国庆70年医院互联网宣传阵地防护专项指引

分析

_______________________________________

医院管理者往往无法正确把握互联网内容防护方法，即使已部署了一些安全设备仍无法建立抵御入侵的信心。俗话说，见招拆招，如果了解攻击思路将有助于应对防护。本文从黑客思维探讨防御思路。

网页内容篡改需要获取较高权限，例如服务器远程管理、网站后台管理、网页木马管理，获取对服务器写入和更改的权限。不同网站的防护情况、攻击难度都是不尽相同的，攻击行为从高危漏洞利用到高级攻击载荷构造。攻击者思维主要体现在：

1、寻找和利用已知漏洞

通过对攻击目标进行踩点和信息收集，寻找可以直接利用的远程执行高危漏洞：

•服务器开放的服务是否包含远程控制

•服务器的操作系统是否存在高危漏洞

•服务器中间件版本是否存在高危漏洞

•服务器网站是否配置错误存在高危漏洞

•服务器网站软件版本是否存在高危漏洞

•服务器网站管理后台存在默认账号密码

•.......

 2、万物皆可绕过的信念

遇到没有明显高危漏洞的目标网站，攻击原则是利用一切可能存在的薄弱环节尝试破解和渗透，找到突破口后进行提权操作：

•网站存在弱口令

•网站可上传文件

•网站可找回密码

•低权限用户可访问管理页面

•参数明文且没有完整性校验

•参数输入和输出过滤不严格

•中间件启动配置最高系统账户

•数据库连接配置最高权限账户

•同一服务器部署了多个网站

•同网段服务器之间没有隔离

•......

应对

________________________________________

当医院管理者面对千变万化的攻击路径，就不难理解其为何没有足够信心做好抵御网站篡改的攻击。从IT治理的角度讲，网络安全控制框架下识别资产、风险评估和建立防线，应对医院网站面临的内容安全威胁，需正确的方法论为指引。

网页防篡改专项防护中，关键保护的资产是网页内容，而内容在服务器中以文件或数据库记录方式保存，能否有效保护文件和数据库内容不被写入或修改，可参照以下方法进行安全评估和建立防护：

•系统和网站扫描出高危漏洞

意味着攻击者远程执行能获得最高权限，可变更任何系统文件包含网站文件，此风险等级最高，不及时解决将导致其他防护全部失效，可通过补丁修复和访问控制解决。

•系统和网站没有扫描出漏洞

意味着攻击者需要深度挖掘漏洞，并构造高级攻击载荷，可以通过以下方法进行专项加固：

o检查网站文件和数据库中是否潜伏着一句话木马等轻型后门木马

o开启应用防火墙功能，设置严格的防护等级对应用攻击进行阻断

o使用云防护的服务器，应在防火墙策略设置仅允许云端IP的访问

o开启网页防篡改功能，通过服务器上文件修改验证功能是否有效

o通过杀毒软件等其他安全工具制定文件策略，禁止网站目录文件级修改，避免木马文件上传和用户提权造成系统级的越权操作

o降低数据库连接用户的权限，对写入、修改、删除、执行存储过程设置为显示拒绝权限，避免数据库内容篡改。

o节前开启专项防护会使网站内容发布无法新增或修改，需与相关科室完善沟通，提前安排国庆新闻发布工作

o通过防火墙拒绝同网段其他服务器对网站应用和数据服务器的访问

以上针对性的检查和操作可以通过开源或商用的软件或工具配合实现，且配置并不复杂。网络安全防护从面到点，在医院信息化管理人员不足、安全专业能力有限的情况下大大提高特殊时期防护工作的效率。

结语

_______________________________________

通过专项防护能大幅降低黑客篡改医院网站事件发生的概率，在不闭站的情况下加强网站的监控和检查，对发现异常访问的攻击地址进行黑名单封堵，做好万全的应急响应机制。即使不慎发生安全事件，通过第一时间拔网线、服务器关机、域名快速切换等方式进行断网，寻求专业团队对事件溯源总结管理不足之处，吸取教训加以完善，而不是一关了之，才能不断提高医院安全管理的防护能力。

作者简介：

陈昌杰

中国信息安全技能竞赛专家

全国高校信息安全竞赛专家

上海卫生健康委信息安全专家

国家信息技术服务标准工作组专家