核心交换机实现对医保服务器的访问控制。3.2. 安装部署3.2.1. Windows系统未安装最新补丁（

39、1）现状描述当前，被检查windows系统均未安装最新补丁，并且补丁安装情况各不相同，有些补丁缺失较少，有些缺失较多，甚至缺失一系列重要安全补丁。扫描结果也显示某些服务器具有严重安全漏洞：（2）威胁分析未及时安装Windows操作系统的最新安全补丁，将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用

40、已知漏洞攻击Windows系统可能性级别2描述非法者有可能利用已知漏洞攻击Windows系统影响级别4描述非法者利用已知漏洞攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。风险级别中（5）建议控制措施序号建议控制措施描述1订阅安全漏洞补丁通告订阅Windows系统的安全漏洞补丁通告，以及时获知Windows系统的安全漏洞补丁信息。2安装组件最新安全版本从厂商站点下载最新安全补丁，在测试环境里测试正常后，在生产环境里及时安装。3.2.2. Windows系统开放了不需要的服务（1）现状描述当前，被检查windows系统均开放了不需要的服务，如：l DHCP Clientl P

41、rint Spoolerl Wireless Configurationl MSFTPl SMTP等可能不需要的服务。（2）威胁分析不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用已启用的不需要服务攻击Windows系统可能性级别2

42、描述非法者有可能利用利用已启用的不需要服务攻击Windows系统影响级别4描述非法者利用已启用的不需要服务攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。风险级别中（5）建议控制措施序号建议控制措施描述1禁用不需要的服务从系统正常运行、主机系统管理维护角度，确认系统上哪些服务是不需要的。对于系统上存在的不需要的服务，立即禁用。3.2.3. Windows系统开放了默认共享（1）现状描述当前，被检查windows系统均开放了默认共享，如：等系统默认共享。（2）威胁分析存在的默认共享可能使非法者获得访问共享文件夹内数据的机会，对非法者侵入系统、扩大渗透程度提供了额外的机会，另外

43、，默认共享可能增加受蠕虫病毒的传播机会。因此，除非必要，应该去掉默认共享。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者或蠕虫病毒利用默认共享攻击Windows系统可能性级别1描述非法者或蠕虫病毒有可能利用默认共享攻击Windows系统。影响级别3描述非法者或蠕虫病毒利用默认共享攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。风险级别中（5）建议控制措施序号建议控制措施描述1关闭系统默认共享关闭所有非必要开放的系统默认共享。2设置访问控制策略对所有相关服