北京市信息系统升级改造必要性自评估报告-XX医院

1、北京市信息系统升级的必要性自我评估报告项目名称：北京XX医院信息系统安全自评报告报告单位(盖章):报告单位联系人：关联电话：评估时间：年、月、日内容1.评估项目概述31.1。评价目的和目标31.2。评估系统概述31.2.1。系统概述31.2.2。网络拓扑4关键支持设备52.风险摘要52.1。风险摘要53.风险分析73.1。风险等级描述73.2。网络通信83.2.1。虚拟局域网8之间没有访问控制3.2.2。无专业审计系统93.2.3。防火墙配置策略不正确103.2.4。网络边界11没有访问控制3.3。安装和部署123.3.1.Windows系统没有安装最新的修补程序123.3.2.Windows

2、系统打开了不需要的服务133.3.3。可以登录思科交换机的IP地址不受限制143.3.4 .思科交换机打开过多不需要的SNMP服务153.3.5。用弱密码管理思科交换机173.3.6.cisco交换机的SNMP只读和读写密码很弱183.4。认证授权193.4.1。该系统不采用安全身份认证机制193.4.2。无法控制数据库连接213.5。安全审计3.5.1。无登录日志和详细日志功能223.6。备份容错233.6.1。备灾系统没有区别233.6.2。数据备份与存储24没有什么不同3.7。操作和维护253.7.1。拟组建的信息安全管理系统253.7.2。信息系统建设不规范264.评估结果记录表275

3、.安全自我评估报告摘要295.1。网络通信295.2。安装和部署305.3。认证授权305.4。安全审计305.5。备份容错301.评估项目概述1.1。评估目的和目标XX医院信息系统风险评估，系统脆弱性分析，可能产生的威胁和风险；根据风险评估结果，提出安全控制措施。风险评估的范围包括：(1)安全环境：包括机房环境、主机环境、网络环境等。(2)硬件设备：包括主机、网络设备、线路、电源等。(3)系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等。(4)网络结构：包括远程访问安全、网络带宽评估、网络监控措施等。(5)数据交换：包括交换方式的合理性及其对业务系统安全性的影响；(6)数据备份

4、/恢复：数据备份/恢复机制，包括主机操作系统、数据库、应用程序等。(7)人员安全与管理、沟通与运行管理；(8)技术支持手段；(9)安全政策、安全审计和访问控制；1.2。评估系统概述1.2.1。系统概述XX医院信息系统主要由HIS系统、LIS系统、PACS系统、医疗保险、大屏幕、合理用药等业务系统、OA服务器、交换机、防火墙和安全控制设备组成。内部和外部网络在物理上是隔离的。外部网络主要用于访问与互联网相关的服务。内部网络是XX医院的生产网络。网络拓扑结构(1)外部网络拓扑(2)内部网拓扑关键支持设备(1)关键网络设备本次评估涉及的关键网络设备如下表：所示编号名字ip地址1思科65092思科45

5、063思科3750G4Cisco3560G5思科29602.风险摘要2.1。风险概述(1)网络通信1)网络边界上没有进行访问控制。XX医院内网是一个安全级别相对较高的生产网络，但与安全级别相对较低的医疗保险网络的连接边界没有进行访问控制，为医疗保险网络中的非法人员入侵内网提供了条件。攻击者可以在攻击医疗保险服务器后渗透到XX医院的内部网。2)出口防火墙配置策略不当，可能会使不法分子利用防火墙配置问题渗透到XX医院的外部网络，或者不法分子在植入木马等程序后，更容易控制外部网络用户的计算机。3)没有专业的审计系统，无法准确追溯已发生的安全事件，这给确定安全事件的发生时间和分析攻击源带来很大困难。与

6、此同时，缺乏法律责任审计信息将不会被用作安全事件发生的证据。(2)安装和部署1)管理员帐户的弱密码存在于操作系统、数据库、交换机等中。管理员帐户的密码强度不足可能导致管理员帐户的密码被破解，从而导致非法人员使用破解后的管理员帐户登录系统，对业务系统的安全和稳定构成严重威胁。2) Windows操作系统和其他部件没有安装最新的安全补丁，这将使系统上仍然存在已知的漏洞。由于这些已知的漏洞是通过互联网发布的，并且是被非法用户发现的，因此非法用户可能会利用这些已知的漏洞来攻击系统。3)视窗操作系统启用多个不必要的服务，但不必要的服务被启用。非法人员可以通过尝试攻击不必要的服务来攻击系统。此外，管理员在

7、管理和维护过程中通常会忽略不必要的服务，导致不必要的服务中存在的安全漏洞无法及时修复，使得非法人员更有可能成功攻击。4)操作系统、数据库、数据库等。尚未安全配置，并且存在一些配置不当的问题。不正确的配置可能会导致安全隐患，或者会使非法人员有更多的机会利用系统的安全问题来攻击系统，从而影响业务系统的安全性。(3)认证授权1)数据库连接没有严格控制，数据库连接账户的密码明确存储在客户端，可能导致账户/密码被盗的风险，从而导致用户账户被盗用；有些数据库连接直接使用数据库管理员帐户，可能导致非法获取数据库管理员帐户，从而影响系统运行和数据泄露；数据库服务器不会限制不必要的客户端访问数据库，从而导致未经

8、授权的用户连接并影响系统应用程序。2)系统没有采用安全的身份认证机制，缺少限制账户不活动时间的机制，缺少设置密码复杂度的机制，缺少记录密码历史的机制，缺少限制密码使用期限的机制，缺少处理登录失败的机制，缺少提示最后登录信息的机制等，这些都可能导致系统用户被欺诈性使用的风险。(4)安全审计1)没有日志和详细日志功能，没有记录日志行为，没有实现详细日志功能。非法用户的恶意行为可能无法被检测到，从而对信息系统造成严重影响。(5)备份容错1)数据备份无一例外地存储，系统配置信息和数据不在不同的地方存储和备份。当系统因不可抗力而无法使用时，无法恢复，严重影响系统的可用性；系统配置尚未备份。当系统配置发生

9、变化且系统变得不可用时，无法恢复正常配置，这将影响系统的可用性。2)备灾系统没有差异，这可能导致灾难事件后系统的快速恢复，严重影响系统的可用性。(6)操作和维护1)没有第三方安全检查，导致产品缺陷和问题反应不准确、不客观；信息系统运行缺乏风险控制机制和流程，维护人员和用户不按照风险控制机制和流程操作，容易出现误操作风险；开发公司没有提供完整的系统建设文件、运行维护指导文件和系统培训手册，使得运行维护人员无法对系统进行标准化管理和归档。没有为安全服务部门单独签署保密协议，因此存在信息披露无法问责的潜在安全风险。2)缺乏相关的通用标准等文件(1)现状描述。(2)威胁分析因为每个VLAN代表不同的业

10、务内容，并且安全级别不同，所以需要在不同的虚拟局域网之间进行访问控制。根据现有配置，所有VLAN之间的路由都是连通的，因此所有虚拟局域网之间都可以进行互访，而安全级别较低的虚拟局域网可以接入安全级别较高的虚拟局域网，从而大大削弱了VLAN设置的目的和效果。安全级别较低的VLAN试图访问高级别VLAN，有意或无意地破坏高级别VLAN服务器上的数据，将对XX医院的业务产生重大影响。(3)现有或计划的安全措施防火墙模块配置在核心交换机6509上，但该模块没有配置访问控制策略。(4)风险评估风险名称非法移民从普通VLAN潜入核心VLAN可能性水平3形容非法移民很可能从普通VLAN渗透到核心VLAN。影

11、响水平3形容非法移民从普通VLAN渗透到核心VLAN，对XX医院的管理和运营产生了一定的影响。风险水平高的(5)建议的控制措施序列号建议的控制措施形容1定义VLAN安全级别和访问关系网络管理员定义每个VLAN的安全级别和每个VLAN之间的访问关系表。2修改核心交换机上的VLAN间访问控制策略根据定义的VLAN间访问关系表，访问控制列表被重新定义以控制VLAN间访问关系3.2.2。没有专业审计系统(1)现状描述XX医院内外网络没有专业的审计系统。(2)威胁分析没有专业的审计系统，就不可能准确追溯已经发生的安全事件，这给确定安全事件的发生时间和分析攻击源带来很大的困难。与此同时，缺乏法律责任审计信

12、息将不会被用作安全事件发生的证据。(3)现有或计划的安全措施没有。(4)风险评估风险名称安全事件无法有效定位并追究责任。可能性水平2形容可能会发生无法发现的安全事件。影响水平2形容安全事故的发生无法有效定位并追究责任，这将对XX医院的管理和运营产生轻微影响。风险水平低的(5)建议的控制措施序列号建议的控制措施形容1采购专业审计系统采购和集中部署专业审计系统，启动网络设备和安全设备的日志服务。2定期审计日志中的异常记录指定专人负责定期审核日志，查看是否有异常记录。3.2.3。防火墙配置策略不正确(1)现状描述分析配置文件，发现防火墙配置的端口控制中打开了太多未使用的端口，如10700、3765、

13、8888、445端口等。(2)威胁分析防火墙配置不当可能会使不法分子利用防火墙配置问题更容易渗透到XX医院的外部网络，或者不法分子在植入木马等程序后更容易控制外部网络用户的计算机。(3)现有或计划的安全措施没有。(4)风险评估风险名称非法人员使用不正确的防火墙配置渗透到外部网络可能性水平2形容非法人员可能使用不正确的防火墙配置渗透到外部网络。影响水平2形容不法分子利用防火墙配置不当渗透到外部网络，将对XX医院的管理和运营产生轻微影响。风险水平低的(5)建议的控制措施序列号建议的控制措施形容1删除出口防火墙未使用的端口的访问控制策略删除服务中未使用的端口访问控制策略，如10700、3765、88

14、88、4453.2.4。网络边界没有访问控制(1)现状描述根据我们的检查和访谈，我们了解到XX医院内部网和市级医疗保险网络通过医疗保险服务器配置的双网卡连接到市级医疗保险网络。医疗保险网络是一个私有网络，不属于XX医院。医疗保险服务器收集的数据通过专用网络传输到相关用户部门。XX医院内网是一个安全级别较高的生产网络，但与安全级别较低的医疗保险网络的连接边界不受访问控制，为医疗保险网络中的非法人员入侵内网提供了条件。攻击者可以在攻击医疗保险服务器后渗透到XX医院的内部网。(3)现有或计划的安全措施没有。(4)风险评估风险名称不法分子利用医疗保险服务器渗透内网可能性水平3形容非法移民可以利用健康保

15、险服务器渗透到内部网。影响水平4形容不法分子可能利用医疗保险服务器渗透到内网，严重影响XX医院的管理和运营。风险水平高的(5)建议的控制措施序列号建议的控制措施形容1制定医疗保险网络对医疗保险服务器的接入策略防火墙软件可以安装在医疗保险服务器上，实现医疗保险网络的访问控制。2制定访问控制策略，以加强医疗保险服务器和内部网之间的连接通过改变网络拓扑在医疗保险服务器和内网之间配置硬件防火墙，或者通过内网核心交换机实现对医疗保险服务器的访问控制。3.3。安装和部署3.3.1。Windows系统没有安装最新的修补程序(1)现状描述目前，被检查的windows系统没有安装最新的补丁，补丁的安装条件不同。一些补丁丢失的更少，一些丢失的更多，甚至一系列重要的安全补丁也丢失了。扫描结果还显示，一些服务器存在严重的安全漏洞：(2)威胁分析未能及时安装最新的Windows操作系统安全修补程序将导致系统上仍然存在已知的漏洞。由于这些已知的漏洞是通过互联网发布的，并且是被非法用户发