1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 管理系统

公司信息系统风险评估综述.docx

公司信息系统风险评估综述.docx

    1. 1、本文档共11页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    公司信息系统风险评估综述

    XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成,内外网物理隔离,外网为访问互联网相关服务为主,内网为XXX生产网络。

    1.风险摘要

    1.1.风险统计与分析

    经过风险分析,各级风险统计结果如下:

    风险级别

    风险数量

    百分比

    极高风险

    2

    2.94%

    高风险

    9

    13.24%

    中风险

    39

    57.35%

    低风险

    18

    26.47%

    总计

    68

    100%

    根据风险评估统计结果,各级风险统计结果分布如下图所示:

    各类风险分布数量如下表所示:

    类别

    风险级别

    总计

    低风险

    中风险

    高风险

    极高风险

    运行维护

    1

    5

    0

    0

    6

    系统开发

    1

    4

    1

    0

    6

    物理环境

    0

    3

    2

    0

    5

    网络通信

    2

    1

    1

    1

    5

    认证授权

    0

    2

    0

    0

    2

    备份容错

    0

    0

    2

    1

    3

    安装部署

    13

    24

    3

    0

    40

    安全审计

    1

    0

    0

    0

    1

    总计

    18

    39

    9

    2

    68

    各类风险及级别分布如下图所示:

    极高风险分布如下图所示:

    高风险分布如下图所示:

    中风险分布如下图所示:

    低风险分布如下图所示:

    1.2.极高风险摘要

    极高风险摘要

    2

    备份容错

    1

    核心业务系统单点故障导致业务中断

    1

    网络通信

    1

    内网单点一故障风险造成业务系统服务停止

    1

    1.3.高风险摘要

    高风险摘要

    9

    安装部署

    3

    非法者极易获得系统管理员用户权限攻击SUNSOLARIS系统

    1

    非法者利用SQLServer管理员账号弱口令渗透进系统

    1

    非法者利用管理员账号弱口令尝试登录Windows系统

    1

    备份容错

    2

    备份数据无异地存储导致灾难发生后系统不能快速恢复

    1

    灾难发生后业务系统难以快速恢复

    1

    网络通信

    1

    非法者利用医保服务器渗透进内网

    1

    物理环境

    2

    防火措施不当引发更大损失

    1

    机房未进行防水处理引起设备老化、损坏

    1

    系统开发

    1

    未规范口令管理导致用户冒用

    1

    1.4.中风险摘要

    中风险

    39

    安装部署

    24

    SUNSolaris远程用户配置不当造成无需验证登录到主机

    1

    非法者获得数据库权限进而获得系统管理员权限

    1

    非法者或蠕虫病毒利用默认共享攻击Windows系统

    1

    非法者或蠕虫病毒利用权限控制不当的共享攻击Windows系统

    1

    非法者利用Guest账号攻击Windows系统

    1

    非法者利用IIS目录权限设置问题攻击Windows系统

    1

    非法者利用Oracle数据库调度程序漏洞远程执行任意指令

    1

    非法者利用SQLServer的xp_cmdshell扩展存储过程渗透进系统

    1

    非法者利用SQLServer漏洞攻击Windows系统

    1

    非法者利用Webserver的漏洞来攻击主机系统

    1

    非法者利用不当的监听器配置攻击Oracle系统

    1

    非法者利用匿名FTP服务登录FTP系统

    1

    非法者利用已启用的不需要服务攻击Windows系统

    1

    非法者利用已知Windows管理员账号尝试攻击Windows系统

    1

    非法者利用已知漏洞攻击SUNSOLARIS系统

    1

    非法者利用已知漏洞攻击Windows系统

    1

    非法者利用远程桌面登录Windows系统

    1

    非法者破解Cisco交换机弱密码而侵入系统

    1

    非法者通过SNMP修改cisco交换机配置

    1

    非法者通过SNMP修改SSG520防火墙配置

    1

    非法者通过SunSolaris不需要服务的安全漏洞入侵系统

    1

    非法者通过监听和伪造的方式获得管理员与主机间的通信内容

    1

    非法者有更多机会破解Windows系统密码

    1

    系统管理员账号失控威胁Windows系统安全

    1

    认证授权

    2

    未对数据库连接进行控制导致系统非授权访问

    1

    系统未采用安全的身份鉴别机制导致用户账户被冒用

    1

    网络通信

    1

    外网单一单点故障风险造成Internet访问中断

    1

    物理环境

    3

    机房存在多余出入口可能引起非法潜入

    1

    机房内无防盗报警设施引起非法潜入

    1

    未采取防静电措施引起设备故障

    1

    系统开发

    4

    生产数据通过培训环境泄露

    1

    未对系统会话进行限制影响系统可用性

    1

    未做用户登录安全控制导致用户被冒用

    1

    系统开发外包管理有待完善引发系统安全问题

    1

    运行维护

    5

    安全管理体系不完善引发安全问题

    1

    人员岗位、配备不完善影响系统运行维护

    1

    未规范信息系统建设影响系统建设

    1

    未与相关人员签订必威体育官网网址协议引起信息泄密

    1

    运维管理不完善引发安全事件

    1

    1.5.低风险摘要

    低风险

    18

    安全审计

    1

    发生安全事件很难依系统日志追查来源

    1

    安装部署

    13

    SQLServer发生安全事件时难以追查来源或异常行为

    1

    Windows发生安

    您可能关注的文档

    最近下载

    文档评论(0)

    liuxing044 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >