风险应对策略方案

1、风险应对策略方案XXX业务运维信息系统风险评估报告文档控制提交方提交日期版本信息日期版本撰写者审查者描绘所有权申明文档里的资料版权归江苏开辟信息系统有限企业（以下简称“江苏开辟”）所有未经江苏开辟早先书面同意，不得复制或发散任何部分的内容。任何集体或个人未经 同意，私自观看方案将被以为获取了江苏开辟的私有信息而遭到法律的制裁。风险应对策略方案风险应对策略方案风险应对策略方案风险应对策略方案.评估项目概括评估目的和目标对XXX信息系统进行风险评估，剖析系统的柔弱性、所面对的威迫以及由此可能产生的风险；依据风险评估结果，给出安全控制举措建议。风险评估范围包含：安全环境：包含机房环境、主机环境、网络

2、环境等；硬件设备：包含主机、网络设备、线路、电源等；系统软件：包含操作系统、数据库、应用系统、监控软件、备份系统等；网络构造：包含远程接入安全、网络带宽评估、网络监控举措等；数据互换：包含互换模式的合理性、对业务系统安全的影响等；数据备份/恢复：包含主机操作系统、数据库、应用程序等的数据备份/恢复体制；人员安全及管理，通讯与操作管理；技术支持手段；安全策略、安全审计、接见控制；被评估系统概括系统概略XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、 折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、互换机、防火墙以及安全控制设备等构成，内外网物理隔绝

3、，外网为接见互联网有关服务为主， 内网为XXX生产网络。.风险综述风险纲要风险统计与剖析经过风险剖析，各级风险统计结果以下:风险级别风险数目百分比极高风险2%身风险9%风险应对策略方案风险级别风险数目百分比中风险39%低风险18%总计68100%依据风险评估统计结果，各级风险统计结果散布以下列图所示: 各种风险散布数目以下表所示：风险级别总计低风险中风险高风险极高风险运转保护15006系统开发14106物理环境!03205网络通讯21115认证受权02002备份容错00213安装部署13243040安全审计10001总计18399268各种风险及级别散布以下列图所示: 极高风险散布以下列图所示

4、：高风险散布以下列图所示: 中风险散布以下列图所示: 低风险散布以下列图所示:极高风险纲要 TOC o 1-5 h z 极高风险纲要2备份容错1核心业务系统单点故障以致业务中断1网络通讯1内网单点一故障风险造成业务系统服务停止风险应对策略方案高风险纲要 TOC o 1-5 h z 高风险纲要9安装部署3非法者极易获取系统管理员用户权限攻击SUN SOLARIS系 1统非法者利用SQL Server管理员账号弱口令浸透进系统非安装部署24SUN Solaris远程用户配置不妥造成无需考证登录到主机1非法者获取数据库权限从而获取系统管理员权限1非法者或蠕虫病毒利用默认共享攻击Windows系统1非

5、法者或蠕虫病毒利用权限控制不妥的共享攻击Windows系 1统非法者利用Guest账号攻击 Windows系统1一一一、， 1非法者利用IIS目录权限设置问题攻击 Windows系统非法者、 、 ，一一1利用Oracle数据库调动程序破绽远程履行任意指令非法者利 用SQL Server的xp_cmdshell扩展储存过程浸透进系统非法者利用SQL Server破绽攻击 Windows系统1非法者利用Web server的破绽来攻击主机系统法者利用管理员账号弱口令试试登录 Windows系统1备份容错2备份数据无异地储存以致灾害发生后系统不可以迅速恢1复灾害发生后业务系统难以迅速恢复1网络通讯1

6、非法者利用医保服务器浸透进内网1物理环境2防火举措不妥引起更大损失1机房未进行防水办理惹起设备老化、破坏1系统开发1未规范口令管理以致用户冒用12.1.4,中风险纲要中风险39风险应对策略方案非法者利用不妥的监听器配置攻击 Oracle系统 非法者利用匿名FTP服务登录FTP系统非法者利用已启用的不需要服务攻击Windows系统非法者利用已知 Windows管理员账号试试攻击 Windows系统 非法者利用已知破绽攻击SUN SOLARIS系统非法者利用已知破绽攻击 Windows系统非法者利用远程桌面登录Windows系统非法者破 解Cisco互换机弱密码而侵入系统非法者经 过SNMP改正c

7、isco互换机配置非法者经过SNMP改正SSG520防火墙配置非法者经过Sun Solaris不需要服务的安全破绽入侵系统非 法者经过监听和假造的方式获取管理员与主机间的通讯内容非法者有更多时机破解Windows系统密码系统管理员账号失控威迫Windows系统安全认证受权未对数据库连结进行控制以致系统非受权接见系统未采纳安全的身份鉴识体制以致用户账户被冒用 网络通讯外网单调单点故障风险造成Internet接见中断 物理环境机房存在剩余进出口可能惹起非法潜入 机房内无防盗报警设备惹起非法潜入 未采纳防静电举措惹起设备故障系统开发生产数据经过培训环境泄漏 未对系统会话进行限制影响系统可用性 未做用

8、户登录安全控制以致用户被冒用系统开发外担保理有待完美引起系统安全问题 运转保护安全管理系统不完美引起安全问题 人员岗位、装备不完美影响系统运转保护风险应对策略方案 TOC o 1-5 h z 未规范信息系统建设影响系统建设1未与有关人员签订保密协议惹起信息泄密1运维管理不完美引起安全事件1低风险纲要低风险18安全审计1发生安全事件很难依系统日记追查根源1安装部署13SQL Server发生安全事件时难以追查根源或异样行为1Windows发生安全事件难以追查根源或非法行为2非法者可从多个地址试试登录 Cisco互换机1非法者利用DVBBS数据库浸透进 Windows系统1非法者利用iis默认映照

9、问题攻击 Windows系统1非法者利用IIS示例程序问题攻击 Windows系统1非法者利用IIS同意父路径问题攻击 Windows系统1非法者利用Oracle数据库破绽可获取任意文件读写权限1非法者利用SNMP服务获取 Windows主机信息1非法者利用SUN Solaris匿名FTP服务登录FTP系统1非法者利用开启过多的snmp服务获取详尽信息1日记无备份对系统管理和安全事件记录剖析带来困难1网络通讯2出现安全事件没法进行有效定位和问责1非法者利用防火墙配置不妥浸透入外网1系统开发1系统未进行分级管理以致核心系统不可以获取更多的保护1运转保护1安全管理制度缺乏保护以致安全管理滞后1风险

10、综述(1)网络通讯方面风险应对策略方案1)内网设计中存在单点故除风险，当 wins/dns服务器发生故除后，网内所有 域用户所有都不可以正常登录到域，造成业务信息系统没法供给正常服务。2)网络界限未做接见控制，XXX内网是生产网，安全级别比较高，但跟安全 级别相对较低的医保网连结界限未做接见控制从而给从医保网的非法者入侵内网供给了条件，攻击者能够经过攻击医保服务器后再浸透入XXX内网。3)外网设计中存在单点故除风险，外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet接见中断，影响外网用户的正常工作。SSG520防火墙配置策略不妥，可能以致非法者更简单利用防火墙的配

11、置 问题而浸透入XXX外网，或许外网用户电脑被植入木马等程序后，更简 单被非法者控制。5)无专业审计系统，没法对已发生安全事件正确回溯，将给确认安全事件发 生时间，剖析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将 没法作为安全事件发生的凭证。(2)安装部署方面Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco交 换机等等均存在管理员账号弱口令的状况，管理员账号口令强度不足，可 能以致管理员账号口令被破解，从而以致非法者能够利用被破解的管理员 账号登录系统，对业务系统的安全稳固拥有严重威迫。Windows操作系统、SUN Solaris操作系统

12、、SQL Server数据库等均未安 装最新安全补丁，这将使得已知破绽仍旧存在于系统上。因为这些已知破绽 都已经经过Internet宣布而被非法者获悉，非法者就有可能利用这些已知破 绽攻击系统。Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务，不需要的服务却被启用，非法者就能够经过试试攻击不需要的服务而攻击系 统，并且管理员在管理保护过程往常会忽视不需要的服务，所以以致不需要服务中所存在的安全破绽没有被及时修复，这使得非法者更有可能攻击 成功。Windows 操作系统、SUN Solaris 操作系统、SQL Server 数据库、Oracle 数 据库等均未进行

13、安全配置，存在部分派置不妥的问题，错误的配置可能以致 安全隐患，或许将使得非法者有更多时机利用系统的安全问题攻击系统，影 响业务系统安全。(3)认证受权方面1)未对数据库连结进行控制，数据库连结账号口令明文储存在客户端，可能 以致账户/口令被偷取的风险，从而以致用户账户被冒用；部分数据库连结风险应对策略方案直接使用数据库管理员账号，可能以致DBA账号被非法获取，从而影响系统运转，数据泄漏；数据库服务器没有限制不用要的客户端接见数据库， 从而以致非受权用户连结，影响系统应用。2）系统未采纳安全的身份鉴识体制，缺乏限制帐号不活动时间的体制、缺乏 设置密码复杂性的体制、缺乏记录密码历史的体制、缺乏限

14、制密码使用限 期的体制、缺乏登录失败办理的体制、缺乏前一次登录信息提示的体制等 可能惹起系统用户被冒用的风险。（4）安全审计方面1）无登录日记和详尽日记记录功能，未对登录行为进行记录，也未实现详尽 的日记记录功能，可能没法检测到非法用户的歹意行为，以致信息系统遇 到严重影响。（5）备份容错方面1）核心业务系统存在单点故障，合理用药系统无备份容错体制，并且是用的 是PC机供给服务，特别有可能因为系统故隙而以致合理用药系统没法供 给服务，而核心业务系统依靠合理用药系统，可能以致业务中断。2）数据备份无异地储存，未对系统配置信息和数据进行异地储存和备份，当 发生不行抗力要素造成系统不行用时，没法恢复

15、，严重影响到了系统的可 用性；未对系统配置进行备份，当系统配置改正以致系统不行用时没法恢 复到正常配置，影响到系统的可用性。3）无异地灾备系统，有可能以致发生灾害性事件后，系统难以迅速恢复，严 重影响了系统的可用性。（6）运转保护方面1）人员岗位、装备不完美，可能造成未受权接见、未受权活动等风险；在信 息技术人员相对缺乏的状况下，没法做到充足的职责分别和岗位轮换，可 能产生潜伏的安全隐患。2）未规范信息系统建设，无第二方安仝检测，造成检测结果不可以正确、客 观的反响产品的缺点与问题；缺乏信息系统操作风险控制体制和流程，保 护人员和使用人员不依照风险控制体制和流程进行操作，易发生误操作风险;开发

16、企业未供给完好的系统建设文档、指导运维文档、系统培训手册，使得运维人员没法例范化管理，没法对系统存档存案；未针对安全服务独自 签订保密协议，存在信息泄漏没法追查责任的安全隐患。3）未形成信息安全管理制度系统，缺乏信息系统运转的有关整体规范、管理 方法、技术标准和信息系统各构成部分的管理细则等文档，运维人员将缺 乏有关指导，会影响信息系统的安全运转保护工作。风险应对策略方案4）未与有关人员签订保密协议，未针对重点岗位、 第三方独自签订保密协议,存在信息泄漏没法追查责任的安全隐患。5）运维管理待健仝，不采纳适合的方法为信息系统区分适合的保护等级，就 没法评估其安仝防备能否适合，不适合的保护等级会威

17、迫系统的安仝或造 成有限的资源被浪费；缺乏管理制度规章和管理方法或制度规章和管理方 法已不合用或难以获取，则信息中心人员缺乏行为指导，信息中心信息安 仝处于无序状态，极易发生信息安仝事件，影响组织的正常经营活动；暂 无网络和系统破绽扫描模块，可能因为网络或系统破绽惹起业务中断。6）未规范安全管理制度的保护，信息科技管理制度规章和管理方法拟订、审 批和订正流程不一样规范会造成版本杂乱、相互矛盾，影响其贯彻履行， 极易发生信息安全事件，影响组织的正常经营活动。（7）物理环境方面1）防火举措不妥，无耐火级其余建筑资料没法减小火灾造成的损失，不熟习 消防设备使用方法、没有紧迫办理流程或不熟习紧迫办理流

18、程，不可以及 时办理火灾或办理不善，会以致火灾损失增大，机房寄存杂物，以致不可 以及时办理火灾或办理不善，会以致火灾损失增大。2）机房未进行防水办理，未采纳防水办理，可能以致渗水，返潮等问题，会 加快设备老化，严重的可以致设备不可以正常工作。3）未采纳防静电举措，未使用防静电手环，可能遭静电影响造成计算机系统 故隙或破坏，影响单位业务进行；没有适合的电磁防备，可能因为电磁影 响造成计算机系统故障或破坏或信息泄漏，影响单位业务进行。4）机房内无防盗报警设备，机架前后边板未封闭，以致设备被破坏的可能性 增大；无警报系统，没法在第一时间通知责任人作出反响5）机房存在剩余进出口，除可控进口外，其余的进

19、口的存在会增添医院外面 人员潜入医院机房破坏信息系统的可能。（8）系统开发方面1）未规范口令管理，采纳通用默认账号的口令可能惹起账号冒用，惹起数据 泄密或窜改；初始化登岸不强迫改正口令，可能惹起用户冒用账户的风险，影响业务数据的真切性；不设置复杂口令，可能惹起用户密码被猜解的风险，影响业务数据的真切性；未设置口令使用限期，可能惹起用户未受权 接见的风险，影响业务系统的正常应用。2）未对系统会话进行限制，未对系统最大并发会话数进行控制，可能惹起系 统超载，使系统服务响应变慢或惹起宕机，影响系统的可用性；未对安闲 会话进行控制，以致占用系统剩余资源，没法进行科学合理的资源分派， 影响了系统的可用性

20、。风险应对策略方案3)未规范系统培训环境，使用病患的真切数据对业务人员进行操作培训，评 估小组现场观察时发现，培训环境因为某种原由，将所实用户口令清空， 有可能造成有关信息被不用要人员获取，造成信息泄漏。4)系统开发外担保理有待完美，系统开发设计外包服务假如不可以很好的做 好技术传达工作，则走开外包服务方系统可能很难进行安全稳固的运转和 保护；系统开发未作安全需求剖析，可能以致系统设计架构不合理，影响 系统安全稳固运转；外面人员调离后，不对其权限进行回收，可能惹起非 法接见的风险；开发企业未供给系统建设文档、指导运维文档、系统培训 手册，使得运维人员没法例范化管理，没法对系统存档存案。5)系统

21、未进行分级管理，不采纳适合的方法为信息系统区分适合的保护等级,就没法评估其安全防备能否适合，不适合的保护等级会威迫系统的安全或造 成有限的资源被浪费。网络通讯VLAN间未做接见控制(1)现状描绘内网VLAN中的主机网关所有指到内网核心互换机 C6509上，外网VLAN的主机网 关都指在外网核心互换机 4506上。内外网对这些 VLAN的路由未作控制，各个 VLAN问 经过C6509(4506)能够进行互访。(2)威迫剖析因为各个VLAN代表不一样的业务内容，安全级别也是不一样的，需要在不一样的 VLAN间做接见控制。现有配置，各个 VLAN问路由都是通的，那么各个 VLAN间就都能够互访，安全

22、级 别低的VLAN能够接见安全级别高的 VLAN ,这样VLAN设定的目的成效就大大削弱了安全级别低的VLAN试试接见高级别VLAN ,存心或许无心的破坏高级别 VLAN中服 务器上的数据，将会对 XXX的业务造成重要的影响。(3)现有或已计划的安全举措核心互换机6509上配置了防火墙模块，但该模块没有配置接见控制策略 (4)风险评论风险名称非法者从一般VLAN浸透到核心VLAN3/ 7 7风险应对策略方案ran目匕性描绘非法者很可能从一般 VLAN浸透到核心VLAN非法者从一般VLAN浸透到核心VLAN ,对XXX的管理营运拥有一 定影响。级别 描绘(5)建议控制举措序号建议控制举措描绘定义

23、VLAN安全级别及接见 关系由网络管理员定义各个VLAN的安全级别和相互之间的接见关系表改正核心互换机上 VLAN间 接见控制策略依照已定义好的 VLAN 间接见关系表，从头定义接见控制列表，控制 VLAN问的接见关系内网设计中存在单点故障风险(1)现状描绘剖析XXX目前实质的网络状况，我们发现内网中存在蛋单点故障风险，此中内网接入接见控制系统中WINS/DNS服务器没有采纳热备或冷备举措。(2)威迫剖析当此服务器发生故障后，网内所有域用户所有都不可以正常登录到域，造成业务 系统服务停止。(3)现有或已计划的安全举措序号建议控制举措描绘装备内网 Wins/dns热备服务米纳双机热备技术，有效降

24、低单调故障风风险应对策略方案装备内网 Wins/dns冷备服务器装备冷备设备，能知足在可接受的时间范 围恢复服务外网设计中存在单点故障风险(1)现状描绘剖析XXX目前实质的网络状况我们发现外网中存在单点故障风险，此中外网接入接见控制系统中 WINS/DNS服务器没有采纳热备或冷备举措。Internet接入设备SSG520 防火墙，城市热门计费网关与外网核心互换机4506-1单线接入，没有链路和设备备份举措。(2)威迫剖析外网网络中存在4个单点故障风险点，每一单点故障点发生故障都会造成Internet接见中断，影响外网用户的正常工作。(3)现有或已计划的安全举措无。(4)风险评论风险名称外网单点

25、故障风险造成 Internet接见中断可能性级别4描绘网络接入控制系统系统中存在点故障风险，故障发生可能性较高影 响一级别2描绘外网单点故障风险造成Internet接见中断，对XXX管理营运拥有第微影响。风险级别中(5)建议控制举措序号建议控制举措描绘外网单点设备装备热备服务 器米纳双机热备技术， 有效降低单点故障风 险。外网单点设备装备冷备服务 器装备冷备设备，能知足在可接受的时间范 围恢复服务无专业审计系统(1)现状描绘现有XXX内外网网络均无专业审计系统(2)威迫剖析风险应对策略方案无专业审计系统，没法对已发生安全事件正确回溯，将给确认安全事件发生时间， 剖析攻击源造成极大困难，同时，在

26、依法问责时缺乏审计信息将没法作为安全事件发生 的凭证。(3)现有或已计划的安全举措无。(4)风险评论风险名称出现安全事件没法进行有嗷定位和问责可能性级别2描绘出现安全事件而没法发现的状况有可能发生影 响级别2描绘出现安全事件没法进行有嗷定位和问责，将对XXX的管理营运拥有稍微影响风险级别低(5)建议控制举措序号建议控制举措描绘采买专业的审计系统采买并集中部署专业的审计系统，并启动网络设备和安全设备上的日记服务。按期审计日记中的异样记录指定专人负责， 按期对日记进行审计，查看能否有异样记录。SSG520防火墙配置策略不妥(1)现状描绘剖析SSG520的配置文件，发现防火墙配置的端口控制中开放了过

27、多的不用使 用端口，比如 10700, 3765, 8888, 445 端口等。set service ftp_mail_QQ_MSN protocol tcp src-port 0-65535 dst-port set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 21-22 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 445-445 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port

28、 25-25 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 110-110 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 8888-8888 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 8080-8080 set service ftp_mail_QQ_MSN + tcp src-port 0-65535 dst-port 3765-3765 set service www

29、_dns protocol tcp src-port 0-65535 dst-port 80-80 set service www_dns + tcp src-port 0-65535 dst-port 53-53 set service www_dns + udp src-port 0-65535 dst-port 53-53 set service www_dns + tcp src-port 0-65535 dst-port 443-443 et(2)威迫剖析风险应对策略方案防火墙配置不妥，可能以致非法者更简单利用防火墙的配置问题而浸透入XXX外网,或许外网用户电脑被植入木马等程序后，更

30、简单被非法者控制。(3)现有或已计划的安全举措无。(4)风险评论风险名称非法者利用防火墙配置不妥浸透入外网可能性级别2描绘非法者可能利用防火墙配置不妥浸透入外网。影 响级别2描绘非法者利用防火墙配置不妥浸透入外网，将对XXX的管理营运具有稍微的影响。风险级别低(5)建议控制举措序号建议控制举措描绘删除SSG520防火墙不使用的 端口的接见控制策略删除 service ftp_mail_QQ_MSN” 中的10700, 3765, 8888, 445 等/、使用的端口接见控制策略3.1.6,网络界限未做接见控制(1)现状描绘依据我们检查和访谈得悉 XXX内网和市医保网经过一台医保服务器配置的双网

31、卡和 市医保网连结，医保网是不属于XXX范围内的专网，经过医保服务器采集数据经过专 网传递到有关使用部门，跟医保网的连结属于界限连结，但在界限上未做任何访 问控制。医保服务器也未作安全控制，医保的人能够远程登录该系统。(2)威迫剖析XXX内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连结界限 未做接见控制从而给从医保网的非法者入侵内网供给了条件，攻击者能够经过攻击医 保服务器后再浸透入 XXX内网。(3)现有或已计划的安全举措无。(4)风险评论风险名称非法者利用医保服务器浸透进内网177 匕匕 一口级别3描绘非法者可能利用医保服务器浸透进内网风险应对策略方案性影 响级别4描绘非法者

32、可能利用医保服务器浸透进内网，对XXX管理营运拥有严重影响。风险级别高(5)建议控制举措序号建议控制举措描绘拟订医保网对医保服务器的 接见策略可在医保服务器上加装纵火墙软件来实 现对从医保网来的接见控制拟订增强医保服务器和内网 连结的接见控制策略经过改变网络拓扑在医保服务器和内网 间配置硬件防火墙，或经过内网核心互换机实现对医保服务器的接见控制。安装部署Windows系统未安装最新补丁(1)现状描绘目前，被检查windows系统均未安装最新补丁，并且补丁安装状况各不同样，有 些补丁缺失较少，有些缺失许多，甚至缺失一系列重要安全补丁。扫描结果也显示某些服务器拥有严重安全破绽：(2)威迫剖析未及时

33、安装Windows操作系统的最新安全补丁，将使得已知破绽仍旧存在于系统上。 因为这些已知破绽都已经经过Internet宣布而被非法者获悉，非法者就有可能利用这些 已知破绽攻击系统。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略， 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者利用已知破绽攻击 Windows系统可能性级别2描绘Windows 系非法者有可能利用已知破绽攻击统风险应对策略方案影 响级别4描绘非法者利用已知破绽攻击Windows系统，对XXX隶属少儿医院的管理营运拥

34、有严重影响。风险级别中(5)建议控制举措序号建议控制举措描绘定阅安全破绽补丁通知定阅Windows系统的安全破绽补丁通知， 以及时获知 Windows系统的安全破绽补 丁信息。安装组件最新安全版本从厂商站点卜载最新安全补在测试环 境里测试正常后，在生产环境里及时安 装。Windows系统开放了不需要的服务(1)现状描绘目前，被检查 windows系统均开放了不需要的服务，如:DHCP ClientPrint SpoolerWireless ConfigurationMSFTPSMTP等可能不需要的服务。(2)威迫剖析不需要的服务却被启用，非法者就能够经过试试攻击不需要的服务而攻击系统， 并且管

35、理员在管理保护过程往常会忽视不需要的服务，所以以致不需要服务中所存在 的安全破绽没有被及时修复，这使得非法者更有可能攻击成功。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非?咨者利用已启用的不需要服务攻击 Windows系统可级别2能性描:绘非法者有可能利用利用已启用的不需要服务攻击Windows系统风险应对策略方案影 响级别4描绘非法者利用已启用的不需要服务攻击Windows系统，对XXX隶属少儿医院的管理营运拥有严重影响。风险级

36、别中(5)建议控制举措序号建议控制举措描绘禁用不需要的服务从系统正常运转、主机系统管理保护角度，确认系统上哪些服务是不需要的。对于系统上存在的不需要的服务，立刻禁用。Windows系统开放了默认共享(1)现状描绘前，被检查 windows系统均开放了默认共享，如: 等系统默认共享。(2)威迫剖析存在的默认共享可能使非法者获取接见共享文件夹内数据的时机，对非法者侵入 系统、扩大浸透程度供给了额外的时机，止匕外，默认共享可能增添受蠕虫病毒的流传 时机。所以，除非必需，应当去掉默认共享。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的

37、业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者或蠕虫病毒利用默认共学攻击Windows系统可能性级别1描绘非法者或蠕虫病毒有可能利用默认共享攻击Windows系统。影 响级别3描绘非法者或蠕虫病毒利用默认共享攻击Windows系统，对XXX隶属少儿医院的管理营运拥有必定影响。风险级别中(5)建议控制举措序号建议控制举措描绘风险应对策略方案封闭系统默认共享1封闭所有非必需开放的系统默认共享。设置接见控制策略对所句句天服务器设置必需的接见控制 策略，限制非必需客户端对有关服务器的 非必需端口的接见。Windows系统存在权限控制不妥的共享(1)

38、现状描绘前，被检查 windows系统(、)存在一些权限控制不妥的共享，以下列图: 共享权限设置为 Everyone完好控制。(2)威迫剖析存在权限控制不妥的共享可能使非法者获取接见共享文件夹内数据的时机大大增 添，对非法者侵入系统、扩大浸透程度供给了额外的时机，此外，也很可能增添受蠕 虫病毒的流传时机。所以，应付共享设置适合的接见控制权限。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者或蠕虫病毒利用权限控制不妥的共享攻击Win

39、dows系统可 能忤级别2描绘Windows非法者或蠕虫病毒有可能利用权限控制不妥的共享攻击系统C影 响那别3描绘非法者或蠕虫病毒利用权限控制不妥的共享攻击Windows系统，对YYY 书屋八、口 亍g的带手甲带；二十田右非乂生号口向XXX(5)建议控制举措序号建议控制举措描绘对共享进行适合的接见控制对共享进行适合的接见控制权限设置，限匕 J、/白HP 口.X7-l-p+* fTl.权J艮或直制非必而日勺贝卜勺对共学日g接见。撤消共享设置接见控制策略如非必需，撤消共学。对所有有关服务器设置必需的接见控制 策略，限制非必需客户端对有关服务器的OWindows系统过多的管理员账号(1)现状描绘风险

40、应对策略方案目前，被检查 windows系统部分主机存在过多的管理员账号，如主域控制器上存 在大批当地管理员账号和域管理员账号，此中zyc账号(住院处)属于域管理员组，权限过高。止匕外，医保服务器、医保论坛、外网托管服务器，均存在过多当地管理员账号。而医保论坛上还存在大批当地账号(不受域控制器控制)。(2)威迫剖析过多的管理员账号意味着有更多的人拥有操作系统的管理权限，不利于服务器的 安全管理，此外，过多的管理员账号，可能因为管理员大意等原由此以致没法控制账 号的安全性，可能对服务器造成安全威迫，另一方面，过多的管理员账号，发生安全 事件可能难以追查安全责任。(3)现有或已计划的安全举措内网与

41、互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称系统管理员账号失控威迫 Windows系统安全可能性级别2描绘可能因为系统管理员账号失控威迫Windows系统安全。影 响级别4描绘系统管理员账号失控威迫 Windows系统安全，对XXX隶属少儿医院的管理营运拥有严重影响。风险级别中(5)建议控制举措序号建议控制举措描绘回收剩余的管理员账号将不需要的剩余的管理员账号回收，仅分配适合权限的账号。所有管理员账号设置强健密 码要求所有管理员设置强健的密码，并妥当保存C.撤消剩余

42、的当加旅目撤消剩余的当岫蛇马一以致用二成批马CWindows系统账户策略配置不妥(1)现状描绘目前，被检查 windows系统账户策略均配置不妥，均为默认配置，以下列图所示: 未启用密码复杂性要求，未设置密码长度最小值，未设置密码最短使用限期，没有强迫密码历史。没有设置账号锁定策略风险应对策略方案(2)威迫剖析不妥的Windows密码策略，如将 “密码必需复杂性要求”设置为 “已停用”，则没法强迫用户使用复杂密码；未设置“密码长度最小值”，将使得用户能够使用短密码甚至空密码；未设置密码最短存留期和强迫密码历史，用户就能够在达到密码最长存留期、 系统强迫要求改正密码时经过再次输入同样的密码而知足

43、系统的要求(也就是密码最长 存留期实质上没法起到原有的作用)。以上这些都可能使得非法者有更多的时机可 以破解用户密码，从而使用用户密码登录windows主机。未设置帐号锁定阈值，将使得非法者可无穷制地试试登录Windows系统，最后有可能破解windows系统帐号密码，从而登录系统。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略， 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者有更多时机破解 Windows系统密码可能性级别1描绘可能因为系统管理员账号失控威迫Windows系统

44、安全。影 响级别4描绘系统管理员账号失控威迫Windows系统安全，对XXX隶属少儿医院的管理营运拥有严重影响。风险级别中(5)建议控制举措序号建议控制举措描绘明确规定要求的密码组合在密码管理规定中，明确说明系统同意的密他字符组合。明确规定同意的最短密码长 度在密码管理规定中， 明确说明系统同意的 最短密他长度 (如一般用户为6位，管理 员为8位)。明确规定密码改正要求在密码管理规定中， 明确要求用户多长时 间改正一次密码(如一般用户为 90天, 笆理目为30 -设置密他策略依据密码策略，设置windows主机的密码 策略，比如：启用“密码一定切合复杂性 要求”；将“最小密他长度”设置为8位；

45、 将“密码最长存留期”的值设为不擅长90 卡的值j将“密码帚知存留期”的值以为不风险应对策略方案少于1大日勺值；后用 强迫密码历史，将值设为如24个的值。进行安全意识培训和教育启在供给接见以前， 以及今后按期或不按期对职工进行有关帐号密码的安全意识培 训和教育。用限制/卜彳功让小就成啊功台匕目匕将Windows系统上的“帐号锁定阈值”设 为如3次或5次的值。Windows系统审查策略配置不妥(1)现状描绘目前，被检查 windows系统的审查策略均为默认，不一样版本策略不一，以下列图所 示：(2)威迫剖析系统审查能够记录安全有关事件，假如不记录，或许记录的不够完好，则一旦发 生安全事件，将很难

46、利用审查日记记录来追查安全事件的根源，追踪非法者，难以最 大程度除去由此带来的影响。(3)现有或已计划的安全举措无。(4)风险评论风险名称Windows发生安全事件难以追查根源或非法行为可别一级能性.2描绘可能在Windows发生安全事件时难以追查根源或非法行为影 响级别2描绘Windows发生安全事件难以追查根源或非法行为，对XXX隶属儿童医院的管理营运拥有稍微影响。风险级别低(5)建议控制举措序号建议控制举措描绘配置适合的Windows系统审 核策略依据Windows主机的用途及企业的策略， 设置适合的审查策略，比如：将“审查策略改正”、“审查登录事件 ”、“审查对象访 问”、“审查过程追

47、踪 ”、“审查目录服务访 问”、“审查特权使用”、“审查系统事件 ”、“审查帐号登录事件 ”、“审查帐号管理 ”设 置为“成功，失败”。风险应对策略方案Windows系统事件日记策略配置不妥(1)现状描绘目前，被检查windows系统的事件日记策略均为默认，不一样版本策略不一，以 下列图所示：(2)威迫剖析事件日记的大小假如过小，则在高负载服务器上因为产生的事件特别多，可能很快 达到日记文件的最大值。达到日记文件最大值后，历史事件将被按需要覆盖，假如日记 文件很快被填满，则可追查的历史时间将大大缩短，不利于安全事件发生时的追查根源 和非法行为。XXX应用系统服务器办理量大，事件日记大小最大值配

48、置为起码80 MB应足以储存足够的履行审查信息，或依据检查日记的频次、可用磁盘空间等设 置为适合值。(3)现有或已计划的安全举措无。(4)风险评论风险名称Windows发生安全事件难以追查根源或非法行为可 别级能性2描绘可能在Windows发生安全事件时难以追查根源或非法行为影 响级别2描绘Windows发生安全事件难以追查根源或非法行为，对XXX隶属儿童医院的管理营运拥有稍微影响。网1应级加低(5)建议控制举措序号车于议坤旬举措描和/ J PAC工 干 J 0配置适合的Windows系统日4 ZeA-J pq y设置日记文件上限为适合值。志策略Windows系统终端服务开放在惯例端口(1)现

49、状描绘目前，被检查windows系统(、)等开放了终端服务(远程桌面)，并且终端服 务开放在惯例端口，以下列图所示：(2)威迫剖析Windows远程桌面是windows操作系统远程管理的重要手段，默认服务端口为TCP3389 ,非法者能够轻易依据端口判断为远程桌面服务，假如非法者经过某种手段风险应对策略方案获取了管理员帐号，则能够轻易的经过远程桌面服务完好控制主机。假如开放在特别 规端口，或许高端端口，则非法者没法轻易获取远程桌面开放的信息，增添了非法者 成功登录服务器的难度。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略， 只好使用特定的业务

50、系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者利用远程桌面登录 Windows系统非法者可能利用远程桌面登录 Windows系统可 级别 23非法者利用远程桌面登录Windows系统，对XXX隶属少儿医院的管理营运拥有必定影响。中(5)建议控制举措序号建议控制举措描绘调整远程桌面端口将远程桌面端口设置为特别规端口或高 端端口。设置接见控制策略对所白有关服务器的远程桌面端口设置必需的接见控制策略， 限制非必需客户端 对育关服务器的远程桌面端口的接见。Windows 系统未禁用 Guest账号(1)现状描绘前，被检查 windows系统(、)的 G

51、uest账号未被禁用。以下列图所示：(2)威迫剖析Windows系统中，Guest默认是禁用的，启用 Guest账号可能带来必定风险，可能 被非法者利用对操作系统进行攻击。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统 (4)风险评论风险应对策略方案风险名称非法者利用Guest账号攻击 Windows系统可能性级别2描绘非法者可能利用Guest账号攻击 Windows系统影 响级别3描绘非法者利用 Guest账号攻击 Windows系统，对XXX隶属少儿医院

52、 的管理营运拥有必定影响。风险级别中(5)建议控制举措序号建议控制举措描绘立刻禁用Guest账号立刻将启用的 Guest账号禁用为Guest账号设置强健密码假如必7E要启用Guest账方，则 Guest为账号设置强健密码。Windows系统没有重命名管理员账号(1)现状描绘前，被检查 windows系统均没有重命名管理员账号和Guest账号。(2)威迫剖析Windows 2003中两个最常有的已知内置帐户是Guest和Administrator。默认情况下，在成员服务器和域控制器上禁用Guest帐户，应当重命名内置的 Administrator帐户并改正说明，以便防备攻击者使用已知帐户攻击远程

53、服务器。很多歹意代码的变体在首次 试试攻击服务器时使用内置 Administrator帐户。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。风险名称可台匕目匕非法者利用已知 Windows管理员账号试试攻击 Windows系统非法者可能禾1J用 已知_Windows 管理员账号试贰攻击_Windows 系统。级别非法者利用已知 Windows管理员账号试试攻击 Windows系统，对XXX隶属少儿医院的管理营运拥有必定影响。风险级别中风险应对策略方案(5)建

54、议控制举措重命名Admistrator账号建议控制举措描绘重命名 administrator 账新建一个名为administrator的账号，并设置足够强度的 密码。3.2.12. Windows系统管理员账号弱口令(1)现状描绘目前，经过微软MBSA工具检查，发现被检查 windows系统(、)等主机操作 系统均存在管理员账号口令强度不足的状况：(2)威迫剖析操作系统管理员账号口令强度不足，可能以致管理员账号口令被破解，从而以致非法者能够利用被破解的管理员账号登录系统，对业务系统的安全稳固拥有严重威迫。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的

55、域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险谛论风险名称非法者利用管理员账号弱口令试试登录Windows系统可台匕目匕性级别非法者可能利用管理员账号弱口令试试登革Windows系统级别风险统耳H非法者利用管理员账号弱口令试试登录属少儿医院的管理营运拥有严重影响。施Windows系统，对XXX附建议控制举措建议控制举措为管理员账号设置足够用度 的口令。为管理员账号设置足够用度的口令, 期进行改正。Windows 系统同意匿名 FTP接见(1)现状描绘前，被检查windows系统(、)等主机操作系统上均存在同意匿名接见的FTP服务，以下

56、列图所示:风险应对策略方案(2)威迫剖析匿名FTP意味着不需要密码就能够登录 FTP服务器，假如匿名用户的目录上存有敏 感文件，可能被非法者获取。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略， 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者利用匿名FTP服务登录FTP系统可能性级别2描绘非法者可能利用匿名 FTP服务登录FTP系统。影 响级别3描绘非法者利用匿名FTP服务登录F 管理营运拥有严必定影响。TP系统，对XXX隶属少儿医院的风险级别中(5)建议控制举措序号建议控制举

57、措描绘严禁匿名卜IP设置FTP服务器，严禁进行匿名FTP访问。Windows 系统IIS同意父路径(1)现状描绘目前，被检查windows系统(、)等主机IIS服务配置为同意父路径，以下 列图所示：(2)威迫剖析IIS同意父路径，假如父路径拥有可履行权限，则脚本可能会在父路径中履行一个 未受权的程序。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略， 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者利用IIS同意父路径问题攻击 Windows系统风险应对策略方案可能性级别2描绘非法

58、者可能利用IIS同意父路径问题攻击 Windows系统。影 响级别2描绘非法者利用IIS同意父路径问题攻击 Windows系统，对XXX隶属 少儿医院的管理营运拥有稍微影响。风险级别低(5)建议控制举措序号建议控制举措描绘去掉同意父路径选项在IIS管理界面中能够设置去掉同意父路 径选项。注后、：某些广晶如Microsoft ProjectCentral and Project Server?2002 等可能需要父路径的支邦。详情可参照微软知识库KB316398 。Windoiws 系统存在IIS示例程序(1)现状描绘前，被检查 windows系统(、)等主机IIS服务存在IISHelp、IlS

59、Samples、 MSADC等示例程序和脚本，以下列图所示：(2)威迫剖析IIS示例程序是IIS默认安装产生的，可能存在一些安全隐患(以前发生过安全问 题)，IIS默认示例程序的可能对应用系统带来必定得安全威迫。(3)现有或已计划的安全举措内网与互联网隔绝，终端接入进行控制，终端登录域，拥有登录终端的域策略, 只好使用特定的业务系统，没法对终端操作系统做更多操作。数据每日进行备份，拥有应急系统。(4)风险评论风险名称非法者利用IIS示例程序问题攻击 Windows系统可能性级别2描绘非法者可能利用IIS示例程序问题攻击 Windows系统。影 响级别2描绘非法者利用IIS不例程序问题攻击 Wi

60、ndows系统，对XXX隶属儿 童医院的管理营运拥有稍微影响。风险级别低风险应对策略方案(5)建议控制举措序号建议控制举措描绘删除默认的IIS示例程序在IIS设置界面删除默认的IIS示例程序。封闭或删除默认 WEB站点在IIS设置界面中封闭或删除默认 WEB站 点。IIS Web程序安装在新建站点Web程序应新建站点，并在新建站点上部 署。Windoiws系统存在IIS目录权限设置不妥(1)现状描绘前，被检查 windows系统()主机 IIS目录权限设置不妥，以下列图所示:WEB目录设置了可写权限。WEB目录接见控制权限设置为Everyone完好控制。(2)威迫剖析WEB目录可写，WEB目录