某业务运维信息系统风险评估报告

XXX业务运维信息系统风险评估报告文档控制提交方提交日期版本信息日期版本撰写者审核者描述所有权声明文档里的资料版权归江苏开拓信息系统有限公司（以下简称“江苏开拓”）所有。未经江苏开拓事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。目 录1.评估项目概述61.1.评估目的和目标61.2.被评估系统概述61.2.1.系统概况62.风险综述62.1.风险摘要62.1.1.风险统计与分析62.1.2.极高风险摘要102.1.3.高风险摘要102.1.4.中风险摘要112.1.5.低风险摘要122.2.风险综述133.风险分析173.1.网络通信173.1.1.VLAN间未做访问控制173.1.2.内网设计中存在单点故障风险183.1.3.外网设计中存在单点故障风险193.1.4.无专业审计系统203.1.5.SSG520防火墙配置策略不当203.1.6.网络边界未做访问控制223.2.安装部署233.2.1.Windows系统未安装最新补丁233.2.2.Windows系统开放了不需要的服务243.2.3.Windows系统开放了默认共享253.2.4.Windows系统存在权限控制不当的共享263.2.5.Windows系统过多的管理员账号283.2.6.Windows系统账户策略配置不当293.2.7.Windows系统审核策略配置不当313.2.8.Windows系统事件日志策略配置不当323.2.9.Windows系统终端服务开放在常规端口333.2.10.Windows系统未禁用Guest账号343.2.11.Windows系统没有重命名管理员账号363.2.12.Windows系统管理员账号弱口令373.2.13.Windows系统允许匿名FTP访问383.2.14.Windows系统IIS允许父路径393.2.15.Windoiws系统存在IIS示例程序403.2.16.Windoiws系统存在IIS目录权限设置不当413.2.17.Windoiws系统IIS脚本默认映射433.2.18.Windoiws系统SNMP默认团体字443.2.19.BBS数据库文件未改名453.2.20.SQL Server数据库未安装最新补丁473.2.21.SQL Server数据库审核级别设置不当483.2.22.SQL Server数据库服务运行在特权账号下493.2.23.SQL Server数据库存在存在xp_cmdshell等扩展存储过程503.2.24.SQL Server数据库管理员账户使用弱口令513.2.25.未限制可登录Cisco交换机的IP地址533.2.26.Cisco交换机开放过多不需要的SNMP服务543.2.27.使用弱密码管理Cisco交换机563.2.28.cisco交换机的SNMP只读及读写存在弱密码563.2.29.SSG520的SNMP只读及读写存在弱密码583.2.30.SUN Solaris 未安装最新安全补丁593.2.31.SUN Solaris存在弱口令帐户603.2.32.SUN Solaris使用明文协议维护主机613.2.33.SUN Solaris ftp服务允许匿名用户访问623.2.34.SUN Solaris存在极危险的.rhosts文件633.2.35.系统存在有安全漏洞的HTTP服务器643.2.36.SUN Solaris启用了多个不需要的服务663.2.37.Oracle监听器安全配置不当673.2.38.Oracle 数据库调度程序漏洞683.2.39.Oracle 数据库多重目录遍历漏洞693.2.40.SUN Solaris主机系统日志无备份713.3.认证授权713.3.1.系统未采用安全的身份鉴别机制713.3.2.未对数据库连接进行控制733.4.安全审计743.4.1.无登录日志和详细日志记录功能743.5.备份容错753.5.1.无异地灾备系统753.5.2.数据备份无异地存储763.5.3.核心业务系统存在单点故障773.6.运行维护783.6.1.未形成信息安全管理制度体系783.6.2.未规范安全管理制度的维护793.6.3.人员岗位、配备不完善803.6.4.未与相关人员签订保密协议813.6.5.未规范信息系统建设823.6.6.运维管理待健全833.7.物理环境843.7.1.机房存在多余出入口843.7.2.机房未进行防水处理853.7.3.机房内无防盗报警设施863.7.4.防火措施不当873.7.5.未采取防静电措施883.8.系统开发893.8.1.系统未进行分级管理893.8.2.系统开发外包管理有待完善903.8.3.未规范系统培训环境913.8.4.未规范口令管理923.8.5.未对用户登陆进行安全控制933.8.6.未对系统会话进行限制944.安全建议总结954.1.网络通信954.2.安装部署954.3.认证授权964.4.安全审计964.5.备份容错964.6.运行维护964.7.物理环境974.8.系统开发975.附录:信息安全风险级别定义991. 评估项目概述1.1. 评估目的和目标对XXX信息系统进行风险评估，分析系统的脆弱性、所面临的威胁以及由此可能产生的风险；根据风险评估结果,给出安全控制措施建议。风险评估范围包括：（1） 安全环境：包括机房环境、主机环境、网络环境等；（2） 硬件设备：包括主机、网络设备、线路、电源等；（3） 系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等；（4） 网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；（5） 数据交换：包括交换模式的合理性、对业务系统安全的影响等；（6） 数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份/恢复机制；（7） 人员安全及管理，通信与操作管理；（8） 技术支持手段；（9） 安全策略、安全审计、访问控制；1.2. 被评估系统概述1.2.1. 系统概况XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成，内外网物理隔离，外网为访问互联网相关服务为主，内网为XXX生产网络。2. 风险综述2.1. 风险摘要2.1.1. 风险统计与分析经过风险分析，各级风险统计结果如下：风险级别风险数量百分比极高风险22.94%高风险913.24%中风险3957.35%低风险1826.47%总计68100%根据风险评估统计结果，各级风险统计结果分布如下图所示：各类风险分布数量如下表所示：类别风险级别总计低风险中风险高风险极高风险运行维护15006系统开发14106物理环境03205网络通信21115认证授权02002备份容错00213安装部署13243040安全审计10001总计18399268各类风险及级别分布如下图所示：极高风险分布如下图所示：高风险分布如下图所示：中风险分布如下图所示：低风险分布如下图所示：2.1.2. 极高风险摘要极高风险摘要2备份容错1 核心业务系统单点故障导致业务中断1网络通信1 内网单点一故障风险造成业务系统服务停止12.1.3. 高风险摘要高风险摘要9安装部署3 非法者极易获得系统管理员用户权限攻击SUN SOLARIS系统1 非法者利用SQL Server管理员账号弱口令渗透进系统1 非法者利用管理员账号弱口令尝试登录Windows系统1备份容错2 备份数据无异地存储导致灾难发生后系统不能快速恢复1 灾难发生后业务系统难以快速恢复1网络通信1 非法者利用医保服务器渗透进内网1物理环境2 防火措施不当引发更大损失1 机房未进行防水处理引起设备老化、损坏1系统开发1 未规范口令管理导致用户冒用12.1.4. 中风险摘要中风险39安装部署24 SUN Solaris远程用户配置不当造成无需验证登录到主机1 非法者获得数据库权限进而获得系统管理员权限1 非法者或蠕虫病毒利用默认共享攻击Windows系统1 非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统1 非法者利用Guest账号攻击Windows系统1 非法者利用IIS目录权限设置问题攻击Windows系统1 非法者利用Oracle数据库调度程序漏洞远程执行任意指令1 非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进系统1 非法者利用SQL Server漏洞攻击Windows系统1 非法者利用Web server的漏洞来攻击主机系统1 非法者利用不当的监听器配置攻击Oracle系统1 非法者利用匿名FTP服务登录FTP系统1 非法者利用已启用的不需要服务攻击Windows系统1 非法者利用已知Windows管理员账号尝试攻击Windows系统1 非法者利用已知漏洞攻击SUN SOLARIS系统1 非法者利用已知漏洞攻击Windows系统1 非法者利用远程桌面登录Windows系统1 非法者破解Cisco交换机弱密码而侵入系统1 非法者通过SNMP修改cisco交换机配置1 非法者通过SNMP修改SSG520防火墙配置1 非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统1 非法者通过监听和伪造的方式获得管理员与主机间的通信内容1 非法者有更多机会破解Windows系统密码1 系统管理员账号失控威胁Windows系统安全1认证授权2 未对数据库连接进行控制导致系统非授权访问1 系统未采用安全的身份鉴别机制导致用户账户被冒用1网络通信1 外网单一单点故障风险造成Internet访问中断1物理环境3 机房存在多余出入口可能引起非法潜入1 机房内无防盗报警设施引起非法潜入1 未采取防静电措施引起设备故障1系统开发4 生产数据通过培训环境泄露1 未对系统会话进行限制影响系统可用性1 未做用户登录安全控制导致用户被冒用1 系统开发外包管理有待完善引发系统安全问题1运行维护5 安全管理体系不完善引发安全问题1 人员岗位、配备不完善影响系统运行维护1 未规范信息系统建设影响系统建设1 未与相关人员签订保密协议引起信息泄密1 运维管理不完善引发安全事件12.1.5. 低风险摘要低风险18安全审计1 发生安全事件很难依系统日志追查来源1 安装部署13 SQL Server发生安全事件时难以追查来源或异常行为1 Windows发生安全事件难以追查来源或非法行为2 非法者可从多个地点尝试登录Cisco交换机1 非法者利用DVBBS数据库渗透进Windows系统1 非法者利用IIS默认映射问题攻击Windows系统1 非法者利用IIS示例程序问题攻击Windows系统1 非法者利用IIS允许父路径问题攻击Windows系统1 非法者利用Oracle数据库漏洞可获得任意文件读写权限1 非法者利用SNMP服务获取Windows主机信息1 非法者利用SUN Solaris匿名FTP服务登录FTP系统1 非法者利用开启过多的snmp服务获得详细信息1 日志无备份对系统管理和安全事件记录分析带来困难1网络通信2 出现安全事件无法进行有效定位和问责1 非法者利用防火墙配置不当渗透入外网1系统开发1 系统未进行分级管理导致核心系统不能得到更多的保护1运行维护1 安全管理制度缺乏维护导致安全管理滞后12.2. 风险综述（1） 网络通信方面1) 内网设计中存在单点故障风险，当wins/dns服务器发生故障后，网内所有域用户全部都不能正常登录到域，造成业务信息系统无法提供正常服务。2) 网络边界未做访问控制，XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。3) 外网设计中存在单点故障风险，外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。4) SSG520防火墙配置策略不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。5) 无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。（2） 安装部署方面1) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco交换机等等均存在管理员账号弱口令的情况，管理员账号口令强度不足，可能导致管理员账号口令被破解，从而导致非法者可以利用被破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。2) Windows操作系统、SUN Solaris操作系统、SQL Server数据库等均未安装最新安全补丁，这将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。3) Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务，不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。4) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Oracle数据库等均未进行安全配置，存在部分配置不当的问题，错误的配置可能导致安全隐患，或者将使得非法者有更多机会利用系统的安全问题攻击系统，影响业务系统安全。（3） 认证授权方面1) 未对数据库连接进行控制，数据库连接账号口令明文存储在客户端，可能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库服务器没有限制不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。2) 系统未采用安全的身份鉴别机制，缺乏限制帐号不活动时间的机制、缺乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统用户被冒用的风险。（4） 安全审计方面1) 无登录日志和详细日志记录功能，未对登录行为进行记录，也未实现详细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系统受到严重影响。（5） 备份容错方面1) 核心业务系统存在单点故障，合理用药系统无备份容错机制，而且是用的是PC机提供服务，非常有可能由于系统故障而导致合理用药系统无法提供服务，而核心业务系统依赖合理用药系统，可能导致业务中断。2) 数据备份无异地存储，未对系统配置信息和数据进行异地存储和备份，当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。3) 无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，严重影响了系统的可用性。（6） 运行维护方面1) 人员岗位、配备不完善，可能造成未授权访问、未授权活动等风险；在信息技术人员相对缺乏的情况下，无法做到充分的职责分离和岗位轮换，可能产生潜在的安全隐患。2) 未规范信息系统建设，无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提供完整的系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。3) 未形成信息安全管理制度体系，缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护工作。4) 未与相关人员签订保密协议，未针对关键岗位、第三方单独签署保密协议，存在信息泄露无法追究责任的安全隐患。5) 运维管理待健全，不采用合适的方法为信息系统划分适当的保护等级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费；缺乏管理制度规章和管理办法或制度规章和管理办法已不适用或难以获得，则信息中心人员缺乏行为指导，信息中心信息安全处于无序状态，极易发生信息安全事件，影响组织的正常经营活动；暂无网络和系统漏洞扫描模块，可能由于网络或系统漏洞引起业务中断。6) 未规范安全管理制度的维护，信息科技管理制度规章和管理办法制定、审批和修订流程不同规范会造成版本混乱、互相冲突，影响其贯彻执行，极易发生信息安全事件，影响组织的正常经营活动。（7） 物理环境方面1) 防火措施不当，无耐火级别的建筑材料无法减小火灾造成的损失，不熟悉消防设备使用方法、没有紧急处理流程或不熟悉紧急处理流程，不能及时处理火灾或处理不善，会导致火灾损失增大，机房存放杂物，导致不能及时处理火灾或处理不善，会导致火灾损失增大。2) 机房未进行防水处理，未采取防水处理，可能导致渗水，返潮等问题，会加速设备老化，严重的可导致设备不能正常工作。3) 未采取防静电措施，未使用防静电手环，可能遭静电影响造成计算机系统故障或损坏，影响单位业务进行；没有适当的电磁防护，可能由于电磁影响造成计算机系统故障或损坏或信息泄漏，影响单位业务进行。4) 机房内无防盗报警设施，机架前后面板未封闭，导致设备被破坏的可能性增大；无警报系统，无法在第一时间通知责任人作出反应5) 机房存在多余出入口，除可控入口外，其他的入口的存在会增加医院外部人员潜入医院机房破坏信息系统的可能。（8） 系统开发方面1) 未规范口令管理，采用通用默认账号的口令可能引起账号冒用，引起数据泄密或篡改；初始化登陆不强制更改口令，可能引起用户冒用账户的风险，影响业务数据的真实性；不设置复杂口令，可能引起用户密码被猜解的风险，影响业务数据的真实性；未设置口令使用期限，可能引起用户未授权访问的风险，影响业务系统的正常应用。2) 未对系统会话进行限制，未对系统最大并发会话数进行控制，可能引起系统超载，使系统服务响应变慢或引起宕机，影响系统的可用性；未对空闲会话进行控制，导致占用系统多余资源，无法进行科学合理的资源分配，影响了系统的可用性。3) 未规范系统培训环境，使用病患的真实数据对业务人员进行操作培训，评估小组现场观测时发现，培训环境由于某种原因，将所有用户口令清空，有可能造成有关信息被不必要人员获得，造成信息泄露。4) 系统开发外包管理有待完善，系统开发设计外包服务如果不能很好的做好技术传递工作，则离开外包服务方系统可能很难进行安全稳定的运行和维护；系统开发未作安全需求分析，可能导致系统设计架构不合理，影响系统安全稳定运行；外部人员调离后，不对其权限进行回收，可能引起非法访问的风险；开发公司未提供系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案。5) 系统未进行分级管理，不采用合适的方法为信息系统划分适当的保护等级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费。3. 风险分析3.1. 网络通信3.1.1. VLAN间未做访问控制（1）现状描述内网VLAN中的主机网关全部指到内网核心交换机C6509上，外网VLAN的主机网关都指在外网核心交换机4506上。内外网对这些VLAN的路由未作控制，各个VLAN间通过C6509(4506)可以进行互访。（2）威胁分析由于各个VLAN代表不同的业务内容，安全级别也是不同的，需要在不同的VLAN间做访问控制。现有配置，各个VLAN间路由都是通的，那么各个VLAN间就都可以互访，安全级别低的VLAN可以访问安全级别高的VLAN，这样VLAN设定的目的效果就大大削弱了。安全级别低的VLAN尝试访问高级别VLAN，有意或者无意的破坏高级别VLAN中服务器上的数据，将会对XXX的业务造成重大的影响。（3）现有或已计划的安全措施核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略。（4）风险评价风险名称非法者从普通VLAN渗透到核心VLAN可能性级别3描述非法者很可能从普通VLAN渗透到核心VLAN。影响级别3描述非法者从普通VLAN渗透到核心VLAN，对XXX的管理运营具有一定影响。风险级别高（5）建议控制措施序号建议控制措施描述1定义VLAN安全级别及访问关系由网络管理员定义各个VLAN的安全级别和互相之间的访问关系表2修改核心交换机上VLAN间访问控制策略按照已定义好的VLAN间访问关系表，重新定义访问控制列表，控制VLAN间的访问关系3.1.2. 内网设计中存在单点故障风险（1）现状描述分析XXX目前实际的网络情况，我们发现内网中存在蛋单点故障风险，其中内网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。（2）威胁分析当此服务器发生故障后，网内所有域用户全部都不能正常登录到域，造成业务系统服务停止。（3）现有或已计划的安全措施无。（4）风险评价风险名称内网单点故障风险造成业务系统服务停止可能性级别4描述内网单点故障风险很可能造成业务系统服务停止。影响级别5描述业务系统服务停止会造成用户对外服务效率降低，并由于用户业务为公众服务业务，服务停止后会对用户造成极大的影响。风险级别极高（5）建议控制措施序号建议控制措施描述1配备内网Wins/dns热备服务器采用双机热备技术，有效降低单一故障风险。2配备内网Wins/dns冷备服务器配备冷备设备，能满足在可接受的时间范围恢复服务3.1.3. 外网设计中存在单点故障风险（1）现状描述分析XXX目前实际的网络情况我们发现外网中存在单点故障风险，其中外网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。Internet接入设备SSG520防火墙，城市热点计费网关与外网核心交换机4506-1单线接入，没有链路和设备备份措施。（2）威胁分析外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。（3）现有或已计划的安全措施无。（4）风险评价风险名称外网单点故障风险造成Internet访问中断可能性级别4描述网络接入控制系统系统中存在点故障风险，故障发生可能性较高影响级别2描述外网单点故障风险造成Internet访问中断，对XXX管理运营具有轻微影响。风险级别中（5）建议控制措施序号建议控制措施描述1外网单点设备配备热备服务器采用双机热备技术，有效降低单点故障风险。2外网单点设备配备冷备服务器配备冷备设备，能满足在可接受的时间范围恢复服务3.1.4. 无专业审计系统（1）现状描述现有XXX内外网网络均无专业审计系统。（2）威胁分析无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。（3）现有或已计划的安全措施无。（4）风险评价风险名称出现安全事件无法进行有效定位和问责可能性级别2描述出现安全事件而无法发现的情况有可能发生影响级别2描述出现安全事件无法进行有效定位和问责，将对XXX的管理运营具有轻微影响风险级别低（5）建议控制措施序号建议控制措施描述1采购专业的审计系统采购并集中部署专业的审计系统，并启动网络设备和安全设备上的日志服务。2定期审计日志中的异常记录指定专人负责，定期对日志进行审计，查看是否有异常记录。3.1.5. SSG520防火墙配置策略不当（1）现状描述分析SSG520的配置文件，发现防火墙配置的端口控制中开放了过多的不用使用端口，例如10700，3765，8888，445端口等。 set service protocol tcp src-port 0-65535 dst-port 10700-10700 set service + tcp src-port 0-65535 dst-port 21-22 set service + tcp src-port 0-65535 dst-port 445-445 set service + tcp src-port 0-65535 dst-port 25-25 set service + tcp src-port 0-65535 dst-port 110-110 set service + tcp src-port 0-65535 dst-port 8888-8888 set service + tcp src-port 0-65535 dst-port 8080-8080 set service + tcp src-port 0-65535 dst-port 3765-3765 set service protocol tcp src-port 0-65535 dst-port 80-80 set service + tcp src-port 0-65535 dst-port 53-53 set service + udp src-port 0-65535 dst-port 53-53 set service + tcp src-port 0-65535 dst-port 443-443 et （2）威胁分析防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。（3）现有或已计划的安全措施无。（4）风险评价风险名称非法者利用防火墙配置不当渗透入外网可能性级别2描述非法者可能利用防火墙配置不当渗透入外网。影响级别2描述非法者利用防火墙配置不当渗透入外网，将对XXX的管理运营具有轻微的影响。风险级别低（5）建议控制措施序号建议控制措施描述1删除SSG520防火墙不使用的端口的访问控制策略删除service 中的10700，3765，8888，445等不使用的端口访问控制策略3.1.6. 网络边界未做访问控制（1）现状描述根据我们检查和访谈得知XXX内网和市医保网通过一台医保服务器配置的双网卡和市医保网连接，医保网是不属于XXX范围内的专网，通过医保服务器采集数据通过专网传送到相关使用部门，跟医保网的连接属于边界连接，但在边界上未做任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统。（2）威胁分析XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。（3）现有或已计划的安全措施无。（4）风险评价风险名称非法者利用医保服务器渗透进内网可能性级别3描述非法者可能利用医保服务器渗透进内网影响级别4描述非法者可能利用医保服务器渗透进内网，对XXX管理运营具有严重影响。风险级别高（5）建议控制措施序号建议控制措施描述1制定医保网对医保服务器的访问策略可在医保服务器上加装放火墙软件来实现对从医保网来的访问控制2制定加强医保服务器和内网连接的访问控制策略通过改变网络拓扑在医保服务器和内网间配置硬件防火墙，或通过内网核心交换机实现对医保服务器的访问控制。3.2. 安装部署3.2.1. Windows系统未安装最新补丁（1）现状描述当前，被检查windows系统均未安装最新补丁，并且补丁安装情况各不相同，有些补丁缺失较少，有些缺失较多，甚至缺失一系列重要安全补丁。扫描结果也显示某些服务器具有严重安全漏洞：（2）威胁分析未及时安装Windows操作系统的最新安全补丁，将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用已知漏洞攻击Windows系统可能性级别2描述非法者有可能利用已知漏洞攻击Windows系统影响级别4描述非法者利用已知漏洞攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。风险级别中（5）建议控制措施序号建议控制措施描述1订阅安全漏洞补丁通告订阅Windows系统的安全漏洞补丁通告，以及时获知Windows系统的安全漏洞补丁信息。2安装组件最新安全版本从厂商站点下载最新安全补丁，在测试环境里测试正常后，在生产环境里及时安装。3.2.2. Windows系统开放了不需要的服务（1）现状描述当前，被检查windows系统均开放了不需要的服务，如：l DHCP Clientl Print Spoolerl Wireless Configurationl MSFTPl SMTP等可能不需要的服务。（2）威胁分析不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用已启用的不需要服务攻击Windows系统可能性级别2描述非法者有可能利用利用已启用的不需要服务攻击Windows系统影响级别4描述非法者利用已启用的不需要服务攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。风险级别中（5）建议控制措施序号建议控制措施描述1禁用不需要的服务从系统正常运行、主机系统管理维护角度，确认系统上哪些服务是不需要的。对于系统上存在的不需要的服务，立即禁用。3.2.3. Windows系统开放了默认共享（1）现状描述当前，被检查windows系统均开放了默认共享，如：等系统默认共享。（2）威胁分析存在的默认共享可能使非法者获得访问共享文件夹内数据的机会，对非法者侵入系统、扩大渗透程度提供了额外的机会，另外，默认共享可能增加受蠕虫病毒的传播机会。因此，除非必要，应该去掉默认共享。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者或蠕虫病毒利用默认共享攻击Windows系统可能性级别1描述非法者或蠕虫病毒有可能利用默认共享攻击Windows系统。影响级别3描述非法者或蠕虫病毒利用默认共享攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。风险级别中（5）建议控制措施序号建议控制措施描述1关闭系统默认共享关闭所有非必要开放的系统默认共享。2设置访问控制策略对所有相关服务器设置必要的访问控制策略，限制非必要客户端对相关服务器的非必要端口的访问。3.2.4. Windows系统存在权限控制不当的共享（1）现状描述当前，被检查windows系统（192.168.0.16、192.168.0.24、192.168.100.102、192.168.0.102）存在一些权限控制不当的共享，如下图：共享权限设置为Everyone完全控制。（2）威胁分析存在权限控制不当的共享可能使非法者获得访问共享文件夹内数据的机会大大增加，对非法者侵入系统、扩大渗透程度提供了额外的机会，另外，也很可能增加受蠕虫病毒的传播机会。因此，应对共享设置适当的访问控制权限。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统可能性级别2描述非法者或蠕虫病毒有可能利用权限控制不当的共享攻击Windows系统。影响级别3描述非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。风险级别中（5）建议控制措施序号建议控制措施描述1对共享进行适当的访问控制权限设置对共享进行适当的访问控制权限设置，限制非必要的账号对共享的访问。2取消共享如非必要，取消共享。3设置访问控制策略对所有相关服务器设置必要的访问控制策略，限制非必要客户端对相关服务器的非必要端口的访问。3.2.5. Windows系统过多的管理员账号（1）现状描述当前，被检查windows系统部分主机存在过多的管理员账号，如主域控制器192.168.0.23上存在大量本地管理员账号和域管理员账号，其中zyc账号（住院处）属于域管理员组，权限过高。另外，医保服务器、医保论坛、外网托管服务器，均存在过多本地管理员账号。而医保论坛上还存在大量本地账号（不受域控制器控制）。（2）威胁分析过多的管理员账号意味着有更多的人具有操作系统的管理权限，不利于服务器的安全管理，另外，过多的管理员账号，可能由于管理员疏忽等原因而导致无法控制账号的安全性，可能对服务器造成安全威胁，另一方面，过多的管理员账号，发生安全事件可能难以追查安全责任。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称系统管理员账号失控威胁Windows系统安全可能性级别2描述可能由于系统管理员账号失控威胁Windows系统安全。影响级别4描述系统管理员账号失控威胁Windows系统安全，对XXX附属儿童医院的管理运营具有严重影响。风险级别中（5）建议控制措施序号建议控制措施描述1收回多余的管理员账号将不需要的多余的管理员账号收回，仅分配适当权限的账号。2所有管理员账号设置强壮密码要求所有管理员设置强壮的密码，并妥善保管。3取消多余的本地账号取消多余的本地账号，统一使用域账号。3.2.6. Windows系统账户策略配置不当（1）现状描述当前，被检查windows系统账户策略均配置不当，均为默认配置，如下图所示：未启用密码复杂性要求，未设置密码长度最小值，未设置密码最短使用期限，没有强制密码历史。没有设置账号锁定策略。（2）威胁分析不当的Windows密码策略，如将“密码必需复杂性要求”设置为“已停用”，则无法强制用户使用复杂密码；未设置“密码长度最小值”，将使得用户可以使用短密码甚至空密码；未设置密码最短存留期和强制密码历史，用户就可以在达到密码最长存留期、系统强制要求更改密码时通过再次输入相同的密码而满足系统的要求（也就是密码最长存留期实际上无法起到原有的作用）。以上这些都可能使得非法者有更多的机会可以破解用户密码，从而使用用户密码登录windows主机。未设置帐号锁定阈值，将使得非法者可无限制地尝试登录Windows系统，最终有可能破解windows系统帐号密码，从而登录系统。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者有更多机会破解Windows系统密码可能性级别1描述可能由于系统管理员账号失控威胁Windows系统安全。影响级别4描述系统管理员账号失控威胁Windows系统安全，对XXX附属儿童医院的管理运营具有严重影响。风险级别中（5）建议控制措施序号建议控制措施描述1明确规定要求的密码组合在密码管理规定中，明确说明系统允许的密码字符组合。2明确规定允许的最短密码长度在密码管理规定中，明确说明系统允许的最短密码长度（如普通用户为6位，管理员为8位）。3明确规定密码变更要求在密码管理规定中，明确要求用户多长时间更改一次密码（如普通用户为90天，管理员为30天）。4设置密码策略根据密码策略，设置windows主机的密码策略，例如：启用“密码必须符合复杂性要求”；将“最小密码长度”设置为8位；将“密码最长存留期”的值设为不长于90天的值；将“密码最短存留期”的值设为不少于1天的值；启用“强制密码历史”，将值设为如24个的值。5进行安全意识培训和教育在提供访问之前，以及此后定期或不定期对员工进行有关帐号密码的安全意识培训和教育。6启用限制不成功登录尝试的功能将Windows系统上的“帐号锁定阈值”设为如3次或5次的值。3.2.7. Windows系统审核策略配置不当（1）现状描述当前，被检查windows系统的审核策略均为默认，不同版本策略不一，如下图所示：（2）威胁分析系统审核可以记录安全相关事件，如果不记录，或者记录的不够完整，则一旦发生安全事件，将很难利用审核日志记录来追查安全事件的来源，追踪非法者，难以最大程度消除由此带来的影响。（3）现有或已计划的安全措施无。（4）风险评价风险名称Windows发生安全事件难以追查来源或非法行为可能性级别2描述可能在Windows发生安全事件时难以追查来源或非法行为影响级别2描述Windows发生安全事件难以追查来源或非法行为，对XXX附属儿童医院的管理运营具有轻微影响。风险级别低（5）建议控制措施序号建议控制措施描述1配置适当的Windows系统审核策略根据Windows主机的用途及公司的策略，设置适当的审核策略，例如：将“审核策略更改”、“审核登录事件”、“审核对象访问”、“审核过程追踪”、“审核目录服务访问”、“审核特权使用”、“审核系统事件”、“审核帐号登录事件”、“审核帐号管理”设置为“成功，失败”。3.2.8. Windows系统事件日志策略配置不当（1）现状描述当前，被检查windows系统的事件日志策略均为默认，不同版本策略不一，如下图所示：（2）威胁分析事件日志的大小如果过小，则在高负载服务器上由于产生的事件非常多，可能很快达到日志文件的最大值。达到日志文件最大值后，历史事件将被按需要覆盖，如果日志文件很快被填满，则可追查的历史时间将大大缩短，不利于安全事件发生时的追查来源和非法行为。XXX应用系统服务器处理量大，事件日志大小最大值配置为至少 80 MB 应足以存储足够的执行审核信息，或根据检查日志的频率、可用磁盘空间等设置为适当值。（3）现有或已计划的安全措施无。（4）风险评价风险名称Windows发生安全事件难以追查来源或非法行为可能性级别2描述可能在Windows发生安全事件时难以追查来源或非法行为影响级别2描述Windows发生安全事件难以追查来源或非法行为，对XXX附属儿童医院的管理运营具有轻微影响。风险级别低（5）建议控制措施序号建议控制措施描述1配置适当的Windows系统日志策略设置日志文件上限为适当值。3.2.9. Windows系统终端服务开放在常规端口（1）现状描述当前，被检查windows系统（192.168.0.23、192.168.4.1）等开放了终端服务（远程桌面），并且终端服务开放在常规端口，如下图所示：（2）威胁分析Windows远程桌面是windows操作系统远程管理的重要手段，默认服务端口为TCP3389，非法者可以轻易根据端口判断为远程桌面服务，如果非法者通过某种手段获得了管理员帐号，则可以轻易的通过远程桌面服务完全控制主机。如果开放在非常规端口，或者高端端口，则非法者无法轻易获得远程桌面开放的信息，增加了非法者成功登录服务器的难度。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用远程桌面登录Windows系统可能性级别2描述非法者可能利用远程桌面登录Windows系统影响级别3描述非法者利用远程桌面登录Windows系统，对XXX附属儿童医院的管理运营具有一定影响。风险级别中（5）建议控制措施序号建议控制措施描述1调整远程桌面端口将远程桌面端口设置为非常规端口或高端端口。2设置访问控制策略对所有相关服务器的远程桌面端口设置必要的访问控制策略，限制非必要客户端对相关服务器的远程桌面端口的访问。3.2.10. Windows系统未禁用Guest账号（1）现状描述当前，被检查windows系统（192.168.0.56、192.168.0.60）的Guest账号未被禁用。如下图所示：（2）威胁分析Windows系统中，Guest默认是禁用的，启用Guest账号可能带来一定风险，可能被非法者利用对操作系统进行攻击。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用Guest账号攻击Windows系统可能性级别2描述非法者可能利用Guest账号攻击Windows系统影响级别3描述非法者利用Guest账号攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。风险级别中（5）建议控制措施序号建议控制措施描述1立即禁用Guest账号立即将启用的Guest账号禁用2为Guest账号设置强壮密码如果一定要启用Guest账号，则为Guest账号设置强壮密码。3.2.11. Windows系统没有重命名管理员账号（1）现状描述当前，被检查windows系统均没有重命名管理员账