北京市市級信息系統(tǒng)升級改造必要性

自評估報告

申報單位（蓋章）：

申報單位聯(lián)系人：

：

評估時間：年月日

項目名稱：北京XX醫(yī)院信息系統(tǒng)安全自評估報告

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

目錄

1.評估項目概述............................................................................................................................3

1.1.評估目的和目標(biāo)............................................................................................................3

1.2.被評估系統(tǒng)概述............................................................................................................3

1.2.1.系統(tǒng)概況............................................................................................................3

1.2.2.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)....................................................................................................3

1.2.3.關(guān)鍵支撐設(shè)備....................................................................................................4

2.風(fēng)險綜述...................................................................................................................................4

2.1.風(fēng)險綜述.......................................................................................................................4

3.風(fēng)險分析...................................................................................................................................6

3.1.風(fēng)險級別說明................................................................................................................6

3.2.網(wǎng)絡(luò)通信.......................................................................................................................6

間未做訪問控制.....................................................................................6

3.2.2.無專業(yè)審計系統(tǒng)................................................................................................7

3.2.3.防火墻配置策略不當(dāng).........................................................................................8

3.2.4.網(wǎng)絡(luò)邊界未做訪問控制.....................................................................................9

3.3.安裝部署.....................................................................................................................10

s系統(tǒng)未安裝最新補(bǔ)丁.......................................................................10

s系統(tǒng)開放了不需要的服務(wù)...............................................................12

3.3.3.未限制可登錄Cisco交換機(jī)的IP地址...........................................................13

交換機(jī)開放過多不需要的SNMP服務(wù)..................................................14

3.3.5.使用弱密碼管理Cisco交換機(jī)........................................................................16

交換機(jī)的SNMP只讀及讀寫存在弱密碼...............................................17

3.4.認(rèn)證授權(quán).....................................................................................................................18

3.4.1.系統(tǒng)未采用安全的身份鑒別機(jī)制....................................................................18

3.4.2.未對數(shù)據(jù)庫連接進(jìn)行控制...............................................................................19

3.5.安全審計.....................................................................................................................20

3.5.1.無登錄日志和詳細(xì)日志記錄功能....................................................................20

3.6.備份容錯.....................................................................................................................21

3.6.1.無異地災(zāi)備系統(tǒng)..............................................................................................21

3.6.2.數(shù)據(jù)備份無異地存儲.......................................................................................22

3.7.運行維護(hù).....................................................................................................................23

3.7.1.待形成信息安全管理制度體系.......................................................................23

3.7.2.未規(guī)范信息系統(tǒng)建設(shè).......................................................................................24

4.評估結(jié)果記錄表......................................................................................................................25

5.安全自評估報告總結(jié)..............................................................................................................28

5.1.網(wǎng)絡(luò)通信.....................................................................................................................28

5.2.

5.3.

5.4.

5.5.

安裝部署.....................................................................................................................28

認(rèn)證授權(quán).....................................................................................................................28

安全審計.....................................................................................................................29

備份容錯.....................................................................................................................29

-2-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

1.評估項目概述

1.1.評估目的和目標(biāo)

對XX醫(yī)院信息系統(tǒng)進(jìn)行風(fēng)險評估，分析系統(tǒng)的脆弱性、所面臨的威脅以及由

此可能產(chǎn)生的風(fēng)險；根據(jù)風(fēng)險評估結(jié)果,給出安全控制措施建議。

風(fēng)險評估范圍包括：

（1）安全環(huán)境：包括機(jī)房環(huán)境、主機(jī)環(huán)境、網(wǎng)絡(luò)環(huán)境等；

（2）硬件設(shè)備：包括主機(jī)、網(wǎng)絡(luò)設(shè)備、線路、電源等；

（3）系統(tǒng)軟件：包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、監(jiān)控軟件、備份系統(tǒng)等；

（4）網(wǎng)絡(luò)結(jié)構(gòu)：包括遠(yuǎn)程接入安全、網(wǎng)絡(luò)帶寬評估、網(wǎng)絡(luò)監(jiān)控措施等；

（5）數(shù)據(jù)交換：包括交換模式的合理性、對業(yè)務(wù)系統(tǒng)安全的影響等；

（6）數(shù)據(jù)備份/恢復(fù)：包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等的數(shù)據(jù)備份/恢

復(fù)機(jī)制；

（7）人員安全及管理，通信與操作管理；

（8）技術(shù)支持手段；

（9）安全策略、安全審計、訪問控制；

1.2.被評估系統(tǒng)概述

1.2.1.系統(tǒng)概況

XX醫(yī)院信息系統(tǒng)主要由HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)以及醫(yī)保、大屏、合

理用藥等業(yè)務(wù)系統(tǒng)、OA服務(wù)器、交換機(jī)、防火墻以及安全控制設(shè)備等構(gòu)成，內(nèi)外

網(wǎng)物理隔離，外網(wǎng)為訪問互聯(lián)網(wǎng)相關(guān)服務(wù)為主，內(nèi)網(wǎng)為XX醫(yī)院生產(chǎn)網(wǎng)絡(luò)。

。。。。。。。

1.2.2.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

（1）外網(wǎng)拓?fù)浣Y(jié)構(gòu)

（2）內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)

-3-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

1.2.3.關(guān)鍵支撐設(shè)備

（1）關(guān)鍵網(wǎng)絡(luò)設(shè)備

本次評估所涉及的關(guān)鍵網(wǎng)絡(luò)設(shè)備如下表所示:

編號

1

2

3

4

5

名稱

Cisco6509

Cisco4506

Cisco3750G

Cisco3560G

Cisco2960

IP地址

2.風(fēng)險綜述

2.1.風(fēng)險綜述

（1）網(wǎng)絡(luò)通信方面

1)網(wǎng)絡(luò)邊界未做訪問控制，XX醫(yī)院內(nèi)網(wǎng)是生產(chǎn)網(wǎng)，安全級別比較高，但

跟安全級別相對較低的醫(yī)保網(wǎng)連接邊界未做訪問控制從而給從醫(yī)保網(wǎng)

的非法者入侵內(nèi)網(wǎng)提供了條件，攻擊者可以通過攻擊醫(yī)保服務(wù)器后再滲

透入XX醫(yī)院內(nèi)網(wǎng)。

2)出口防火墻配置策略不當(dāng)，可能導(dǎo)致非法者更容易利用防火墻的配置問

題而滲透入XX醫(yī)院外網(wǎng)，或者外網(wǎng)用戶電腦被植入木馬等程序后，更

容易被非法者控制。

3)無專業(yè)審計系統(tǒng)，無法對已發(fā)生安全事件準(zhǔn)確回溯，將給確認(rèn)安全事件

發(fā)生時間，分析攻擊源造成極大困難，同時，在依法問責(zé)時缺乏審計信

息將無法作為安全事件發(fā)生的證據(jù)。

（2）安裝部署方面

1)Windows操作系統(tǒng)、SQLServer數(shù)據(jù)庫、Cisco交換機(jī)等等均存在管理

員賬號弱口令的情況，管理員賬號口令強(qiáng)度不足，可能導(dǎo)致管理員賬號

口令被，從而導(dǎo)致非法者可以利用被的管理員賬號登錄系統(tǒng)，

對業(yè)務(wù)系統(tǒng)的安全穩(wěn)定具有嚴(yán)重威脅。

-4-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

2)Windows操作系統(tǒng)等部分未安裝最新安全補(bǔ)丁，這將使得已知漏洞仍然

存在于系統(tǒng)上。由于這些已知漏洞都已經(jīng)通過Internet公布而被非法者

獲悉，非法者就有可能利用這些已知漏洞攻擊系統(tǒng)。

3)Windows操作系統(tǒng)啟用了多個不需要的服務(wù)，不需要的服務(wù)卻被啟用，

非法者就可以通過嘗試攻擊不需要的服務(wù)而攻擊系統(tǒng)，而且管理員在管

理維護(hù)過程通常會忽略不需要的服務(wù)，因此導(dǎo)致不需要服務(wù)中所存在的

安全漏洞沒有被及時修復(fù)，這使得非法者更有可能攻擊成功。

4)Windows操作系統(tǒng)、SQLServer數(shù)據(jù)庫、Oracle數(shù)據(jù)庫等未進(jìn)行安全配

置，存在部分配置不當(dāng)?shù)膯栴}，錯誤的配置可能導(dǎo)致安全隱患，或者將

使得非法者有更多機(jī)會利用系統(tǒng)的安全問題攻擊系統(tǒng)，影響業(yè)務(wù)系統(tǒng)安

全。

（3）認(rèn)證授權(quán)方面

1)未對數(shù)據(jù)庫連接進(jìn)行嚴(yán)格控制，數(shù)據(jù)庫連接賬號口令明文存儲在客戶

端，可能導(dǎo)致賬戶/口令被盜取的風(fēng)險，從而致使用戶賬戶被冒用；部

分?jǐn)?shù)據(jù)庫連接直接使用數(shù)據(jù)庫管理員賬號，可能導(dǎo)致DBA賬號被非法

獲得，從而影響系統(tǒng)運行，數(shù)據(jù)泄露；數(shù)據(jù)庫服務(wù)器沒有限制不必要的

客戶端訪問數(shù)據(jù)庫，從而導(dǎo)致非授權(quán)用戶連接，影響系統(tǒng)應(yīng)用。

2)系統(tǒng)未采用安全的身份鑒別機(jī)制，缺乏限制帳號不活動時間的機(jī)制、缺

乏設(shè)置密碼復(fù)雜性的機(jī)制、缺乏記錄密碼歷史的機(jī)制、缺乏限制密碼使

用期限的機(jī)制、缺乏登錄失敗處理的機(jī)制、缺乏上次登錄信息提示的機(jī)

制等可能引起系統(tǒng)用戶被冒用的風(fēng)險。

（4）安全審計方面

1)無登錄日志和詳細(xì)日志記錄功能，未對登錄行為進(jìn)行記錄，也未實現(xiàn)詳

細(xì)的日志記錄功能，可能無法檢測到非法用戶的惡意行為，導(dǎo)致信息系

統(tǒng)受到嚴(yán)重影響。

（5）備份容錯方面

1)數(shù)據(jù)備份無異地存儲，未對系統(tǒng)配置信息和數(shù)據(jù)進(jìn)行異地存儲和備份，

當(dāng)發(fā)生不可抗力因素造成系統(tǒng)不可用時，無法恢復(fù)，嚴(yán)重影響到了系統(tǒng)

的可用性；未對系統(tǒng)配置進(jìn)行備份，當(dāng)系統(tǒng)配置變更導(dǎo)致系統(tǒng)不可用時

無法恢復(fù)到正常配置，影響到系統(tǒng)的可用性。

-5-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

2)無異地災(zāi)備系統(tǒng)，有可能導(dǎo)致發(fā)生災(zāi)難性事件后，系統(tǒng)難以快速恢復(fù)，

嚴(yán)重影響了系統(tǒng)的可用性。

（6）運行維護(hù)方面

1)無第三方安全檢測，造成檢測結(jié)果不能準(zhǔn)確、客觀的反應(yīng)產(chǎn)品的缺陷與

問題；缺乏信息系統(tǒng)操作風(fēng)險控制機(jī)制和流程，維護(hù)人員和使用人員不

按照風(fēng)險控制機(jī)制和流程進(jìn)行操作，易發(fā)生誤操作風(fēng)險；開發(fā)公司未提

供完整的系統(tǒng)建設(shè)文檔、指導(dǎo)運維文檔、系統(tǒng)培訓(xùn)手冊，使得運維人員

無法規(guī)范化管理，無法對系統(tǒng)存檔備案；未針對安全服務(wù)單獨簽署保密

協(xié)議，存在信息泄露無法追究責(zé)任的安全隱患。

2)缺乏信息系統(tǒng)運行的相關(guān)總體規(guī)范、管理辦法、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)各

組成部分的管理細(xì)則等文檔，運維人員將缺乏相關(guān)指導(dǎo)，會影響信息系

統(tǒng)的安全運行維護(hù)工作。

3.風(fēng)險分析

3.1.風(fēng)險級別說明

風(fēng)險級別

極高風(fēng)險

高風(fēng)險

中風(fēng)險

低風(fēng)險

可改進(jìn)

數(shù)字表示

1

2

3

4

5

備注

3.2.網(wǎng)絡(luò)通信

間未做訪問控制

（1）現(xiàn)狀描述

。。。。。。

（2）威脅分析

由于各個VLAN代表不同的業(yè)務(wù)內(nèi)容，安全級別也是不同的，需要在不同的

VLAN間做訪問控制。

-6-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

現(xiàn)有配置，各個VLAN間路由都是通的，那么各個VLAN間就都可以互訪，安

全級別低的VLAN可以訪問安全級別高的VLAN，這樣VLAN設(shè)定的目的效果就

大大削弱了。

安全級別低的VLAN嘗試訪問高級別VLAN，有意或者無意的破壞高級別

VLAN中服務(wù)器上的數(shù)據(jù)，將會對XX醫(yī)院的業(yè)務(wù)造成重大的影響。

（3）現(xiàn)有或已計劃的安全措施

核心交換機(jī)6509上配置了防火墻模塊，但該模塊沒有配置訪問控制策略。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

級別

描述

級別

描述

非法者從普通VLAN滲透到核心VLAN

3

非法者很可能從普通VLAN滲透到核心VLAN。

3

非法者從普通VLAN滲透到核心VLAN，對XX醫(yī)院的管理運營具有一

定影響。

高風(fēng)險級別

（5）建議控制措施

序號建議控制措施描述

1

2

定義VLAN安全級別及訪問關(guān)由網(wǎng)絡(luò)管理員定義各個VLAN的安全級別

系和互相之間的訪問關(guān)系表

按照已定義好的VLAN間訪問關(guān)系表，重

修改核心交換機(jī)上VLAN間訪

新定義訪問控制列表，控制VLAN間的訪

問控制策略

問關(guān)系

3.2.2.無專業(yè)審計系統(tǒng)

（1）現(xiàn)狀描述

現(xiàn)有XX醫(yī)院內(nèi)外網(wǎng)網(wǎng)絡(luò)均無專業(yè)審計系統(tǒng)。

（2）威脅分析

無專業(yè)審計系統(tǒng)，無法對已發(fā)生安全事件準(zhǔn)確回溯，將給確認(rèn)安全事件發(fā)生時

間，分析攻擊源造成極大困難，同時，在依法問責(zé)時缺乏審計信息將無法作為安全

事件發(fā)生的證據(jù)。

-7-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

（3）現(xiàn)有或已計劃的安全措施

無。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

級別

描述

級別

描述

出現(xiàn)安全事件無法進(jìn)行有效定位和問責(zé)

2

出現(xiàn)安全事件而無法發(fā)現(xiàn)的情況有可能發(fā)生

2

出現(xiàn)安全事件無法進(jìn)行有效定位和問責(zé)，將對XX醫(yī)院的管理運營具有

輕微影響

低風(fēng)險級別

（5）建議控制措施

序號建議控制措施

采購專業(yè)的審計系統(tǒng)

定期審計日志中的異常記錄

描述

采購并集中部署專業(yè)的審計系統(tǒng)，并啟動

網(wǎng)絡(luò)設(shè)備和安全設(shè)備上的日志服務(wù)。

指定專人負(fù)責(zé)，定期對日志進(jìn)行審計，查

看是否有異常記錄。

1

2

3.2.3.防火墻配置策略不當(dāng)

（1）現(xiàn)狀描述

分析配置文件，發(fā)現(xiàn)防火墻配置的端口控制中開放了過多的不用使用端口，例

如10700，3765，8888，445端口等。

（2）威脅分析

防火墻配置不當(dāng)，可能導(dǎo)致非法者更容易利用防火墻的配置問題而滲透入XX

醫(yī)院外網(wǎng)，或者外網(wǎng)用戶電腦被植入木馬等程序后，更容易被非法者控制。

（3）現(xiàn)有或已計劃的安全措施

無。

（4）風(fēng)險評價

風(fēng)險名稱非法者利用防火墻配置不當(dāng)滲透入外網(wǎng)

-8-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

可

能

性

影

響

級別

描述

級別

描述

2

非法者可能利用防火墻配置不當(dāng)滲透入外網(wǎng)。

2

非法者利用防火墻配置不當(dāng)滲透入外網(wǎng)，將對XX醫(yī)院的管理運營具

有輕微的影響。

低風(fēng)險級別

（5）建議控制措施

序號建議控制措施

刪除出口防火墻不使用的端口

的訪問控制策略

描述

刪除service"ftp_mail_QQ_MSN"中的

10700，3765，8888，445等不使用的端口

訪問控制策略

1

3.2.4.網(wǎng)絡(luò)邊界未做訪問控制

（1）現(xiàn)狀描述

根據(jù)我們檢查和訪談得知XX醫(yī)院內(nèi)網(wǎng)和市醫(yī)保網(wǎng)通過一臺醫(yī)保服務(wù)器配置的

雙網(wǎng)卡和市醫(yī)保網(wǎng)連接，醫(yī)保網(wǎng)是不屬于XX醫(yī)院范圍內(nèi)的專網(wǎng)，通過醫(yī)保服務(wù)器

采集數(shù)據(jù)通過專網(wǎng)傳送到相關(guān)使用部門，跟醫(yī)保網(wǎng)的連接屬于邊界連接，但在邊界

上未做任何訪問控制。醫(yī)保服務(wù)器也未作安全控制，醫(yī)保的人可以遠(yuǎn)程登錄該系統(tǒng)。

（2）威脅分析

XX醫(yī)院內(nèi)網(wǎng)是生產(chǎn)網(wǎng)，安全級別比較高，但跟安全級別相對較低的醫(yī)保網(wǎng)連

接邊界未做訪問控制從而給從醫(yī)保網(wǎng)的非法者入侵內(nèi)網(wǎng)提供了條件，攻擊者可以通

過攻擊醫(yī)保服務(wù)器后再滲透入XX醫(yī)院內(nèi)網(wǎng)。

（3）現(xiàn)有或已計劃的安全措施

無。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

級別

描述

非法者利用醫(yī)保服務(wù)器滲透進(jìn)內(nèi)網(wǎng)

3

非法者可能利用醫(yī)保服務(wù)器滲透進(jìn)內(nèi)網(wǎng)

-9-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

影

響

級別

描述

4

非法者可能利用醫(yī)保服務(wù)器滲透進(jìn)內(nèi)網(wǎng)，對XX醫(yī)院管理運營具有嚴(yán)

重影響。

高風(fēng)險級別

（5）建議控制措施

序號建議控制措施描述

1

2

制定醫(yī)保網(wǎng)對醫(yī)保服務(wù)器的可在醫(yī)保服務(wù)器上加裝放火墻軟件來實

訪問策略

制定加強(qiáng)醫(yī)保服務(wù)器和內(nèi)網(wǎng)

連接的訪問控制策略

現(xiàn)對從醫(yī)保網(wǎng)來的訪問控制

通過改變網(wǎng)絡(luò)拓?fù)湓卺t(yī)保服務(wù)器和內(nèi)網(wǎng)

間配置硬件防火墻，或通過內(nèi)網(wǎng)核心交換

機(jī)實現(xiàn)對醫(yī)保服務(wù)器的訪問控制。

3.3.安裝部署

s系統(tǒng)未安裝最新補(bǔ)丁

（1）現(xiàn)狀描述

當(dāng)前，被檢查windows系統(tǒng)均未安裝最新補(bǔ)丁，并且補(bǔ)丁安裝情況各不相同，

有些補(bǔ)丁缺失較少，有些缺失較多，甚至缺失一系列重要安全補(bǔ)丁。

掃描結(jié)果也顯示某些服務(wù)器具有嚴(yán)重安全漏洞：

-10-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

（2）威脅分析

未及時安裝Windows操作系統(tǒng)的最新安全補(bǔ)丁，將使得已知漏洞仍然存在于系

統(tǒng)上。由于這些已知漏洞都已經(jīng)通過Internet公布而被非法者獲悉，非法者就有可能

利用這些已知漏洞攻擊系統(tǒng)。

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

級別

描述

級別

描述

非法者利用已知漏洞攻擊Windows系統(tǒng)

2

非法者有可能利用已知漏洞攻擊Windows系統(tǒng)

4

非法者利用已知漏洞攻擊Windows系統(tǒng)，對XX醫(yī)院的管理運營具有

嚴(yán)重影響。

中風(fēng)險級別

（5）建議控制措施

序號建議控制措施

訂閱安全漏洞補(bǔ)丁通告

描述

訂閱Windows系統(tǒng)的安全漏洞補(bǔ)丁通告，

以及時獲知Windows系統(tǒng)的安全漏洞補(bǔ)丁

1

-11-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

信息。

2

安裝組件最新安全版本

從廠商站點下載最新安全補(bǔ)丁，在測試環(huán)

境里測試正常后，在生產(chǎn)環(huán)境里及時安裝。

s系統(tǒng)開放了不需要的服務(wù)

（1）現(xiàn)狀描述

當(dāng)前，被檢查windows系統(tǒng)均開放了不需要的服務(wù)，如：

?DHCPClient

?PrintSpooler

?WirelessConfiguration

?MSFTP

?SMTP

等可能不需要的服務(wù)。

（2）威脅分析

不需要的服務(wù)卻被啟用，非法者就可以通過嘗試攻擊不需要的服務(wù)而攻擊系統(tǒng)，

而且管理員在管理維護(hù)過程通常會忽略不需要的服務(wù)，因此導(dǎo)致不需要服務(wù)中所存

在的安全漏洞沒有被及時修復(fù)，這使得非法者更有可能攻擊成功。

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

級別

描述

級別

描述

非法者利用已啟用的不需要服務(wù)攻擊Windows系統(tǒng)

2

非法者有可能利用利用已啟用的不需要服務(wù)攻擊Windows系統(tǒng)

4

非法者利用已啟用的不需要服務(wù)攻擊Windows系統(tǒng)，對XX醫(yī)院的管

理運營具有嚴(yán)重影響。

中風(fēng)險級別

（5）建議控制措施

-12-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

序號建議控制措施描述

從系統(tǒng)正常運行、主機(jī)系統(tǒng)管理維護(hù)角度，

1

禁用不需要的服務(wù)確認(rèn)系統(tǒng)上哪些服務(wù)是不需要的。對于系

統(tǒng)上存在的不需要的服務(wù)，立即禁用。

3.3.3.未限制可登錄Cisco交換機(jī)的IP地址

（1）現(xiàn)狀描述

分析cisco6560的配置文件，目前對可以登錄該設(shè)備的IP地址

沒有限制，如下所示：

linevty04

passwordxxxxx

login

（2）威脅分析

未限制可登錄設(shè)備的IP地址，非法者就有更多的機(jī)會，通過多次嘗試，從而最

終可能獲得設(shè)備的管理權(quán)限。

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

（4）風(fēng)險評價

風(fēng)險名稱

可級別

能

描述

性

影

響描述

風(fēng)險級別

級別

非法者可從多個地點嘗試登錄Cisco交換機(jī)

2

非法者有可能從多個地點嘗試登錄設(shè)備。

2

非法者可從多個地點嘗試登錄設(shè)備，對XX醫(yī)院的管理運營具有輕微

的影響。

低

（5）建議控制措施

序號

1

建議控制措施

限制可登錄Cisco交換機(jī)設(shè)備

描述

使用以下命令，定義以限制可登錄設(shè)備的

-13-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

的IP地址

1

綁定Cisco交換機(jī)管理IP和

MAC地址

IP范圍：

Router(config)#access-list1permitx.x.x.x

x.x.x.x

Router(config)#access-list1denyany

Router(config)#linevty04

Router(config-line)#access-list1in

使用以下命令，綁定可以管理設(shè)備的IP地

址和MAC地址：

Router(config)#

arpa

交換機(jī)開放過多不需要的SNMP服務(wù)

（1）現(xiàn)狀描述

分析cisco6560的配置文件，目前開放的snmp服務(wù)如下：

snmp-servercommunitynetRO

snmp-servercommunitynet123RW

snmp-servercommunitynetnetRW

snmp-serverenabletrapssnmpauthenticationlinkdownlinkupcoldstartwarmstart

snmp-serverenabletrapschassis

snmp-serverenabletrapsmodule

snmp-serverenabletrapscasa

snmp-serverenabletrapstty

snmp-serverenabletrapsbgp

snmp-serverenabletrapsconfig

snmp-serverenabletrapsdlsw

snmp-serverenabletrapsframe-relay

snmp-serverenabletrapshsrp

snmp-serverenabletrapsipmulticast

snmp-serverenabletrapsMAC-Notificationmovethreshold

snmp-serverenabletrapsmsdp

snmp-serverenabletrapspimneighbor-changerp-mapping-changeinvalid-pim-message

snmp-serverenabletrapsrf

snmp-serverenabletrapsrtr

snmp-serverenabletrapsslbrealvirtualcsrp

snmp-serverenabletrapsbridgenewroottopologychange

snmp-serverenabletrapsstpxincistencyroot-incistencyloop-incistency

snmp-serverenabletrapssyslog

snmp-serverenabletrapssonet

snmp-serverenabletrapsfru-ctrl

snmp-serverenabletrapsentity

snmp-serverenabletrapsrsvp

snmp-serverenabletrapscsgagentquotadatabase

snmp-serverenabletrapssrp

snmp-serverenabletrapsvtp

snmp-serverenabletrapsvlancreate

snmp-serverenabletrapsvlandelete

snmp-serverenabletrapsflashinsertionremoval

-14-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

snmp-serverenabletrapsc6kxbarswbus

snmp-serverenabletrapsenvmonfanshutdownsupplytemperaturestatus

snmp-serverenabletrapsmplstraffic-eng

snmp-serverenabletrapsmplsldp

snmp-serverenabletrapsisakmppolicyadd

snmp-serverenabletrapsisakmppolicydelete

snmp-serverenabletrapsisakmptunnelstart

snmp-serverenabletrapsisakmptunnelstop

snmp-serverenabletrapsipseccryptomapadd

snmp-serverenabletrapsipseccryptomapdelete

snmp-serverenabletrapsipseccryptomapattach

snmp-serverenabletrapsipseccryptomapdetach

snmp-serverenabletrapsipsectunnelstart

snmp-serverenabletrapsipsectunnelstop

snmp-serverenabletrapsipsectoo-many-sas

snmp-serverenabletrapsvlan-mac-limit

snmp-serverenabletrapsmpls

（2）威脅分析

開放了過多的沒在使用的snmp服務(wù)，如果SNMP團(tuán)體字為簡單字符串，非法

者可以獲得更多的系統(tǒng)信息，甚至更改配置信息

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

（4）風(fēng)險評價

風(fēng)險名稱

可級別

能

描述

性

影

響描述

風(fēng)險級別

級別

非法者利用開啟過多的snmp服務(wù)獲得詳細(xì)信息

2

非法者可能利用開啟過多的snmp服務(wù)獲得詳細(xì)信息

2

非法者利用開啟過多的snmp服務(wù)獲得詳細(xì)信息，對XX醫(yī)院的管理

運營具有輕微的影響。

低

（5）建議控制措施

序號

1

建議控制措施

關(guān)閉網(wǎng)管系統(tǒng)不監(jiān)控的服務(wù)，

或是在網(wǎng)內(nèi)沒有啟用的路由及

描述

使用以下命令，定義以限制可登錄設(shè)備的

IP范圍：

-15-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

其他snmp服務(wù)

Router(config)#nosnmp-serverenabletraps

xxxx（服務(wù)名）

3.3.5.使用弱密碼管理Cisco交換機(jī)

（1）現(xiàn)狀描述

分析cisco65502960的配置文件，目前所使用的密碼如下所示：

Passwordcixxx

查看以上配置可知，管理員使用弱密碼“cixxx”管理設(shè)備。

后采用了加密方式但密碼沒有更改

enablesecret5$1$R9sp$71Ih2gOy4IXAQXpXSAb5T1

（2）威脅分析

使用弱密碼，非法者就極有可能在很短的時間內(nèi)密碼，從而使用該密碼登

錄設(shè)備，修改或刪除設(shè)備配置文件。

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

（4）風(fēng)險評價

風(fēng)險名稱

可級別

能

描述

性

影

響描述

風(fēng)險級別

級別

非法者Cisco交換機(jī)弱密碼而侵入系統(tǒng)

2

該密碼過于簡單，非法者有較大可能快速該密碼。

3

非法者設(shè)備弱密碼而侵入系統(tǒng)，將對XX醫(yī)院的管理運營具有一

定影響。

中

（5）建議控制措施

序號

1

建議控制措施

為Cisco交換機(jī)設(shè)置復(fù)雜密碼

描述

根據(jù)密碼管理規(guī)定，將密碼修改為復(fù)雜密

碼。

-16-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

交換機(jī)的SNMP只讀及讀寫存在弱密碼

（1）現(xiàn)狀描述

根據(jù)Cisco交換機(jī)的配置信息，SNMP只讀及讀寫密碼存在多個，其中存在弱

密碼：

snmp-servercommunitynxxRO

snmp-servercommunitynetxxxRW

snmp-servercommunitynetxxxRW

（2）威脅分析

SNMP的讀寫密碼過于簡單，攻擊者可以通過基于SNMP的猜解軟件獲得設(shè)備

的配置信息，并可以修改設(shè)備的配置，進(jìn)而對網(wǎng)絡(luò)發(fā)起攻擊。

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

（4）風(fēng)險評價

風(fēng)險名稱

可級別

能

描述

性

影

響描述

風(fēng)險級別

級別

非法者通過SNMP修改cisco交換機(jī)配置

2

非法者有可能通過SNMP修改設(shè)備配置。

3

非法者通過SNMP修改設(shè)備配置，對XX醫(yī)院的管理運營具有一定影

響。

中

（5）建議控制措施

序號建議控制措施描述

使用以下命令，刪除SNMP只讀及讀寫

1

刪除cisco交換機(jī)全部已有

密碼：

Router(config)#nosnmp-servercommunity

SNMP只讀及讀寫密碼

xxxxxxRO

Router(config)#nosnmp-servercommunity

xxxxxxRW

修改cisco交換機(jī)SNMP只讀使用以下命令，修改SNMP只讀及讀寫

-17-

2

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

及讀寫密碼密碼：

Router(config)#snmp-servercommunityxxxx

RO

Router(config)#snmp-servercommunityxxxx

RW

3.4.認(rèn)證授權(quán)

3.4.1.系統(tǒng)未采用安全的身份鑒別機(jī)制

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院信息系統(tǒng)采用的身份鑒別機(jī)制缺乏限制帳號不活動時間的機(jī)制，

缺乏設(shè)置密碼復(fù)雜性的機(jī)制，缺乏記錄密碼歷史的機(jī)制，缺乏限制密碼使用期限的

機(jī)制，缺乏登錄失敗處理的機(jī)制，缺乏顯示上次成功/不成功登錄消息的機(jī)制。

（2）威脅分析

當(dāng)前，XX醫(yī)院信息系統(tǒng)采用的身份鑒別機(jī)制缺乏限制帳號不活動時間的機(jī)制，

可能導(dǎo)致過期賬號被冒用的風(fēng)險；缺乏設(shè)置密碼復(fù)雜性的機(jī)制，很可能導(dǎo)致密碼被

猜解、冒用的風(fēng)險；缺乏記錄密碼歷史的機(jī)制，可能引起密碼重復(fù)使用被猜解的風(fēng)

險；缺乏限制密碼使用期限的機(jī)制，可能導(dǎo)致密碼被猜解的風(fēng)險；缺乏登錄失敗處

理的機(jī)制，可能導(dǎo)致用戶名被猜解的風(fēng)險；缺乏上次登錄信息提示的機(jī)制，導(dǎo)致不

能檢測到非法登錄情況，從而引起系統(tǒng)用戶被冒用的風(fēng)險。

（3）現(xiàn)有或已計劃的安全措施

無。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

描述

級別

描述

系統(tǒng)未采用安全的身份鑒別機(jī)制，很可能導(dǎo)致用戶賬戶被冒用。

2

系統(tǒng)未采用安全的身份鑒別機(jī)制，很可能導(dǎo)致用戶賬戶被冒用，對首

都XX醫(yī)院的管理運營具有輕微影響。

中

級別

系統(tǒng)未采用安全的身份鑒別機(jī)制導(dǎo)致用戶賬戶被冒用

3

風(fēng)險級別

-18-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

（5）建議控制措施

序號建議控制措施

定期整理賬戶

描述

定期對用戶賬戶進(jìn)行整理，刪除或禁用長

期不活動賬戶。

增加賬戶密碼復(fù)雜度功能，能夠定義用戶

密碼復(fù)雜度策略。

開發(fā)記錄密碼歷史口令的功能，并設(shè)置適

當(dāng)歷史記錄。

開發(fā)密碼使用期限的功能或要求定期更改

密碼口令。

開發(fā)登錄失敗處理功能，如：登錄失敗10

次，鎖定5分鐘。

用戶登陸后，顯示上次登錄信息，如：用

戶名、IP、時間等信息。

1

2

開發(fā)賬戶密碼復(fù)雜度功能

3

開發(fā)記錄密碼歷史口令功能

4

開發(fā)密碼使用期限功能

5

開發(fā)登錄失敗處理功能

6

開發(fā)提示登錄信息的功能

3.4.2.未對數(shù)據(jù)庫連接進(jìn)行控制

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院目前的數(shù)據(jù)庫連接賬號口令明文存儲在客戶端，部分?jǐn)?shù)據(jù)庫連

接直接使用數(shù)據(jù)庫管理員賬號，數(shù)據(jù)庫服務(wù)器沒有限制不必要的客戶端訪問數(shù)據(jù)庫。

（2）威脅分析

當(dāng)前，XX醫(yī)院目前的數(shù)據(jù)庫連接賬號口令明文存儲在客戶端，可能導(dǎo)致賬戶/

口令被盜取的風(fēng)險，從而致使用戶賬戶被冒用；部分?jǐn)?shù)據(jù)庫連接直接使用數(shù)據(jù)庫管

理員賬號，可能導(dǎo)致DBA賬號被非法獲得，從而影響系統(tǒng)運行，數(shù)據(jù)泄露；數(shù)據(jù)庫

服務(wù)器沒有限制不必要的客戶端訪問數(shù)據(jù)庫，從而導(dǎo)致非授權(quán)用戶連接，影響系統(tǒng)

應(yīng)用。

（3）現(xiàn)有或已計劃的安全措施

內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，終端接入進(jìn)行控制，終端登錄域，具有登錄終端的域策略，

只能使用特定的業(yè)務(wù)系統(tǒng)，無法對終端操作系統(tǒng)做更多操作。

數(shù)據(jù)每天進(jìn)行備份，具有應(yīng)急系統(tǒng)。

-19-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

描述

級別

描述

未對數(shù)據(jù)連接進(jìn)行控制可能導(dǎo)致信息系統(tǒng)非授權(quán)訪問。

4

未對數(shù)據(jù)連接進(jìn)行控制可能導(dǎo)致信息系統(tǒng)非授權(quán)訪問，對首都XX醫(yī)院

的管理運營具有嚴(yán)重影響。

中

級別

未對數(shù)據(jù)庫連接進(jìn)行控制導(dǎo)致系統(tǒng)非授權(quán)訪問

2

風(fēng)險級別

（5）建議控制措施

序號建議控制措施

用戶名口令加密存儲

降低數(shù)據(jù)庫連接賬戶權(quán)限

描述

將客戶端存儲的賬號口令進(jìn)行加密存儲。

降低數(shù)據(jù)庫連接賬戶權(quán)限，使用DBA以外

的用戶賬戶進(jìn)行連接，分配基本的權(quán)限。

限制其他不必要客戶端對數(shù)據(jù)庫的直接訪

問。

1

2

3

限制不必要客戶端訪問

3.5.安全審計

3.5.1.無登錄日志和詳細(xì)日志記錄功能

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院信息系統(tǒng)目前暫未對登錄行為進(jìn)行記錄，也未實現(xiàn)詳細(xì)的日志

記錄功能。

（2）威脅分析

未對登錄行為進(jìn)行記錄，也未實現(xiàn)詳細(xì)的日志記錄功能，可能無法檢測到非法

用戶的惡意行為，導(dǎo)致信息系統(tǒng)受到嚴(yán)重影響。

（3）現(xiàn)有或已計劃的安全措施

無。

-20-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

描述

級別

描述

發(fā)生安全事件可能很難依系統(tǒng)日志追查來源。

2

發(fā)生安全事件很難依系統(tǒng)日志追查來源，對首都XX醫(yī)院管理運營具有

輕微影響。

低

級別

發(fā)生安全事件很難依系統(tǒng)日志追查來源

2

風(fēng)險級別

（5）建議控制措施

序號建議控制措施

增加對用戶登陸行為的記錄

添加詳細(xì)的用戶記錄日志

描述

增加對用戶登陸行為的記錄，如：登錄用

戶名、時間、IP等信息。

添加詳細(xì)的用戶記錄日志。

1

2

3.6.備份容錯

3.6.1.無異地災(zāi)備系統(tǒng)

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院信息系統(tǒng)無異地災(zāi)備系統(tǒng)。

（2）威脅分析

無異地災(zāi)備系統(tǒng)，有可能導(dǎo)致發(fā)生災(zāi)難性事件后，系統(tǒng)難以快速恢復(fù)，嚴(yán)重影

響了系統(tǒng)的可用性。

（3）現(xiàn)有或已計劃的安全措施

無。

（4）風(fēng)險評價

風(fēng)險名稱災(zāi)難發(fā)生后業(yè)務(wù)系統(tǒng)難以快速恢復(fù)

-21-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

可

能

性

影

響

級別

描述

級別

描述

2

災(zāi)難發(fā)生后業(yè)務(wù)系統(tǒng)可能難以快速恢。

5

災(zāi)難發(fā)生后業(yè)務(wù)系統(tǒng)難以快速恢，對XX醫(yī)院的管理運營具有嚴(yán)重影

響。

高風(fēng)險級別

（5）建議控制措施

序號建議控制措施

建立異地災(zāi)備系統(tǒng)

業(yè)務(wù)數(shù)據(jù)備份異地存儲

描述

條件允許，建立異地災(zāi)備系統(tǒng)。

對業(yè)務(wù)數(shù)據(jù)定期進(jìn)行備份，并進(jìn)行異地存

儲。

1

2

3.6.2.數(shù)據(jù)備份無異地存儲

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院信息系統(tǒng)未對系統(tǒng)配置進(jìn)行備份，數(shù)據(jù)備份也沒有進(jìn)行異地存

儲。

（2）威脅分析

未對系統(tǒng)配置信息和數(shù)據(jù)進(jìn)行異地存儲和備份，當(dāng)發(fā)生不可抗力因素造成系統(tǒng)

不可用時，無法恢復(fù)，嚴(yán)重影響到了系統(tǒng)的可用性；未對系統(tǒng)配置進(jìn)行備份，當(dāng)系

統(tǒng)配置變更導(dǎo)致系統(tǒng)不可用時無法恢復(fù)到正常配置，影響到系統(tǒng)的可用性。

（3）現(xiàn)有或已計劃的安全措施

無。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

備份數(shù)據(jù)無異地存儲導(dǎo)致災(zāi)難發(fā)生后系統(tǒng)不能快速恢復(fù)

2

備份數(shù)據(jù)無異地存儲可能導(dǎo)致災(zāi)難發(fā)生后系統(tǒng)不能快速恢復(fù)。

-22-

級別

描述

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

影

響

級別

描述

5

備份數(shù)據(jù)無異地存儲可能導(dǎo)致災(zāi)難發(fā)生后系統(tǒng)不能快速恢復(fù)，對系統(tǒng)

的可用性有嚴(yán)重影響。

高風(fēng)險級別

（5）建議控制措施

序號建議控制措施

備份系統(tǒng)配置和數(shù)據(jù)

異地存儲備份

描述

備份系統(tǒng)配置和數(shù)據(jù)。

對備份的部分?jǐn)?shù)據(jù)進(jìn)行異地存儲。

1

2

3.7.運行維護(hù)

3.7.1.待形成信息安全管理制度體系

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院未規(guī)劃信息安全方針，缺少信息安全總體策略，部分管理制度

缺失，評審、審批等流程記錄不全面，不具備系統(tǒng)相關(guān)的知道手冊，缺少關(guān)鍵人員

授權(quán)，未形成全面的信息安全管理體系。

（2）威脅分析

缺乏信息系統(tǒng)運行的相關(guān)總體規(guī)范、管理辦法、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)各組成部

分的管理細(xì)則等文檔，運維人員將缺乏相關(guān)指導(dǎo)，會影響信息系統(tǒng)的安全運行維護(hù)

工作。

（3）現(xiàn)有或已計劃的安全措施

建立有《信息中心工作職責(zé)》、《信息中心工作人員崗位職責(zé)》、《信息中心

日常工作安全管理制度》、《應(yīng)急安全管理及重大事故備案制度》、《信息網(wǎng)絡(luò)安

全管理制度（所文）》、《計算機(jī)信息系統(tǒng)安全及保密管理暫行規(guī)定（所文）》、

《網(wǎng)絡(luò)終端設(shè)備保管使用安全操作規(guī)范》、《信息中心設(shè)備購置與調(diào)配制度》、《信

息中心維護(hù)維修工作制度》、《信息中心內(nèi)部設(shè)備（及配件）管理條例》、《信息

中心備機(jī)管理制度》、《信息中心設(shè)備管理軟件應(yīng)用條》、《信息中心文檔管理細(xì)

則》、《培訓(xùn)教室工作職責(zé)及管理制度》、《信息化管理小組工作例會制度》、《科

務(wù)會制度》、《信息中心請假制度》、《信息中心獎懲制度》、《信息中心績效評

-23-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

分制度》、《字典維護(hù)小組職責(zé)與工作流程》、《信息系統(tǒng)聯(lián)系人制度》二十一項

安全管理制度以及相關(guān)流程審批文件。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

描述

級別

描述

安全管理體系不完善可能引發(fā)安全事件。。

3

安全管理體系不完善引發(fā)安全事件，，對組織的正常經(jīng)營活動有一定

影響。

中

級別

安全管理體系不完善引發(fā)安全問題

2

風(fēng)險級別

（5）建議控制措施

序號

1

建議控制措施

建立健全信息安全管理體系

描述

補(bǔ)充完善信息安全管理制度，形成成體系

的信息安全管理文件。

3.7.2.未規(guī)范信息系統(tǒng)建設(shè)

（1）現(xiàn)狀描述

當(dāng)前，XX醫(yī)院未對采購產(chǎn)品進(jìn)行選型測試，應(yīng)用系統(tǒng)由開發(fā)公司自行檢測，

交付前由信息中心對產(chǎn)品進(jìn)行檢測驗收，無第三方監(jiān)督實施，無相關(guān)制度規(guī)范，開

發(fā)公司未提供相關(guān)的開發(fā)文檔資料，未與安全服務(wù)商簽訂保密協(xié)議。

（2）威脅分析

未對采購的產(chǎn)品進(jìn)行選型測試分析，會引起與采購設(shè)備與實際需求不符的風(fēng)險；

無第三方安全檢測，造成檢測結(jié)果不能準(zhǔn)確、客觀的反應(yīng)產(chǎn)品的缺陷與問題；缺乏

信息系統(tǒng)操作風(fēng)險控制機(jī)制和流程，維護(hù)人員和使用人員不按照風(fēng)險控制機(jī)制和流

程進(jìn)行操作，易發(fā)生誤操作風(fēng)險；開發(fā)公司未提供系統(tǒng)建設(shè)文檔、指導(dǎo)運維文檔、

系統(tǒng)培訓(xùn)手冊，使得運維人員無法規(guī)范化管理，無法對系統(tǒng)存檔備案；未針對安全

服務(wù)單獨簽署保密協(xié)議，存在信息泄露無法追究責(zé)任的安全隱患。

（3）現(xiàn)有或已計劃的安全措施

-24-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

XX醫(yī)院IT設(shè)備產(chǎn)品從政府采購網(wǎng)上進(jìn)行選型分析；由開發(fā)公司自行檢測應(yīng)用

系統(tǒng)，交付前由信息中心對產(chǎn)品進(jìn)行檢測驗收；口頭對工程實施進(jìn)行要求；由開發(fā)

公司對運維人員進(jìn)行培訓(xùn)指導(dǎo)；只與安全服務(wù)商簽訂了合同，未簽訂保密協(xié)議。

（4）風(fēng)險評價

風(fēng)險名稱

可

能

性

影

響

（5）建議控制措施

序號建議控制措施

規(guī)范產(chǎn)品采購

描述

采購產(chǎn)品前預(yù)先對產(chǎn)品進(jìn)行選型測試確定

產(chǎn)品的候范圍。

依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性

2

建立健全信息安全管理體系能等進(jìn)行驗收檢測，驗收檢測由開發(fā)商和

委托方、與第三方評測機(jī)構(gòu)共同參與。

對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制，將

3

規(guī)范工程實施

控制方法和工程人員行為規(guī)范制度化，要

求工程實施單位提供其能夠安全實施系統(tǒng)

建設(shè)的資質(zhì)證明和能力保證。

4

5

未規(guī)范信息系統(tǒng)建設(shè)影響系統(tǒng)建設(shè)

2

未規(guī)范信息系統(tǒng)建設(shè)可能影響系統(tǒng)建設(shè)。

3

未規(guī)范信息系統(tǒng)建設(shè)影響系統(tǒng)建設(shè)，對XX醫(yī)院具有輕微影響。

中

級別

描述

級別

描述

風(fēng)險級別

1

規(guī)范系統(tǒng)交付

規(guī)范安全服務(wù)商選擇

應(yīng)確保開發(fā)商提供系統(tǒng)建設(shè)過程中的文檔

和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔。

與安全服務(wù)廠商簽訂保密協(xié)議。

4.評估結(jié)果記錄表

評估評估指標(biāo)評估指標(biāo)有升級改評估結(jié)果

-25-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

方面造必要性理由說明

無必要性有必要性不涉及

所支

撐的

業(yè)務(wù)

業(yè)務(wù)范圍無

業(yè)務(wù)規(guī)模無

業(yè)務(wù)頻度目前無數(shù)據(jù)異地備

份與業(yè)務(wù)容災(zāi)系統(tǒng)

有

業(yè)務(wù)模式無

業(yè)務(wù)信息

化時機(jī)

按照信息系統(tǒng)安全

等級保護(hù)標(biāo)準(zhǔn)

申報

有

采用

技術(shù)

和遵

循標(biāo)

準(zhǔn)規(guī)

范

技術(shù)路線無

體系架構(gòu)醫(yī)院自身業(yè)務(wù)的發(fā)

展需要原來互相隔

離的內(nèi)網(wǎng)與外網(wǎng)安

全融合，需要調(diào)整

與更新安全策略與

設(shè)備

有

技術(shù)標(biāo)準(zhǔn)

規(guī)范

無

安全標(biāo)準(zhǔn)我院按照等保有

-26-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

規(guī)范標(biāo)準(zhǔn)申報，目前亟

待改進(jìn)與加強(qiáng)主機(jī)

安全、安全審計、

邊界安全、設(shè)備安

全等方面

行業(yè)政策

或標(biāo)準(zhǔn)

無

信息

資源

共享

信息采集無

信息加工無

信息存儲建立與業(yè)務(wù)發(fā)展適

應(yīng)的數(shù)據(jù)備份與容

災(zāi)體系

有

信息共享無

信息

系統(tǒng)

自身

設(shè)備更新目前部分接入層網(wǎng)

絡(luò)設(shè)備老化、性能

低下等，亟待升級

有

安全保障網(wǎng)關(guān)安全、邊界安

全、客戶端安全審

計等

有

系統(tǒng)整合安全系統(tǒng)與目前的

網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系

統(tǒng)、主機(jī)存儲系統(tǒng)

有

-27-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

的有機(jī)整合

5.安全自評估報告總結(jié)

5.1.網(wǎng)絡(luò)通信

?采購專業(yè)的審計系統(tǒng)

?定期審計日志中的異常記錄

?定義VLAN安全級別及訪問關(guān)系

?內(nèi)網(wǎng)交換機(jī)更換（支持SNMPV3、802.1x等）

?采購內(nèi)網(wǎng)防火墻

?采購網(wǎng)絡(luò)審計系統(tǒng)

?部署入侵檢測系統(tǒng)

?部署應(yīng)用安全網(wǎng)關(guān)系統(tǒng)

?部署客戶端安全登陸與安全審計系統(tǒng)

5.2.安裝部署

?安裝操作系統(tǒng)、數(shù)據(jù)庫以及其他組件等的最新補(bǔ)丁

?訂閱安全漏洞補(bǔ)丁通告

?設(shè)置密碼策略

?為管理員、SNMP團(tuán)體字、Oracle監(jiān)聽字等賬號設(shè)置復(fù)雜密碼

?禁用windows操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的SNMP服務(wù)等不需要的服務(wù)

?禁用FTP服務(wù)的匿名訪問

5.3.認(rèn)證授權(quán)

?定期整理賬戶

?降低數(shù)據(jù)庫連接賬戶權(quán)限

?開發(fā)登錄失敗處理功能

?開發(fā)記錄密碼歷史口令功能

?開發(fā)密碼使用期限功能

?開發(fā)提示登錄信息的功能

?開發(fā)賬戶密碼復(fù)雜度功能

?限制不必要客戶端訪問

-28-

XX醫(yī)院信息系統(tǒng)風(fēng)險自評估報告

5.4.安全審計

?增加對用戶登錄行為的記錄

?添加詳細(xì)的用戶記錄日志

5.5.備份容錯

?備份系統(tǒng)配置和數(shù)據(jù)

?建立異地災(zāi)備系統(tǒng)

?異地存儲備份

-29-