您的当前位置：首页正文

某业务运维信息系统风险评估报告

来源：哗拓教育

XXX业务运维信息系统风险评估报告

文档控制

提交方提交日期版本信息

日期版本撰写者审核者描述

所有权声明

文档里的资料版权归江苏开拓信息系统有限公司（以下简称“江苏开拓”）所有。未经江苏开拓事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认

为获取了江苏开拓的私有信息而遭受法律的制裁。

- 2-

- 3-

- 4-

- 5-

1. 评估项目概述

1.1. 评估目的和目标

对XXX信息系统进行风险评估，分析系统的脆弱性、所面临的威胁以及由此可能产生的风险；根据风险评估结果,给出安全控制措施建议。

风险评估范围包括：

（1）安全环境：包括机房环境、主机环境、网络环境等；（2）硬件设备：包括主机、网络设备、线路、电源等；

（3）系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等；（4）网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；（5）数据交换：包括交换模式的合理性、对业务系统安全的影响等；（6）数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份/恢

复机制；

（7）人员安全及管理，通信与操作管理；（8）技术支持手段；

（9）安全策略、安全审计、访问控制；

1.2. 被评估系统概述 1.2.1. 系统概况

XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成，内外网物理隔离，外网为访问互联网相关服务为主，内网为XXX生产网络。

2. 风险综述

2.1. 风险摘要 2.1.1. 风险统计与分析

经过风险分析，各级风险统计结果如下：

风险级别风险数量百分比 - 6-

风险级别极高风险高风险中风险低风险总计风险数量 2 9 39 18 68 百分比 2.94% 13.24% 57.35% 26.47% 100% 根据风险评估统计结果，各级风险统计结果分布如下图所示：

各类风险分布数量如下表所示：类别低风险运行维护系统开发物理环境网络通信认证授权备份容错安装部署安全审计 1 1 0 2 0 0 13 1 中风险 5 4 3 1 2 0 24 0 高风险 0 1 2 1 0 2 3 0 极高风险 0 0 0 1 0 1 0 0 6 6 5 5 2 3 40 1 风险级别总计 - 7-

类别总计 18 风险级别 39 9 2 总计 68 各类风险及级别分布如下图所示：

极高风险分布如下图所示：

高风险分布如下图所示：

- 8-

中风险分布如下图所示：低风险分布如下图所示： - 9-

2.1.2. 极高风险摘要

极高风险摘要备份容错

 核心业务系统单点故障导致业务中断网络通信

 内网单点一故障风险造成业务系统服务停止

2 1 1 1 1

2.1.3. 高风险摘要

高风险摘要安装部署

 非法者极易获得系统管理员用户权限攻击SUN SOLARIS系

统

 非法者利用SQL Server管理员账号弱口令渗透进系统  非法者利用管理员账号弱口令尝试登录Windows系统备份容错

 备份数据无异地存储导致灾难发生后系统不能快速恢复  灾难发生后业务系统难以快速恢复网络通信

 非法者利用医保服务器渗透进内网物理环境

 防火措施不当引发更大损失

 机房未进行防水处理引起设备老化、损坏

1 1 2 1 1 1 1 2 1 1 9 3 1

- 10-

系统开发

 未规范口令管理导致用户冒用

1 1

2.1.4. 中风险摘要

中风险安装部署

 SUN Solaris远程用户配置不当造成无需验证登录到主机  非法者获得数据库权限进而获得系统管理员权限  非法者或蠕虫病毒利用默认共享攻击Windows系统  非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系

统

 非法者利用Guest账号攻击Windows系统

 非法者利用IIS目录权限设置问题攻击Windows系统  非法者利用Oracle数据库调度程序漏洞远程执行任意指令  非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进

系统

 非法者利用SQL Server漏洞攻击Windows系统  非法者利用Web server的漏洞来攻击主机系统  非法者利用不当的监听器配置攻击Oracle系统  非法者利用匿名FTP服务登录FTP系统

 非法者利用已启用的不需要服务攻击Windows系统  非法者利用已知Windows管理员账号尝试攻击Windows系统  非法者利用已知漏洞攻击SUN SOLARIS系统  非法者利用已知漏洞攻击Windows系统  非法者利用远程桌面登录Windows系统  非法者破解Cisco交换机弱密码而侵入系统  非法者通过SNMP修改cisco交换机配置  非法者通过SNMP修改SSG520防火墙配置

 非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统  非法者通过监听和伪造的方式获得管理员与主机间的通信内

容

 非法者有更多机会破解Windows系统密码  系统管理员账号失控威胁Windows系统安全认证授权

 未对数据库连接进行控制导致系统非授权访问

1 1 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 39 24 1 1 1 1

- 11-

 系统未采用安全的身份鉴别机制导致用户账户被冒用网络通信

 外网单一单点故障风险造成Internet访问中断物理环境

 机房存在多余出入口可能引起非法潜入  机房内无防盗报警设施引起非法潜入  未采取防静电措施引起设备故障系统开发

 生产数据通过培训环境泄露

 未对系统会话进行限制影响系统可用性  未做用户登录安全控制导致用户被冒用  系统开发外包管理有待完善引发系统安全问题运行维护

 安全管理体系不完善引发安全问题  人员岗位、配备不完善影响系统运行维护  未规范信息系统建设影响系统建设  未与相关人员签订保密协议引起信息泄密  运维管理不完善引发安全事件

1 1 1 3 1 1 1 4 1 1 1 1 5 1 1 1 1 1

2.1.5. 低风险摘要

低风险安全审计

 发生安全事件很难依系统日志追查来源  安装部署

 SQL Server发生安全事件时难以追查来源或异常行为  Windows发生安全事件难以追查来源或非法行为  非法者可从多个地点尝试登录Cisco交换机  非法者利用DVBBS数据库渗透进Windows系统  非法者利用IIS默认映射问题攻击Windows系统  非法者利用IIS示例程序问题攻击Windows系统  非法者利用IIS允许父路径问题攻击Windows系统  非法者利用Oracle数据库漏洞可获得任意文件读写权限  非法者利用SNMP服务获取Windows主机信息  非法者利用SUN Solaris匿名FTP服务登录FTP系统  非法者利用开启过多的snmp服务获得详细信息

18 1 1 13 1 2 1 1 1 1 1 1 1 1 1

- 12-

 日志无备份对系统管理和安全事件记录分析带来困难网络通信

 出现安全事件无法进行有效定位和问责  非法者利用防火墙配置不当渗透入外网系统开发

 系统未进行分级管理导致核心系统不能得到更多的保护运行维护

 安全管理制度缺乏维护导致安全管理滞后

1 2 1 1 1 1 1 1

2.2. 风险综述

（1）网络通信方面

1) 内网设计中存在单点故障风险，当wins/dns服务器发生故障后，网内所

有域用户全部都不能正常登录到域，造成业务信息系统无法提供正常服务。

2) 网络边界未做访问控制，XXX内网是生产网，安全级别比较高，但跟

安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。

3) 外网设计中存在单点故障风险，外网网络中存在4个单点故障风险点，

每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。

4) SSG520防火墙配置策略不当，可能导致非法者更容易利用防火墙的配

置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。

5) 无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件

发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。

（2）安装部署方面

1) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco

交换机等等均存在管理员账号弱口令的情况，管理员账号口令强度不足，可能导致管理员账号口令被破解，从而导致非法者可以利用被破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。

- 13-

2) Windows操作系统、SUN Solaris操作系统、SQL Server数据库等均未

安装最新安全补丁，这将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。

3) Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务，

不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。

4) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Oracle

数据库等均未进行安全配置，存在部分配置不当的问题，错误的配置可能导致安全隐患，或者将使得非法者有更多机会利用系统的安全问题攻击系统，影响业务系统安全。

（3）认证授权方面

1) 未对数据库连接进行控制，数据库连接账号口令明文存储在客户端，可

能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库服务器没有限制不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。

2) 系统未采用安全的身份鉴别机制，缺乏限制帐号不活动时间的机制、缺

乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统用户被冒用的风险。

（4）安全审计方面

1) 无登录日志和详细日志记录功能，未对登录行为进行记录，也未实现详

细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系统受到严重影响。

（5）备份容错方面

1) 核心业务系统存在单点故障，合理用药系统无备份容错机制，而且是用

的是PC机提供服务，非常有可能由于系统故障而导致合理用药系统无法提供服务，而核心业务系统依赖合理用药系统，可能导致业务中断。

- 14-

2) 数据备份无异地存储，未对系统配置信息和数据进行异地存储和备份，

当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。

3) 无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，

严重影响了系统的可用性。

（6）运行维护方面

1) 人员岗位、配备不完善，可能造成未授权访问、未授权活动等风险；在

信息技术人员相对缺乏的情况下，无法做到充分的职责分离和岗位轮换，可能产生潜在的安全隐患。

2) 未规范信息系统建设，无第三方安全检测，造成检测结果不能准确、客

观的反应产品的缺陷与问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提供完整的系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。 3) 未形成信息安全管理制度体系，缺乏信息系统运行的相关总体规范、管

理办法、技术标准和信息系统各组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护工作。

4) 未与相关人员签订保密协议，未针对关键岗位、第三方单独签署保密协

议，存在信息泄露无法追究责任的安全隐患。

5) 运维管理待健全，不采用合适的方法为信息系统划分适当的保护等级，

就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费；缺乏管理制度规章和管理办法或制度规章和管理办法已不适用或难以获得，则信息中心人员缺乏行为指导，信息中心信息安全处于无序状态，极易发生信息安全事件，影响组织的正常经营活动；暂无网络和系统漏洞扫描模块，可能由于网络或系统漏洞引起业务中断。

6) 未规范安全管理制度的维护，信息科技管理制度规章和管理办法制定、

审批和修订流程不同规范会造成版本混乱、互相冲突，影响其贯彻执行，极易发生信息安全事件，影响组织的正常经营活动。

（7）物理环境方面

- 15-

1) 防火措施不当，无耐火级别的建筑材料无法减小火灾造成的损失，不熟

悉消防设备使用方法、没有紧急处理流程或不熟悉紧急处理流程，不能及时处理火灾或处理不善，会导致火灾损失增大，机房存放杂物，导致不能及时处理火灾或处理不善，会导致火灾损失增大。

2) 机房未进行防水处理，未采取防水处理，可能导致渗水，返潮等问题，

会加速设备老化，严重的可导致设备不能正常工作。

3) 未采取防静电措施，未使用防静电手环，可能遭静电影响造成计算机系

统故障或损坏，影响单位业务进行；没有适当的电磁防护，可能由于电磁影响造成计算机系统故障或损坏或信息泄漏，影响单位业务进行。 4) 机房内无防盗报警设施，机架前后面板未封闭，导致设备被破坏的可能

性增大；无警报系统，无法在第一时间通知责任人作出反应

5) 机房存在多余出入口，除可控入口外，其他的入口的存在会增加医院外

部人员潜入医院机房破坏信息系统的可能。

（8）系统开发方面

1) 未规范口令管理，采用通用默认账号的口令可能引起账号冒用，引起数

据泄密或篡改；初始化登陆不强制更改口令，可能引起用户冒用账户的风险，影响业务数据的真实性；不设置复杂口令，可能引起用户密码被猜解的风险，影响业务数据的真实性；未设置口令使用期限，可能引起用户未授权访问的风险，影响业务系统的正常应用。

2) 未对系统会话进行限制，未对系统最大并发会话数进行控制，可能引起

系统超载，使系统服务响应变慢或引起宕机，影响系统的可用性；未对空闲会话进行控制，导致占用系统多余资源，无法进行科学合理的资源分配，影响了系统的可用性。

3) 未规范系统培训环境，使用病患的真实数据对业务人员进行操作培训，

评估小组现场观测时发现，培训环境由于某种原因，将所有用户口令清空，有可能造成有关信息被不必要人员获得，造成信息泄露。 4) 系统开发外包管理有待完善，系统开发设计外包服务如果不能很好的做

好技术传递工作，则离开外包服务方系统可能很难进行安全稳定的运行和维护；系统开发未作安全需求分析，可能导致系统设计架构不合理，影响系统安全稳定运行；外部人员调离后，不对其权限进行回收，可能引起非法访问的风险；开发公司未提供系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案。

- 16-

5) 系统未进行分级管理，不采用合适的方法为信息系统划分适当的保护等

级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费。

3. 风险分析

3.1. 网络通信

3.1.1. VLAN间未做访问控制

（1）现状描述

内网VLAN中的主机网关全部指到内网核心交换机C6509上，外网VLAN的主机网关都指在外网核心交换机4506上。内外网对这些VLAN的路由未作控制，各个VLAN间通过C6509(4506)可以进行互访。

（2）威胁分析

由于各个VLAN代表不同的业务内容，安全级别也是不同的，需要在不同的VLAN间做访问控制。

现有配置，各个VLAN间路由都是通的，那么各个VLAN间就都可以互访，安全级别低的VLAN可以访问安全级别高的VLAN，这样VLAN设定的目的效果就大大削弱了。

安全级别低的VLAN尝试访问高级别VLAN，有意或者无意的破坏高级别VLAN中服务器上的数据，将会对XXX的业务造成重大的影响。

（3）现有或已计划的安全措施

核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略。

（4）风险评价风险名称可能性影响级别描述级别描述非法者从普通VLAN渗透到核心VLAN 3 非法者很可能从普通VLAN渗透到核心VLAN。 3 非法者从普通VLAN渗透到核心VLAN，对XXX的管理运营具有一定影响。 - 17-

风险级别高（5）建议控制措施序号建议控制措施描述 1 2 定义VLAN安全级别及访问关由网络管理员定义各个VLAN的安全级别系和互相之间的访问关系表按照已定义好的VLAN间访问关系表，重修改核心交换机上VLAN间访新定义访问控制列表，控制VLAN间的访问控制策略问关系 3.1.2. 内网设计中存在单点故障风险

（1）现状描述

分析XXX目前实际的网络情况，我们发现内网中存在蛋单点故障风险，其中内网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。

（2）威胁分析

当此服务器发生故障后，网内所有域用户全部都不能正常登录到域，造成业务系统服务停止。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述内网单点故障风险造成业务系统服务停止 4 内网单点故障风险很可能造成业务系统服务停止。 5 业务系统服务停止会造成用户对外服务效率降低，并由于用户业务为公众服务业务，服务停止后会对用户造成极大的影响。极高风险级别（5）建议控制措施

- 18-

序号建议控制措施配备内网Wins/dns热备服务器描述 1 2 采用双机热备技术，有效降低单一故障风险。配备冷备设备，能满足在可接受的时间范配备内网Wins/dns冷备服务器围恢复服务 3.1.3. 外网设计中存在单点故障风险

（1）现状描述

分析XXX目前实际的网络情况我们发现外网中存在单点故障风险，其中外网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。Internet接入设备SSG520防火墙，城市热点计费网关与外网核心交换机4506-1单线接入，没有链路和设备备份措施。

（2）威胁分析

外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述外网单点故障风险造成Internet访问中断 4 网络接入控制系统系统中存在点故障风险，故障发生可能性较高 2 外网单点故障风险造成Internet访问中断，对XXX管理运营具有轻微影响。中风险级别（5）建议控制措施序号建议控制措施外网单点设备配备热备服务器描述采用双机热备技术，有效降低单点故障风险。 - 19-

2 外网单点设备配备冷备服务器配备冷备设备，能满足在可接受的时间范围恢复服务 3.1.4. 无专业审计系统

（1）现状描述

现有XXX内外网网络均无专业审计系统。

（2）威胁分析

无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述出现安全事件无法进行有效定位和问责 2 出现安全事件而无法发现的情况有可能发生 2 出现安全事件无法进行有效定位和问责，将对XXX的管理运营具有轻微影响低风险级别（5）建议控制措施序号建议控制措施采购专业的审计系统定期审计日志中的异常记录描述采购并集中部署专业的审计系统，并启动网络设备和安全设备上的日志服务。指定专人负责，定期对日志进行审计，查看是否有异常记录。 1 2 3.1.5. SSG520防火墙配置策略不当

（1）现状描述

- 20-

分析SSG520的配置文件，发现防火墙配置的端口控制中开放了过多的不用使用端口，例如10700，3765，8888，445端口等。

set service \"\" protocol tcp src-port 0-65535 dst-port 10700-10700 set service \"\" + tcp src-port 0-65535 dst-port 21-22 set service \"\" + tcp src-port 0-65535 dst-port 445-445 set service \"\" + tcp src-port 0-65535 dst-port 25-25 set service \"\" + tcp src-port 0-65535 dst-port 110-110 set service \"\" + tcp src-port 0-65535 dst-port 8888-8888 set service \"\" + tcp src-port 0-65535 dst-port 8080-8080 set service \"\" + tcp src-port 0-65535 dst-port 3765-3765 set service \"\" protocol tcp src-port 0-65535 dst-port 80-80 set service \"\" + tcp src-port 0-65535 dst-port 53-53 set service \"\" + udp src-port 0-65535 dst-port 53-53 set service \"\" + tcp src-port 0-65535 dst-port 443-443 et

（2）威胁分析

防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用防火墙配置不当渗透入外网 2 非法者可能利用防火墙配置不当渗透入外网。 2 非法者利用防火墙配置不当渗透入外网，将对XXX的管理运营具有轻微的影响。低风险级别（5）建议控制措施序号建议控制措施删除SSG520防火墙不使用的端口的访问控制策略描述删除service \"\"中的10700，3765，8888，445等不使用的端口访问控制策略 1 - 21-

3.1.6. 网络边界未做访问控制

（1）现状描述

根据我们检查和访谈得知XXX内网和市医保网通过一台医保服务器配置的双网卡和市医保网连接，医保网是不属于XXX范围内的专网，通过医保服务器采集数据通过专网传送到相关使用部门，跟医保网的连接属于边界连接，但在边界上未做任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统。

（2）威胁分析

XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用医保服务器渗透进内网 3 非法者可能利用医保服务器渗透进内网 4 非法者可能利用医保服务器渗透进内网，对XXX管理运营具有严重影响。高风险级别（5）建议控制措施序号建议控制措施描述 1 2 制定医保网对医保服务器的可在医保服务器上加装放火墙软件来实访问策略制定加强医保服务器和内网连接的访问控制策略现对从医保网来的访问控制通过改变网络拓扑在医保服务器和内网间配置硬件防火墙，或通过内网核心交换机实现对医保服务器的访问控制。 - 22-

3.2. 安装部署

3.2.1. Windows系统未安装最新补丁

（1）现状描述

当前，被检查windows系统均未安装最新补丁，并且补丁安装情况各不相同，有些补丁缺失较少，有些缺失较多，甚至缺失一系列重要安全补丁。

扫描结果也显示某些服务器具有严重安全漏洞：

（2）威胁分析

未及时安装Windows操作系统的最新安全补丁，将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

- 23-

风险名称可能性影响级别描述级别描述非法者利用已知漏洞攻击Windows系统 2 非法者有可能利用已知漏洞攻击Windows系统 4 非法者利用已知漏洞攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。中风险级别（5）建议控制措施序号建议控制措施描述订阅Windows系统的安全漏洞补丁通告，1 订阅安全漏洞补丁通告以及时获知Windows系统的安全漏洞补丁信息。 2 安装组件最新安全版本从厂商站点下载最新安全补丁，在测试环境里测试正常后，在生产环境里及时安装。 3.2.2. Windows系统开放了不需要的服务

（1）现状描述

当前，被检查windows系统均开放了不需要的服务，如：

 DHCP Client

 Print Spooler

 Wireless Configuration  MSFTP  SMTP

等可能不需要的服务。

（2）威胁分析

（3）现有或已计划的安全措施

- 24-

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用已启用的不需要服务攻击Windows系统 2 非法者有可能利用利用已启用的不需要服务攻击Windows系统 4 非法者利用已启用的不需要服务攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。中风险级别（5）建议控制措施序号建议控制措施描述从系统正常运行、主机系统管理维护角度，1 禁用不需要的服务确认系统上哪些服务是不需要的。对于系统上存在的不需要的服务，立即禁用。 3.2.3. Windows系统开放了默认共享

（1）现状描述

当前，被检查windows系统均开放了默认共享，如：

等系统默认共享。

（2）威胁分析

- 25-

存在的默认共享可能使非法者获得访问共享文件夹内数据的机会，对非法者侵入系统、扩大渗透程度提供了额外的机会，另外，默认共享可能增加受蠕虫病毒的传播机会。因此，除非必要，应该去掉默认共享。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者或蠕虫病毒利用默认共享攻击Windows系统 1 非法者或蠕虫病毒有可能利用默认共享攻击Windows系统。 3 非法者或蠕虫病毒利用默认共享攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施关闭系统默认共享设置访问控制策略描述关闭所有非必要开放的系统默认共享。对所有相关服务器设置必要的访问控制策略，限制非必要客户端对相关服务器的非必要端口的访问。 1 2 3.2.4. Windows系统存在权限控制不当的共享

（1）现状描述

当前，被检查windows系统（192.168.0.16、192.168.0.24、192.168.100.102、192.168.0.102）存在一些权限控制不当的共享，如下图：

- 26-

共享权限设置为Everyone完全控制。

（2）威胁分析

存在权限控制不当的共享可能使非法者获得访问共享文件夹内数据的机会大大增加，对非法者侵入系统、扩大渗透程度提供了额外的机会，另外，也很可能增加受蠕虫病毒的传播机会。因此，应对共享设置适当的访问控制权限。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统 2 非法者或蠕虫病毒有可能利用权限控制不当的共享攻击Windows系统。 3 非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。中风险级别（5）建议控制措施

- 27-

序号建议控制措施对共享进行适当的访问控制权限设置取消共享设置访问控制策略描述对共享进行适当的访问控制权限设置，限制非必要的账号对共享的访问。如非必要，取消共享。对所有相关服务器设置必要的访问控制策略，限制非必要客户端对相关服务器的非必要端口的访问。 1 2 3 3.2.5. Windows系统过多的管理员账号

（1）现状描述

当前，被检查windows系统部分主机存在过多的管理员账号，如主域控制器192.168.0.23上存在大量本地管理员账号和域管理员账号，其中zyc账号（住院处）属于域管理员组，权限过高。

另外，医保服务器、医保论坛、外网托管服务器，均存在过多本地管理员账号。而医保论坛上还存在大量本地账号（不受域控制器控制）。

（2）威胁分析

过多的管理员账号意味着有更多的人具有操作系统的管理权限，不利于服务器的安全管理，另外，过多的管理员账号，可能由于管理员疏忽等原因而导致无法控制账号的安全性，可能对服务器造成安全威胁，另一方面，过多的管理员账号，发生安全事件可能难以追查安全责任。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述系统管理员账号失控威胁Windows系统安全 2 可能由于系统管理员账号失控威胁Windows系统安全。 4 系统管理员账号失控威胁Windows系统安全，对XXX附属儿童医院 - 28-

的管理运营具有严重影响。风险级别（5）建议控制措施序号建议控制措施收回多余的管理员账号描述中 1 2 3 将不需要的多余的管理员账号收回，仅分配适当权限的账号。要求所有管理员设置强壮的密码，并妥善所有管理员账号设置强壮密码保管。取消多余的本地账号取消多余的本地账号，统一使用域账号。 3.2.6. Windows系统账户策略配置不当

（1）现状描述

当前，被检查windows系统账户策略均配置不当，均为默认配置，如下图所示：

未启用密码复杂性要求，未设置密码长度最小值，未设置密码最短使用期限，没有强制密码历史。没有设置账号锁定策略。

（2）威胁分析

不当的Windows密码策略，如将“密码必需复杂性要求”设置为“已停用”，则无法强制用户使用复杂密码；未设置“密码长度最小值”，将使得用户可以使用短密码甚至空密码；未设置密码最短存留期和强制密码历史，用户就可以在达到密码最长存留期、系统强制要求更改密码时通过再次输入相同的密码而满足系统的要求（也就是密码最长存留期实际上无法起到原有的作用）。以上这些都可能使得非法者有更多的机会可以破解用户密码，从而使用用户密码登录windows主机。

- 29-

未设置帐号锁定阈值，将使得非法者可无限制地尝试登录Windows系统，最终有可能破解windows系统帐号密码，从而登录系统。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者有更多机会破解Windows系统密码 1 可能由于系统管理员账号失控威胁Windows系统安全。 4 系统管理员账号失控威胁Windows系统安全，对XXX附属儿童医院的管理运营具有严重影响。中风险级别（5）建议控制措施序号建议控制措施明确规定要求的密码组合描述 1 2 3 4 5 在密码管理规定中，明确说明系统允许的密码字符组合。在密码管理规定中，明确说明系统允许的明确规定允许的最短密码长度最短密码长度（如普通用户为6位，管理员为8位）。在密码管理规定中，明确要求用户多长时明确规定密码变更要求间更改一次密码（如普通用户为90天，管理员为30天）。根据密码策略，设置windows主机的密码策略，例如：启用“密码必须符合复杂性要求”；将“最小密码长度”设置为8位；将“密设置密码策略码最长存留期”的值设为不长于90天的值；将“密码最短存留期”的值设为不少于1天的值；启用“强制密码历史”，将值设为如24个的值。在提供访问之前，以及此后定期或不定期进行安全意识培训和教育对员工进行有关帐号密码的安全意识培训 - 30-

6 启用限制不成功登录尝试的功能和教育。将Windows系统上的“帐号锁定阈值”设为如3次或5次的值。 3.2.7. Windows系统审核策略配置不当

（1）现状描述

当前，被检查windows系统的审核策略均为默认，不同版本策略不一，如下图所示：

（2）威胁分析

系统审核可以记录安全相关事件，如果不记录，或者记录的不够完整，则一旦发生安全事件，将很难利用审核日志记录来追查安全事件的来源，追踪非法者，难以最大程度消除由此带来的影响。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述 Windows发生安全事件难以追查来源或非法行为 2 可能在Windows发生安全事件时难以追查来源或非法行为 2 Windows发生安全事件难以追查来源或非法行为，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别 - 31-

（5）建议控制措施序号建议控制措施描述根据Windows主机的用途及公司的策略，设置适当的审核策略，例如：将“审核策略更改”、“审核登录事件”、“审核对象访问”、“审核过程追踪”、“审核目录服务访问”、“审核特权使用”、“审核系统事件”、“审核帐号登录事件”、“审核帐号管理”设置为“成功，失败”。 1 配置适当的Windows系统审核策略 3.2.8. Windows系统事件日志策略配置不当

（1）现状描述

当前，被检查windows系统的事件日志策略均为默认，不同版本策略不一，如下图所示：

（2）威胁分析

事件日志的大小如果过小，则在高负载服务器上由于产生的事件非常多，可能很快达到日志文件的最大值。达到日志文件最大值后，历史事件将被按需要覆盖，如果日志文件很快被填满，则可追查的历史时间将大大缩短，不利于安全事件发生时的追查来源和非法行为。XXX应用系统服务器处理量大，事件日志大小最大值配置为至少 80 MB 应足以存储足够的执行审核信息，或根据检查日志的频率、可用磁盘空间等设置为适当值。

（3）现有或已计划的安全措施无。

（4）风险评价

- 32-

风险名称可能性影响级别描述级别描述 Windows发生安全事件难以追查来源或非法行为 2 可能在Windows发生安全事件时难以追查来源或非法行为 2 Windows发生安全事件难以追查来源或非法行为，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号建议控制措施配置适当的Windows系统日志策略描述设置日志文件上限为适当值。 1 3.2.9. Windows系统终端服务开放在常规端口

（1）现状描述

当前，被检查windows系统（192.168.0.23、192.168.4.1）等开放了终端服务（远程桌面），并且终端服务开放在常规端口，如下图所示：

（2）威胁分析

Windows远程桌面是windows操作系统远程管理的重要手段，默认服务端口为TCP3389，非法者可以轻易根据端口判断为远程桌面服务，如果非法者通过某种手段获得了管理员帐号，则可以轻易的通过远程桌面服务完全控制主机。如果开放在非常规端口，或者高端端口，则非法者无法轻易获得远程桌面开放的信息，增加了非法者成功登录服务器的难度。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

- 33-

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用远程桌面登录Windows系统 2 非法者可能利用远程桌面登录Windows系统 3 非法者利用远程桌面登录Windows系统，对XXX附属儿童医院的管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施调整远程桌面端口设置访问控制策略描述将远程桌面端口设置为非常规端口或高端端口。对所有相关服务器的远程桌面端口设置必要的访问控制策略，限制非必要客户端对相关服务器的远程桌面端口的访问。 1 2 3.2.10. Windows系统未禁用Guest账号

（1）现状描述

当前，被检查windows系统（192.168.0.56、192.168.0.60）的Guest账号未被禁用。如下图所示：

- 34-

（2）威胁分析

Windows系统中，Guest默认是禁用的，启用Guest账号可能带来一定风险，可能被非法者利用对操作系统进行攻击。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用Guest账号攻击Windows系统 2 非法者可能利用Guest账号攻击Windows系统 3 非法者利用Guest账号攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。中风险级别（5）建议控制措施

- 35-

序号建议控制措施立即禁用Guest账号为Guest账号设置强壮密码描述立即将启用的Guest账号禁用如果一定要启用Guest账号，则为Guest账号设置强壮密码。 1 2 3.2.11. Windows系统没有重命名管理员账号

（1）现状描述

当前，被检查windows系统均没有重命名管理员账号和Guest账号。

（2）威胁分析

Windows 2003 中两个最常见的已知内置帐户是 Guest 和 Administrator。默认情况下，在成员服务器和域控制器上禁用 Guest 帐户，应当重命名内置的 Administrator 帐户并更改说明，以便防止攻击者使用已知帐户攻击远程服务器。许多恶意代码的变体在首次尝试攻击服务器时使用内置 Administrator 帐户。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用已知Windows管理员账号尝试攻击Windows系统 2 非法者可能利用已知Windows管理员账号尝试攻击Windows系统。 3 非法者利用已知Windows管理员账号尝试攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施描述 - 36-

1 重命名Admistrator账号重命名administrator账号，新建一个名为administrator的账号，并设置足够强度的密码。 3.2.12. Windows系统管理员账号弱口令

（1）现状描述

当前，通过微软MBSA工具检查，发现被检查windows系统（192.168.0.70、

192.168.0.60、192.168.100.150、192.168.100.102、192.168.0.102）等主机操作系统均存在管

理员账号口令强度不足的情况：

（2）威胁分析

操作系统管理员账号口令强度不足，可能导致管理员账号口令被破解，从而导致非法者可以利用被破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用管理员账号弱口令尝试登录Windows系统 2 非法者可能利用管理员账号弱口令尝试登录Windows系统。 4 非法者利用管理员账号弱口令尝试登录Windows系统，对XXX附属儿童医院的管理运营具有严重影响。高风险级别 - 37-

（5）建议控制措施序号建议控制措施为管理员账号设置足够强度的口令。描述为管理员账号设置足够强度的口令，并定期进行修改。 1 3.2.13. Windows系统允许匿名FTP访问

（1）现状描述

当前，被检查windows系统（192.168.4.1、192.168.0.56、192.9.200.130、192.9.200.133、

192.168.4.100、192.168.0.60）等主机操作系统上均存在允许匿名访问的FTP服务，如

下图所示：

（2）威胁分析

匿名FTP意味着不需要密码就可以登录FTP服务器，如果匿名用户的目录上存有敏感文件，可能被非法者获取。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性级别描述非法者利用匿名FTP服务登录FTP系统 2 非法者可能利用匿名FTP服务登录FTP系统。 - 38-

影响级别描述 3 非法者利用匿名FTP服务登录FTP系统，对XXX附属儿童医院的管理运营具有严一定影响。中风险级别（5）建议控制措施序号建议控制措施禁止匿名FTP 描述设置FTP服务器，禁止进行匿名FTP访问。 1 3.2.14. Windows系统IIS允许父路径

（1）现状描述

当前，被检查windows系统（192.168.0.56、192.168.0.60、192.168.100.102、

192.168.100.102、192.168.0.102）等主机IIS服务配置为允许父路径，如下图所示：

（2）威胁分析

IIS允许父路径，如果父路径具有可执行权限，则脚本可能会在父路径中执行一个未授权的程序。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影级别描述级别非法者利用IIS允许父路径问题攻击Windows系统 2 非法者可能利用IIS允许父路径问题攻击Windows系统。 2 - 39-

响描述非法者利用IIS允许父路径问题攻击Windows系统，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号建议控制措施描述在IIS管理界面中可以设置去掉允许父路径选项。注意：某些产品如Microsoft Project Central and Project Server 2002 等可能需要父路径的支持。详情可参考微软知识库KB316398。 1 去掉允许父路径选项 3.2.15. Windoiws系统存在IIS示例程序

（1）现状描述

当前，被检查windows系统（192.168.0.56、192.168.0.60）等主机IIS服务存在IISHelp、IISSamples、MSADC等示例程序和脚本，如下图所示：

（2）威胁分析

IIS示例程序是IIS默认安装产生的，可能存在一些安全隐患（曾经发生过安全问题），IIS默认示例程序的可能对应用系统带来一定得安全威胁。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称非法者利用IIS示例程序问题攻击Windows系统 - 40-

可能性影响级别描述级别描述 2 非法者可能利用IIS示例程序问题攻击Windows系统。 2 非法者利用IIS示例程序问题攻击Windows系统，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号 1 2 3 建议控制措施删除默认的IIS示例程序关闭或删除默认WEB站点 IIS Web程序安装在新建站点描述在IIS设置界面删除默认的IIS示例程序。在IIS设置界面中关闭或删除默认WEB站点。 Web程序应新建站点，并在新建站点上部署。 3.2.16. Windoiws系统存在IIS目录权限设置不当

（1）现状描述

当前，被检查windows系统（192.168.4.1）主机IIS目录权限设置不当，如下图所示：

WEB目录设置了可写权限。

- 41-

WEB目录访问控制权限设置为Everyone完全控制。

（2）威胁分析

WEB目录可写，WEB目录权限控制不当，设置为所有人完全控制，意味者非法者可能利用此问题上传恶意文件，并可能通过IIS执行，从而严重威胁Windows系统安全。进而威胁业务系统安全。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用IIS目录权限设置问题攻击Windows系统 2 非法者可能利用IIS目录权限设置问题攻击Windows系统。 3 非法者可能利用IIS目录权限设置问题攻击Windows系统，对XXX附属儿童医院的管理运营具有一定影响。中 - 42-

风险级别

（5）建议控制措施序号 1 2 3 建议控制措施取消WEB目录可写设置设置IIS目录权限设置WEB站点的可访问IP 描述在IIS设置界面中取消WEB目录可写设置。设置IIS站点目录的访问控制权限为可完成任务的最低权限。如果必须设置WEB目录可写，严格限制能访问此服务器WEB站点的IP地址。 3.2.17. Windoiws系统IIS脚本默认映射

（1）现状描述

当前，被检查windows系统安装有IIS的主机，其IIS配置了默认的IIS脚本映射，如下图所示：

（2）威胁分析

IIS历史上曾经多次存在映射漏洞，如.ida、.idq、.asp等均出现过严重安全漏洞，非法者可以利用漏洞获得Windows系统管理权限。对于不需要的映射，应该禁止，以避免再次出现安全漏洞，威胁系统安全。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

- 43-

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用IIS默认映射问题攻击Windows系统 1 非法者可能利用IIS默认映射问题攻击Windows系统。 2 非法者可能利用IIS目录权限设置问题攻击Windows系统，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号 1 2 建议控制措施删除不必要的默认映射清除WEB目录下不必要的文件描述通过IIS设置界面，删除不必要的默认映射。清除WEB目录下不必要的文件，如.bak、.cs等文件。 3.2.18. Windoiws系统SNMP默认团体字

（1）现状描述

当前，被检查windows系统部分服务器的SNMP服务开放并且设置了默认SNMP团体字通过扫描可以发现，如下图所示：

（2）威胁分析

SNMP的读密码过于简单，攻击者可以通过基于SNMP的猜解软件获得主机的配置信息，为非法者渗透进入系统提供了更多的信息，威胁系统安全。

。

- 44-

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用SNMP服务获取Windows主机信息 2 非法者有可能利用SNMP服务获取Windows主机信息。 2 非法者利用SNMP服务获取Windows主机信息，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号 1

建议控制措施描述修改Windows的SNMP服务默修改Windows的SNMP服务默认团体字为认团体字。非默认字符串。 3.2.19. BBS数据库文件未改名

（1）现状描述

当前，被检查windows系统（192.168.0.56）WEB目录下的论坛数据库文件未改名，为DVBBS的默认数据库文件名，如下图所示：

- 45-

（2）威胁分析

DVBBS数据库中存放了DVBBS的所有信息，包括论坛用户信息，非法者可能通过下载该数据库获得管理员账号及口令（通过破解），从而利用论坛系统的某些功能攻击系统，从而危害系统安全。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用DVBBS数据库渗透进Windows系统 1 非法者有可能利用DVBBS数据库渗透进Windows系统。 2 非法者利用DVBBS数据库渗透进Windows系统，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号建议控制措施描述 - 46-

1 修改医保论坛DVBBS数据库文件名将医保论坛数据库DVBBS8.MDB文件更名，并在数据库连接配置中做相应修改。 3.2.20. SQL Server数据库未安装最新补丁

（1）现状描述

当前，被检查SQL Server系统（192.168.0.16、192.168.0.24、192.168.5.2、192.168.4.1、、

192.9.200.133、192.168.0.60、192.168.0.165等）未安装最新补丁，补丁安装情况不一，有

的未安装补丁包，有的安装了补丁包但仍然存在缺失补丁的情况：

（2）威胁分析

未及时安装SQL Server数据库系统的最新安全补丁，将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用SQL Server漏洞攻击Windows系统 2 非法者可能利用SQL Server漏洞攻击Windows系统。 4 非法者利用SQL Server漏洞攻击Windows系统，对XXX附属儿童医院的管理运营具有严重影响。中 - 47-

风险级别

（5）建议控制措施序号 1 2 3 4 建议控制措施安装SQL Server数据库最新安全补丁严格限制可访问SQL Server数据库的IP地址描述对所有SQL Server数据安装重要安全补丁。通过防火墙或IPsec等策略严格限制能够访问这些SQL Server数据库的IP地址。设置SQL Server的启动账号，设置为低权设置SQL Server的启动账号限账号。修改SQL Server数据库的服务修改SQL Server的服务端口为非常用端端口口，并设置端口隐藏策略。 3.2.21. SQL Server数据库审核级别设置不当

（1）现状描述

当前，被检查SQL Server系统（192.168.0.16、192.168.0.24、192.168.5.2、192.9.200.133、192.168.0.60、192.168.100.150、192.168.100.102、192.168.0.102等）数据库审核级别设置不当，多数为未设置审核级别，少部分设置了仅审核失败。

（2）威胁分析

不开启审核功能，系统将无法记录成功、失败的操作，将无法确认或追查入侵行为，无法回溯追踪安全事件。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述 SQL Server发生安全事件时难以追查来源或异常行为 2 SQL Server发生安全事件时可能难以追查来源或异常行为。 2 SQL Server发生安全事件时难以追查来源或异常行为，对XXX附属儿童医院的管理运营具有轻微影响。低风险级别 - 48-

（5）建议控制措施序号 1 建议控制措施修改SQL Server审核级别描述将SQL Server的审核级别设置为“全部”。 3.2.22. SQL Server数据库服务运行在特权账号下

（1）现状描述

当前，被检查SQL Server数据库系统服务均运行在特权账号下（localsystem），如下图所示：

（2）威胁分析

如果SQL Server以系统帐号或者管理员帐号启动，获得了SQL Server管理权限的用户就可以以系统权限使用扩展存储过程执行操作系统命令，严重影响操作系统安全，另外，一旦SQL Server服务存在缓冲区溢出等漏洞，被攻击者利用可能获得服务启动帐号的权限。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者获得数据库权限进而获得系统管理员权限 2 非法者获得数据库权限后可能进而获得系统管理员权限。 4 非法者获得数据库权限进而获得系统管理员权限，对XXX附属儿童医院的管理运营具有严重影响。中 - 49-

风险级别

（5）建议控制措施序号 1 建议控制措施描述将SQL Server服务启动帐号设置为能完成设置SQL Server服务启动帐号所需任务的最小权限帐号，并适当分配程序目录和数据目录相应的权限。 3.2.23. SQL Server数据库存在存在xp_cmdshell等扩展存储过程

（1）现状描述

当前，被检查SQL Server数据库系统（SQL Server 2000）均存在没有限制的xp_cmdshell等危险扩展存储过程，如下图所示：

在查询分析器中执行可以利用xp_cmdshell执行系统命令，结果如下：

（2）威胁分析

xp_cmdshell扩展存储过程非法者利用SQL Server的xp_cmdshell扩展存储过程执行操作系统命令，这严重危害到操作系统的安全。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

- 50-

风险名称可能性影响级别描述级别描述非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进系统 2 非法者可能利用SQL Server的xp_cmdshell扩展存储过程渗透进系统。 4 非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进系统，对XXX附属儿童医院的管理运营具有严重影响。中风险级别（5）建议控制措施序号 1 建议控制措施删除xp_cmdshell扩展存储过程。描述在SQLServer系统中删除xp_cmdshell扩展存储过程。需要事先和管理员沟通，检查是否有其他应用调用此扩展存储过程。 3.2.24. SQL Server数据库管理员账户使用弱口令

（1）现状描述

当前，使用微软MBSA检查的被检查SQL Server数据库系统（192.168.0.24）上，管理员账号存在弱口令,，如下图所示：

扫描结果显示，192.168.5.2、192.168.0.60 、192.168.0.150数据库管理员账号sa为简单密码：

- 51-

（2）威胁分析

数据库管理员使用弱口令，可能导致非法者使用暴力破解管理员口令的方式来获得数据库的管理权限，配合数据库的错误配置，可能进而控制操作系统，影响系统安全。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用SQL Server管理员账号弱口令渗透进系统 3 非法者很可能利用SQL Server管理员账号弱口令渗透进系统 4 非法者利用SQL Server管理员账号弱口令渗透进系统，对XXX附属儿童医院的管理运营具有严重影响。高风险级别（5）建议控制措施序号 1 2 3 建议控制措施描述为SQL Server数据库管理员设为SQL Server数据库设置强壮密码置强壮密码严格限制可访问SQL Server数通过防火墙或IPsec等策略严格限制能够访据库的IP地址问这些SQL Server数据库的IP地址。设置SQL Server的启动账号，设置为低权设置SQL Server的启动账号限账号。 - 52-

4 修改SQL Server数据库的服务修改SQL Server的服务端口为非常用端端口口，并设置端口隐藏策略。 3.2.25. 未限制可登录Cisco交换机的IP地址

（1）现状描述

分析cisco 6509 4507 3750 2960的配置文件，目前对可以登录该设备的IP地址没有限制，如下所示： line vty 0 4

password xxxxx login

（2）威胁分析

未限制可登录设备的IP地址，非法者就有更多的机会，通过多次尝试，从而最终可能获得设备的管理权限。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者可从多个地点尝试登录Cisco交换机 2 非法者有可能从多个地点尝试登录设备。 2 非法者可从多个地点尝试登录设备，对XXX的管理运营具有轻微的影响。低（5）建议控制措施序号建议控制措施描述使用以下命令，定义以限制可登录设备的IP范围： Router(config)#access-list 1 permit x.x.x.x x.x.x.x Router (config)#access-list 1 deny any - 53-

1 限制可登录Cisco交换机设备的IP地址

2 绑定Cisco交换机管理IP和MAC地址 Router (config)#line vty 0 4 Router (config-line)#access-list 1 in 使用以下命令，绑定可以管理设备的IP地址和MAC地址： Router (config) # arp x.x.x.x xxxx.xxxx.xxxx arpa 3.2.26. Cisco交换机开放过多不需要的SNMP服务

（1）现状描述

分析cisco 6509 4507 3750 2960的配置文件，目前开放的snmp服务如下： snmp-server community net RO snmp-server community net123 RW snmp-server community netnet RW

snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps chassis snmp-server enable traps module snmp-server enable traps casa snmp-server enable traps tty snmp-server enable traps bgp snmp-server enable traps config snmp-server enable traps dlsw

snmp-server enable traps frame-relay snmp-server enable traps hsrp

snmp-server enable traps ipmulticast

snmp-server enable traps MAC-Notification move threshold snmp-server enable traps msdp

snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message snmp-server enable traps rf snmp-server enable traps rtr

snmp-server enable traps slb real virtual csrp

snmp-server enable traps bridge newroot topologychange

snmp-server enable traps stpx inconsistency root-inconsistency loop-inconsistency snmp-server enable traps syslog snmp-server enable traps sonet snmp-server enable traps fru-ctrl snmp-server enable traps entity snmp-server enable traps rsvp

snmp-server enable traps csg agent quota database snmp-server enable traps srp snmp-server enable traps vtp

snmp-server enable traps vlancreate snmp-server enable traps vlandelete

snmp-server enable traps flash insertion removal snmp-server enable traps c6kxbar swbus

snmp-server enable traps envmon fan shutdown supply temperature status snmp-server enable traps mpls traffic-eng snmp-server enable traps mpls ldp

- 54-

snmp-server enable traps isakmp policy add snmp-server enable traps isakmp policy delete snmp-server enable traps isakmp tunnel start snmp-server enable traps isakmp tunnel stop snmp-server enable traps ipsec cryptomap add snmp-server enable traps ipsec cryptomap delete snmp-server enable traps ipsec cryptomap attach snmp-server enable traps ipsec cryptomap detach snmp-server enable traps ipsec tunnel start snmp-server enable traps ipsec tunnel stop snmp-server enable traps ipsec too-many-sas snmp-server enable traps vlan-mac-limit snmp-server enable traps mpls vpn

（2）威胁分析

开放了过多的没在使用的snmp服务，如果SNMP团体字为简单字符串，非法者可以获得更多的系统信息，甚至更改配置信息

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者利用开启过多的snmp服务获得详细信息 2 非法者可能利用开启过多的snmp服务获得详细信息 2 非法者利用开启过多的snmp服务获得详细信息，对XXX的管理运营具有轻微的影响。低（5）建议控制措施序号建议控制措施关闭网管系统不监控的服务，或是在网内没有启用的路由及其他snmp服务描述使用以下命令，定义以限制可登录设备的IP范围： Router(config)#no snmp-server enable traps xxxx（服务名） 1 - 55-

3.2.27. 使用弱密码管理Cisco交换机

（1）现状描述

分析cisco6509 4506 3570 2950 2960的配置文件，目前所使用的密码如下所示： Password cixxx

查看以上配置可知，管理员使用弱密码“cixxx”管理设备。

后采用了加密方式但密码没有更改

enable secret 5 $1$R9sp$71Ih2gOy4IXAQXpXSAb5T1

（2）威胁分析

使用弱密码，非法者就极有可能在很短的时间内破解密码，从而使用该密码登录设备，修改或删除设备配置文件。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者破解Cisco交换机弱密码而侵入系统 2 该密码过于简单，非法者有较大可能快速破解该密码。 3 非法者破解设备弱密码而侵入系统，将对XXX的管理运营具有一定影响。中（5）建议控制措施序号 1 建议控制措施为Cisco交换机设置复杂密码描述根据密码管理规定，将密码修改为复杂密码。 3.2.28. cisco交换机的SNMP只读及读写存在弱密码

（1）现状描述

- 56-

根据Cisco交换机的配置信息，SNMP只读及读写密码存在多个，其中存在弱密码：

snmp-server community nxx RO snmp-server community netxxx RW snmp-server community netxxx RW

（2）威胁分析

SNMP的读写密码过于简单，攻击者可以通过基于SNMP的猜解软件获得设备的配置信息，并可以修改设备的配置，进而对网络发起攻击。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影级别响描述风险级别非法者通过SNMP修改cisco交换机配置 2 非法者有可能通过SNMP修改设备配置。 3 非法者通过SNMP修改设备配置，对XXX的管理运营具有一定影响。中（5）建议控制措施序号建议控制措施描述使用以下命令，删除SNMP只读及读写1 删除cisco交换机全部已有密码： SNMP只读及读写密码 Router(config)#no snmp-server community xxxxxx RO Router(config)#no snmp-server community xxxxxx RW 使用以下命令，修改SNMP只读及读写2 修改cisco交换机SNMP只读密码：及读写密码 Router(config)#snmp-server community xxxx RO Router(config)#snmp-server community xxxx - 57-

RW 3.2.29. SSG520的SNMP只读及读写存在弱密码

（1）现状描述

根据SSG520的配置信息，SNMP只读及读写密码存在多个，其中存在弱密码： set snmp location \"cisco\" set snmp contact \"cisco\" set snmp name \"SSG520\" set snmp port listen 161 set snmp port trap 162

（2）威胁分析

SNMP的读写密码过于简单，攻击者可以通过基于SNMP的猜解软件获得设备的配置信息，并可以修改设备的配置，进而对网络发起攻击。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影级别响描述风险级别非法者通过SNMP修改SSG520防火墙配置 2 非法者有可能通过SNMP修改设备配置。 3 非法者通过SNMP修改设备配置，对XXX的管理运营具有一定影响。中（5）建议控制措施序号建议控制措施描述使用以下命令，修改SNMP只读及读写1 修改SNMP只读及读写密码密码： set snmp location \"xxxx\" set snmp contact \"xxxx\" set snmp name \"xxxxx\" - 58-

3.2.30. SUN Solaris 未安装最新安全补丁

（1）现状描述

当前2台SUN Solaris主机 med_im(192.168.0.121)、

PACKSWEB(192.168.0.124)、现有版本为Solaris 5.9 Generic_122300-08均未安装重要组件最新安全版本：

（2）威胁分析

未及时安装SUN SOLARIS操作系统的最新安全补丁，将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述非法者利用已知漏洞攻击SUN SOLARIS系统 2 非法者有可能利用已知漏洞攻击SUN SOLARIS系统 3 非法者利用已知漏洞攻击SUN SOLARIS系统，对公司的管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施描述订阅SUN SOLARIS系统的安全漏洞补丁1 订阅安全漏洞补丁通告通告，以及时获知SUN SOLARIS系统的安全漏洞补丁信息。 2 - 59-

安装组件最新安全版本从厂商站点下载最新安全补丁，在测试环境里测试正常后，在生产环境里及时安装。

3.2.31. SUN Solaris存在弱口令帐户

（1）现状描述

当前2台SUN Solaris主机 med_im(192.168.0.121)、

PACKSWEB(192.168.0.124)、现有通过检测均存在口令帐户，即root帐户的口令为“root”

The account 'root' has the password 'root'. An attacker may use it to gain further privileges on this system

Risk factor : High

Solution : Set a password for this account or disable it CVE : CVE-1999-0502

Nessus ID :

（2）威胁分析

Root用户为系统的超级管理员帐户，具有系统控制最高权限，其账户口令与用户名称相同。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影级别描述级别描述（5）建议控制措施

非法者极易获得系统管理员用户权限攻击SUN SOLARIS系统 3 非法者有可能通过简单尝试获得系统管理员权限来攻击系统并以此来攻击网络中其他系统 3 非法者获得系统管理员账号，对XXX的管理运营具有一定影响。高风险级别 - 60-

序号建议控制措施所有管理员账号设置强壮密码描述要求所有管理员设置强壮的密码，并妥善保管。根据密码策略，设置Solaris主机的密码策略，启用“密码必须符合复杂性要求”；将“最1 2 制定相应的口令管理策略小密码长度”设置为8位；将“密码最长存留期”的值设为不长于90天的值；将“密码最短存留期”的值设为不少于1天的值。 3.2.32. SUN Solaris使用明文协议维护主机

（1）现状描述

通过检测和访谈我们发现系统管理员都是通过使用telnent的方式对2台SUN Solaris主机 med_im(192.168.0.121)、PACKSWEB(192.168.0.124)进行远程管理和维护。

（2）威胁分析

在使用明文协议来维护主机系统容易被非法攻击者通过监听和伪造的方式获得管理员与主机间的通信内容并获得管理员帐户的口令字。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述非法者通过监听和伪造的方式获得管理员与主机间的通信内容 2 非法者可能通过监听和伪造通信来获得管理员与主机的通信内容 3 非法者获得管理员与主机间的通信内容，对医院的管理运营具有一定的影响。中风险级别（5）建议控制措施

- 61-

序号建议控制措施关闭telnet服务描述使用SSH替代telnet服务来对主机进行管理和维护。 1 3.2.33. SUN Solaris ftp服务允许匿名用户访问

（1）现状描述

当前2台SUN Solaris主机 med_im(192.168.0.121)、PACKSWEB(192.168.0.124)现都开启了Ftp服务，并且允许用户使用匿名的方式访问ftp服务。 en class realusers real * class guestusers guest * class anonusers anonymous * loginfails 3

passwd-check trivial warn private no keepalive yes shutdown /etc/ # email user@hostname # guestuser username # timeout idle 300 banner /etc/ greeting brief message /etc/ login message .message cwd=* readme README* login readme README* cwd=* chmod no anonymous delete no anonymous overwrite no anonymous rename no anonymous umask no anonymous compress yes realusers guestusers anonusers tar yes realusers guestusers anonusers

path-filter guest,anonymous /etc/ ^[[:alnum:]._-]*$ ^[.-] noretrieve relative class=anonusers / allow-retrieve relative class=anonusers /pub upload class=anonusers * * no nodirs upload class=anonusers * * no nodirs

- 62-

（2）威胁分析

ftp用户不需要通过申请合法的用户就能访问ftp服务器并上传和下载数据文件，有重要的数据的ftp服务器信息泄露的风险。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述非法者利用SUN Solaris匿名FTP服务登录FTP系统 2 非法者可能利用SUN服务器匿名FTP服务登录FTP系统 2 非法者利用SUN服务器匿名FTP服务登录FTP系统，对医院的管理运营具有轻微影响。低风险级别（5）建议控制措施序号建议控制措施描述 1 禁用ftp服务，或删除匿名用户如非业务服务使用需要可禁用ftp服务，或访问者删除匿名用户。 3.2.34. SUN Solaris存在极危险的.rhosts文件

（1）现状描述

当前2台SUN Solaris主机 med_im(192.168.0.121)、PACKSWEB(192.168.0.124)现都配置了.rhosts文件。并且允许任意主机用户远程以root用户登录。其中med_im为双机系统有配置.rhosts文件的需要，但PACKSWEB服务器非双机系统。

（2）威胁分析

.rhosts文件是配置出现在$HOME/.rhosts中是非常危险的，意味着任意主机任意用户都可以不用口令登录到你的系统上来。

（3）现有或已计划的安全措施

- 63-

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述 SUN Solaris远程用户配置不当造成无需验证登录到主机 2 SUN Solaris远程用户配置不当可能造成无需验证登录到主机 3 SUN Solaris远程用户配置不当造成无需验证登录到主机，对医院的管理运营具有一定的影响。中风险级别（5）建议控制措施序号建议控制措施应在.rhosts文件内配置远程主机地址和访问用户。删除.rhosts文件描述 Med_im主机配置.rhosts文件把双机系统的伴机的ip地址和访问用户写入文件 PACKSWEB系统则应删除./rhosts文件 1 2

3.2.35. 系统存在有安全漏洞的HTTP服务器

（1）现状描述

通过检查和扫描和访谈我们发现对2台SUN Solaris主机

med_im(192.168.0.121)、PACKSWEB(192.168.0.124)都安装了Apache Web Server，并且这个版本的Apache Web Server存在多个安全漏洞，例如跨站脚本等。 Apache < 1.3.41 Multiple Vulnerabilities

Synopsis :

The remote web server may be affected by several issues.

Description :

According to its banner, the version of Apache 1.3 installed on the

- 64-

remote host is older than 1.3.41. Such versions may be affected by several issues, including :

- A denial of service issue in mod_proxy when parsing date-related headers (CVE-2007-3847).

- A cross-site scripting issue involving mod_imagemap (CVE-2007-5000).

- A cross-site scripting issue in mod_status involving the refresh parameter (CVE-2007-6388).

- A cross-site scripting issue using UTF-7 encoding in mod_proxy_ because it does not define a charset (CVE-2008-0005).

Note that the remote web server may not actually be affected by these vulnerabilities. Nessus did not try to determine whether the affected modules are in use or to check for the issues themselves.

（2）威胁分析

Apache Web Server存在多种安全漏洞，非法者可通过连接访问web server利用这些漏洞攻击服务器系统，实现提升用户权限，下载用户数据等行为。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述非法者利用Web server的漏洞来攻击主机系统 2 非法者有可能通过利用Apache Web Server的服务安全漏洞攻击主机系统 3 非法者利用Web server的漏洞来攻击主机系统，对XXX的管理运营具有一定的影响。中 - 65-

风险级别

（5）建议控制措施序号建议控制措施安装Apache服务器的最新安全补丁或安装最新版本产品描述从厂商站点下载最新安全补丁，在测试环境里测试正常后，在生产环境里及时安装 3 3.2.36. SUN Solaris启用了多个不需要的服务

（1）现状描述

通过检测和访谈我们发现对2台SUN Solaris主机 med_im(192.168.0.121)、PACKSWEB(192.168.0.124)开启了rlogin，rsh，smtp，finger，rexecd等多种存在安全漏洞的且不需要的服务。

（2）威胁分析

这些服务都是在系统安装过程中默认安装的，经过我们扫描检测发现存在安全漏洞和隐患，被攻击者利用后有可能获得系统控制权限，并且造成应用服务中止。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统 2 非法者可能通过Sun Solaris 不需要服务的安全漏洞入侵系统 3 非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统，对医院的管理运营具有一定的影响。中风险级别（5）建议控制措施序号建议控制措施描述 1 关闭rlogin，rsh，finger，rexecd，修改/etc/inetd.conf文件，注释掉相应的服务smtp等服务并重起Inetd进程使修改生效。 - 66-

3.2.37. Oracle监听器安全配置不当

（1）现状描述

当前抽查的PACKSWEB(192.168.0.124)上的Oracle监听器安全配置均不当：  Oracle未限制Listener实时修改  Oracle未设置监听器密码  Oracle未禁用EXTPROC 如下图所示：

Synopsis :

The remote database service is not password-protected.

Description :

The remote Oracle Listener Program (tnslsnr) has no password assigned. An attacker may use this fact to shut it down arbitrarily, thus preventing legitimate users from using it.

（2）威胁分析

Oracle 监听器程序默认接受远程监听器控制器的指令，如果未进行安全限制，非法者可以远程执行用于信息收集、版本、状态和服务的指令，并可以此来随意关闭该监听器，导致数据库无法连接。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性级别描述非法者利用不当的监听器配置攻击Oracle系统 2 当前Oracle监听器未进行适当的安全配置，可能遭受攻击。 - 67-

影响级别描述 3 非法者利用不当的监听器配置攻击Oracle系统，将对公司的管理运营具有一定的影响。中风险级别（5）建议控制措施序号建议控制措施设置监听器实时修改限制设置监听器密码描述在Oracle的listener.ora文件中禁用EXTPROC并设置： ADMIN_RESTRICTIONS_listener_name=ON 运行lsnrctl命令，设置Oracle监听器密码。 1 2 3.2.38. Oracle 数据库调度程序漏洞

（1）现状描述

当前抽查和扫描的PACKSWEB(192.168.0.124)上的安装的oracle9i存在数据库中存在dbs_SCHEDULER脆弱性漏洞

如下图所示：

Oracle DBS_SCHEDULER vulnerability

The remote Oracle Database, according to its version number,

is vulnerable to a remote command execution vulnerability which may allow an attacker who can execute SQL statements with certain privileges to execute arbitrary commands on the remote host.

Solution :

Risk Factor : High

（2）威胁分析

Dbs_SCHEDULER是数据库核心进程之一，目前的oracle版本存在远程命令执行漏洞。可以允许攻击者在远程通过SQL语句在在oracle数据库在主机执行任意指令。

（3）现有或已计划的安全措施

- 68-

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。（4）风险评价风险名称可能性影响级别描述级别描述非法者利用Oracle数据库调度程序漏洞远程执行任意指令 2 攻击者有一定可能通过远程利用数据库高风险漏洞实施攻击性行为。 3 非法者利用Oracle数据库漏洞远程执行任意指令，对XXX的管理和运营具有一定的影响。中风险级别（5）建议控制措施序号 1 建议控制措施描述安装oracle的最新通过访问了解最新安全风险信息，并在产品提供商网站安全补丁下载并最新安全补丁。 3.2.39. Oracle 数据库多重目录遍历漏洞

（1）现状描述

当前抽查的PACKSWEB(192.168.0.124)上的安装的oracle9i存在数据库中存在多重目录遍历安全漏洞。具体情况如图：

Oracle Database 8i/9i Multiple Directory Traversal Vulnerabilities

Synopsis :

The remote database server is affected by directory traversal flaws.

Description :

According to its version number, the installation of Oracle on the remote host is reportedly subject to multiple directory traversal vulnerabilities that may allow a remote attacker to read, write, or

- 69-

rename arbitrary files with the privileges of the Oracle Database server. An authenticated user can craft SQL queries such that they would be able to retrieve any the system and potentially retrieve and/or modify files in the same drive as the affected application. See also :

（2）威胁分析

数据多重目录遍历漏洞可以被攻击者利用从而在远程对目标主机的任意文件有读写和重命名权限。如果是一个通过验证的低权限用户可以通过SQL查询获得数据库任意文件。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用Oracle数据库漏洞可获得任意文件读写权限 2 非法者有可能利用Oracle数据库漏洞可获得任意文件读写权限。。 2 非法者利用Oracle数据库漏洞可获得任意文件读写权限，对XXX的管理和运营有轻微的影响。低风险级别（5）建议控制措施序号 1 建议控制措施描述安装oracle的最新通过访问了解最新安全风险信息，并在产品提供商网站安全补丁下载并最新安全补丁。 3.2.40. SUN Solaris主机系统日志无备份

（1）现状描述

通过访谈和检查当前抽查的med_im(192.168.0.121)、PACKSWEB (192.168.0.124)系统日志均无备份

- 70-

（2）威胁分析

日志无备份，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难，同时，没有系统日志在依法问责时缺乏日志信息记录将无法作为安全事件发生的证据。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影级别描述级别日志无备份对系统管理和安全事件记录分析带来困难 2 出现安全事件而无法发现的情况有可能发生 2 日志无备份对系统管理和安全事件记录分析带来困难，将对XXX的管理运营具有轻微影响低响描述风险级别（5）建议控制措施序号 1 2 建议控制措施指定系统日志备份策略定期审计日志中的异常记录描述分配指定空间存放系统日志，并依照日志备份策略对系统日志进行吧备份指定专人负责，定期对日志进行审计，查看是否有异常记录。 3.3. 认证授权

3.3.1. 系统未采用安全的身份鉴别机制

（1）现状描述

当前，XXX信息系统采用的身份鉴别机制缺乏限制帐号不活动时间的机制，缺乏设置密码复杂性的机制，缺乏记录密码历史的机制，缺乏限制密码使用期限的机制，缺乏登录失败处理的机制，缺乏显示上次成功/不成功登录消息的机制。

（2）威胁分析

- 71-

当前，XXX信息系统采用的身份鉴别机制缺乏限制帐号不活动时间的机制，可能导致过期账号被冒用的风险；缺乏设置密码复杂性的机制，很可能导致密码被猜解、冒用的风险；缺乏记录密码历史的机制，可能引起密码重复使用被猜解的风险；缺乏限制密码使用期限的机制，可能导致密码被猜解的风险；缺乏登录失败处理的机制，可能导致用户名被猜解的风险；缺乏上次登录信息提示的机制，导致不能检测到非法登录情况，从而引起系统用户被冒用的风险。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响描述级别描述系统未采用安全的身份鉴别机制，很可能导致用户账户被冒用。 2 系统未采用安全的身份鉴别机制，很可能导致用户账户被冒用，对首都XXX的管理运营具有轻微影响。中级别系统未采用安全的身份鉴别机制导致用户账户被冒用 3 风险级别（5）建议控制措施序号建议控制措施定期整理账户描述定期对用户账户进行整理，删除或禁用长期不活动账户。增加账户密码复杂度功能，能够定义用户密码复杂度策略。开发记录密码历史口令的功能，并设置适当历史记录。开发密码使用期限的功能或要求定期更改密码口令。开发登录失败处理功能，如：登录失败10次，锁定5分钟。 - 72-

1 2 开发账户密码复杂度功能 3 开发记录密码历史口令功能 4 开发密码使用期限功能 5 开发登录失败处理功能

6 开发提示登录信息的功能用户登陆后，显示上次登录信息，如：用户名、IP、时间等信息。 3.3.2. 未对数据库连接进行控制

（1）现状描述

当前，XXX目前的数据库连接账号口令明文存储在客户端，部分数据库连接直接使用数据库管理员账号，数据库服务器没有限制不必要的客户端访问数据库。

（2）威胁分析

当前，XXX目前的数据库连接账号口令明文存储在客户端，可能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库服务器没有限制不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响描述级别描述未对数据连接进行控制可能导致信息系统非授权访问。 4 未对数据连接进行控制可能导致信息系统非授权访问，对首都XXX的管理运营具有严重影响。中级别未对数据库连接进行控制导致系统非授权访问 2 风险级别（5）建议控制措施序号建议控制措施描述 - 73-

1 2 用户名口令加密存储降低数据库连接账户权限将客户端存储的账号口令进行加密存储。降低数据库连接账户权限，使用DBA以外的用户账户进行连接，分配基本的权限。限制其他不必要客户端对数据库的直接访问。 3 限制不必要客户端访问 3.4. 安全审计

3.4.1. 无登录日志和详细日志记录功能

（1）现状描述

当前，XXX信息系统目前暂未对登录行为进行记录，也未实现详细的日志记录功能。

（2）威胁分析

未对登录行为进行记录，也未实现详细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系统受到严重影响。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响描述级别描述发生安全事件可能很难依系统日志追查来源。 2 发生安全事件很难依系统日志追查来源，对首都XXX管理运营具有轻微影响。低级别发生安全事件很难依系统日志追查来源 2 风险级别（5）建议控制措施

- 74-

序号建议控制措施增加对用户登陆行为的记录添加详细的用户记录日志描述增加对用户登陆行为的记录，如：登录用户名、时间、IP等信息。添加详细的用户记录日志。 1 2 3.5. 备份容错 3.5.1. 无异地灾备系统

（1）现状描述

当前，XXX信息系统无异地灾备系统。

（2）威胁分析

无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，严重影响了系统的可用性。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述灾难发生后业务系统难以快速恢复 2 灾难发生后业务系统可能难以快速恢。 5 灾难发生后业务系统难以快速恢，对XXX附属儿童医院的管理运营具有严重影响。高风险级别（5）建议控制措施序号建议控制措施建立异地灾备系统描述条件允许，建立异地灾备系统。 - 75-

2 业务数据备份异地存储对业务数据定期进行备份，并进行异地存储。 3.5.2. 数据备份无异地存储

（1）现状描述

当前，XXX信息系统未对系统配置进行备份，数据备份也没有进行异地存储。

（2）威胁分析

未对系统配置信息和数据进行异地存储和备份，当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述备份数据无异地存储导致灾难发生后系统不能快速恢复 2 备份数据无异地存储可能导致灾难发生后系统不能快速恢复。 5 备份数据无异地存储可能导致灾难发生后系统不能快速恢复，对系统的可用性有严重影响。高风险级别（5）建议控制措施序号建议控制措施备份系统配置和数据异地存储备份描述备份系统配置和数据。对备份的部分数据进行异地存储。 1 2 - 76-

3.5.3. 核心业务系统存在单点故障

（1）现状描述

当前，XXX合理用药信息系统暂无容错备份机制，使用的是普通PC终端电脑提供服务。

（2）威胁分析

合理用药系统无备份容错机制，而且是用的是PC机提供服务，非常有可能由于系统故障而导致合理用药系统无法提供服务，而核心业务系统依赖合理用药系统，可能导致业务中断。

（3）现有或已计划的安全措施具有相关的业务应急方案流程。

（4）风险评价风险名称可能性影响描述级别描述核心业务系统单点故障可能导致业务中断。 5 核心业务系统单点故障导致业务中断，对首都XXX的管理运营具有严重影响。极高级别核心业务系统单点故障导致业务中断 4 风险级别（5）建议控制措施序号建议控制措施使用专业服务器代替PC机描述使用标准服务器为合理用药系统提供服务。如果条件允许，建议双机热备。如果条件不允许，建议制作磁盘Ghost镜像，作为应急恢复。 1 2

制作磁盘Ghost镜像 - 77-

3.6. 运行维护

3.6.1. 未形成信息安全管理制度体系

（1）现状描述

当前，XXX未规划信息安全方针，缺少信息安全总体策略，部分管理制度缺失，评审、审批等流程记录不全面，不具备系统相关的知道手册，缺少关键人员授权，未形成全面的信息安全管理体系。

（2）威胁分析

缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护工作。

（3）现有或已计划的安全措施

建立有《信息中心工作职责》、《信息中心工作人员岗位职责》、《信息中心日常工作安全管理制度》、《应急安全管理及重大事故备案制度》、《信息网络安全管理制度（所文）》、《计算机信息系统安全及保密管理暂行规定（所文）》、《网络终端设备保管使用安全操作规范》、《信息中心设备购置与调配制度》、《信息中心维护维修工作制度》、《信息中心内部设备（及配件）管理条例》、《信息中心备机管理制度》、《信息中心设备管理软件应用条》、《信息中心文档管理细则》、《培训教室工作职责及管理制度》、《信息化管理小组工作例会制度》、《科务会制度》、《信息中心请假制度》、《信息中心奖惩制度》、《信息中心绩效评分制度》、《字典维护小组职责与工作流程》、《信息系统联系人制度》二十一项安全管理制度以及相关流程审批文件。

（4）风险评价风险名称可能性影响描述级别描述安全管理体系不完善可能引发安全事件。。 3 安全管理体系不完善引发安全事件，，对组织的正常经营活动有一定影响。中 - 78-

安全管理体系不完善引发安全问题 2 级别风险级别

（5）建议控制措施序号 1 建议控制措施建立健全信息安全管理体系描述补充完善信息安全管理制度，形成成体系的信息安全管理文件。 3.6.2. 未规范安全管理制度的维护

（1）现状描述

当前，暂无专人负责安全管理制度的维护，制度修订无相关的评审会议。

（2）威胁分析

信息科技管理制度规章和管理办法制定、审批和修订流程不同规范会造成版本混乱、互相冲突，影响其贯彻执行，极易发生信息安全事件，影响组织的正常经营活动。

（3）现有或已计划的安全措施

由负责各个安全管理运维的工作人员负责起草，由信息中心主任负责审批。（XXX院所相关管理制度由负责信息化的副院长审批）；由负责各个安全管理运维的工作人员进行修订，向信息中心主任口头汇报，由信息中心主任口头审批；发生事故后，由信息中心相关工作人员进行修订，经信息中心主任审批。。

（4）风险评价风险名称可能性影响级别描述级别描述安全管理制度缺乏维护导致安全管理滞后 2 安全管理制度缺乏维护可能导致安全管理滞后。。 2 安全管理制度缺乏维护导致安全管理滞后，，对XXX的管理运营具有轻微影响。低风险级别（5）建议控制措施

- 79-

序号建议控制措施指定专人维护管理制度规范管理制度的审批、修订定期对管理制度进行评审、修订描述指定专人负责管理制度维护工作。建立规范的信息安全文档管理制度。定期对信息安全制度、流程进行评审和修订。 1 2 3 3.6.3. 人员岗位、配备不完善

（1）现状描述

当前，XXX信息安全管理部分岗位存在兼任，未与上岗人员签订岗位协议。

（2）威胁分析

没有适当的审批控制可能导致权限的混乱，造成未授权访问、未授权活动等风险；在信息技术人员相对缺乏的情况下，无法做到充分的职责分离和岗位轮换，可能产生潜在的安全隐患。

（3）现有或已计划的安全措施

由信息中心主任口头分配工作任务，指派工作岗位；安全管理员由其他相关人员兼任。

（4）风险评价风险名称可能性影响级别描述级别描述人员岗位、配备不完善影响系统运行维护 2 人员岗位、配备不完善可能影响系统运行维护 3 没有适当的审批控制可能导致权限的混乱，造成未授权访问、未授权活动等风险，对医院的正常经营活动造成一定影响。中风险级别（5）建议控制措施序号建议控制措施描述 - 80-

4 5 专人负责信息安全管理。签署岗位授权协议指派专人负责信息安全管理。针对不同的工作岗位，签署相关的授权协议。 3.6.4. 未与相关人员签订保密协议

（1）现状描述

当前，XXX未与相关运维人员以及第三方服务/产品提供商签订保密协议。

（2）威胁分析

未针对关键岗位、第三方单独签署保密协议，存在信息泄露无法追究责任的安全隐患。

（3）现有或已计划的安全措施

与相关运维人员签订劳动合同，有相关保密要求。

（4）风险评价风险名称可能性影响级别描述级别描述未与相关人员签订保密协议引起信息泄密 2 未针对关键岗位单独签署保密协议，很可能引起信息泄露。 3 未与相关人员签订保密协议引起信息泄密，对XXX管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施签署保密协议描述针对关键岗位和第三方，单独签署保密协议。 1 - 81-

3.6.5. 未规范信息系统建设

（1）现状描述

当前，XXX未对采购产品进行选型测试，应用系统由开发公司自行检测，交付前由信息中心对产品进行检测验收，无第三方监督实施，无相关制度规范，开发公司未提供相关的开发文档资料，未与安全服务商签订保密协议。

（2）威胁分析

未对采购的产品进行选型测试分析，会引起与采购设备与实际需求不符的风险；无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提供系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。

（3）现有或已计划的安全措施

XXXIT设备产品从政府采购网上进行选型分析；由开发公司自行检测应用系统，交付前由信息中心对产品进行检测验收；口头对工程实施进行要求；由开发公司对运维人员进行培训指导；只与安全服务商签订了合同，未签订保密协议。

（4）风险评价风险名称可能性影响（5）建议控制措施序号建议控制措施规范产品采购描述采购产品前预先对产品进行选型测试确定产品的候范围。级别描述级别描述未规范信息系统建设影响系统建设 2 未规范信息系统建设可能影响系统建设。 3 未规范信息系统建设影响系统建设，对XXX具有轻微影响。中风险级别 1 - 82-

依据开发协议的技术指标对软件功能和性2 建立健全信息安全管理体系能等进行验收检测，验收检测由开发商和委托方、与第三方评测机构共同参与。对工程实施过程进行进度和质量控制，将3 规范工程实施控制方法和工程人员行为规范制度化，要求工程实施单位提供其能够安全实施系统建设的资质证明和能力保证。 4 5 规范系统交付规范安全服务商选择应确保开发商提供系统建设过程中的文档和指导用户进行系统运行维护的文档。与安全服务厂商签订保密协议。 3.6.6. 运维管理待健全

（1）现状描述

当前，XXX未对重要资产进行分类标识；未对日志进行审计分析，人员调离账号未删除，应用系统相关软件未升级，未订阅相关通知，未对口令进行过更新；未对网络进行漏洞扫描；未对服务器系统管理、恶意代码防范管理、密码管理、备份和恢复管理建立相应的管理规范；未对系统进行漏洞扫描。

（2）威胁分析

不采用合适的方法为信息系统划分适当的保护等级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费；缺乏管理制度规章和管理办法或制度规章和管理办法已不适用或难以获得，则信息中心人员缺乏行为指导，信息中心信息安全处于无序状态，极易发生信息安全事件，影响组织的正常经营活动；暂无网络和系统漏洞扫描模块，可能由于网络或系统漏洞引起业务中断。

（3）现有或已计划的安全措施当前，XXX对资产进行分类和标识。

（4）风险评价风险名称可能级别描述运维管理不完善引发安全事件 2 运维管理不完善可能引发安全事件。 - 83-

性影响（5）建议控制措施序号建议控制措施描述建立健全服务器系统管理、恶意代码防范级别描述 3 运维管理不完善引发安全事件，对XXX管理运营具有一定影响。中风险级别 1 2 3 建立健全管理相关制度管理、密码管理、备份和恢复管理相应的规范资产识别漏洞扫描定期维护定期审计日志关注系统漏洞对重要资产进行标识定期对网络和系统漏洞进行扫描定期对系统进行维护，保障系统正常运行。设立审计人员，定期审计系统日志。关注系统相关漏洞，安装关键补丁。 4 5 6

3.7. 物理环境

3.7.1. 机房存在多余出入口

（1）现状描述

当前，被检查机房，存在另一出入口，使用门锁对此出入口进行控制，部分人员掌管有出入钥匙。

（2）威胁分析

除可控入口外，其他的入口的存在会增加医院外部人员潜入医院机房破坏信息系统的可能。

（3）现有或已计划的安全措施

此出入口长期封闭，只有机房进出大型设备以及相关需要时进行开启，极少部分人掌管出入口的钥匙。

- 84-

（4）风险评价风险名称可能性影响级别描述级别描述机房存在多余出入口可能引起非法潜入 1 非法人员可能潜入医院机房破坏信息系统。 4 非法人员潜入信息中心机房，对XXX附属儿童医院的管理运营具有严重影响。中风险级别（5）建议控制措施序号建议控制措施封闭出入口安装电子门禁系统控制出入权限描述将多余的出入口封闭安装电子门禁严格控制出入人员数量 1 2 3 3.7.2. 机房未进行防水处理

（1）现状描述

当前，机房以及UPS间未进行防水以及防渗漏处理。

（2）威胁分析

未采取防水处理，可能导致渗水，返潮等问题，会加速设备老化，严重的可导致设备不能正常工作。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可级别机房未进行防水处理引起设备老化、损坏 2 - 85-

能性影响描述级别描述可能引发，机房相邻房间的水，电磁等干扰使机房内设备被损害。 5 渗水，返潮等问题，会加速设备老化，严重的可导致设备不能正常工作，对业务系统生产具有极其严重的影响。高风险级别（5）建议控制措施序号建议控制措施加装防水检测采取防渗漏和防水措施描述加装水敏感检测仪对顶棚、地板采取防水处理 1 2 3.7.3. 机房内无防盗报警设施

（1）现状描述

当前，被检查机房，无防盗报警设施，机架前后面板未封闭。

（2）威胁分析

机架前后面板未封闭，导致设备被破坏的可能性增大；无警报系统，无法在第一时间通知责任人作出反应。

（3）现有或已计划的安全措施

对出入机房的人员进行控制和监督，大楼内部有红外报警探头。

（4）风险评价风险名称可能性影响级别描述级别描述机房内无防盗报警设施引起非法潜入 1 有可能引起非法潜入，导致设备被破坏的可能性增大。 4 可能导致信息系统基础架构遭到破坏，导致系统无法设用，对业务系统产生严重影响。中 - 86-

风险级别

（5）建议控制措施序号建议控制措施封闭机架前后面板加装探头监控描述封闭机架前后面板机房加装探头监控 1 2 3.7.4. 防火措施不当

（1）现状描述

当前，被检查机房，未采用具有耐火等级的建筑材料，未对消防设施的使用进行过演练，机房存在杂物，未对消防设施的使用进行过演练。

（2）威胁分析

无耐火级别的建筑材料无法减小火灾造成的损失，不熟悉消防设备使用方法、没有紧急处理流程或不熟悉紧急处理流程，不能及时处理火灾或处理不善，会导致火灾损失增大，机房存放杂物，导致不能及时处理火灾或处理不善，会导致火灾损失增大。

（3）现有或已计划的安全措施

采用喷淋防火，不定期对机房杂物进行清理。

（4）风险评价风险名称可能性影响级别描述级别描述防火措施不当引发更大损失 3 很可能造成不能及时处理火灾或处理不善。 4 很可能造成不能及时处理火灾或处理不善，导致火灾损失增大，对信息系统应用造成严重影响。高风险级别（5）建议控制措施

- 87-

序号建议控制措施加涂防火材料消防演练清理机房描述顶棚、天花板、墙板加涂防火材料信息中心人员统一进行防火设备使用的培训、演练清理机房杂物 1 2 3 3.7.5. 未采取防静电措施

（1）现状描述

当前，被检查机房，机柜未使用防静电手环进行操作，无电磁屏蔽设备。

（2）威胁分析

未使用防静电手环，可能遭静电影响造成计算机系统故障或损坏，影响单位业务进行；没有适当的电磁防护，可能由于电磁影响造成计算机系统故障或损坏或信息泄漏，影响单位业务进行。

（3）现有或已计划的安全措施

电源接地处理，使用防静电地板，将通信线路和电源线隔离。

（4）风险评价风险名称可能性影响（5）建议控制措施序号建议控制措施加装静电消除器描述应采用静电消除器等装置，减少静电的产生 - 88-

未采取防静电措施引起设备故障 2 未采取防静电措施可能引起设备故障。 3 未采取防静电措施引起设备故障，对XXX管理运营具有一定影响。中级别描述级别描述风险级别 1

3.8. 系统开发

3.8.1. 系统未进行分级管理

（1）现状描述

当前XXX的各业务应用系统未采用分级管理，每天对系统进行巡检，系统停止最长忍耐时间为15分钟，15分钟后启动应急预案从三个方面进行应急恢复。

（2）威胁分析

不采用合适的方法为信息系统划分适当的保护等级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全或造成有限的资源被浪费。

（3）现有或已计划的安全措施

每天对系统进行巡检，系统停止最长忍耐时间为15分钟，15分钟后启动应急预案从三个方面进行应急恢复。

（4）风险评价风险名称可能性影响级别描述级别描述系统未进行分级管理导致核心系统不能得到更多的保护 2 系统未进行分级管理可能导致核心系统不能得到更多的保护。 2 系统未进行分级管理导致核心系统不能得到更多的保护，对XXX的管理运营具有轻微影响。低风险级别（5）建议控制措施序号建议控制措施对系统进行分级管理描述对信息系统进行评估，划分安全等级，进行科学管理。 1 - 89-

3.8.2. 系统开发外包管理有待完善

（1）现状描述

当前，XXX的所有应用系统的源代码由开发公司持有；开发公司未针对XXX的应用系统进行安全需求分析；当公司相关人员调离后未对其权限进行撤销；未对关键业务数据进行防篡改设计；与应用系统相关的建设、维护文档不健全。

（2）威胁分析

当前，XXX系统开发设计外包服务如果不能很好的做好技术传递工作，则离开外包服务方系统可能很难进行安全稳定的运行和维护；系统开发未作安全需求分析，可能导致系统设计架构不合理，影响系统安全稳定运行；外部人员调离后，不对其权限进行回收，可能引起非法访问的风险；对关键数据无防篡改保护措施，很有可能影响到病人的真实数据；开发公司未提供系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案。

（3）现有或已计划的安全措施

当前，XXX当该外部人员离职时，要求外部组织及时通知本单位；每天备份当天数据；后期系统建设部分规范化文档管理。

（4）风险评价风险名称可能性影响级别描述级别描述系统开发外包管理有待完善引发系统安全问题 2 系统开发外包管理有待完善可能引发系统安全问题。 3 系统开发外包管理有待完善可能引发系统安全问题，对XXX的管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施描述签署协议，保障在外部组织无力经营时，1 源代码进行管理本单位可以获得源代码（如签署协议，将源代码托管在可信的第三方。 - 90-

在系统建设前进行安全需求分析，系统建2 3 4 5 对系统进行安全评估设时进行安全管理，系统建设后进行安全评估。完善系统开发外包管理添加防篡改模块健全系统建设、维护文档完善系统开发、服务等外包管理。对关键业务数据添加防篡改模块。建立健全系统建设、维护文档。 3.8.3. 未规范系统培训环境

（1）现状描述

当前，XXX使用病患的真实数据对业务人员进行操作培训，培训环境下的用户能够访问到真实的业务系统，培训环境与生产环境没有完全隔离。

（2）威胁分析

当前，XXX使用病患的真实数据对业务人员进行操作培训，评估小组现场观测时发现，培训环境由于某种原因，将所有用户口令清空，有可能造成有关信息被不必要人员获得，造成信息泄露。

（3）现有或已计划的安全措施

有单独的培训教室，除计算机室外，其他地方无法接触到培训环境。

（4）风险评价风险名称可能性影响（5）建议控制措施序号建议控制措施测试环境使用模拟数据描述培训环境下使用模拟数据对业务人员进行 - 91-

生产数据通过培训环境泄露 2 生产数据可能通过培训环境泄露。。 3 生产数据通过培训环境泄露，对XXX的管理运营具有一定影响。中级别描述级别描述风险级别 1

操作培训。 2 测试环境账号禁用弱口令对测试环境账号进行管理，禁止使用弱口令。 3.8.4. 未规范口令管理

（1）现状描述

当前，XXX所有用户初始口令是一致的，初次登陆未强行进行密码修改控制，无口令复杂度要求及期限限制。

（2）威胁分析

当前，XXX采用通用默认账号的口令可能引起账号冒用，引起数据泄密或篡改；初始化登陆不强制更改口令，可能引起用户冒用账户的风险，影响业务数据的真实性；不设置复杂口令，可能引起用户密码被猜解的风险，影响业务数据的真实性；未设置口令使用期限，可能引起用户未授权访问的风险，影响业务系统的正常应用。

（3）现有或已计划的安全措施

当前，XXX通过电话通知和培训通知用户口令，培训时，提醒初次登陆修改口令。

（4）风险评价风险名称可能性影响（5）建议控制措施序号建议控制措施初始密码采用随机数描述对操作人员的初始密码，采用随机数列。级别描述级别描述未规范口令管理导致用户冒用 3 未对口令进行规范化管理，很可能引起账户冒用的风险。 3 为规范口令管理导致用户冒用，对XXX的管理运营具有一定影响。高风险级别 1 - 92-

2 3 4 首次登陆强制修改口令进行密码复杂度要求业务人员首次登陆时，强行修改口令。对密码进行复杂度要求，口令长度不得小于8位，由数字、字母和特殊符号组成。对账户口令使用期限进行限制，使用期限过后需要用户修改密码。对账户口令使用期限进行限制 3.8.5. 未对用户登陆进行安全控制

（1）现状描述

当前，XXX信息系统未对用户登陆失败进行处理，未对用户登陆IP进行限制，登陆成功后不提示上次的登录信息。

（2）威胁分析

未对用户进行登录失败控制，可能引起用户口令轻易被猜解的风险，影响业务系统的保密性和可用性；未对用户登陆IP进行限制，可能引起非法登录的风险，影响业务系统的保密性和可用性；未对上次登录进行提示，用户不能够对上次登录的时间等相关信息进行校验，无法检测到非法登录，影响到应用系统的保密性。

（3）现有或已计划的安全措施

进行了接入控制，其他终端无法接入。。

（4）风险评价风险名称可能性影响级别描述级别描述未做用户登录安全控制导致用户被冒用 2 未做用户登陆安全控制可能导致用户被冒用。 3 未做用户登陆安全控制导致用户被冒用，对XXX管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施描述 - 93-

1 2 3 增加登陆失败处理功能限制登录用户IP 提示上次成功登陆的用户信息增加登陆失败处理功能，如：密码5错误锁定5分钟。对需要登陆系统的用户IP进行限制。提示上一次成功登陆的用户信息，如：用户名、IP、时间等内容。 3.8.6. 未对系统会话进行限制

（1）现状描述

当前，XXX部分系统未对系统最大并发会话进行限制或限制数目与实际需要连接数不匹配，允许同一用户同时进行多个连接，未对空闲会话进行控制。

（2）威胁分析

未对系统最大并发会话数进行控制，可能引起系统超载，使系统服务响应变慢或引起宕机，影响系统的可用性；同一账号同时建立多个连接，占用系统多余资源，影响了系统的可用性；未对空闲会话进行控制，导致占用系统多余资源，无法进行科学合理的资源分配，影响了系统的可用性。

（3）现有或已计划的安全措施

进行了接入控制，其他终端无法接入。。

（4）风险评价风险名称可能性影响级别描述级别描述未对系统会话进行限制影响系统可用性 2 未对系统会话进行限制，可能影响系统可用性。 3 未对系统会话进行限制影响系统可用性，对公司管理运营具有一定影响。中风险级别（5）建议控制措施序号建议控制措施描述 - 94-

1 2 3

限制最大并发会话断开或挂起空闲会话对账号登录IP进行绑定将系统最大并发会话数限制在可控范围内。断开或挂起空闲会话。对账号登录IP进行绑定或限制。 4. 安全建议总结

4.1. 网络通信

 采购专业的审计系统  定期审计日志中的异常记录  定义VLAN安全级别及访问关系  配备内网Wins/dns冷备服务器  配备内网Wins/dns热备服务器

 删除SSG520防火墙不使用的端口的访问控制策略  外网单点设备配备冷备服务器  外网单点设备配备热备服务器

 修改核心交换机上VLAN间访问控制策略  制定加强医保服务器和内网连接的访问控制策略  制定医保网对医保服务器的访问策略

4.2. 安装部署

 安装操作系统、数据库以及其他组件等的最新补丁  订阅安全漏洞补丁通告  设置密码策略

 为管理员、SNMP团体字、Oracle监听字等账号设置复杂密码

 禁用windows操作系统、Solaris系统、网络设备的SNMP服务等不需要的服务  禁用FTP服务的匿名访问  设置SQL Server服务启动帐号  修改SQL Server数据库的服务端口  对IIS等WEB应用进行安全配置

 删除或禁用SQL Server的xp_cmdshell等危险扩展存储过程

- 95-

 对Windows、SUN Solaris、SQL Server、Oracle等进行安全配置  绑定Cisco交换机管理IP和MAC地址  调整/关闭远程桌面端口

 关闭系统默认共享或为共享设置适当的访问控制权限  进行安全意识教育和培训

 收回多余的管理员账号、取消多余的本地账号  修改医保论坛DVBBS数据库文件名

4.3. 认证授权

 定期整理账户

 降低数据库连接账户权限  开发登录失败处理功能  开发记录密码历史口令功能  开发密码使用期限功能  开发提示登录信息的功能  开发账户密码复杂度功能  限制不必要客户端访问  用户名口令加密存储

4.4. 安全审计

 增加对用户登录行为的记录  添加详细的用户记录日志

4.5. 备份容错

 备份系统配置和数据  建立异地灾备系统  使用专业服务器代替PC机  异地存储备份  制作磁盘Ghost镜像

4.6. 运行维护

 建立健全信息安全管理体系

- 96-

 指定专人维护管理制度  规范管理制度的审批、修订  定期对管理制度进行评审、修订  专人负责信息安全管理。  签署岗位授权协议  签署保密协议  规范产品采购

 建立健全信息安全管理体系  规范工程实施  规范系统交付  规范安全服务商选择  建立健全管理相关制度  资产识别  漏洞扫描  定期维护  定期审计日志  关注系统漏洞

4.7. 物理环境

 封闭机房多余出入口  安装电子门禁系统  控制机房出入权限  机房加装防水检测  机房采取防渗漏和防水措施  机房封闭机架前后面板  机房加装探头监控  机房加涂防火材料  进行消防演练  清理机房  加装静电消除器

4.8. 系统开发

 对系统进行分级管理

- 97-

 测试环境使用模拟数据  测试环境账号禁用弱口令  初始密码采用随机数  断开或挂起空闲会话  对账号登录IP进行绑定  对账户口令使用期限进行限制  健全系统建设、维护文档  进行密码复杂度要求  首次登陆强制修改口令

 开发提示上次成功登陆的用户信息的功能  添加防篡改模块  完善系统开发外包管理  开发限制登录用户IP功能  开发限制最大并发会话功能  对源代码进行管理  增加登陆失败处理功能

- 98-

5. 附录:信息安全风险级别定义

根据ISO 13335的定义，风险指的是特定威胁利用某一资产或一组资产的脆弱性，从而对组织产生损害的可能性。因此，为了确定风险级别，首先需要创建不同级别影响（损害）和可能性的定义，然后基于不同级别的影响和可能性定义，创建不同级别的风险定义。 1. 影响级别定义

根据XXX的实际情况，最终确定影响级别定义如下：影响级别（严重程度） 5 4 3 2 1 影响描述信息遭受篡改或无法使用对XXX的管理运营具有极其严重的影响。信息遭受篡改或无法使用时对XXX的管理运营具有严重的影响。信息遭受篡改或无法使用时对XXX的管理运营具有一定影响。信息遭受篡改或无法使用时对XXX的管理运营具有轻微影响。信息遭受篡改或无法使用时对XXX的管理运营基本没有影响。 2. 可能性级别定义可能性级别定义如下：可能性级别（发生概率） 5 4 3 2 1 实经常发生。非常有可能发生：在大多数情况下，很有可能会发生；或者可以证实发生过。发生的可能性较大：在某些情况下，很可能会发生。有可能发生：在某种情况下或某个时间，可能会发生。基本不可能发生：发生的可能性很小，不太可能。可能性描述几乎肯定发生：预期在大多数情况下发生，不可避免；或者可以证3. 风险级别矩阵基于以上定义，创建的风险级别矩阵如下所示：影响可能性 5 4 3 2 1 中中低低 2 高中中低 3 高高高中 4 极高高高中 5 极高极高高高 - 99-

影响可能性 1 1 低 2 低 3 中 4 中 5 高 - 100-

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文