公司信息系统风险评估报告.docx

公司信息系统风险评估报告F1.录1 目21.1. 评估目的和目标21.2. 被评估系统概述21.1. 风险摘要21.2. 风险综述93 .5)1331.网络通信133.1. 安装部署193.2. 认证授权673.3. 安全审计7()3.4. 备份容错713.5. 运行维护743.6. 物理环境8()3.7. 系统开发854 安全.迪总结Oi4.1. 网络通信914.2. 安装部署914.3. 认证授权924.4. 安全审计924.5. 备份容错924.6. 运行维护924.7. 物理环境934.8. 系统开发931 .评估项目概述1.1. 评估目的和目标对XXX信息系统进行风险评估,分析系统的脆弱性、所面临的威胁以及由此可能产生的风险：根据风险评估结果,给出安全控制措施建议。风险评估范围包括：(1)安全环境：包括机房环境、主机环境、网络环境等：(2)便件设备：包括主机、网络设备、线路、电源等：(3)系统软件：包括操作系统,数据库、应用系统、监控软件、备份系统等：(4)网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；(5)数据交换：包括交换模式的合理性、对业务系统安全的影响等：(6)数据备份/恢安：包括主机操作系统、数据库、应用程序等的数据备份/恢豆机制；(7)人员安全及管理，通信与操作管理：（三）技术支持手段：<9)安全策略、安全审计、访问控制：1.2. 被评估系统概述1.2.1. 系统概况XXX信息系统主要由HIS系统、IJS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成，内外网物理隔离，外网为访问互联网相关服务为主，内网为XXX生产网络。2 .风险综述2.1. 风险摘要2.1.1. 风险统计与分析经过风险分析，各级风险统计结果如下：风险级别风险数很百分比极高风险2294%高风险913.24%中风险3957.35%低风险1826.47%总计681(X)%根据风险评估统计结果，各级风险统计结果分布如下图所示:极高反蝮9林曷风nt，中风险Mftxa各类风险分布数量如下表所示:类别风险级别总计低风险中风险高风险极高风险运行维护15OO6系统开发I41O6物理环境O32O5网络通信21115认证授权O2OO2备份容错OO213安装部署13243O40安全审计1OOO1类别风险级别总计总计18399268各类风险及级别分布如下图所示:中风盼低风0昌风险极高风险分布如卜图所示:极高风险分布将风险分布如下图所示:高风险分布安令计2IS系统开发一AKAuae«中风险分布如下图所示：中风险分布tMr安全计i0*发开发15105>0，妁"呼战中风号低风险分布如卜图所示:低风险分布安全审计系统开发-«KI*&伶*网，uaft«2.1.2. 极高风险摘要极高风险摘要2备份容错J核心业务系统单点故障导致业务中断I网络通信1内网单点一故障风险造成业务系统服务停止12.1.3. 高风险摘要高风险摘要9 装部署3 非法者极易获得系统管理员用户权限攻击SUNSO1.ARIS系1统Q非法者利用SQ1.SerVer管理员账号弱口令渗透进系统I 非法者利用管理员账号弱口令尝试登录Windows系统I备份容错2 备份数据无异地存储导致灾难发生后系统不能快速恢复1 灾难发生后业务系统难以快速恢熨I网络通信1 非法者利用医保服务器渗透进内网1物理环境2 防火措施不当引发更大损失I 机房未进行防水处理引起设省老化、损坏1系统开发Q未规范口令管理导致用户冒用2.1.4. 中风险摘要" 装部署24。SUNSo1.nris远程用户配四不当造成无需验证登录到主机 非法者获得数据库权限进而获得系统管理员权限1 非法者或蟠虫病毒利用默认共享攻击Windows系统1 非法者或蟠虫病毒利用权限控制不当的共享攻击Windows1系统 非法者利用Gucst账号攻击Windows系统I 非法者利用IIS目录权限设置问题攻击Windows系统1 非法者利用OraCIe数据库调度程序漏涧远程执行任意指令I非法者利用SQ1.SCrVCr的xp.cmdshc1.1.扩展存储过程渗透进I系统 非法者利用SQ1.SerVer漏洞攻击Windows系统1 非法者利用WebSerVer的漏洞来攻击主机系统Q非法者利用不当的监听器配置攻击OnICIC系统I 非法者利用匿名FTP服芬登录FTP系统1 非法者利用已启用的不需要服务攻击Windows系统1 非法者利用已知Windows管理员账号尝试攻击Windows系统 非法并利用已知漏洞攻击SUNSo1.ARIS系统1 非法者利用已知漏涧攻击WindOWS系统1 非法者利用远程桌面登录Windows系统I 非法者破解Cisco交换机弱密码而侵入系统1 非法者通过SNMP修改CisCO交换机配置1 非法者通过SNMP修改SSG520防火墙配置 非法者通过SUnSO1.ariS不需要服务的安全漏洞入侵系统I 非法者通过监听和伪造的方式获得管理员与主机间的通信内1容 非法者有更多机会破解WindOWS系统密码IQ系统管理员账号失控威胁Windows系统安全I认证授权2 未对数据库连接进行控制导致系统非授权访问1÷系统未采用安全的身份鉴别机制导致用户账户被冒用I网络通侑1令外网单单点故障风险造成InIerne1.访问中断1物理环境3。机房存在多余出入口可能引起非法潜入I令机房内无防盗报警设施引起非法潜入1Q未采取防静电措施引起设符故障1系统开发4生产数据通过培训环境泄露I令未对系统会话进行限制影响系统可用性1令未做用户登录安全控制导致用户被冒用1系统开发外包管理有待完善引发系统安全问题1运行维护5安全管理体系不完善引发安全问题1令人员岗位、配备不完善影响系统运行维护1。未规范信息系统建设影响系统建设I令未与相关人员签订保密协议引起信息泄密I令运维管理不不完引发安全全件12.1.5.低风险摘要低风险18安全审讦F令发生安全事件很难依系统日志追查来源1Q安装部署3÷SQ1.Server发生安全事件时难以追杳来源或异常行为IQWindows发生安全事件难以追查来源或非法行为2令非法者可从多个地点卷试登录Cisco交换机1非法者利用DVBBS数据库渗透进Windows系统I。非法者利用HS默认映射问题攻击Windows系统I非法者利用IIS示例程序问题攻击Windows系统1Q非法者利用HS允许父路径问题攻击Windows系统1非法者利用OmCIe数据库漏洞可获得任意文件读写权限IQ非法者利用SNMP服务获取Windows主机信息I令非法者利用SUNSo1.aris匿名FTP服务登录FTP系统1 非法者利用开后过多的snmp服务获得详细信息 日志无备份对系统管理和安全事件记录分析带来困难网络通侑令出现安全事件无法进行有效定位和问贵 非法者利用防火墙配置不当渗透入外网系统开发令系统未进行分级管理导致核心系统不能得到更多的保护运行雉护 安全管理制度缺乏维护导致安全管理滞后2.2.风险综述Q）网络通信方面1） 内网设计中存在单点故障风险，当Winydn、服务器发生故障后，网内所有域用户全部都不能正常登录到域,造成业务信息系统无法提供正常服务。2） 网络边界未做访问控制，XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XXX内网。3） 外网设计中存在单点故际风险，外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet访问中断，影响外网用户的正常工作。4） SSG520防火墙配置策略不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。5） 无专业审计系统，无法对已发生安全事件准酹回溯，将给确认安全事件发生时间，分析攻击源造成极大困难.同时，在依法问货时靓乏审计信息将无法作为安全事件发生的证据.（2）安装部署方面DWindoWS操作系统、SUNSOIariS操作系统、SQ1.ScrVCr数据库、Cisco交换机等等均存在管理员账号弱口令的情况，管理员账号口令强度不足,可能导致管理员账号1.令被破解，从而导致非法者可以利用被破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。6） WindOwS操作系统、SUNSOIariS操作系统、SQ1.SerVer数据库等均未安装最新安全补丁，这将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被井法者获悉，非法者就有可能利用这些已知漏洞攻击系统。7） WindOWA操作系统、SUNSoIari、操作系统均后用多个不需要的眼务，不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修纪，这使得非法者更有可能攻击成功。8） WindOWS操作系统、SUNSO1.ariS操作系统、SQ1.SCrVCr数据库、On1.C1.C数据库等均未进行安全配置，存在部分配置不当的问题，错误的配置可能导致安全的忠，或者将使得非法者有更多机会利用系统的安全问题攻击系统，影响业务系统安全.（3）认证授权方面1）未对数据库连接进行控制，数据库连接账号口令明文存储在客户端，可能导致账户/口令被盗取的风险，从而致使用户账户被目用：部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露：数据库服务器没有限制不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。2）系统未采用安全的身份鉴别机制，缺乏限制帐号不活动时间的机制、缺乏设置密码安杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统用户被自用的风险。