X X X业务运维信息系统风险评估报告文档控制版本信息所有权声明文档里的资料版权归江苏开拓信息系统有限公司(以下简称“江苏开拓”)所有。
未经江苏开拓事先书面允许,不得复制或散发任何部分的内容。
任何团体或个人未经批准,擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。
目录1.评估项目概述1.1.评估目的和目标对XXX信息系统进行风险评估,分析系统的脆弱性、所面临的威胁以及由此可能产生的风险;根据风险评估结果,给出安全控制措施建议。
风险评估范围包括:(1)安全环境:包括机房环境、主机环境、网络环境等;(2)硬件设备:包括主机、网络设备、线路、电源等;(3)系统软件:包括操作系统、数据库、应用系统、监控软件、备份系统等;(4)网络结构:包括远程接入安全、网络带宽评估、网络监控措施等;(5)数据交换:包括交换模式的合理性、对业务系统安全的影响等;(6)数据备份/恢复:包括主机操作系统、数据库、应用程序等的数据备份/恢复机制;(7)人员安全及管理,通信与操作管理;(8)技术支持手段;(9)安全策略、安全审计、访问控制;1.2.被评估系统概述1.2.1.系统概况XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成,内外网物理隔离,外网为访问互联网相关服务为主,内网为XXX生产网络。
2.风险综述2.1.风险摘要2.1.1.风险统计与分析经过风险分析,各级风险统计结果如下:风险级别风险数量百分比极高风险 2 2.94%高风险9 13.24%中风险39 57.35%低风险18 26.47%总计68 100% 根据风险评估统计结果,各级风险统计结果分布如下图所示:各类风险分布数量如下表所示:类别风险级别总计低风险中风险高风险极高风险运行维护 1 5 0 0 6 系统开发 1 4 1 0 6 物理环境0 3 2 0 5 网络通信 2 1 1 1 5 认证授权0 2 0 0 2 备份容错0 0 2 1 3 安装部署13 24 3 0 40 安全审计 1 0 0 0 1类别风险级别总计总计18 39 9 2 68各类风险及级别分布如下图所示:极高风险分布如下图所示:高风险分布如下图所示:中风险分布如下图所示:低风险分布如下图所示:2.1.2.极高风险摘要极高风险摘要 2 备份容错 1✧核心业务系统单点故障导致业务中断 1网络通信 1✧内网单点一故障风险造成业务系统服务停止 12.1.3.高风险摘要高风险摘要9 安装部署 31✧非法者极易获得系统管理员用户权限攻击SUN SOLARIS系统✧非法者利用SQL Server管理员账号弱口令渗透进系统 1✧非法者利用管理员账号弱口令尝试登录Windows系统 1备份容错 2✧备份数据无异地存储导致灾难发生后系统不能快速恢复 1✧灾难发生后业务系统难以快速恢复 1网络通信 1✧非法者利用医保服务器渗透进内网 1物理环境 2✧防火措施不当引发更大损失 1✧机房未进行防水处理引起设备老化、损坏 1系统开发 1✧未规范口令管理导致用户冒用 12.1.4.中风险摘要中风险39 安装部署24✧SUN Solaris远程用户配置不当造成无需验证登录到主机 1✧非法者获得数据库权限进而获得系统管理员权限 1✧非法者或蠕虫病毒利用默认共享攻击Windows系统 11✧非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统✧非法者利用Guest账号攻击Windows系统 1✧非法者利用IIS目录权限设置问题攻击Windows系统 1✧非法者利用Oracle数据库调度程序漏洞远程执行任意指令 11✧非法者利用SQL Server的xp_cmdshell扩展存储过程渗透进系统✧非法者利用SQL Server漏洞攻击Windows系统 1✧非法者利用Web server的漏洞来攻击主机系统 1✧非法者利用不当的监听器配置攻击Oracle系统 1✧非法者利用匿名FTP服务登录FTP系统 1✧非法者利用已启用的不需要服务攻击Windows系统 1✧非法者利用已知Windows管理员账号尝试攻击Windows系统 1✧非法者利用已知漏洞攻击SUN SOLARIS系统 1✧非法者利用已知漏洞攻击Windows系统 1✧非法者利用远程桌面登录Windows系统 1✧非法者破解Cisco交换机弱密码而侵入系统 1✧非法者通过SNMP修改cisco交换机配置 1✧非法者通过SNMP修改SSG520防火墙配置 1✧非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统 11✧非法者通过监听和伪造的方式获得管理员与主机间的通信内容✧非法者有更多机会破解Windows系统密码 1✧系统管理员账号失控威胁Windows系统安全 1认证授权 2✧未对数据库连接进行控制导致系统非授权访问 1✧系统未采用安全的身份鉴别机制导致用户账户被冒用 1网络通信 1✧外网单一单点故障风险造成Internet访问中断 1物理环境 3✧机房存在多余出入口可能引起非法潜入 1✧机房内无防盗报警设施引起非法潜入 1✧未采取防静电措施引起设备故障 1系统开发 4✧生产数据通过培训环境泄露 1✧未对系统会话进行限制影响系统可用性 1✧未做用户登录安全控制导致用户被冒用 1✧系统开发外包管理有待完善引发系统安全问题 1运行维护 5✧安全管理体系不完善引发安全问题 1✧人员岗位、配备不完善影响系统运行维护 1✧未规范信息系统建设影响系统建设 1✧未与相关人员签订保密协议引起信息泄密 1✧运维管理不完善引发安全事件 12.1.5.低风险摘要低风险18 安全审计 1✧发生安全事件很难依系统日志追查来源 1✧安装部署13✧SQL Server发生安全事件时难以追查来源或异常行为 1✧Windows发生安全事件难以追查来源或非法行为 2✧非法者可从多个地点尝试登录Cisco交换机 1✧非法者利用DVBBS数据库渗透进Windows系统 1✧非法者利用IIS默认映射问题攻击Windows系统 1✧非法者利用IIS示例程序问题攻击Windows系统 1✧非法者利用IIS允许父路径问题攻击Windows系统 1✧非法者利用Oracle数据库漏洞可获得任意文件读写权限 1✧非法者利用SNMP服务获取Windows主机信息 1✧非法者利用SUN Solaris匿名FTP服务登录FTP系统 1✧非法者利用开启过多的snmp服务获得详细信息 1✧日志无备份对系统管理和安全事件记录分析带来困难 1网络通信 2✧出现安全事件无法进行有效定位和问责 1✧非法者利用防火墙配置不当渗透入外网 1系统开发 1✧系统未进行分级管理导致核心系统不能得到更多的保护 1运行维护 1✧安全管理制度缺乏维护导致安全管理滞后 12.2.风险综述(1)网络通信方面1)内网设计中存在单点故障风险,当wins/dns服务器发生故障后,网内所有域用户全部都不能正常登录到域,造成业务信息系统无法提供正常服务。
2)网络边界未做访问控制,XXX内网是生产网,安全级别比较高,但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件,攻击者可以通过攻击医保服务器后再渗透入XXX内网。
3)外网设计中存在单点故障风险,外网网络中存在4个单点故障风险点,每一单点故障点发生故障都会造成Internet访问中断,影响外网用户的正常工作。
4)SSG520防火墙配置策略不当,可能导致非法者更容易利用防火墙的配置问题而渗透入XXX外网,或者外网用户电脑被植入木马等程序后,更容易被非法者控制。
5)无专业审计系统,无法对已发生安全事件准确回溯,将给确认安全事件发生时间,分析攻击源造成极大困难,同时,在依法问责时缺乏审计信息将无法作为安全事件发生的证据。
(2)安装部署方面1)Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco交换机等等均存在管理员账号弱口令的情况,管理员账号口令强度不足,可能导致管理员账号口令被破解,从而导致非法者可以利用被破解的管理员账号登录系统,对业务系统的安全稳定具有严重威胁。
2)Windows操作系统、SUN Solaris操作系统、SQL Server数据库等均未安装最新安全补丁,这将使得已知漏洞仍然存在于系统上。
由于这些已知漏洞都已经通过Internet公布而被非法者获悉,非法者就有可能利用这些已知漏洞攻击系统。
3)Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务,不需要的服务却被启用,非法者就可以通过尝试攻击不需要的服务而攻击系统,而且管理员在管理维护过程通常会忽略不需要的服务,因此导致不需要服务中所存在的安全漏洞没有被及时修复,这使得非法者更有可能攻击成功。
4)Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Oracle数据库等均未进行安全配置,存在部分配置不当的问题,错误的配置可能导致安全隐患,或者将使得非法者有更多机会利用系统的安全问题攻击系统,影响业务系统安全。
(3)认证授权方面1)未对数据库连接进行控制,数据库连接账号口令明文存储在客户端,可能导致账户/口令被盗取的风险,从而致使用户账户被冒用;部分数据库连接直接使用数据库管理员账号,可能导致DBA账号被非法获得,从而影响系统运行,数据泄露;数据库服务器没有限制不必要的客户端访问数据库,从而导致非授权用户连接,影响系统应用。
2)系统未采用安全的身份鉴别机制,缺乏限制帐号不活动时间的机制、缺乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统用户被冒用的风险。
(4)安全审计方面1)无登录日志和详细日志记录功能,未对登录行为进行记录,也未实现详细的日志记录功能,可能无法检测到非法用户的恶意行为,导致信息系统受到严重影响。
(5)备份容错方面1)核心业务系统存在单点故障,合理用药系统无备份容错机制,而且是用的是PC机提供服务,非常有可能由于系统故障而导致合理用药系统无法提供服务,而核心业务系统依赖合理用药系统,可能导致业务中断。
2)数据备份无异地存储,未对系统配置信息和数据进行异地存储和备份,当发生不可抗力因素造成系统不可用时,无法恢复,严重影响到了系统的可用性;未对系统配置进行备份,当系统配置变更导致系统不可用时无法恢复到正常配置,影响到系统的可用性。
3)无异地灾备系统,有可能导致发生灾难性事件后,系统难以快速恢复,严重影响了系统的可用性。