某业务运维信息系统风险评估报告

1、XXX业务运维信息系统风险评估报告文档控制提交方提交日期版本信息日期撰写者审核者所有权声明文档里的资料归XX开拓信息系统XX （以下简称“XX开拓”）所有。未经XX开拓事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看方案将被认为获取了 XX开拓的私有信息而遭受法律的制裁。目录1 .评估项目概述51.1. 评估目的和目标5L2.被评估系统概述6L2.1.系统概况62 .风险综述62.1. 风险摘要62.1.1. 风险统计与分析62.1.2. 极高风险摘要102.1.3. 高风险摘要102.1.4. 中风险摘要112.1.5. 低风险摘要122.2. 风险综述133 .

2、风险分析183.1. 网络通信183.1.1. VLAN间未做访问控制183.1.2. 内网设计中存在单点故障风险193.1.3. 外网设计中存在单点故障风险203.1.4. 无专业审计系统213.1.5.SSG520防火墙配置策略不当223.1.6. 网络边界未做访问控制233.2. 安装部署253.2.1. Windows系统未安装最新补丁 253.2.2. Windows系统开放了不需要的服务263.2.3. Windows系统开放了默认共享273.2.4. Windows系统存在权限控制不当的共享293.2.5. Windows系统过多的管理员账号303.2.6. Windows系统账

3、户策略配置不当323.2.7. Windows系统审核策略配置不当343.2.8. Windows系统事件日志策略配置不当353.2.9. Windows系统终端服务开放在常规端口 363.2.10. Windows系统未禁用Guest账号373.2.11. l.Windows系统没有重命名管理员账号393.2.12. Windows系统管理员账号弱口令403.2.13. Windows系统允许匿名FTP访问413.2.14. Windows系统IIS允许父路径433.2.15. Windoiws系统存在IIS示例程序443.2.16. Windoiws系统存在IIS目录权限设置不当453.2

4、.17. Windoiws系统IIS脚本默认映射473.2.18. Windoiws系统SNMP默认团体字483.2.19.BBS数据库文件未改名503.2.19. SQL Server数据库未安装最新补丁 513.2.20. SQL Server数据库审核级别设置不当533.2.21. SQL Server数据库服务运行在特权账号下543.2.22. SQL Server数据库存在存在xp_cmdshell等扩展存储过程553.2.23. SQL Server数据库管理员账户使用弱口令563.2.25. 未限制可登录Cisco交换机的IP地址583.2.26. Cisco交换机开放过多不需要

5、的SNMP服务593.2.27. 使用弱密码管理Cisco交换机613.2.28. cisco交换机的SNMP只读及读写存在弱密码633.2.29. SSG520的SNMP只读及读写存在弱密码643.2.30. SUN Solaris未安装最新安全补丁 653.2.31. SUN Solaris 存在弱口令XX663.2.32. SUN Solaris使用明文协议维护主机683.2.33. SUN Solaris ftp服务允许匿名用户访问693.2.34. SUN Solaris 存在极危险的.rhosts 文件 713.2.35. 系统存在有安全漏洞的HTTP服务器723.2.36. SU

6、N Solaris启用了多个不需要的服务733.2.37. Oracle监听器安全配置不当743.2.38. Oracle数据库调度程序漏洞763.2.39. Oracle数据库多重目录遍历漏洞773.2.40. SUN Solaris主机系统日志无备份793.3. 认证授权803.3.1. 系统未采用安全的身份鉴别机制803.3.2. 未对数据库连接进行控制813.4. 安全审计833.4.1. 无登录日志和详细日志记录功能833.5. 备份容错843.5.1. 无异地灾备系统843.5.2. 数据每份无异地存储853.5.3. 核心业务系统存在单点故障863.6. 运行维护873.6.1.

7、 未形成信息安全管理制度体系873.6.2. 未规X安全管理制度的维护883.6.3. 人员岗位、配备不完善893.6.4. 未与相关人员签订XX协议903.6.5. 未规X信息系统建设913.6.6. 运维管理待健全933.7. 物理环境943.7.1. 机房存在多余出入口 943.7.2. 机房未进行防水处理953.7.3. 机房内无防盗报警设施963.7.4. 防火措施不当973.7.5. 未采取防静电措施983.8. 系统开发993.8.1. 系统未进行分级管理993.8.2. 系统开发外包管理有待完善1003.8.3. 未规X系统培训环境1023.8.4. 未规X 口令管理1033.

8、8.5. 未对用户登陆进行安全控制1043.8.6. 系统会话进行限制1054 .安全建议总结1064.3. 网络通信1064.4. 安装部署1074.5. 认证授权1084.6. 安全审计1084.7. 备份容错1084.8. 运行维护1084.9. 物理环境1094.10. 系统开发1095 .附录:信息安全风险级别定义110I .评估项目概述II .评估目的和目标对XXX信息系统进行风险评估，分析系统的脆弱性、所面临的威胁以及由此 可能产生的风险；根据风险评估结果，给出安全控制措施建议。风险评估X围包括：(1) 安全环境：包括机房环境、主机环境、网络环境等；(2)硬件设备：包括主机、网络

9、设备、线路、电源等；(3)系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等;(4)网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；(5)数据交换：包括交换模式的合理性、对业务系统安全的影响等；(6)数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份 /恢复机制；(7)人员安全及管理，通信与操作管理；(8)技术支持手段；(9)安全策略、安全审计、访问控制；估系统概述1.2.1 .系统概况XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理 用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换 机、防火墙以及安全控制设

10、备等构成，内外网物理隔离，外网为访问互联网相关服 务为主，内网为XXX生产网络。2.风险综述21.风险摘要 2.LL风险统计与分析经过风险分析，各级风险统计结果如下:风险级别风险数量百分比极高风险22.94%高风险913.24%中风险3957.35%低风险1826.47%总计68100%根据风险评估统计结果，各级风险统计结果分布如下图所示:板高风险 2低风险 1826.47%高风险 9中风险3957.35%极高风险，商风险，中风险4低风险各类风险分布数量如下表所示:类别风险级别总计低风险中风险高风险极高风险运行维护15006系统开发14106物理环境03205网络通信21115认证授权0200

11、2备份容错00213安装部署13243040安全审计10001总计18399268各类风险及级别分布如下图所示:极高风险高风险中风险口低风险极高风险分布如下图所示:极高风险分布运行维护极高风险高风险分布如下图所示:高风险分布运行维护认证授权一高风险中风险分布如下图所示:中风险分布安全审计安装部署运行维护2520150系统开发物理环境中风险备份容错网络通信认证授权低风险分布如下图所示:低风险分布运行维护15安全审讦 10系统开发5/ / XEX 低风险安装部署一物理环境备份网络通信认证授权2.1.2 .极高风险摘要极高风险摘要2备份容偌1令核心业务系统单点故障导致业务中断1网络通信1令内网单点一

12、故障风险造成业务系统服务停止12.13高风险摘要高风险摘要9安装部署3令非法者极易获得系统管理员用户权限攻击SUN SOLARIS系1 统令非法者利用SQL Server管理员账号弱口令渗透进系统1令 非法者利用管理员账号弱口令尝试登录Windows系统1备份容错2令备份数据无异地存储导致灾难发生后系统不能快速恢复1令灾难发生后业务系统难以快速恢复1网络通信1令非法者利用医保服务器渗透进内网1物理环境2令防火措施不当引发更大损失1令机房未进行防水处理引起设备老化、损坏1系统开发1令 未规X口令管理导致用户冒用12.1.4.中风险摘要中风险39安装部詈24令SUN Solaris远程用户配置不当

13、造成无需验证登录到主机 1令非法者获得数据库权限进而获得系统管理员权限1令 非法者或蠕虫病毒利用默认共享攻击Windows系统1令非法者或蠕虫病毒利用权限控制不当的共享攻击Windows 1 系统令 非法者利用Guest账号攻击Windows系统1令 非法者利用HS目录权限设置问题攻击Windows系统1令非法者利用Oracle数据库调度程序漏洞远程执行任意指令 1令 非法者利用SQL Server的xp-cmdshell扩展存储过程渗透1进系统令 非法者利用SQL Server漏洞攻击Windows系统1令 非法者利用Web server的漏洞来攻击主机系统1令 非法者利用不当的监听器配置攻

14、击Oracle系统1令非法者利用匿名FTP服务登录FTP系统1令非法者利用已启用的不需要服务攻击Windows系统1令 非法者利用已知Windows管理员账号尝试攻击Windows1系统令 非法者利用已知漏洞攻击SUN SOLARIS系统1令 非法者利用已知漏洞攻击Windows系统1令 非法者利用远程桌面登录Windows系统1令非法者破解Cisco交换机弱密码而侵入系统1令 非法者通过SNMP修改cisco交换机配置1令 非法者通过SNMP修改SSG520防火墙配置1令非法者通过Sun Solaris不需要服务的安全漏洞入侵系统 1令非法者通过监听和伪造的方式获得管理员与主机间的通信内 1

15、 容令 非法者有更多机会破解Windows系统密码1令系统管理员账号失控威胁Windows系统安全1认证授权2令未对数据库连接进行控制导致系统非授权访问1令系统未采用安全的身份鉴别机制导致用户账户被冒用1网络通信1令 外网单一单点故障风险造成Internet访问中断1物理环境3令机房存在多余出入口可能引起非法潜入1令机房内无防盗报警设施引起非法潜入1令未采取防静电措施引起设备故障1系统开发4令生产数据通过培训环境泄露1令未对系统会话进行限制影响系统可用性1令 未做用户登录安全控制导致用户被冒用1令系统开发外包管理有待完善引发系统安全问题1运行维护5令安全管理体系不完善引发安全问题1令人员岗位、

16、配备不完善影响系统运行维护1令 未规X信息系统建设影响系统建设1令未与相关人员签订XX协议引起信息泄密1令运维管理不完善引发安全事件12.1.5.低风险摘要18低风险安全审计1令 发生安全事件很难依系统日志追查来源1令安装部署13令SQL Server发生安全事件时难以追查来源或异常行为1令Windows发生安全事件难以追查来源或非法行为2令非法者可从多个地点尝试登录Cisco交换机1令 非法者利用DVBBS数据库渗透进Windows系统1令 非法者利用HS默认映射问题攻击Windows系统1令 非法者利用HS示例程序问题攻击Windows系统1令 非法者利用HS允许父路径问题攻击Window

17、s系统1令非法者利用Oracle数据库漏洞可获得任意文件读写权限1令 非法者利用SNMP服务获取Windows主机信息1令 非法者利用SUN Solaris匿名FTP服务登录FTP系统1令非法者利用开启过多的snmp服务获得详细信息1令日志无备份对系统管理和安全事件记录分析带来困难1网络通信2令出现安全事件无法进行有效定位和问责1令非法者利用防火墙配置不当渗透入外网1系统开发1令系统未进行分级管理导致核心系统不能得到更多的保护1运行维护1令安全管理制度缺乏维护导致安全管理滞后12.2.风险综述(1)网络通信方面1)内网设计中存在单点故障风险，当wins/dns服务器发生故障后，网 内所有域用户

18、全部都不能正常登录到域，造成业务信息系统无法提供正 常服务。2)网络边界未做访问控制，XXX内网是生产网，安全级别比较高，但跟 安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的 非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透 入XXX内网。3)外网设计中存在单点故障风险，外网网络中存在4个单点故障风险点, 每一单点故障点发生故障都会造成Internet访问中断，影响外网用户 的正常工作C4) SSG520防火墙配置策略不当，可能导致非法者更容易利用防火墙的 配置问题而渗透入XXX外网,或者外网用户电脑被植入木马等程序后, 更容易被非法者控制。5)无专业审计系统，无法

19、对已发生安全事件准确回溯，将给确认安全事件 发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信 息将无法作为安全事件发生的证据。(2)安装部署方面1) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、 Cisco交换机等等均存在管理员账号弱口令的情况，管理员账号口令强 度不足，可能导致管理员账号口令被破解，从而导致非法者可以利用被 破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。2) Windows操作系统、SUN Solaris操作系统、SQL Server数据库等 均未安装最新安全补丁，这将使得已知漏洞仍然存在于系统上。由于这 些

20、已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可 能利用这些已知漏洞攻击系统。3) Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服 务，不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务 而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因 此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者 更有可能攻击成功。4) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、 Oracle数据库等均未进行安全配置，存在部分配置不当的问题，错误的配置可能导致安全隐患，或者将使得非法者有更多机会利

21、用系统的安 全问题攻击系统，影响业务系统安全。(3)认证授权方面1)未对数据库连接进行控制，数据库连接账号口令明文存储在客户端，可 能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据 库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得， 从而影响系统运行，数据泄露；数据库服务器没有限制不必要的客户端 访问数据库，从而导致非授权用户连接，影响系统应用。2)系统未采用安全的身份鉴别机制，缺乏限制XX不活动时间的机制、缺 乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使 用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机 制等可能引起系统用户被冒用的风

22、险。(4)安全审计方面1)无登录日志和详细日志记录功能，未对登录行为进行记录，也未实现详 细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系 统受到严重影响。(5)备份容错方面1)核心业务系统存在单点故障，合理用药系统无备份容错机制，而且是用 的是pc机提供服务，非常有可能由于系统故障而导致合理用药系统无 法提供服务，而核心业务系统依赖合理用药系统，可能导致业务中断。2)数据备份无异地存储，未对系统配置信息和数据进行异地存储和备份， 当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统 的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时 无法恢复到正常配置，影

23、响到系统的可用性。3)无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复， 严重影响了系统的可用性。（6）运行维护方面1）人员岗位、配备不完善，可能造成未授权访问、未授权活动等风险；在 信息技术人员相对缺乏的情况下，无法做到充分的职责分离和岗位轮 换，可能产生潜在的安全隐患。2）未规X信息系统建设，无第三方安全检测，造成检测结果不能准确、 客观的反应产品的缺陷与问题；缺乏信息系统操作风险控制机制和流 程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生 误操作风险；开发公司未提供完整的系统建设文档、指导运维文档、系 统培训手册，使得运维人员无法规X化管理，无法对系统存档备案

24、； 未针对安全服务单独签署XX协议，存在信息泄露无法追究责任的安全 隐患。3）未形成信息安全管理制度体系，缺乏信息系统运行的相关总体规X、管 理办法、技术标准和信息系统各组成部分的管理细则等文档，运维人员 将缺乏相关指导，会影响信息系统的安全运行维护工作。4）未与相关人员签订XX协议，未针对关键岗位、第三方单独签署XX协 议，存在信息泄露无法追究责任的安全隐患。5）运维管理待健全，不采用合适的方法为信息系统划分适当的保护等级， 就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的安全 或造成有限的资源被浪费;缺乏管理制度规章和管理办法或制度规章和 管理办法已不适用或难以获得，则信息中心人

25、员缺乏行为指导，信息中 心信息安全处于无序状态，极易发生信息安全事件，影响组织的正常经 营活动；暂无网络和系统漏洞扫描模块，可能由于网络或系统漏洞引起 业务中断。6）未规X安全管理制度的维护，信息科技管理制度规章和管理办法制定、 审批和修订流程不同规X会造成版本混乱、互相冲突，影响其贯彻执 行，极易发生信息安全事件，影响组织的正常经营活动。（7）物理环境方面1）防火措施不当，无耐火级别的建筑材料无法减小火灾造成的损失，不熟 悉消防设备使用方法、没有紧急处理流程或不熟悉紧急处理流程，不能 及时处理火灾或处理不善，会导致火灾损失增大，机房存放杂物，导致 不能及时处理火灾或处理不善，会导致火灾损失增

26、大。2）机房未进行防水处理，未采取防水处理，可能导致渗水，返潮等问题， 会加速设备老化，严重的可导致设备不能正常工作。3）未采取防静电措施，未使用防静电手环，可能遭静电影响造成计算机系 统故障或损坏，影响单位业务进行；没有适当的电磁防护，可能由于电 磁影响造成计算机系统故障或损坏或信息泄漏，影响单位业务进行。4）机房内无防盗报警设施，机架前后面板未封闭，导致设备被破坏的可能 性增大；无警报系统，无法在第一时间通知责任人作出反应5）机房存在多余出入口，除可控入口外，其他的人口的存在会增加医院外 部人员潜入医院机房破坏信息系统的可能。（8）系统开发方面1）未规x 口令管理，采用通用默认账号的口令可

27、能引起账号冒用，引起 数据泄密或篡改；初始化登陆不强制更改口令，可能引起用户冒用账户 的风险，影响业务数据的真实性；不设置复杂口令，可能引起用户密码 被猜解的风险，影响业务数据的真实性；未设置口令使用期限，可能引 起用户未授权访问的风险，影响业务系统的正常应用。2）未对系统会话进行限制，未对系统最大并发会话数进行控制，可能引起 系统超载，使系统服务响应变慢或引起宕机，影响系统的可用性；未对 空闲会话进行控制，导致占用系统多余资源，无法进行科学合理的资源 分配，影响了系统的可用性。3）未规X系统培训环境，使用病患的真实数据对业务人员进行操作培训 评估小组现场观测时发现，培训环境由于某种原因，将所

28、有用户口令清 空，有可能造成有关信息被不必要人员获得，造成信息泄露。4）系统开发外包管理有待完善，系统开发设计外包服务如果不能很好的做 好技术传递工作，则离开外包服务方系统可能很难进行安全稳定的运行 和维护；系统开发未作安全需求分析，可能导致系统设计架构不合理， 影响系统安全稳定运行；外部人员调离后，不对其权限进行回收，可能 引起非法访问的风险；开发公司未提供系统建设文档、指导运维文档、 系统培训手册，使得运维人员无法规X化管理，无法对系统存档备案。5)系统未进行分级管理，不采用合适的方法为信息系统划分适当的保护等 级，就无法评估其安全防护是否适当，不适当的保护等级会威胁系统的 安全或造成有限

29、的资源被浪费。3.风险分析3.1. 网通信3.1.1. VLAN间未做访问控制(1)现状描述内网VLAN中的主机网关全部指到内网核心交换机C6509上，外网VLAN的 主机网关都指在外网核心交换机4506 o内外网对这些VLAN的路由未作控制， 各个VLAN间通过C6509(4506)可以进行互访。(2)威胁分析由于各个VLAN代表不同的业务内容，安全级别也是不同的，需要在不同的 VLAN间做访问控制。现有配置，各个VLAN间路由都是通的，那么各个VLAN间就都可以互访，安 全级别低的VLAN可以访问安全级别高的VLAN,这样VLAN设定的目的效果就大 大削弱了。安全级别低的VLAN尝试访问高

30、级别VLAN,有意或者无意的破坏高级别 VLAN中服务器上的数据，将会对XXX的业务造成重大的影响。(3)现有或已计划的安全措施核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略。(4)风险评价风险名称1触者从普通VLAN渗透到核心VLAN可级别3能 性描述非法者很可能从普通VLAN渗透到核心VLAN。影响级别3描述非法者从普通VLAN渗透到核心VLAN,对XXX的管理运营具有一定 影响。风险级别高(5)建议控制措施序号建议控制措施描述1定义VLAN安全级别及访问关 系由网络管理员定义各个VLAN的安全级别 和互相之间的访问关系表2修改核心交换机上VLAN间访 问控制策略按照已

31、定义好的VLAN间访问关系表，重 新定义访问控制列表，控制VLAN间的访 问关系3.1.2. 内网设计中存在单点故障风险(1)现状描述分析XXX目前实际的网络情况，我们发现内网中存在蛋单点故障风险，其中 内网接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。(2)威胁分析当此服务器发生故障后，网内所有域用户全部都不能正常登录到域，造成业务 系统服务停止C(3)现有或已计划的安全措施无。(4)风险评价风险名称内网单点故障风鳏血务系统服的止可级别4能 性描述内网单点故障风险很可能造成业务系统服务停止。影响级别5描述业务系统服务停止会造成用户对外服务效率降低，并由于用户业务为 公众服务

32、业务，服务停止后会对用户造成极大的影响。风险级别极高(5)建议控制措施序号建议控制措施描述1配备内网Wins/dns热备服务 器采用双机热备技术，有效降低单一故障风 险。2配备内网Wins/dns冷备服务 器配备冷备设备，能满足在可接受的时间X 围恢复服务3.1.3. 外网设计中存在单点故障风险(1)现状描述分析XXX目前实际的网络情况我们发现外网中存在单点故障风险，其中外网 接入访问控制系统中WINS/DNS服务器没有采用热备或冷备措施。Internet接入 设备SSG520防火墙，城市热点计费网关与外网核心交换机4506-1单线接入，没 有链路和设备备份措施。(2)威胁分析外网网络中存在4

33、个单点故障风险点，每一单点故障点发生故障都会造成 Internet访问中断，影响外网用户的正常工作。(3)现有或已计划的安全措施无。(4)风险评价风险名称外网单点故障风险造成Internet访问中断可 能 性级别4描述网络接入控制系统系统中存在点故障风险，故障发生可能性较高影响级别2描述外网单点故障风险造成Internet访问中断，对XXX管理运营具有轻 微影响。风险级别中(5)建岫制措施序号建议控制措施描述1外网单点设备配备热备服务器采用双机热备技术，有效降低单点故障风 险。2外网单点设备配备冷备服务器配备冷备设备，能满足在可接受的时间x 围恢复服务3.L4 ,无专业审计系统(1)现榭S述现

34、有XXX内外网网络均无专业审计系统。(2)威胁分析无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时 间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全 事件发生的证据。(3)现有或已计划的安全措施无。(4)风险评价风险名称出现安全树无法进行极定位和问责可级别2能 性描述出现安全事件而无法发现的情况有可能发生影响级别2描述出现安全事件无法进行有效定位和问责，将对XXX的管理运营具有轻 微影响风险级别低(5)建议控制措施序号建议控制措施描述1采购专业的审计系统采购并集中部署专业的审计系统，并启动 网络设备和安全设备上的日志服务。2定期审计日志中的异常记录指

35、定专人负责，定期对日志进行审计，查 看是否有异常记录。3.1.5. SSG520防火墙配置策略不当(1)现状描述分析SSG520的配置文件，发现防火墙配置的端口控制中开放了过多的不用使 用端口，例如 10700, 3765, 8888, 445端口等。set service ”ftp_mail_QQ_MSN” protocol tcp src-port 0-65535 dst-port 10700-10700set service ftp_mail_QQ_MSN” + tcp src-port 0-65535 dst-port 21-22 set service ”ftp_mail_QQ_MS

36、N + tcp src-port 0-65535 dst-port 445-445 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 25-25 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 110-110 set service ”ftp_mail_QQ_MSN” + tcp src-port 0-65535 dst-port 8888-8888set service ”ftp_mail_QQ_MSN” + tcp src-port 0-65535

37、dst-port 8080-8080set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 3765-3765set service ”_dns protocol tcp src-port 0-65535 dst-port 80-80set service dns + tcp src-port 0-65535 dst-port 53-53set service :dns + udp src-port 0-65535 dst-port 53-53set service dns + tcp src-port 0-65535 dst-p

38、ort 443-443 et(2)威胁分析防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XXX 外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。(3)现有或已计划的安全措施无。(4)mw风险名称m喀者利用防火墙配置不当渗透入外网可 能 性级别2描述非法者可能利用防火墙配置不当渗透入外网。影响级别2描述非法者利用防火墙配置不当渗透入外网，将对XXX的管理运营具有 轻微的影响。风险级别低(5)建蟠制措施序号建议控制措施描述1删除SSG520防火墙不使用 的端口的访问控制策略删除 service ftp_mail_QQ_MSN” 中的 10700, 3765, 888

39、8, 445 等不使用的端口访问控制策略3.1.6. 网络边界未做访问控制(1)现状描述根据我们检查和访谈得知XXX内网和市医保网通过一台医保服务器配置的双 网卡和市医保网连接，医保网是不属于XXXX围内的专网，通过医保服务器采集数 据通过专网传送到相关使用部门，跟医保网的连接属于边界连接，但在边界上未做 任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统。(2)威胁分析XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边 界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻 击医保服务器后再渗透入XXX内网。(3)现有或已计划的安全措施无

40、。(4)风险评价风险名称可目去者利用医保服务器渗透进内网可 能 性级别3描述非法者可能利用医保服务器渗透进内网影响级别4描述非法者可能利用医保服务器渗透进内网，对XXX管理运营具有严重 影响。风险级别高(5)建以控制措施序号建议控制措施描述1制定医保网对医保服务器的 访问策略可在医保服务器上加装放火墙软件来实 现对从医保网来的访问控制2制定加强医保服务器和内网 连接的访问控制策略通过改变网络拓扑在医保服务器和内网 间配置硬件防火墙，或通过内网核心交换 机实现对医保服务器的访问控制。3.2. 安装部署3.2.1. Windows系统未安装最新补丁(1)现状描述当前，被检查windows系统均未安

41、装最新补丁，并且补丁安装情况各不相同, 有些补丁缺失较少，有些缺失较多，甚至缺失一系列重要安全补丁。扫描结果也显示某些服务器具有严重安全漏洞：Vulnerability in Server Service Couki Alk)w Remote Code Execution (921883) - Network cheGkSynopsis:Arbitrary code can be execxited on the remote host due to a flaw in the serverservice.Description :The remote host is vulnerable t

42、o a buffer overrun in the Server* service which may allow an attacker to execute arbitrary code on the remote host with the System privileges.Vulnerability in SMB Could Allow Remote Code Execution(896422)- Network CheckSynopsis;Arbitrary code can be executed on the remote host due to a flaw in the S

43、MB implementation.Description :The remote version of Windows contains a flaw in the Server MessageBlock (SMB) implementation which may allow an attacker to execute arbitrary code on the remote host.An attacker does not need to be authenticated to exploit this flaw.(2)威胁分析未及时安装Windows操作系统的最新安全补丁，将使得已

44、知漏洞仍然存在于 系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有 可能利用这些已知漏洞攻击系统。(3)现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略, 只能使用特定的业务系统，无法对终端操作系统做更多操作。(4)风险评价风险名称m隈者利用已知漏洞攻击Windows系统可 能 性级别2描述非法者有可能利用已知漏洞攻击Windows系统影响级别4描述非法者利用已知漏洞攻击Windows系统，对XXX附属儿童医院的 管理运营具有严重影响。风险级别中(5)建议控制措施序号建议控制措施描述1订阅安全漏洞补丁通告订阅Window

45、s系统的安全漏洞补丁通告， 以及时获知Windows系统的安全漏洞补 丁信息。2安装组件最新安全版本从厂商站点下载最新安全补丁，在测试环 境里测试正常后，在生产环境里及时安装。3.2.2. Windows系统开放了不需要的服务(1)现状描述当前，被检查windows系统均开放了不需要的服务，如: DHCP Client Print Spooler Wireless Configuration MSFTP SMTP等可能不需要的服务。(2)威胁分析不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统, 而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存 在的

46、安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。(3)现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略, 只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。风险名称耳村去者利用已启用的不需要服务攻击Windows系统可 能 性级别2描述非法者有可能利用利用已启用的不需要服务攻击Windows系统影响级别4描述非法者利用已启用的不需要服务攻击Windows系统，对XXX附属 儿童医院的管理运营具有严重影响。风险级别中(5)建以控制措施序号建议控制措施描述1禁用不需要的服务从系统正常运行、主机系统管理维护角度， 确

47、认系统上哪些服务是不需要的。对于系 统上存在的不需要的服务，立即禁用。3.2.3. Windows系统开放了默认共享(1)现树述当前，被检查windows系统均开放了默认共享，如:Access: F - Full, R - Read, w - Write, D - 1ydete X - Exeoitq C - ChangeScoreShareDirectoryShare ACLDirectory AClOADMINSAdrn ShareMT ALfTHORTnvUthertoted Um -RX, BJlLHNSefw Orcrotor? - RV/XD, BJILTnMdrncstrKcn

48、F, HT AUTHORirrSTB*1 - F, Eva we - RX0c5c：Adrn ShareEver*/un- -FD；1AchiiSh3reEveryone -FNCTlOGCtVCJtHMTWOL出中u . am 区RIPTGGvefyone - R , Acinnstrators - FMT AUTHORrrrAuthenb:ated Users - RX, 0JILTlN$efwCtraM - RX, 0JllTNAdfnnsa：CC8 - Fr NTAUTHO(UTY0fSWFOSYSVOLC: WJ【NMTS0a 32Evef/one -R, Acinnstrators

49、 -F, KT ALnH3RirrAuthcnxDWi u?cn fMT AUTHORIRAuthenbated Users - RX, 0JILTlN$efw Opcrotor5 - RX, 0JlLTlNAdmirt$ffOTCf5 - Ff NT AUTHOTTSTB-Fofacand0叼5 FiesTrend Mcropffi:aan 甲 CCSRUAdmatrators - F, uer)x)ne - RBJILTlKVdninstratcfs - F, Every ore - RX, MT AUTg TTYSTSTBTF等系统默认共享。(2)威胁分析存在的默认共享可能使非法者获得访

50、问共享文件夹内数据的机会，对非法者侵 入系统、扩大渗透程度提供了额外的机会，另外，默认共享可能增加受蠕虫病毒的 传播机会。因此，除非必要，应该去掉默认共享。(3)现有或已计划的安全措施内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略, 只能使用特定的业务系统，无法对终端操作系统做更多操作。数据每天进行备份，具有应急系统。(4)风险评价风险名称耳隈者如虫病毒利用蚓击Windows系统可 能 性级别1描述非法者或蠕虫病毒有可能利用默认共享攻击Windows系统。影响级别3描述非法者或蠕虫病毒利用默认共享攻击Windows系统，对XXX附属 儿童医院的管理运营具有一定影响。风险级

51、别中序号建议控制措施描述1关闭系统默认共享关闭所有非必要开放的系统默认共享。2设置访问控制策略对所有相关服务器设置必要的访问控制策 略，限制非必要客户端对相关服务器的非 必要端口的访问。3.2.4. Windows系统存在权限控制不当的共享(1)现树S述当前，被检查 windows 系统(6、4、02、02)存在一些权限控制不当的共享，如下图:Access: F - Full, R - Read, W - Write, D - Delete, X - Execute, C - ChangeScoreSh

52、areDirectoryShare ACLDirectory ACLeadmh Sh=teDirectory ACL can not be read.oADMINSC:WIIOOWSAdmh ShaesmL-nNKJsers-RX, BUILTINVower usersBUH-nNduheVatOfS -F.rJT ACTTHORnVSrsrl-FC5c：Admr Shsre8ULTir4A(h)ntrarg - F, NT AUTHORJTYSfST小 1 - F, QUILTlNVscrs - Q, Evense - MClcntfnstolU:fEtlnstdlEwerem R0ULTjNAfHn5VDSD：adtnh ShaeBUHTINVkd-nheUatOfS -F,NT AUTHORnViSrSTI -Fr BUILTINVsers - R, E/etyone - RX0CSSetupDfD5SetLP5soM - RSULT2NV(fnnetrars -FJH AUTHORJTYsrSTS*I - F, SUD.TINVsers -