《某业务运维信息系统风险评估报告》由会员分享,可在线阅读,更多相关《某业务运维信息系统风险评估报告(99页珍藏版)》请在金锄头文库上搜索。
1、XXX业务运维信息系统风险评估报告文档控制提交方提交日期版本信息日期版本撰写者审核者描述所有权声明文档里的资料版权归江苏开拓信息系统有限公司(以下简称“江苏开拓”)所有。未经江苏开拓事先书面允许,不得复制或散发任何部分的内容。任何团体或个人未经批准,擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。目 录1. 评估项目概述1.1. 评估目的和目标对XXX信息系统进行风险评估,分析系统的脆弱性、所面临的威胁以及由此可能产生的风险;根据风险评估结果,给出安全控制措施建议。风险评估范围包括:(1) 安全环境:包括机房环境、主机环境、网络环境等;(2) 硬件设备:包括主机、网络设备、线路、
2、电源等;(3) 系统软件:包括操作系统、数据库、应用系统、监控软件、备份系统等;(4) 网络结构:包括远程接入安全、网络带宽评估、网络监控措施等;(5) 数据交换:包括交换模式的合理性、对业务系统安全的影响等;(6) 数据备份/恢复:包括主机操作系统、数据库、应用程序等的数据备份/恢复机制;(7) 人员安全及管理,通信与操作管理;(8) 技术支持手段;(9) 安全策略、安全审计、访问控制;1.2. 被评估系统概述1.2.1. 系统概况XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及
3、安全控制设备等构成,内外网物理隔离,外网为访问互联网相关服务为主,内网为XXX生产网络。2. 风险综述2.1. 风险摘要2.1.1. 风险统计与分析经过风险分析,各级风险统计结果如下:风险级别风险数量百分比极高风险2%高风险9%中风险39%低风险18%总计68100%根据风险评估统计结果,各级风险统计结果分布如下图所示:各类风险分布数量如下表所示:类别风险级别总计低风险中风险高风险极高风险运行维护15006系统开发14106物理环境03205网络通信21115认证授权02002备份容错00213安装部署13243040安全审计10001总计18399268各类风险及级别分布如下图所示:极高风险
4、分布如下图所示:高风险分布如下图所示:中风险分布如下图所示:低风险分布如下图所示:2.1.2. 极高风险摘要极高风险摘要2备份容错1 核心业务系统单点故障导致业务中断1网络通信1 内网单点一故障风险造成业务系统服务停止12.1.3. 高风险摘要高风险摘要9安装部署3 非法者极易获得系统管理员用户权限攻击SUN SOLARIS系统1 非法者利用SQL Server管理员账号弱口令渗透进系统1 非法者利用管理员账号弱口令尝试登录Windows系统1备份容错2 备份数据无异地存储导致灾难发生后系统不能快速恢复1 灾难发生后业务系统难以快速恢复1网络通信1 非法者利用医保服务器渗透进内网1物理环境2
5、防火措施不当引发更大损失1 机房未进行防水处理引起设备老化、损坏1系统开发1 未规范口令管理导致用户冒用12.1.4. 中风险摘要中风险39安装部署24 SUN Solaris远程用户配置不当造成无需验证登录到主机1 非法者获得数据库权限进而获得系统管理员权限1 非法者或蠕虫病毒利用默认共享攻击Windows系统1 非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统1 非法者利用Guest账号攻击Windows系统1 非法者利用IIS目录权限设置问题攻击Windows系统1 非法者利用Oracle数据库调度程序漏洞远程执行任意指令1 非法者利用SQL Server的xp_cmdshe
6、ll扩展存储过程渗透进系统1 非法者利用SQL Server漏洞攻击Windows系统1 非法者利用Web server的漏洞来攻击主机系统1 非法者利用不当的监听器配置攻击Oracle系统1 非法者利用匿名FTP服务登录FTP系统1 非法者利用已启用的不需要服务攻击Windows系统1 非法者利用已知Windows管理员账号尝试攻击Windows系统1 非法者利用已知漏洞攻击SUN SOLARIS系统1 非法者利用已知漏洞攻击Windows系统1 非法者利用远程桌面登录Windows系统1 非法者破解Cisco交换机弱密码而侵入系统1 非法者通过SNMP修改cisco交换机配置1 非法者通过
7、SNMP修改SSG520防火墙配置1 非法者通过Sun Solaris 不需要服务的安全漏洞入侵系统1 非法者通过监听和伪造的方式获得管理员与主机间的通信内容1 非法者有更多机会破解Windows系统密码1 系统管理员账号失控威胁Windows系统安全1认证授权2 未对数据库连接进行控制导致系统非授权访问1 系统未采用安全的身份鉴别机制导致用户账户被冒用1网络通信1 外网单一单点故障风险造成Internet访问中断1物理环境3 机房存在多余出入口可能引起非法潜入1 机房内无防盗报警设施引起非法潜入1 未采取防静电措施引起设备故障1系统开发4 生产数据通过培训环境泄露1 未对系统会话进行限制影响
8、系统可用性1 未做用户登录安全控制导致用户被冒用1 系统开发外包管理有待完善引发系统安全问题1运行维护5 安全管理体系不完善引发安全问题1 人员岗位、配备不完善影响系统运行维护1 未规范信息系统建设影响系统建设1 未与相关人员签订保密协议引起信息泄密1 运维管理不完善引发安全事件12.1.5. 低风险摘要低风险18安全审计1 发生安全事件很难依系统日志追查来源1 安装部署13 SQL Server发生安全事件时难以追查来源或异常行为1 Windows发生安全事件难以追查来源或非法行为2 非法者可从多个地点尝试登录Cisco交换机1 非法者利用DVBBS数据库渗透进Windows系统1 非法者利
9、用IIS默认映射问题攻击Windows系统1 非法者利用IIS示例程序问题攻击Windows系统1 非法者利用IIS允许父路径问题攻击Windows系统1 非法者利用Oracle数据库漏洞可获得任意文件读写权限1 非法者利用SNMP服务获取Windows主机信息1 非法者利用SUN Solaris匿名FTP服务登录FTP系统1 非法者利用开启过多的snmp服务获得详细信息1 日志无备份对系统管理和安全事件记录分析带来困难1网络通信2 出现安全事件无法进行有效定位和问责1 非法者利用防火墙配置不当渗透入外网1系统开发1 系统未进行分级管理导致核心系统不能得到更多的保护1运行维护1 安全管理制度缺
10、乏维护导致安全管理滞后12.2. 风险综述(1) 网络通信方面1) 内网设计中存在单点故障风险,当wins/dns服务器发生故障后,网内所有域用户全部都不能正常登录到域,造成业务信息系统无法提供正常服务。2) 网络边界未做访问控制,XXX内网是生产网,安全级别比较高,但跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件,攻击者可以通过攻击医保服务器后再渗透入XXX内网。3) 外网设计中存在单点故障风险,外网网络中存在4个单点故障风险点,每一单点故障点发生故障都会造成Internet访问中断,影响外网用户的正常工作。4) SSG520防火墙配置策略不当,可能导
11、致非法者更容易利用防火墙的配置问题而渗透入XXX外网,或者外网用户电脑被植入木马等程序后,更容易被非法者控制。5) 无专业审计系统,无法对已发生安全事件准确回溯,将给确认安全事件发生时间,分析攻击源造成极大困难,同时,在依法问责时缺乏审计信息将无法作为安全事件发生的证据。(2) 安装部署方面1) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Cisco交换机等等均存在管理员账号弱口令的情况,管理员账号口令强度不足,可能导致管理员账号口令被破解,从而导致非法者可以利用被破解的管理员账号登录系统,对业务系统的安全稳定具有严重威胁。2) Windows操作系统、
12、SUN Solaris操作系统、SQL Server数据库等均未安装最新安全补丁,这将使得已知漏洞仍然存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉,非法者就有可能利用这些已知漏洞攻击系统。3) Windows操作系统、SUN Solaris操作系统均启用了多个不需要的服务,不需要的服务却被启用,非法者就可以通过尝试攻击不需要的服务而攻击系统,而且管理员在管理维护过程通常会忽略不需要的服务,因此导致不需要服务中所存在的安全漏洞没有被及时修复,这使得非法者更有可能攻击成功。4) Windows操作系统、SUN Solaris操作系统、SQL Server数据库、Ora
13、cle数据库等均未进行安全配置,存在部分配置不当的问题,错误的配置可能导致安全隐患,或者将使得非法者有更多机会利用系统的安全问题攻击系统,影响业务系统安全。(3) 认证授权方面1) 未对数据库连接进行控制,数据库连接账号口令明文存储在客户端,可能导致账户/口令被盗取的风险,从而致使用户账户被冒用;部分数据库连接直接使用数据库管理员账号,可能导致DBA账号被非法获得,从而影响系统运行,数据泄露;数据库服务器没有限制不必要的客户端访问数据库,从而导致非授权用户连接,影响系统应用。2) 系统未采用安全的身份鉴别机制,缺乏限制帐号不活动时间的机制、缺乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机制等可能引起系统
