優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利
優(yōu)惠活動(dòng) - 12周年慶本月新客福利

企業(yè)網(wǎng)站設(shè)計(jì)醫(yī)院網(wǎng)站安全風(fēng)險(xiǎn)來(lái)源

日期 : 2021-02-26 23:22:00
         醫(yī)院網(wǎng)站安全風(fēng)險(xiǎn)來(lái)源。在我國(guó),約80%的醫(yī)院的信息管理部門,不具備醫(yī)院門戶網(wǎng)站的開(kāi)發(fā)能力,需要把醫(yī)院門戶網(wǎng)站外包給第三方網(wǎng)站開(kāi)發(fā)公司進(jìn)行開(kāi)發(fā)部署,由于軟件外包公司以交付項(xiàng)目為目標(biāo),在網(wǎng)站開(kāi)發(fā)的時(shí)候,大量引用開(kāi)源框架、開(kāi)源代碼,且外包公司人力資源流動(dòng)性極強(qiáng),開(kāi)發(fā)人員的能力也參差不齊,所以在軟件研發(fā)過(guò)程中,并未深度和廣度上考慮過(guò)網(wǎng)站安全,甚至未進(jìn)行安全性測(cè)試,從而在代碼級(jí)層面留下了隱患;而醫(yī)院信息部門在驗(yàn)收過(guò)程中,重點(diǎn)在業(yè)務(wù)功能的實(shí)現(xiàn),并未進(jìn)行網(wǎng)站的安全性測(cè)試,所以在網(wǎng)站的整個(gè)生命周期過(guò)程中,代碼安全存在很大隱患。

         醫(yī)院網(wǎng)站一般會(huì)有就醫(yī)服務(wù)模塊、新聞模塊、科室導(dǎo)航模塊、下載中心模塊、自動(dòng)辦公模塊、各個(gè)模塊之間的數(shù)據(jù)庫(kù)基本獨(dú)立,而整個(gè)網(wǎng)站系統(tǒng),又部署在Windows或Linux服務(wù)器上,利用了如Apache、MySQL、Ngix等架構(gòu)和數(shù)據(jù)庫(kù)。無(wú)論是操作系統(tǒng)、架構(gòu)或是數(shù)據(jù)庫(kù),它們本身也是軟件系統(tǒng),是軟件系統(tǒng)就會(huì)存在BUG或漏洞,然而醫(yī)院信息部工程師不一定能及時(shí)對(duì)這些漏洞進(jìn)行補(bǔ)丁升級(jí),所以給攻擊者留下了可乘之機(jī)。醫(yī)院網(wǎng)站一般面向廣大群眾和醫(yī)護(hù)人員,在網(wǎng)站登錄驗(yàn)證機(jī)制上比較粗暴簡(jiǎn)單,基本不采用雙因子驗(yàn)證,如短信密碼驗(yàn)證、電子口令驗(yàn)證等,且對(duì)用戶名和密碼的安全性判斷也較弱,如默認(rèn)6位純數(shù)字等,這給黑客流量了大量撞庫(kù)的機(jī)會(huì)。

         醫(yī)院網(wǎng)站一般是放在云服務(wù)器或IDC機(jī)房,但長(zhǎng)時(shí)間以來(lái),醫(yī)院體制內(nèi)對(duì)信息部門不重視,導(dǎo)致信息部成為弱勢(shì)群體,在網(wǎng)絡(luò)安全建設(shè)中話語(yǔ)權(quán)較弱,所以在管理上力度也不足,如常年不更新網(wǎng)站,未執(zhí)行不定期登錄網(wǎng)站確認(rèn)等,信息部管理人員自身安全意識(shí)薄弱,網(wǎng)絡(luò)安全防范技術(shù)落后等現(xiàn)狀。

相關(guān)文章