信息系统评估风险分析.docx

信息系统风险分析XXX信息系统主要由HIS系统、1.IS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务渊、OAIH务器、交换机、防火墙以及安全控制设备等构成，内外网物理隔离，外网为访问互联网相关服务为主，内网为XXX生产网络.1.1. 网络通信1.1.1. V1.AN间未做访问控制(O内网V1.AN中的主机网关全部指到内网核心交换机C6509上，外网V1.AN的主机网关都指在外网核心交换机4506上。内外网对这些V1.AN的路由未作控制，各个V1.AN间通过C6509(4506)可以进行互访。威胁分析由于各个V1.AN代表不同的业务内容，安全级别也是不同的，需要在不同的V1.AN间做访问控制。现有配置，各个V1.AN间路由都是通的，那么各个V1.AN间就都可以互访，安全级别低的V1.AN可以访问安全级别高的V1.AN,这样V1.AN设定的目的效果就大大削弱了。安全级别低的V1.AN尝试访问高级别V1.AN,有意或者无意的破坏高级别V1.AN中服务器上的数据，将会对XXX的业务造成重大的影响。(3)现有或已计划的安全措施核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略，(4)风险评价风险名称者从例V1.Ai>aJ!核心V1.AN可级别3J描述非法者很可能从普通VIRN渗透到核心V1.AN.影级别3响描述非法者从普通VIKN渗透到核心V1.AN,对XXX的管理运营具有一定影响。风险级别高（5）建幽制油施序号建议控制措施描述1定义V1.AN安全级别及访问关系由网络管理员定义各个V1.AN的安全级别和互相之间的访问关系表2修改核心交换机上V1.AN间访同控制策略按照己定义好的VIAN间访问关系表，重新定义访问控制列表，控制V1.AN间的访间关系1.1.2. 内网设计中存在单点故障风险（1）现状描述分析XXX目前实际的网络情况，我们发现内网中存在蛋单点故障风险，其中内网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施“（2）威胁分析当此服务器发生故障后，网内所有域用户全部都不能正常登录到域，造成业务系统服务停止。（3）现有或已计划的安领施无O（4）风险升价风险名称内网单点故障风险造成业务系统服务停止可能性级别；描述内网单点故幽风险很可能造成业务系统服务停止。影响级别5描述业务系统服务停止会造成用户对外眼务效率降低，并由丁用户业务为公众服务业务，服务停止后会对用户造成极大的影响。风险级别极高(5)建议控制擒施序号建议控制措施描述1配备内网WinHdns热备服务器采用双机热备技术，有效降低单一故障风险。2配备内网WinNdns冷备服务器配备冷备设备，能满足在可接受的时间范国恢复服务1.1.3. 外网设计中存在单点故障风险(O3M三½分析XXX目前实际的网络情况我们发现外网中存在单点故障风险，其中外网接入访问控制系统中WINSQNS服务器没有采用热备或冷备措施“Internet接入设备SSG52O防火墙，城市热点计我网关与外网核心交换机4506/单线接入，没有链路和设备备份措施。(2)威胁分析外网网络中存在4个单点故障风险点，每单点故障点发生故障都会造成Imeme1.访问中断，影响外网用户的正常工作。(3)现有或已甘划的安全措施无。(4)风险评价风险名称外网单点故障风险造成Internet访问中断可级别4能M、件描述网络接入控制系统系统中存在点故障风险,故障发生可能性较高影级别2晌描述外网单点故障风险造成IntemC1.访问中断，对XXX管理运营具有轻微影响。风除级别中（5）建议控IM措施序号建议控制措施描述1外网单点设备配备热备服务器采用双机热备技术,有效降低单点故障风险。2外网单点设备配备冷备服务滞配备冷备设备，能满足在可接受的时间范困恢复服务1.1.4. 无专业审计系统现状描述现有XXX内外网网络均无专业审计系统。（2）威胁分析无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难.同时，在依法问灾时缺乏审计信息将无法作为安全事件发生的证据.（3）现有或己计戈!的安全措施无.（4）风险褥价风险名称出现安全事件无法进行有效定位和问责可级别2能M性描述出现安全事件而无法发现的情况有可能发生影级别2响描述出现安全事件无法进行有效定位和向抗将对XXX的管理运营具有轻微影响风看级别低（5）建议控磷施序号建议控制措施描述1采购专业的审计系统采购并集中部署专业的审计系统，并启动网络设备和安全设备上的日志服务“2定期审计日志中的异常记录指定专人负责，定期对H志进行审计，杳看是否有异常记录。1.1.5. SSG520防火墙配置策略不当(O分析SSG52O的配凭文件，发现防火墙配置的端口控制中开放了过多的不用使用端口,例如10700.3765,8888.445端口等。setservice""protoco1.tcpSrC-Por1.(65535dst-port107(X)-1.()7(X)setservice""+ICPsrv-port0-65535dst-por1.21-22setservice""+tcpsre-port0-65535dst-po11445-445setservice""+tcpsre-port()-65535dst-ort25-25setSerViCe""+icpsre-port()-65535dst-<>rtI1.()-1.K)setservice""+tcpSrV-POn0-65535USt-POr1.8888-8888setsenicc""+tcpsre-port0-65535dst-port8O8O8O8Osetsenice""+tcpsre-port0-65535dst-port3765-3765setservice""PnHOCO1.ICPsrC-POn0-65535dst-port8()-80setservice""+ICPsrc-POrt0-6553541.st-p<>rt53-53setse11ice""+udpsrc-port0-65535dst-port53-53setsen,ice""+tcpsre-port()-65535dst-port443-443et(2)威胁分析防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。(3)现有或已计划的安领施无。风险评价风险名称手法者利用防火墙配置不当渗透入外网可级别2I描述非法者可能利用防火墙配置不当渗透入外网。影级别2响描述非法者利用防火墙配置不当渗透入外网.将对XXX的管理运营具有轻微的影响。风险级别低(5)建幽制油施序号建议控制措施描述1刑除SSG520防火墙不使用的端口的访问控制策略删除SerVice""中的10700.3765.8888,445等不使用的端口访问控制策略1.1.6. 网络边界未做访问拄制(1)根据我们检食和访谈得知XXX内网和市医保网通过一台医保服务器配巴的双网卡和市医保网连接，医保网是不属于XXX范围内的专网，通过医保服务器采集数据通过专网传送到相关使用部门,跟医保网的连接属于边界连接，但在边界上未做任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统.(2)威胁分析XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而绐从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。(3)现有或已计划的安全措Jfc无。（4）IW风险名称非法者利用医保服务器渗透进内网可能性级别3描述非法者可能利用医保服务器渗透进内网影响级别.1描述非法者可晶利用医保服务器渗透进内网，对XXX管理运营具有严重影响。风险级别高(5)建议控碗施序号建议控制措施描述1制定医保网对医保服务器的访问策略可在医保服务器上加装放火墙软件来实现对从医保网来的访问控制2制定加强医保股务器和内网连接的访问控制策略通过改变网络拓扑在医保服务器和内网间配置,硬件防火墙，或通过内网核心交换机实现对医保服务器的访问控制。1.2. 安装部署1.2.1. WindOWS系统未安装最新补丁(1) 5W三当前，被检杳WindoWS系统均未安装最新补丁，并且补丁安装情况各不相同,有些补丁缺失较少，有些缺失较多,甚至缺失系列重要安全补丁。扫描结果也显示某些服务器具有严重安全漏洞：Vu1.nrrdb1.HyinServerServiceCou1.dA1.1.owRemoteCodeExecutioa(921883)-KetworkcheckSyno>sts:ArbitrarycodecanbeexecutedOntheremotehostduetoaf1.awnthe'server'SerVCe.Description:Tberemotehost8VUhefab1.Rtoabufferoverruninthe'Servet*SerVKU*4mayXOWanEUCkeftoexecutearbitrarycodeontheremotehostwiththe'System'privi1.eges.VuknerabAtyinSMBCou1.dAMowRemoteCodeExecution(896422)-HetvrorkCheckSynopsts:ArbitrarycodecanbeexecutedontheremotehostduetoafhwhtheSMBKnp1.ementatton.Description:TheremoteVers1.onofWndoWSContahSafwrtheServerMessageBtodc（SMB）ECmentdt）OnWhehmaya1.owanattackertoexecutearbitrarycodeOntheremotehostAnattackerdoesnotneedtobeauthenticatedtoexp1.oitthsHaw.Q）戚物分析未及时安装Windows操作系统的最新安全补丁，将使得已知漏洞仍然存在丁系统上。由于这些已知漏洞都已经通过Intcmci公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。（3）现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作.数据每天进行备份，具有应急系统。（4）风险评价风险名称非法者利用已知漏洞攻击Wind。、S系统可级别2能一性描述非法者有可能利用已知漏洞攻击WindOWS系统“级别4非法并利用已知漏洞攻击Windows系统,对XXX附属儿童医院的管Iv1.JJ1.Ht理运营具有严重影响.风险级别中