首 頁國慶70年醫(yī)院互聯(lián)網(wǎng)宣傳陣地防護(hù)專項(xiàng)指引
前言
醫(yī)院官網(wǎng)作為醫(yī)院的門戶網(wǎng)站承載著醫(yī)院的歷史和榮耀,也是醫(yī)院向公眾傳遞正能量的形象窗口。普天同慶全國人民喜迎國慶之際,如果醫(yī)院官網(wǎng)被不法分子入侵并發(fā)布了不適當(dāng)?shù)膬?nèi)容,造成的后果不堪設(shè)想。如何做好醫(yī)院互聯(lián)網(wǎng)宣傳陣地的內(nèi)容安全防護(hù)是國慶期間醫(yī)院管理者們共同關(guān)心的重點(diǎn)議題。
現(xiàn)狀
每逢重大節(jié)假日,各大醫(yī)院門戶網(wǎng)站都會“不約而同”地同時進(jìn)入改版維護(hù)期,還有些網(wǎng)站甚至無法打開或顯示404等各種錯誤,那么在此期間不合理的閉站會對醫(yī)院造成哪些影響呢?
(一)喜慶氛圍中的一片殘跡
本應(yīng)在這喜慶的日子里歡祝祖國繁榮昌盛、紅紅火火、國泰民安,但由于不恰當(dāng)?shù)拈]站,公眾打開網(wǎng)站時只能看到冰冷的頁面。如果一個區(qū)域的醫(yī)院網(wǎng)站同時閉站維護(hù),那該是一片多么的狼藉。
(二)嚴(yán)重影響搜索引擎收錄
醫(yī)院網(wǎng)站缺乏專業(yè)的搜索引擎優(yōu)化,SEO算法通常會將訪問不穩(wěn)定的網(wǎng)站評級降級,清除過期頁面的速度遠(yuǎn)遠(yuǎn)高于頁面收錄的速度,可通過搜索引擎查找醫(yī)院名稱進(jìn)行驗(yàn)證,那些經(jīng)常閉站的網(wǎng)站收錄量會非常少,更嚴(yán)重的是在搜索結(jié)果中前幾頁找不到,當(dāng)患者充滿信任地點(diǎn)入了一些排名靠前的仿冒醫(yī)院名稱的網(wǎng)站,可能會貽誤病情。
分析
_______________________________________
醫(yī)院管理者往往無法正確把握互聯(lián)網(wǎng)內(nèi)容防護(hù)方法,即使已部署了一些安全設(shè)備仍無法建立抵御入侵的信心。俗話說,見招拆招,如果了解攻擊思路將有助于應(yīng)對防護(hù)。本文從黑客思維探討防御思路。
網(wǎng)頁內(nèi)容篡改需要獲取較高權(quán)限,例如服務(wù)器遠(yuǎn)程管理、網(wǎng)站后臺管理、網(wǎng)頁木馬管理,獲取對服務(wù)器寫入和更改的權(quán)限。不同網(wǎng)站的防護(hù)情況、攻擊難度都是不盡相同的,攻擊行為從高危漏洞利用到高級攻擊載荷構(gòu)造。攻擊者思維主要體現(xiàn)在:
1、尋找和利用已知漏洞
通過對攻擊目標(biāo)進(jìn)行踩點(diǎn)和信息收集,尋找可以直接利用的遠(yuǎn)程執(zhí)行高危漏洞:
?服務(wù)器開放的服務(wù)是否包含遠(yuǎn)程控制
?服務(wù)器的操作系統(tǒng)是否存在高危漏洞
?服務(wù)器中間件版本是否存在高危漏洞
?服務(wù)器網(wǎng)站是否配置錯誤存在高危漏洞
?服務(wù)器網(wǎng)站軟件版本是否存在高危漏洞
?服務(wù)器網(wǎng)站管理后臺存在默認(rèn)賬號密碼
?.......
2、萬物皆可繞過的信念
遇到?jīng)]有明顯高危漏洞的目標(biāo)網(wǎng)站,攻擊原則是利用一切可能存在的薄弱環(huán)節(jié)嘗試破解和滲透,找到突破口后進(jìn)行提權(quán)操作:
?網(wǎng)站存在弱口令
?網(wǎng)站可上傳文件
?網(wǎng)站可找回密碼
?低權(quán)限用戶可訪問管理頁面
?參數(shù)明文且沒有完整性校驗(yàn)
?參數(shù)輸入和輸出過濾不嚴(yán)格
?中間件啟動配置最高系統(tǒng)賬戶
?數(shù)據(jù)庫連接配置最高權(quán)限賬戶
?同一服務(wù)器部署了多個網(wǎng)站
?同網(wǎng)段服務(wù)器之間沒有隔離
?......
應(yīng)對
________________________________________
當(dāng)醫(yī)院管理者面對千變?nèi)f化的攻擊路徑,就不難理解其為何沒有足夠信心做好抵御網(wǎng)站篡改的攻擊。從IT治理的角度講,網(wǎng)絡(luò)安全控制框架下識別資產(chǎn)、風(fēng)險(xiǎn)評估和建立防線,應(yīng)對醫(yī)院網(wǎng)站面臨的內(nèi)容安全威脅,需正確的方法論為指引。
網(wǎng)頁防篡改專項(xiàng)防護(hù)中,關(guān)鍵保護(hù)的資產(chǎn)是網(wǎng)頁內(nèi)容,而內(nèi)容在服務(wù)器中以文件或數(shù)據(jù)庫記錄方式保存,能否有效保護(hù)文件和數(shù)據(jù)庫內(nèi)容不被寫入或修改,可參照以下方法進(jìn)行安全評估和建立防護(hù):
?系統(tǒng)和網(wǎng)站掃描出高危漏洞
意味著攻擊者遠(yuǎn)程執(zhí)行能獲得最高權(quán)限,可變更任何系統(tǒng)文件包含網(wǎng)站文件,此風(fēng)險(xiǎn)等級最高,不及時解決將導(dǎo)致其他防護(hù)全部失效,可通過補(bǔ)丁修復(fù)和訪問控制解決。
?系統(tǒng)和網(wǎng)站沒有掃描出漏洞
意味著攻擊者需要深度挖掘漏洞,并構(gòu)造高級攻擊載荷,可以通過以下方法進(jìn)行專項(xiàng)加固:
o檢查網(wǎng)站文件和數(shù)據(jù)庫中是否潛伏著一句話木馬等輕型后門木馬
o開啟應(yīng)用防火墻功能,設(shè)置嚴(yán)格的防護(hù)等級對應(yīng)用攻擊進(jìn)行阻斷
o使用云防護(hù)的服務(wù)器,應(yīng)在防火墻策略設(shè)置僅允許云端IP的訪問
o開啟網(wǎng)頁防篡改功能,通過服務(wù)器上文件修改驗(yàn)證功能是否有效
o通過殺毒軟件等其他安全工具制定文件策略,禁止網(wǎng)站目錄文件級修改,避免木馬文件上傳和用戶提權(quán)造成系統(tǒng)級的越權(quán)操作
o降低數(shù)據(jù)庫連接用戶的權(quán)限,對寫入、修改、刪除、執(zhí)行存儲過程設(shè)置為顯示拒絕權(quán)限,避免數(shù)據(jù)庫內(nèi)容篡改。
o節(jié)前開啟專項(xiàng)防護(hù)會使網(wǎng)站內(nèi)容發(fā)布無法新增或修改,需與相關(guān)科室完善溝通,提前安排國慶新聞發(fā)布工作
o通過防火墻拒絕同網(wǎng)段其他服務(wù)器對網(wǎng)站應(yīng)用和數(shù)據(jù)服務(wù)器的訪問
以上針對性的檢查和操作可以通過開源或商用的軟件或工具配合實(shí)現(xiàn),且配置并不復(fù)雜。網(wǎng)絡(luò)安全防護(hù)從面到點(diǎn),在醫(yī)院信息化管理人員不足、安全專業(yè)能力有限的情況下大大提高特殊時期防護(hù)工作的效率。
結(jié)語
_______________________________________
通過專項(xiàng)防護(hù)能大幅降低黑客篡改醫(yī)院網(wǎng)站事件發(fā)生的概率,在不閉站的情況下加強(qiáng)網(wǎng)站的監(jiān)控和檢查,對發(fā)現(xiàn)異常訪問的攻擊地址進(jìn)行黑名單封堵,做好萬全的應(yīng)急響應(yīng)機(jī)制。即使不慎發(fā)生安全事件,通過第一時間拔網(wǎng)線、服務(wù)器關(guān)機(jī)、域名快速切換等方式進(jìn)行斷網(wǎng),尋求專業(yè)團(tuán)隊(duì)對事件溯源總結(jié)管理不足之處,吸取教訓(xùn)加以完善,而不是一關(guān)了之,才能不斷提高醫(yī)院安全管理的防護(hù)能力。
作者簡介:
陳昌杰
中國信息安全技能競賽專家
全國高校信息安全競賽專家
上海衛(wèi)生健康委信息安全專家
國家信息技術(shù)服務(wù)標(biāo)準(zhǔn)工作組專家
