您的当前位置：首页北京市信息系统升级改造必要性自评估报告-XX医院

北京市信息系统升级改造必要性自评估报告-XX医院

来源：华佗小知识

北京市市级信息系统升级改造必要性

自评估报告

申报单位（盖章）：

申报单位联系人：

联系电话：

评估时间：年月日

项目名称：北京XX医院信息系统安全自评估报告

XX医院信息系统风险自评估报告

1. 评估项目概述 ............................................................................................................................ 3

1.1. 评估目的和目标 ............................................................................................................ 3

1.2.

被评估系统概述 ............................................................................................................ 3

1.2.1. 系统概况............................................................................................................ 3

1.2.2. 网络拓扑结构 .................................................................................................... 3 1.2.3. 关键支撑设备 .................................................................................................... 4

2. 风险综述 ................................................................................................................................... 4

2.1. 风险综述 ....................................................................................................................... 4 3. 风险分析 ................................................................................................................................... 6 3.1. 风险级别说明 ................................................................................................................ 6

3.2.

网络通信 ....................................................................................................................... 6

3.2.1. VLAN间未做访问控制..................................................................................... 6

3.2.2. 无专业审计系统 ................................................................................................ 7 3.2.3. 防火墙配置策略不当 ......................................................................................... 8 3.2.4. 网络边界未做访问控制 ..................................................................................... 9 3.3. 安装部署 ..................................................................................................................... 10 3.3.1. Windows系统未安装最新补丁 ....................................................................... 10

3.3.2. Windows系统开放了不需要的服务 ............................................................... 12 3.3.3. 未可登录Cisco交换机的IP地址 ........................................................... 13 3.3.4. Cisco交换机开放过多不需要的SNMP服务.................................................. 14 3.3.5. 使用弱密码管理Cisco交换机 ........................................................................ 16 3.3.6. cisco交换机的SNMP只读及读写存在弱密码 ............................................... 17 3.4. 认证授权 ..................................................................................................................... 18 3.4.1. 系统未采用安全的身份鉴别机制 .................................................................... 18

3.4.2. 未对数据库连接进行控制 ............................................................................... 19 3.5. 安全审计 ..................................................................................................................... 20 3.5.1. 无登录日志和详细日志记录功能 .................................................................... 20 3.6. 备份容错 ..................................................................................................................... 21 3.6.1. 无异地灾备系统 .............................................................................................. 21

3.6.2. 数据备份无异地存储 ....................................................................................... 22 3.7. 运行维护 ..................................................................................................................... 23 3.7.1. 待形成信息安全管理制度体系 ....................................................................... 23

3.7.2. 未规范信息系统建设 ....................................................................................... 24

4. 评估结果记录表 ...................................................................................................................... 25 5. 安全自评估报告总结 .............................................................................................................. 28

5.1. 网络通信 ..................................................................................................................... 28

5.2. 5.3. 5.4. 5.5.

安装部署 ..................................................................................................................... 28 认证授权 ..................................................................................................................... 28 安全审计 ..................................................................................................................... 29 备份容错 ..................................................................................................................... 29

- 2-

XX医院信息系统风险自评估报告

1. 评估项目概述

1.1. 评估目的和目标

对XX医院信息系统进行风险评估，分析系统的脆弱性、所面临的威胁以及由此可能产生的风险；根据风险评估结果,给出安全控制措施建议。

风险评估范围包括：

（1）安全环境：包括机房环境、主机环境、网络环境等；（2）硬件设备：包括主机、网络设备、线路、电源等；

（3）系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等；（4）网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；（5）数据交换：包括交换模式的合理性、对业务系统安全的影响等；（6）数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份/恢

复机制；

（7）人员安全及管理，通信与操作管理；（8）技术支持手段；

（9）安全策略、安全审计、访问控制；

1.2. 被评估系统概述 1.2.1. 系统概况

XX医院信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药等业务系统、OA服务器、交换机、防火墙以及安全控制设备等构成，内物理隔离，为访问互联网相关服务为主，内网为XX医院生产网络。

。。。。。。。

1.2.2. 网络拓扑结构（1）拓扑结构

（2）内网拓扑结构

- 3-

XX医院信息系统风险自评估报告

1.2.3. 关键支撑设备

（1）关键网络设备

本次评估所涉及的关键网络设备如下表所示: 编号 1 2 3 4 5 名称 Cisco 6509 Cisco 4506 Cisco 3750G Cisco3560G Cisco 2960 IP地址

2. 风险综述

2.1. 风险综述

（1）网络通信方面

1) 网络边界未做访问控制，XX医院内网是生产网，安全级别比较高，但

跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XX医院内网。

2) 出口防火墙配置策略不当，可能导致非法者更容易利用防火墙的配置问

题而渗透入XX医院，或者用户电脑被植入木马等程序后，更容易被非法者控制。

3) 无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件

发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。

（2）安装部署方面

1) Windows操作系统、SQL Server数据库、Cisco交换机等等均存在管理

员账号弱口令的情况，管理员账号口令强度不足，可能导致管理员账号口令被破解，从而导致非法者可以利用被破解的管理员账号登录系统，对业务系统的安全稳定具有严重威胁。

- 4-

XX医院信息系统风险自评估报告

2) Windows操作系统等部分未安装最新安全补丁，这将使得已知漏洞仍然

存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。

3) Windows操作系统启用了多个不需要的服务，不需要的服务却被启用，

非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。 4) Windows操作系统、SQL Server数据库、Oracle数据库等未进行安全配

置，存在部分配置不当的问题，错误的配置可能导致安全隐患，或者将使得非法者有更多机会利用系统的安全问题攻击系统，影响业务系统安全。

（3）认证授权方面

1) 未对数据库连接进行严格控制，数据库连接账号口令明文存储在客户

端，可能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库服务器没有不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。 2) 系统未采用安全的身份鉴别机制，缺乏帐号不活动时间的机制、缺

乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统用户被冒用的风险。

（4）安全审计方面

1) 无登录日志和详细日志记录功能，未对登录行为进行记录，也未实现详

细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系统受到严重影响。

（5）备份容错方面

1) 数据备份无异地存储，未对系统配置信息和数据进行异地存储和备份，

当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。

- 5-

XX医院信息系统风险自评估报告

2) 无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，

严重影响了系统的可用性。

（6）运行维护方面

1) 无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与

问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提供完整的系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。

2) 缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各

组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护工作。

3. 风险分析

3.1. 风险级别说明

风险级别极高风险高风险中风险低风险可改进

数字表示 1 2 3 4 5 备注 3.2. 网络通信

3.2.1. VLAN间未做访问控制

（1）现状描述

。。。。。。

（2）威胁分析

由于各个VLAN代表不同的业务内容，安全级别也是不同的，需要在不同的VLAN间做访问控制。

- 6-

XX医院信息系统风险自评估报告

现有配置，各个VLAN间路由都是通的，那么各个VLAN间就都可以互访，安全级别低的VLAN可以访问安全级别高的VLAN，这样VLAN设定的目的效果就大大削弱了。

安全级别低的VLAN尝试访问高级别VLAN，有意或者无意的破坏高级别VLAN中服务器上的数据，将会对XX医院的业务造成重大的影响。

（3）现有或已计划的安全措施

核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略。

（4）风险评价风险名称可能性影响级别描述级别描述非法者从普通VLAN渗透到核心VLAN 3 非法者很可能从普通VLAN渗透到核心VLAN。 3 非法者从普通VLAN渗透到核心VLAN，对XX医院的管理运营具有一定影响。高风险级别（5）建议控制措施序号建议控制措施描述 1 2 定义VLAN安全级别及访问关由网络管理员定义各个VLAN的安全级别系和互相之间的访问关系表按照已定义好的VLAN间访问关系表，重修改核心交换机上VLAN间访新定义访问控制列表，控制VLAN间的访问控制策略问关系 3.2.2. 无专业审计系统（1）现状描述

现有XX医院内网络均无专业审计系统。

（2）威胁分析

无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全事件发生的证据。

- 7-

XX医院信息系统风险自评估报告

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响级别描述级别描述出现安全事件无法进行有效定位和问责 2 出现安全事件而无法发现的情况有可能发生 2 出现安全事件无法进行有效定位和问责，将对XX医院的管理运营具有轻微影响低风险级别（5）建议控制措施序号建议控制措施采购专业的审计系统定期审计日志中的异常记录描述采购并集中部署专业的审计系统，并启动网络设备和安全设备上的日志服务。指定专人负责，定期对日志进行审计，查看是否有异常记录。 1 2 3.2.3. 防火墙配置策略不当

（1）现状描述

分析配置文件，发现防火墙配置的端口控制中开放了过多的不用使用端口，例如10700，3765，8888，445端口等。

（2）威胁分析

防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XX医院，或者用户电脑被植入木马等程序后，更容易被非法者控制。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称

非法者利用防火墙配置不当渗透入 - 8-

XX医院信息系统风险自评估报告

可能性影响级别描述级别描述 2 非法者可能利用防火墙配置不当渗透入。 2 非法者利用防火墙配置不当渗透入，将对XX医院的管理运营具有轻微的影响。低风险级别（5）建议控制措施序号建议控制措施删除出口防火墙不使用的端口的访问控制策略描述删除service \"ftp_mail_QQ_MSN\"中的10700，3765，8888，445等不使用的端口访问控制策略 1 3.2.4. 网络边界未做访问控制

（1）现状描述

根据我们检查和访谈得知XX医院内网和市医保网通过一台医保服务器配置的双网卡和市医保网连接，医保网是不属于XX医院范围内的专网，通过医保服务器采集数据通过专网传送到相关使用部门，跟医保网的连接属于边界连接，但在边界上未做任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统。

（2）威胁分析

XX医院内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗透入XX医院内网。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性级别描述非法者利用医保服务器渗透进内网 3 非法者可能利用医保服务器渗透进内网 - 9-

XX医院信息系统风险自评估报告

影响级别描述 4 非法者可能利用医保服务器渗透进内网，对XX医院管理运营具有严重影响。高风险级别（5）建议控制措施序号建议控制措施描述 1 2 制定医保网对医保服务器的可在医保服务器上加装放火墙软件来实访问策略制定加强医保服务器和内网连接的访问控制策略现对从医保网来的访问控制通过改变网络拓扑在医保服务器和内网间配置硬件防火墙，或通过内网核心交换机实现对医保服务器的访问控制。 3.3. 安装部署

3.3.1. Windows系统未安装最新补丁

（1）现状描述

当前，被检查windows系统均未安装最新补丁，并且补丁安装情况各不相同，有些补丁缺失较少，有些缺失较多，甚至缺失一系列重要安全补丁。

扫描结果也显示某些服务器具有严重安全漏洞：

- 10-

XX医院信息系统风险自评估报告

（2）威胁分析

未及时安装Windows操作系统的最新安全补丁，将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能利用这些已知漏洞攻击系统。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用已知漏洞攻击Windows系统 2 非法者有可能利用已知漏洞攻击Windows系统 4 非法者利用已知漏洞攻击Windows系统，对XX医院的管理运营具有严重影响。中风险级别（5）建议控制措施序号建议控制措施订阅安全漏洞补丁通告描述订阅Windows系统的安全漏洞补丁通告，以及时获知Windows系统的安全漏洞补丁1 - 11-

XX医院信息系统风险自评估报告

信息。 2 安装组件最新安全版本从厂商站点下载最新安全补丁，在测试环境里测试正常后，在生产环境里及时安装。 3.3.2. Windows系统开放了不需要的服务

（1）现状描述

当前，被检查windows系统均开放了不需要的服务，如：

 DHCP Client

 Print Spooler

 Wireless Configuration  MSFTP  SMTP

等可能不需要的服务。

（2）威胁分析

不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可能性影响级别描述级别描述非法者利用已启用的不需要服务攻击Windows系统 2 非法者有可能利用利用已启用的不需要服务攻击Windows系统 4 非法者利用已启用的不需要服务攻击Windows系统，对XX医院的管理运营具有严重影响。中风险级别（5）建议控制措施

- 12-

XX医院信息系统风险自评估报告

序号建议控制措施描述从系统正常运行、主机系统管理维护角度，1 禁用不需要的服务确认系统上哪些服务是不需要的。对于系统上存在的不需要的服务，立即禁用。 3.3.3. 未可登录Cisco交换机的IP地址

（1）现状描述

分析cisco 6509 4507 3750 2960的配置文件，目前对可以登录该设备的IP地址没有，如下所示： line vty 0 4

password xxxxx login

（2）威胁分析

未可登录设备的IP地址，非法者就有更多的机会，通过多次尝试，从而最终可能获得设备的管理权限。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者可从多个地点尝试登录Cisco交换机 2 非法者有可能从多个地点尝试登录设备。 2 非法者可从多个地点尝试登录设备，对XX医院的管理运营具有轻微的影响。低（5）建议控制措施序号 1 建议控制措施可登录Cisco交换机设备描述使用以下命令，定义以可登录设备的 - 13-

XX医院信息系统风险自评估报告

的IP地址 1 绑定Cisco交换机管理IP和MAC地址 IP范围： Router(config)#access-list 1 permit x.x.x.x x.x.x.x Router (config)#access-list 1 deny any Router (config)#line vty 0 4 Router (config-line)#access-list 1 in 使用以下命令，绑定可以管理设备的IP地址和MAC地址： Router (config) # arp x.x.x.x xxxx.xxxx.xxxx arpa 3.3.4. Cisco交换机开放过多不需要的SNMP服务

（1）现状描述

分析cisco 6509 4507 3750 2960的配置文件，目前开放的snmp服务如下： snmp-server community net RO snmp-server community net123 RW snmp-server community netnet RW

snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps chassis snmp-server enable traps module snmp-server enable traps casa snmp-server enable traps tty snmp-server enable traps bgp snmp-server enable traps config snmp-server enable traps dlsw

snmp-server enable traps frame-relay snmp-server enable traps hsrp

snmp-server enable traps ipmulticast

snmp-server enable traps MAC-Notification move threshold snmp-server enable traps msdp

snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message snmp-server enable traps rf snmp-server enable traps rtr

snmp-server enable traps slb real virtual csrp

snmp-server enable traps bridge newroot topologychange

snmp-server enable traps stpx inconsistency root-inconsistency loop-inconsistency snmp-server enable traps syslog snmp-server enable traps sonet snmp-server enable traps fru-ctrl snmp-server enable traps entity snmp-server enable traps rsvp

snmp-server enable traps csg agent quota database snmp-server enable traps srp snmp-server enable traps vtp

snmp-server enable traps vlancreate snmp-server enable traps vlandelete

snmp-server enable traps flash insertion removal

- 14-

XX医院信息系统风险自评估报告

snmp-server enable traps c6kxbar swbus

snmp-server enable traps envmon fan shutdown supply temperature status snmp-server enable traps mpls traffic-eng snmp-server enable traps mpls ldp

snmp-server enable traps isakmp policy add snmp-server enable traps isakmp policy delete snmp-server enable traps isakmp tunnel start snmp-server enable traps isakmp tunnel stop snmp-server enable traps ipsec cryptomap add snmp-server enable traps ipsec cryptomap delete snmp-server enable traps ipsec cryptomap attach snmp-server enable traps ipsec cryptomap detach snmp-server enable traps ipsec tunnel start snmp-server enable traps ipsec tunnel stop snmp-server enable traps ipsec too-many-sas snmp-server enable traps vlan-mac-limit snmp-server enable traps mpls

（2）威胁分析

开放了过多的没在使用的snmp服务，如果SNMP团体字为简单字符串，非法者可以获得更多的系统信息，甚至更改配置信息

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者利用开启过多的snmp服务获得详细信息 2 非法者可能利用开启过多的snmp服务获得详细信息 2 非法者利用开启过多的snmp服务获得详细信息，对XX医院的管理运营具有轻微的影响。低（5）建议控制措施序号 1 建议控制措施关闭网管系统不监控的服务，或是在网内没有启用的路由及描述使用以下命令，定义以可登录设备的IP范围： - 15-

XX医院信息系统风险自评估报告

其他snmp服务 Router(config)#no snmp-server enable traps xxxx（服务名） 3.3.5. 使用弱密码管理Cisco交换机

（1）现状描述

分析cisco6509 4506 3570 2950 2960的配置文件，目前所使用的密码如下所示： Password cixxx

查看以上配置可知，管理员使用弱密码“cixxx”管理设备。

后采用了加密方式但密码没有更改

enable secret 5 $1$R9sp$71Ih2gOy4IXAQXpXSAb5T1

（2）威胁分析

使用弱密码，非法者就极有可能在很短的时间内破解密码，从而使用该密码登录设备，修改或删除设备配置文件。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者破解Cisco交换机弱密码而侵入系统 2 该密码过于简单，非法者有较大可能快速破解该密码。 3 非法者破解设备弱密码而侵入系统，将对XX医院的管理运营具有一定影响。中（5）建议控制措施序号 1 建议控制措施为Cisco交换机设置复杂密码描述根据密码管理规定，将密码修改为复杂密码。 - 16-

XX医院信息系统风险自评估报告

3.3.6. cisco交换机的SNMP只读及读写存在弱密码

（1）现状描述

根据Cisco交换机的配置信息，SNMP只读及读写密码存在多个，其中存在弱密码：

snmp-server community nxx RO snmp-server community netxxx RW snmp-server community netxxx RW

（2）威胁分析

SNMP的读写密码过于简单，攻击者可以通过基于SNMP的猜解软件获得设备的配置信息，并可以修改设备的配置，进而对网络发起攻击。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价风险名称可级别能描述性影响描述风险级别级别非法者通过SNMP修改cisco交换机配置 2 非法者有可能通过SNMP修改设备配置。 3 非法者通过SNMP修改设备配置，对XX医院的管理运营具有一定影响。中（5）建议控制措施序号建议控制措施描述使用以下命令，删除SNMP只读及读写1 删除cisco交换机全部已有密码： Router(config)#no snmp-server community xxxxxx RO Router(config)#no snmp-server community xxxxxx RW 修改cisco交换机SNMP只读使用以下命令，修改SNMP只读及读写SNMP只读及读写密码 - 17-

XX医院信息系统风险自评估报告

及读写密码密码： Router(config)#snmp-server community xxxx RO Router(config)#snmp-server community xxxx RW 3.4. 认证授权

3.4.1. 系统未采用安全的身份鉴别机制

（1）现状描述

当前，XX医院信息系统采用的身份鉴别机制缺乏帐号不活动时间的机制，缺乏设置密码复杂性的机制，缺乏记录密码历史的机制，缺乏密码使用期限的机制，缺乏登录失败处理的机制，缺乏显示上次成功/不成功登录消息的机制。

（2）威胁分析

当前，XX医院信息系统采用的身份鉴别机制缺乏帐号不活动时间的机制，可能导致过期账号被冒用的风险；缺乏设置密码复杂性的机制，很可能导致密码被猜解、冒用的风险；缺乏记录密码历史的机制，可能引起密码重复使用被猜解的风险；缺乏密码使用期限的机制，可能导致密码被猜解的风险；缺乏登录失败处理的机制，可能导致用户名被猜解的风险；缺乏上次登录信息提示的机制，导致不能检测到非法登录情况，从而引起系统用户被冒用的风险。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性影响描述级别描述系统未采用安全的身份鉴别机制，很可能导致用户账户被冒用。 2 系统未采用安全的身份鉴别机制，很可能导致用户账户被冒用，对首都XX医院的管理运营具有轻微影响。中级别系统未采用安全的身份鉴别机制导致用户账户被冒用 3 风险级别 - 18-

XX医院信息系统风险自评估报告

（5）建议控制措施序号建议控制措施定期整理账户描述定期对用户账户进行整理，删除或禁用长期不活动账户。增加账户密码复杂度功能，能够定义用户密码复杂度策略。开发记录密码历史口令的功能，并设置适当历史记录。开发密码使用期限的功能或要求定期更改密码口令。开发登录失败处理功能，如：登录失败10次，锁定5分钟。用户登陆后，显示上次登录信息，如：用户名、IP、时间等信息。 1 2 开发账户密码复杂度功能 3 开发记录密码历史口令功能 4 开发密码使用期限功能 5 开发登录失败处理功能 6 开发提示登录信息的功能 3.4.2. 未对数据库连接进行控制

（1）现状描述

当前，XX医院目前的数据库连接账号口令明文存储在客户端，部分数据库连接直接使用数据库管理员账号，数据库服务器没有不必要的客户端访问数据库。

（2）威胁分析

当前，XX医院目前的数据库连接账号口令明文存储在客户端，可能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库服务器没有不必要的客户端访问数据库，从而导致非授权用户连接，影响系统应用。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

- 19-

XX医院信息系统风险自评估报告

（4）风险评价风险名称可能性影响描述级别描述未对数据连接进行控制可能导致信息系统非授权访问。 4 未对数据连接进行控制可能导致信息系统非授权访问，对首都XX医院的管理运营具有严重影响。中级别未对数据库连接进行控制导致系统非授权访问 2 风险级别（5）建议控制措施序号建议控制措施用户名口令加密存储降低数据库连接账户权限描述将客户端存储的账号口令进行加密存储。降低数据库连接账户权限，使用DBA以外的用户账户进行连接，分配基本的权限。其他不必要客户端对数据库的直接访问。 1 2 3 不必要客户端访问 3.5. 安全审计

3.5.1. 无登录日志和详细日志记录功能

（1）现状描述

当前，XX医院信息系统目前暂未对登录行为进行记录，也未实现详细的日志记录功能。

（2）威胁分析

未对登录行为进行记录，也未实现详细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系统受到严重影响。

（3）现有或已计划的安全措施无。

- 20-

XX医院信息系统风险自评估报告

（4）风险评价风险名称可能性影响描述级别描述发生安全事件可能很难依系统日志追查来源。 2 发生安全事件很难依系统日志追查来源，对首都XX医院管理运营具有轻微影响。低级别发生安全事件很难依系统日志追查来源 2 风险级别（5）建议控制措施序号建议控制措施增加对用户登陆行为的记录添加详细的用户记录日志描述增加对用户登陆行为的记录，如：登录用户名、时间、IP等信息。添加详细的用户记录日志。 1 2 3.6. 备份容错 3.6.1. 无异地灾备系统

（1）现状描述

当前，XX医院信息系统无异地灾备系统。

（2）威胁分析

无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，严重影响了系统的可用性。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称灾难发生后业务系统难以快速恢复 - 21-

XX医院信息系统风险自评估报告

可能性影响级别描述级别描述 2 灾难发生后业务系统可能难以快速恢。 5 灾难发生后业务系统难以快速恢，对XX医院的管理运营具有严重影响。高风险级别（5）建议控制措施序号建议控制措施建立异地灾备系统业务数据备份异地存储描述条件允许，建立异地灾备系统。对业务数据定期进行备份，并进行异地存储。 1 2 3.6.2. 数据备份无异地存储

（1）现状描述

当前，XX医院信息系统未对系统配置进行备份，数据备份也没有进行异地存储。

（2）威胁分析

未对系统配置信息和数据进行异地存储和备份，当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。

（3）现有或已计划的安全措施无。

（4）风险评价风险名称可能性

备份数据无异地存储导致灾难发生后系统不能快速恢复 2 备份数据无异地存储可能导致灾难发生后系统不能快速恢复。 - 22-

级别描述

XX医院信息系统风险自评估报告

影响级别描述 5 备份数据无异地存储可能导致灾难发生后系统不能快速恢复，对系统的可用性有严重影响。高风险级别（5）建议控制措施序号建议控制措施备份系统配置和数据异地存储备份描述备份系统配置和数据。对备份的部分数据进行异地存储。 1 2 3.7. 运行维护

3.7.1. 待形成信息安全管理制度体系

（1）现状描述

当前，XX医院未规划信息安全方针，缺少信息安全总体策略，部分管理制度缺失，评审、审批等流程记录不全面，不具备系统相关的知道手册，缺少关键人员授权，未形成全面的信息安全管理体系。

（2）威胁分析

缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护工作。

（3）现有或已计划的安全措施

建立有《信息中心工作职责》、《信息中心工作人员岗位职责》、《信息中心日常工作安全管理制度》、《应急安全管理及重大事故备案制度》、《信息网络安全管理制度（所文）》、《计算机信息系统安全及保密管理暂行规定（所文）》、《网络终端设备保管使用安全操作规范》、《信息中心设备购置与调配制度》、《信息中心维护维修工作制度》、《信息中心内部设备（及配件）管理条例》、《信息中心备机管理制度》、《信息中心设备管理软件应用条》、《信息中心文档管理细则》、《培训教室工作职责及管理制度》、《信息化管理小组工作例会制度》、《科务会制度》、《信息中心请假制度》、《信息中心奖惩制度》、《信息中心绩效评

- 23-

XX医院信息系统风险自评估报告

分制度》、《字典维护小组职责与工作流程》、《信息系统联系人制度》二十一项安全管理制度以及相关流程审批文件。

（4）风险评价风险名称可能性影响描述级别描述安全管理体系不完善可能引发安全事件。。 3 安全管理体系不完善引发安全事件，，对组织的正常经营活动有一定影响。中级别安全管理体系不完善引发安全问题 2 风险级别（5）建议控制措施序号 1 建议控制措施建立健全信息安全管理体系描述补充完善信息安全管理制度，形成成体系的信息安全管理文件。 3.7.2. 未规范信息系统建设

（1）现状描述

当前，XX医院未对采购产品进行选型测试，应用系统由开发公司自行检测，交付前由信息中心对产品进行检测验收，无第三方监督实施，无相关制度规范，开发公司未提供相关的开发文档资料，未与安全服务商签订保密协议。

（2）威胁分析

未对采购的产品进行选型测试分析，会引起与采购设备与实际需求不符的风险；无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提供系统建设文档、指导运维文档、系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。

（3）现有或已计划的安全措施

- 24-

XX医院信息系统风险自评估报告

XX医院IT设备产品从采购网上进行选型分析；由开发公司自行检测应用系统，交付前由信息中心对产品进行检测验收；口头对工程实施进行要求；由开发公司对运维人员进行培训指导；只与安全服务商签订了合同，未签订保密协议。

（4）风险评价风险名称可能性影响（5）建议控制措施序号建议控制措施规范产品采购描述采购产品前预先对产品进行选型测试确定产品的候范围。依据开发协议的技术指标对软件功能和性2 建立健全信息安全管理体系能等进行验收检测，验收检测由开发商和委托方、与第三方评测机构共同参与。对工程实施过程进行进度和质量控制，将3 规范工程实施控制方法和工程人员行为规范制度化，要求工程实施单位提供其能够安全实施系统建设的资质证明和能力保证。 4 5 未规范信息系统建设影响系统建设 2 未规范信息系统建设可能影响系统建设。 3 未规范信息系统建设影响系统建设，对XX医院具有轻微影响。中级别描述级别描述风险级别 1 规范系统交付规范安全服务商选择应确保开发商提供系统建设过程中的文档和指导用户进行系统运行维护的文档。与安全服务厂商签订保密协议。 4. 评估结果记录表

评估评估指标评估指标有升级改评估结果 - 25-

XX医院信息系统风险自评估报告

方面造必要性理由说明无必要性有必要性不涉及所支撑的业务业务范围无业务规模无业务频度目前无数据异地备份与业务容灾系统有业务模式无业务信息化时机按照信息系统安全等级保护三级标准申报有采用技术和遵循标准规范技术路线无体系架构医院自身业务的发展需要原来互相隔离的内网与安全融合，需要调整与更新安全策略与设备有技术标准规范无安全标准我院按照三级等保有 - 26-

XX医院信息系统风险自评估报告

规范标准申报，目前亟待改进与加强主机安全、安全审计、边界安全、设备安全等方面行业或标准无信息资源共享信息采集无信息加工无信息存储建立与业务发展适应的数据备份与容灾体系有信息共享无信息系统自身设备更新目前部分接入层网络设备老化、性能低下等，亟待升级有安全保障网关安全、边界安全、客户端安全审计等有系统整合安全系统与目前的网络系统、应用系统、主机存储系统有 - 27-

XX医院信息系统风险自评估报告

的有机整合

5. 安全自评估报告总结

5.1. 网络通信

 采购专业的审计系统  定期审计日志中的异常记录  定义VLAN安全级别及访问关系

 内网交换机更换（支持SNMPV3 、802.1x等）  采购内网防火墙  采购网络审计系统  部署入侵检测系统  部署应用安全网关系统

 部署客户端安全登陆与安全审计系统

5.2. 安装部署

 安装操作系统、数据库以及其他组件等的最新补丁  订阅安全漏洞补丁通告  设置密码策略

 为管理员、SNMP团体字、Oracle监听字等账号设置复杂密码  禁用windows操作系统、网络设备的SNMP服务等不需要的服务 禁用FTP服务的匿名访问

5.3. 认证授权

 定期整理账户

 降低数据库连接账户权限  开发登录失败处理功能  开发记录密码历史口令功能  开发密码使用期限功能  开发提示登录信息的功能  开发账户密码复杂度功能  不必要客户端访问

- 28-

XX医院信息系统风险自评估报告

5.4. 安全审计

 增加对用户登录行为的记录  添加详细的用户记录日志

5.5. 备份容错

 备份系统配置和数据  建立异地灾备系统  异地存储备份

- 29-

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文