北京市市级信息系统升级改造必要性

自评估报告

申报单位（盖章）：

申报单位联系人：

：

评估时间：年月日

项目名称：北京XX医院信息系统安全自评估报告

XX医院信息系统风险自评估报告

目录

1.评估项目概述............................................................................................................................3

1.1.评估目的和目标............................................................................................................3

1.2.被评估系统概述............................................................................................................3

1.2.1.系统概况............................................................................................................3

1.2.2.网络拓扑结构....................................................................................................3

1.2.3.关键支撑设备....................................................................................................4

2.风险综述...................................................................................................................................4

2.1.风险综述.......................................................................................................................4

3.风险分析...................................................................................................................................6

3.1.风险级别说明................................................................................................................6

3.2.网络通信.......................................................................................................................6

间未做访问控制.....................................................................................6

3.2.2.无专业审计系统................................................................................................7

3.2.3.防火墙配置策略不当.........................................................................................8

3.2.4.网络边界未做访问控制.....................................................................................9

3.3.安装部署.....................................................................................................................10

s系统未安装最新补丁.......................................................................10

s系统开放了不需要的服务...............................................................12

3.3.3.未限制可登录Cisco交换机的IP地址...........................................................13

交换机开放过多不需要的SNMP服务..................................................14

3.3.5.使用弱密码管理Cisco交换机........................................................................16

交换机的SNMP只读及读写存在弱密码...............................................17

3.4.认证授权.....................................................................................................................18

3.4.1.系统未采用安全的身份鉴别机制....................................................................18

3.4.2.未对数据库连接进行控制...............................................................................19

3.5.安全审计.....................................................................................................................20

3.5.1.无登录日志和详细日志记录功能....................................................................20

3.6.备份容错.....................................................................................................................21

3.6.1.无异地灾备系统..............................................................................................21

3.6.2.数据备份无异地存储.......................................................................................22

3.7.运行维护.....................................................................................................................23

3.7.1.待形成信息安全管理制度体系.......................................................................23

3.7.2.未规范信息系统建设.......................................................................................24

4.评估结果记录表......................................................................................................................25

5.安全自评估报告总结..............................................................................................................28

5.1.网络通信.....................................................................................................................28

5.2.

5.3.

5.4.

5.5.

安装部署.....................................................................................................................28

认证授权.....................................................................................................................28

安全审计.....................................................................................................................29

备份容错.....................................................................................................................29

-2-

XX医院信息系统风险自评估报告

1.评估项目概述

1.1.评估目的和目标

对XX医院信息系统进行风险评估，分析系统的脆弱性、所面临的威胁以及由

此可能产生的风险；根据风险评估结果,给出安全控制措施建议。

风险评估范围包括：

（1）安全环境：包括机房环境、主机环境、网络环境等；

（2）硬件设备：包括主机、网络设备、线路、电源等；

（3）系统软件：包括操作系统、数据库、应用系统、监控软件、备份系统等；

（4）网络结构：包括远程接入安全、网络带宽评估、网络监控措施等；

（5）数据交换：包括交换模式的合理性、对业务系统安全的影响等；

（6）数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份/恢

复机制；

（7）人员安全及管理，通信与操作管理；

（8）技术支持手段；

（9）安全策略、安全审计、访问控制；

1.2.被评估系统概述

1.2.1.系统概况

XX医院信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合

理用药等业务系统、OA服务器、交换机、防火墙以及安全控制设备等构成，内外

网物理隔离，外网为访问互联网相关服务为主，内网为XX医院生产网络。

。。。。。。。

1.2.2.网络拓扑结构

（1）外网拓扑结构

（2）内网拓扑结构

-3-

XX医院信息系统风险自评估报告

1.2.3.关键支撑设备

（1）关键网络设备

本次评估所涉及的关键网络设备如下表所示:

编号

1

2

3

4

5

名称

Cisco6509

Cisco4506

Cisco3750G

Cisco3560G

Cisco2960

IP地址

2.风险综述

2.1.风险综述

（1）网络通信方面

1)网络边界未做访问控制，XX医院内网是生产网，安全级别比较高，但

跟安全级别相对较低的医保网连接边界未做访问控制从而给从医保网

的非法者入侵内网提供了条件，攻击者可以通过攻击医保服务器后再渗

透入XX医院内网。

2)出口防火墙配置策略不当，可能导致非法者更容易利用防火墙的配置问

题而渗透入XX医院外网，或者外网用户电脑被植入木马等程序后，更

容易被非法者控制。

3)无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件

发生时间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信

息将无法作为安全事件发生的证据。

（2）安装部署方面

1)Windows操作系统、SQLServer数据库、Cisco交换机等等均存在管理

员账号弱口令的情况，管理员账号口令强度不足，可能导致管理员账号

口令被，从而导致非法者可以利用被的管理员账号登录系统，

对业务系统的安全稳定具有严重威胁。

-4-

XX医院信息系统风险自评估报告

2)Windows操作系统等部分未安装最新安全补丁，这将使得已知漏洞仍然

存在于系统上。由于这些已知漏洞都已经通过Internet公布而被非法者

获悉，非法者就有可能利用这些已知漏洞攻击系统。

3)Windows操作系统启用了多个不需要的服务，不需要的服务却被启用，

非法者就可以通过尝试攻击不需要的服务而攻击系统，而且管理员在管

理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存在的

安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。

4)Windows操作系统、SQLServer数据库、Oracle数据库等未进行安全配

置，存在部分配置不当的问题，错误的配置可能导致安全隐患，或者将

使得非法者有更多机会利用系统的安全问题攻击系统，影响业务系统安

全。

（3）认证授权方面

1)未对数据库连接进行严格控制，数据库连接账号口令明文存储在客户

端，可能导致账户/口令被盗取的风险，从而致使用户账户被冒用；部

分数据库连接直接使用数据库管理员账号，可能导致DBA账号被非法

获得，从而影响系统运行，数据泄露；数据库服务器没有限制不必要的

客户端访问数据库，从而导致非授权用户连接，影响系统应用。

2)系统未采用安全的身份鉴别机制，缺乏限制帐号不活动时间的机制、缺

乏设置密码复杂性的机制、缺乏记录密码历史的机制、缺乏限制密码使

用期限的机制、缺乏登录失败处理的机制、缺乏上次登录信息提示的机

制等可能引起系统用户被冒用的风险。

（4）安全审计方面

1)无登录日志和详细日志记录功能，未对登录行为进行记录，也未实现详

细的日志记录功能，可能无法检测到非法用户的恶意行为，导致信息系

统受到严重影响。

（5）备份容错方面

1)数据备份无异地存储，未对系统配置信息和数据进行异地存储和备份，

当发生不可抗力因素造成系统不可用时，无法恢复，严重影响到了系统

的可用性；未对系统配置进行备份，当系统配置变更导致系统不可用时

无法恢复到正常配置，影响到系统的可用性。

-5-

XX医院信息系统风险自评估报告

2)无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，

严重影响了系统的可用性。

（6）运行维护方面

1)无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与

问题；缺乏信息系统操作风险控制机制和流程，维护人员和使用人员不

按照风险控制机制和流程进行操作，易发生误操作风险；开发公司未提

供完整的系统建设文档、指导运维文档、系统培训手册，使得运维人员

无法规范化管理，无法对系统存档备案；未针对安全服务单独签署保密

协议，存在信息泄露无法追究责任的安全隐患。

2)缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各

组成部分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系

统的安全运行维护工作。

3.风险分析

3.1.风险级别说明

风险级别

极高风险

高风险

中风险

低风险

可改进

数字表示

1

2

3

4

5

备注

3.2.网络通信

间未做访问控制

（1）现状描述

。。。。。。

（2）威胁分析

由于各个VLAN代表不同的业务内容，安全级别也是不同的，需要在不同的

VLAN间做访问控制。

-6-

XX医院信息系统风险自评估报告

现有配置，各个VLAN间路由都是通的，那么各个VLAN间就都可以互访，安

全级别低的VLAN可以访问安全级别高的VLAN，这样VLAN设定的目的效果就

大大削弱了。

安全级别低的VLAN尝试访问高级别VLAN，有意或者无意的破坏高级别

VLAN中服务器上的数据，将会对XX医院的业务造成重大的影响。

（3）现有或已计划的安全措施

核心交换机6509上配置了防火墙模块，但该模块没有配置访问控制策略。

（4）风险评价

风险名称

可

能

性

影

响

级别

描述

级别

描述

非法者从普通VLAN渗透到核心VLAN

3

非法者很可能从普通VLAN渗透到核心VLAN。

3

非法者从普通VLAN渗透到核心VLAN，对XX医院的管理运营具有一

定影响。

高风险级别

（5）建议控制措施

序号建议控制措施描述

1

2

定义VLAN安全级别及访问关由网络管理员定义各个VLAN的安全级别

系和互相之间的访问关系表

按照已定义好的VLAN间访问关系表，重

修改核心交换机上VLAN间访

新定义访问控制列表，控制VLAN间的访

问控制策略

问关系

3.2.2.无专业审计系统

（1）现状描述

现有XX医院内外网网络均无专业审计系统。

（2）威胁分析

无专业审计系统，无法对已发生安全事件准确回溯，将给确认安全事件发生时

间，分析攻击源造成极大困难，同时，在依法问责时缺乏审计信息将无法作为安全

事件发生的证据。

-7-

XX医院信息系统风险自评估报告

（3）现有或已计划的安全措施

无。

（4）风险评价

风险名称

可

能

性

影

响

级别

描述

级别

描述

出现安全事件无法进行有效定位和问责

2

出现安全事件而无法发现的情况有可能发生

2

出现安全事件无法进行有效定位和问责，将对XX医院的管理运营具有

轻微影响

低风险级别

（5）建议控制措施

序号建议控制措施

采购专业的审计系统

定期审计日志中的异常记录

描述

采购并集中部署专业的审计系统，并启动

网络设备和安全设备上的日志服务。

指定专人负责，定期对日志进行审计，查

看是否有异常记录。

1

2

3.2.3.防火墙配置策略不当

（1）现状描述

分析配置文件，发现防火墙配置的端口控制中开放了过多的不用使用端口，例

如10700，3765，8888，445端口等。

（2）威胁分析

防火墙配置不当，可能导致非法者更容易利用防火墙的配置问题而渗透入XX

医院外网，或者外网用户电脑被植入木马等程序后，更容易被非法者控制。

（3）现有或已计划的安全措施

无。

（4）风险评价

风险名称非法者利用防火墙配置不当渗透入外网

-8-

XX医院信息系统风险自评估报告

可

能

性

影

响

级别

描述

级别

描述

2

非法者可能利用防火墙配置不当渗透入外网。

2

非法者利用防火墙配置不当渗透入外网，将对XX医院的管理运营具

有轻微的影响。

低风险级别

（5）建议控制措施

序号建议控制措施

删除出口防火墙不使用的端口

的访问控制策略

描述

删除service"ftp_mail_QQ_MSN"中的

10700，3765，8888，445等不使用的端口

访问控制策略

1

3.2.4.网络边界未做访问控制

（1）现状描述

根据我们检查和访谈得知XX医院内网和市医保网通过一台医保服务器配置的

双网卡和市医保网连接，医保网是不属于XX医院范围内的专网，通过医保服务器

采集数据通过专网传送到相关使用部门，跟医保网的连接属于边界连接，但在边界

上未做任何访问控制。医保服务器也未作安全控制，医保的人可以远程登录该系统。

（2）威胁分析

XX医院内网是生产网，安全级别比较高，但跟安全级别相对较低的医保网连

接边界未做访问控制从而给从医保网的非法者入侵内网提供了条件，攻击者可以通

过攻击医保服务器后再渗透入XX医院内网。

（3）现有或已计划的安全措施

无。

（4）风险评价

风险名称

可

能

性

级别

描述

非法者利用医保服务器渗透进内网

3

非法者可能利用医保服务器渗透进内网

-9-

XX医院信息系统风险自评估报告

影

响

级别

描述

4

非法者可能利用医保服务器渗透进内网，对XX医院管理运营具有严

重影响。

高风险级别

（5）建议控制措施

序号建议控制措施描述

1

2

制定医保网对医保服务器的可在医保服务器上加装放火墙软件来实

访问策略

制定加强医保服务器和内网

连接的访问控制策略

现对从医保网来的访问控制

通过改变网络拓扑在医保服务器和内网

间配置硬件防火墙，或通过内网核心交换

机实现对医保服务器的访问控制。

3.3.安装部署

s系统未安装最新补丁

（1）现状描述

当前，被检查windows系统均未安装最新补丁，并且补丁安装情况各不相同，

有些补丁缺失较少，有些缺失较多，甚至缺失一系列重要安全补丁。

扫描结果也显示某些服务器具有严重安全漏洞：

-10-

XX医院信息系统风险自评估报告

（2）威胁分析

未及时安装Windows操作系统的最新安全补丁，将使得已知漏洞仍然存在于系

统上。由于这些已知漏洞都已经通过Internet公布而被非法者获悉，非法者就有可能

利用这些已知漏洞攻击系统。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

风险名称

可

能

性

影

响

级别

描述

级别

描述

非法者利用已知漏洞攻击Windows系统

2

非法者有可能利用已知漏洞攻击Windows系统

4

非法者利用已知漏洞攻击Windows系统，对XX医院的管理运营具有

严重影响。

中风险级别

（5）建议控制措施

序号建议控制措施

订阅安全漏洞补丁通告

描述

订阅Windows系统的安全漏洞补丁通告，

以及时获知Windows系统的安全漏洞补丁

1

-11-

XX医院信息系统风险自评估报告

信息。

2

安装组件最新安全版本

从厂商站点下载最新安全补丁，在测试环

境里测试正常后，在生产环境里及时安装。

s系统开放了不需要的服务

（1）现状描述

当前，被检查windows系统均开放了不需要的服务，如：

DHCPClient

PrintSpooler

WirelessConfiguration

MSFTP

SMTP

等可能不需要的服务。

（2）威胁分析

不需要的服务却被启用，非法者就可以通过尝试攻击不需要的服务而攻击系统，

而且管理员在管理维护过程通常会忽略不需要的服务，因此导致不需要服务中所存

在的安全漏洞没有被及时修复，这使得非法者更有可能攻击成功。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

风险名称

可

能

性

影

响

级别

描述

级别

描述

非法者利用已启用的不需要服务攻击Windows系统

2

非法者有可能利用利用已启用的不需要服务攻击Windows系统

4

非法者利用已启用的不需要服务攻击Windows系统，对XX医院的管

理运营具有严重影响。

中风险级别

（5）建议控制措施

-12-

XX医院信息系统风险自评估报告

序号建议控制措施描述

从系统正常运行、主机系统管理维护角度，

1

禁用不需要的服务确认系统上哪些服务是不需要的。对于系

统上存在的不需要的服务，立即禁用。

3.3.3.未限制可登录Cisco交换机的IP地址

（1）现状描述

分析cisco6560的配置文件，目前对可以登录该设备的IP地址

没有限制，如下所示：

linevty04

passwordxxxxx

login

（2）威胁分析

未限制可登录设备的IP地址，非法者就有更多的机会，通过多次尝试，从而最

终可能获得设备的管理权限。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

风险名称

可级别

能

描述

性

影

响描述

风险级别

级别

非法者可从多个地点尝试登录Cisco交换机

2

非法者有可能从多个地点尝试登录设备。

2

非法者可从多个地点尝试登录设备，对XX医院的管理运营具有轻微

的影响。

低

（5）建议控制措施

序号

1

建议控制措施

限制可登录Cisco交换机设备

描述

使用以下命令，定义以限制可登录设备的

-13-

XX医院信息系统风险自评估报告

的IP地址

1

绑定Cisco交换机管理IP和

MAC地址

IP范围：

Router(config)#access-list1permitx.x.x.x

x.x.x.x

Router(config)#access-list1denyany

Router(config)#linevty04

Router(config-line)#access-list1in

使用以下命令，绑定可以管理设备的IP地

址和MAC地址：

Router(config)#

arpa

交换机开放过多不需要的SNMP服务

（1）现状描述

分析cisco6560的配置文件，目前开放的snmp服务如下：

snmp-servercommunitynetRO

snmp-servercommunitynet123RW

snmp-servercommunitynetnetRW

snmp-serverenabletrapssnmpauthenticationlinkdownlinkupcoldstartwarmstart

snmp-serverenabletrapschassis

snmp-serverenabletrapsmodule

snmp-serverenabletrapscasa

snmp-serverenabletrapstty

snmp-serverenabletrapsbgp

snmp-serverenabletrapsconfig

snmp-serverenabletrapsdlsw

snmp-serverenabletrapsframe-relay

snmp-serverenabletrapshsrp

snmp-serverenabletrapsipmulticast

snmp-serverenabletrapsMAC-Notificationmovethreshold

snmp-serverenabletrapsmsdp

snmp-serverenabletrapspimneighbor-changerp-mapping-changeinvalid-pim-message

snmp-serverenabletrapsrf

snmp-serverenabletrapsrtr

snmp-serverenabletrapsslbrealvirtualcsrp

snmp-serverenabletrapsbridgenewroottopologychange

snmp-serverenabletrapsstpxincistencyroot-incistencyloop-incistency

snmp-serverenabletrapssyslog

snmp-serverenabletrapssonet

snmp-serverenabletrapsfru-ctrl

snmp-serverenabletrapsentity

snmp-serverenabletrapsrsvp

snmp-serverenabletrapscsgagentquotadatabase

snmp-serverenabletrapssrp

snmp-serverenabletrapsvtp

snmp-serverenabletrapsvlancreate

snmp-serverenabletrapsvlandelete

snmp-serverenabletrapsflashinsertionremoval

-14-

XX医院信息系统风险自评估报告

snmp-serverenabletrapsc6kxbarswbus

snmp-serverenabletrapsenvmonfanshutdownsupplytemperaturestatus

snmp-serverenabletrapsmplstraffic-eng

snmp-serverenabletrapsmplsldp

snmp-serverenabletrapsisakmppolicyadd

snmp-serverenabletrapsisakmppolicydelete

snmp-serverenabletrapsisakmptunnelstart

snmp-serverenabletrapsisakmptunnelstop

snmp-serverenabletrapsipseccryptomapadd

snmp-serverenabletrapsipseccryptomapdelete

snmp-serverenabletrapsipseccryptomapattach

snmp-serverenabletrapsipseccryptomapdetach

snmp-serverenabletrapsipsectunnelstart

snmp-serverenabletrapsipsectunnelstop

snmp-serverenabletrapsipsectoo-many-sas

snmp-serverenabletrapsvlan-mac-limit

snmp-serverenabletrapsmpls

（2）威胁分析

开放了过多的没在使用的snmp服务，如果SNMP团体字为简单字符串，非法

者可以获得更多的系统信息，甚至更改配置信息

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

风险名称

可级别

能

描述

性

影

响描述

风险级别

级别

非法者利用开启过多的snmp服务获得详细信息

2

非法者可能利用开启过多的snmp服务获得详细信息

2

非法者利用开启过多的snmp服务获得详细信息，对XX医院的管理

运营具有轻微的影响。

低

（5）建议控制措施

序号

1

建议控制措施

关闭网管系统不监控的服务，

或是在网内没有启用的路由及

描述

使用以下命令，定义以限制可登录设备的

IP范围：

-15-

XX医院信息系统风险自评估报告

其他snmp服务

Router(config)#nosnmp-serverenabletraps

xxxx（服务名）

3.3.5.使用弱密码管理Cisco交换机

（1）现状描述

分析cisco65502960的配置文件，目前所使用的密码如下所示：

Passwordcixxx

查看以上配置可知，管理员使用弱密码“cixxx”管理设备。

后采用了加密方式但密码没有更改

enablesecret5$1$R9sp$71Ih2gOy4IXAQXpXSAb5T1

（2）威胁分析

使用弱密码，非法者就极有可能在很短的时间内密码，从而使用该密码登

录设备，修改或删除设备配置文件。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

风险名称

可级别

能

描述

性

影

响描述

风险级别

级别

非法者Cisco交换机弱密码而侵入系统

2

该密码过于简单，非法者有较大可能快速该密码。

3

非法者设备弱密码而侵入系统，将对XX医院的管理运营具有一

定影响。

中

（5）建议控制措施

序号

1

建议控制措施

为Cisco交换机设置复杂密码

描述

根据密码管理规定，将密码修改为复杂密

码。

-16-

XX医院信息系统风险自评估报告

交换机的SNMP只读及读写存在弱密码

（1）现状描述

根据Cisco交换机的配置信息，SNMP只读及读写密码存在多个，其中存在弱

密码：

snmp-servercommunitynxxRO

snmp-servercommunitynetxxxRW

snmp-servercommunitynetxxxRW

（2）威胁分析

SNMP的读写密码过于简单，攻击者可以通过基于SNMP的猜解软件获得设备

的配置信息，并可以修改设备的配置，进而对网络发起攻击。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

（4）风险评价

风险名称

可级别

能

描述

性

影

响描述

风险级别

级别

非法者通过SNMP修改cisco交换机配置

2

非法者有可能通过SNMP修改设备配置。

3

非法者通过SNMP修改设备配置，对XX医院的管理运营具有一定影

响。

中

（5）建议控制措施

序号建议控制措施描述

使用以下命令，删除SNMP只读及读写

1

删除cisco交换机全部已有

密码：

Router(config)#nosnmp-servercommunity

SNMP只读及读写密码

xxxxxxRO

Router(config)#nosnmp-servercommunity

xxxxxxRW

修改cisco交换机SNMP只读使用以下命令，修改SNMP只读及读写

-17-

2

XX医院信息系统风险自评估报告

及读写密码密码：

Router(config)#snmp-servercommunityxxxx

RO

Router(config)#snmp-servercommunityxxxx

RW

3.4.认证授权

3.4.1.系统未采用安全的身份鉴别机制

（1）现状描述

当前，XX医院信息系统采用的身份鉴别机制缺乏限制帐号不活动时间的机制，

缺乏设置密码复杂性的机制，缺乏记录密码历史的机制，缺乏限制密码使用期限的

机制，缺乏登录失败处理的机制，缺乏显示上次成功/不成功登录消息的机制。

（2）威胁分析

当前，XX医院信息系统采用的身份鉴别机制缺乏限制帐号不活动时间的机制，

可能导致过期账号被冒用的风险；缺乏设置密码复杂性的机制，很可能导致密码被

猜解、冒用的风险；缺乏记录密码历史的机制，可能引起密码重复使用被猜解的风

险；缺乏限制密码使用期限的机制，可能导致密码被猜解的风险；缺乏登录失败处

理的机制，可能导致用户名被猜解的风险；缺乏上次登录信息提示的机制，导致不

能检测到非法登录情况，从而引起系统用户被冒用的风险。

（3）现有或已计划的安全措施

无。

（4）风险评价

风险名称

可

能

性

影

响

描述

级别

描述

系统未采用安全的身份鉴别机制，很可能导致用户账户被冒用。

2

系统未采用安全的身份鉴别机制，很可能导致用户账户被冒用，对首

都XX医院的管理运营具有轻微影响。

中

级别

系统未采用安全的身份鉴别机制导致用户账户被冒用

3

风险级别

-18-

XX医院信息系统风险自评估报告

（5）建议控制措施

序号建议控制措施

定期整理账户

描述

定期对用户账户进行整理，删除或禁用长

期不活动账户。

增加账户密码复杂度功能，能够定义用户

密码复杂度策略。

开发记录密码历史口令的功能，并设置适

当历史记录。

开发密码使用期限的功能或要求定期更改

密码口令。

开发登录失败处理功能，如：登录失败10

次，锁定5分钟。

用户登陆后，显示上次登录信息，如：用

户名、IP、时间等信息。

1

2

开发账户密码复杂度功能

3

开发记录密码历史口令功能

4

开发密码使用期限功能

5

开发登录失败处理功能

6

开发提示登录信息的功能

3.4.2.未对数据库连接进行控制

（1）现状描述

当前，XX医院目前的数据库连接账号口令明文存储在客户端，部分数据库连

接直接使用数据库管理员账号，数据库服务器没有限制不必要的客户端访问数据库。

（2）威胁分析

当前，XX医院目前的数据库连接账号口令明文存储在客户端，可能导致账户/

口令被盗取的风险，从而致使用户账户被冒用；部分数据库连接直接使用数据库管

理员账号，可能导致DBA账号被非法获得，从而影响系统运行，数据泄露；数据库

服务器没有限制不必要的客户端访问数据库，从而导致非授权用户连接，影响系统

应用。

（3）现有或已计划的安全措施

内网与互联网隔离，终端接入进行控制，终端登录域，具有登录终端的域策略，

只能使用特定的业务系统，无法对终端操作系统做更多操作。

数据每天进行备份，具有应急系统。

-19-

XX医院信息系统风险自评估报告

（4）风险评价

风险名称

可

能

性

影

响

描述

级别

描述

未对数据连接进行控制可能导致信息系统非授权访问。

4

未对数据连接进行控制可能导致信息系统非授权访问，对首都XX医院

的管理运营具有严重影响。

中

级别

未对数据库连接进行控制导致系统非授权访问

2

风险级别

（5）建议控制措施

序号建议控制措施

用户名口令加密存储

降低数据库连接账户权限

描述

将客户端存储的账号口令进行加密存储。

降低数据库连接账户权限，使用DBA以外

的用户账户进行连接，分配基本的权限。

限制其他不必要客户端对数据库的直接访

问。

1

2

3

限制不必要客户端访问

3.5.安全审计

3.5.1.无登录日志和详细日志记录功能

（1）现状描述

当前，XX医院信息系统目前暂未对登录行为进行记录，也未实现详细的日志

记录功能。

（2）威胁分析

未对登录行为进行记录，也未实现详细的日志记录功能，可能无法检测到非法

用户的恶意行为，导致信息系统受到严重影响。

（3）现有或已计划的安全措施

无。

-20-

XX医院信息系统风险自评估报告

（4）风险评价

风险名称

可

能

性

影

响

描述

级别

描述

发生安全事件可能很难依系统日志追查来源。

2

发生安全事件很难依系统日志追查来源，对首都XX医院管理运营具有

轻微影响。

低

级别

发生安全事件很难依系统日志追查来源

2

风险级别

（5）建议控制措施

序号建议控制措施

增加对用户登陆行为的记录

添加详细的用户记录日志

描述

增加对用户登陆行为的记录，如：登录用

户名、时间、IP等信息。

添加详细的用户记录日志。

1

2

3.6.备份容错

3.6.1.无异地灾备系统

（1）现状描述

当前，XX医院信息系统无异地灾备系统。

（2）威胁分析

无异地灾备系统，有可能导致发生灾难性事件后，系统难以快速恢复，严重影

响了系统的可用性。

（3）现有或已计划的安全措施

无。

（4）风险评价

风险名称灾难发生后业务系统难以快速恢复

-21-

XX医院信息系统风险自评估报告

可

能

性

影

响

级别

描述

级别

描述

2

灾难发生后业务系统可能难以快速恢。

5

灾难发生后业务系统难以快速恢，对XX医院的管理运营具有严重影

响。

高风险级别

（5）建议控制措施

序号建议控制措施

建立异地灾备系统

业务数据备份异地存储

描述

条件允许，建立异地灾备系统。

对业务数据定期进行备份，并进行异地存

储。

1

2

3.6.2.数据备份无异地存储

（1）现状描述

当前，XX医院信息系统未对系统配置进行备份，数据备份也没有进行异地存

储。

（2）威胁分析

未对系统配置信息和数据进行异地存储和备份，当发生不可抗力因素造成系统

不可用时，无法恢复，严重影响到了系统的可用性；未对系统配置进行备份，当系

统配置变更导致系统不可用时无法恢复到正常配置，影响到系统的可用性。

（3）现有或已计划的安全措施

无。

（4）风险评价

风险名称

可

能

性

备份数据无异地存储导致灾难发生后系统不能快速恢复

2

备份数据无异地存储可能导致灾难发生后系统不能快速恢复。

-22-

级别

描述

XX医院信息系统风险自评估报告

影

响

级别

描述

5

备份数据无异地存储可能导致灾难发生后系统不能快速恢复，对系统

的可用性有严重影响。

高风险级别

（5）建议控制措施

序号建议控制措施

备份系统配置和数据

异地存储备份

描述

备份系统配置和数据。

对备份的部分数据进行异地存储。

1

2

3.7.运行维护

3.7.1.待形成信息安全管理制度体系

（1）现状描述

当前，XX医院未规划信息安全方针，缺少信息安全总体策略，部分管理制度

缺失，评审、审批等流程记录不全面，不具备系统相关的知道手册，缺少关键人员

授权，未形成全面的信息安全管理体系。

（2）威胁分析

缺乏信息系统运行的相关总体规范、管理办法、技术标准和信息系统各组成部

分的管理细则等文档，运维人员将缺乏相关指导，会影响信息系统的安全运行维护

工作。

（3）现有或已计划的安全措施

建立有《信息中心工作职责》、《信息中心工作人员岗位职责》、《信息中心

日常工作安全管理制度》、《应急安全管理及重大事故备案制度》、《信息网络安

全管理制度（所文）》、《计算机信息系统安全及保密管理暂行规定（所文）》、

《网络终端设备保管使用安全操作规范》、《信息中心设备购置与调配制度》、《信

息中心维护维修工作制度》、《信息中心内部设备（及配件）管理条例》、《信息

中心备机管理制度》、《信息中心设备管理软件应用条》、《信息中心文档管理细

则》、《培训教室工作职责及管理制度》、《信息化管理小组工作例会制度》、《科

务会制度》、《信息中心请假制度》、《信息中心奖惩制度》、《信息中心绩效评

-23-

XX医院信息系统风险自评估报告

分制度》、《字典维护小组职责与工作流程》、《信息系统联系人制度》二十一项

安全管理制度以及相关流程审批文件。

（4）风险评价

风险名称

可

能

性

影

响

描述

级别

描述

安全管理体系不完善可能引发安全事件。。

3

安全管理体系不完善引发安全事件，，对组织的正常经营活动有一定

影响。

中

级别

安全管理体系不完善引发安全问题

2

风险级别

（5）建议控制措施

序号

1

建议控制措施

建立健全信息安全管理体系

描述

补充完善信息安全管理制度，形成成体系

的信息安全管理文件。

3.7.2.未规范信息系统建设

（1）现状描述

当前，XX医院未对采购产品进行选型测试，应用系统由开发公司自行检测，

交付前由信息中心对产品进行检测验收，无第三方监督实施，无相关制度规范，开

发公司未提供相关的开发文档资料，未与安全服务商签订保密协议。

（2）威胁分析

未对采购的产品进行选型测试分析，会引起与采购设备与实际需求不符的风险；

无第三方安全检测，造成检测结果不能准确、客观的反应产品的缺陷与问题；缺乏

信息系统操作风险控制机制和流程，维护人员和使用人员不按照风险控制机制和流

程进行操作，易发生误操作风险；开发公司未提供系统建设文档、指导运维文档、

系统培训手册，使得运维人员无法规范化管理，无法对系统存档备案；未针对安全

服务单独签署保密协议，存在信息泄露无法追究责任的安全隐患。

（3）现有或已计划的安全措施

-24-

XX医院信息系统风险自评估报告

XX医院IT设备产品从政府采购网上进行选型分析；由开发公司自行检测应用

系统，交付前由信息中心对产品进行检测验收；口头对工程实施进行要求；由开发

公司对运维人员进行培训指导；只与安全服务商签订了合同，未签订保密协议。

（4）风险评价

风险名称

可

能

性

影

响

（5）建议控制措施

序号建议控制措施

规范产品采购

描述

采购产品前预先对产品进行选型测试确定

产品的候范围。

依据开发协议的技术指标对软件功能和性

2

建立健全信息安全管理体系能等进行验收检测，验收检测由开发商和

委托方、与第三方评测机构共同参与。

对工程实施过程进行进度和质量控制，将

3

规范工程实施

控制方法和工程人员行为规范制度化，要

求工程实施单位提供其能够安全实施系统

建设的资质证明和能力保证。

4

5

未规范信息系统建设影响系统建设

2

未规范信息系统建设可能影响系统建设。

3

未规范信息系统建设影响系统建设，对XX医院具有轻微影响。

中

级别

描述

级别

描述

风险级别

1

规范系统交付

规范安全服务商选择

应确保开发商提供系统建设过程中的文档

和指导用户进行系统运行维护的文档。

与安全服务厂商签订保密协议。

4.评估结果记录表

评估评估指标评估指标有升级改评估结果

-25-

XX医院信息系统风险自评估报告

方面造必要性理由说明

无必要性有必要性不涉及

所支

撑的

业务

业务范围无

业务规模无

业务频度目前无数据异地备

份与业务容灾系统

有

业务模式无

业务信息

化时机

按照信息系统安全

等级保护标准

申报

有

采用

技术

和遵

循标

准规

范

技术路线无

体系架构医院自身业务的发

展需要原来互相隔

离的内网与外网安

全融合，需要调整

与更新安全策略与

设备

有

技术标准

规范

无

安全标准我院按照等保有

-26-

XX医院信息系统风险自评估报告

规范标准申报，目前亟

待改进与加强主机

安全、安全审计、

边界安全、设备安

全等方面

行业政策

或标准

无

信息

资源

共享

信息采集无

信息加工无

信息存储建立与业务发展适

应的数据备份与容

灾体系

有

信息共享无

信息

系统

自身

设备更新目前部分接入层网

络设备老化、性能

低下等，亟待升级

有

安全保障网关安全、边界安

全、客户端安全审

计等

有

系统整合安全系统与目前的

网络系统、应用系

统、主机存储系统

有

-27-

XX医院信息系统风险自评估报告

的有机整合

5.安全自评估报告总结

5.1.网络通信

采购专业的审计系统

定期审计日志中的异常记录

定义VLAN安全级别及访问关系

内网交换机更换（支持SNMPV3、802.1x等）

采购内网防火墙

采购网络审计系统

部署入侵检测系统

部署应用安全网关系统

部署客户端安全登陆与安全审计系统

5.2.安装部署

安装操作系统、数据库以及其他组件等的最新补丁

订阅安全漏洞补丁通告

设置密码策略

为管理员、SNMP团体字、Oracle监听字等账号设置复杂密码

禁用windows操作系统、网络设备的SNMP服务等不需要的服务

禁用FTP服务的匿名访问

5.3.认证授权

定期整理账户

降低数据库连接账户权限

开发登录失败处理功能

开发记录密码历史口令功能

开发密码使用期限功能

开发提示登录信息的功能

开发账户密码复杂度功能

限制不必要客户端访问

-28-

XX医院信息系统风险自评估报告

5.4.安全审计

增加对用户登录行为的记录

添加详细的用户记录日志

5.5.备份容错

备份系统配置和数据

建立异地灾备系统

异地存储备份

-29-