分析

_______________________________________

醫院管理者往往無法正確把握互聯網內容防護方法，即使已部署了一些安全設備仍無法建立抵御入侵的信心。俗話說，見招拆招，如果了解攻擊思路將有助于應對防護。本文從黑客思維探討防御思路。

網頁內容篡改需要獲取較高權限，例如服務器遠程管理、網站后臺管理、網頁木馬管理，獲取對服務器寫入和更改的權限。不同網站的防護情況、攻擊難度都是不盡相同的，攻擊行為從高危漏洞利用到高級攻擊載荷構造。攻擊者思維主要體現在：

1、尋找和利用已知漏洞

通過對攻擊目標進行踩點和信息收集，尋找可以直接利用的遠程執行高危漏洞：

?服務器開放的服務是否包含遠程控制

?服務器的操作系統是否存在高危漏洞

?服務器中間件版本是否存在高危漏洞

?服務器網站是否配置錯誤存在高危漏洞

?服務器網站軟件版本是否存在高危漏洞

?服務器網站管理后臺存在默認賬號密碼

?.......

 2、萬物皆可繞過的信念

遇到沒有明顯高危漏洞的目標網站，攻擊原則是利用一切可能存在的薄弱環節嘗試破解和滲透，找到突破口后進行提權操作：

?網站存在弱口令

?網站可上傳文件

?網站可找回密碼

?低權限用戶可訪問管理頁面

?參數明文且沒有完整性校驗

?參數輸入和輸出過濾不嚴格

?中間件啟動配置最高系統賬戶

?數據庫連接配置最高權限賬戶

?同一服務器部署了多個網站

?同網段服務器之間沒有隔離

?......

應對

________________________________________

當醫院管理者面對千變萬化的攻擊路徑，就不難理解其為何沒有足夠信心做好抵御網站篡改的攻擊。從IT治理的角度講，網絡安全控制框架下識別資產、風險評估和建立防線，應對醫院網站面臨的內容安全威脅，需正確的方法論為指引。

網頁防篡改專項防護中，關鍵保護的資產是網頁內容，而內容在服務器中以文件或數據庫記錄方式保存，能否有效保護文件和數據庫內容不被寫入或修改，可參照以下方法進行安全評估和建立防護：

?系統和網站掃描出高危漏洞

意味著攻擊者遠程執行能獲得最高權限，可變更任何系統文件包含網站文件，此風險等級最高，不及時解決將導致其他防護全部失效，可通過補丁修復和訪問控制解決。

?系統和網站沒有掃描出漏洞

意味著攻擊者需要深度挖掘漏洞，并構造高級攻擊載荷，可以通過以下方法進行專項加固：

o檢查網站文件和數據庫中是否潛伏著一句話木馬等輕型后門木馬

o開啟應用防火墻功能，設置嚴格的防護等級對應用攻擊進行阻斷

o使用云防護的服務器，應在防火墻策略設置僅允許云端IP的訪問

o開啟網頁防篡改功能，通過服務器上文件修改驗證功能是否有效

o通過殺毒軟件等其他安全工具制定文件策略，禁止網站目錄文件級修改，避免木馬文件上傳和用戶提權造成系統級的越權操作

o降低數據庫連接用戶的權限，對寫入、修改、刪除、執行存儲過程設置為顯示拒絕權限，避免數據庫內容篡改。

o節前開啟專項防護會使網站內容發布無法新增或修改，需與相關科室完善溝通，提前安排國慶新聞發布工作

o通過防火墻拒絕同網段其他服務器對網站應用和數據服務器的訪問

以上針對性的檢查和操作可以通過開源或商用的軟件或工具配合實現，且配置并不復雜。網絡安全防護從面到點，在醫院信息化管理人員不足、安全專業能力有限的情況下大大提高特殊時期防護工作的效率。

結語

_______________________________________

通過專項防護能大幅降低黑客篡改醫院網站事件發生的概率，在不閉站的情況下加強網站的監控和檢查，對發現異常訪問的攻擊地址進行黑名單封堵，做好萬全的應急響應機制。即使不慎發生安全事件，通過第一時間拔網線、服務器關機、域名快速切換等方式進行斷網，尋求專業團隊對事件溯源總結管理不足之處，吸取教訓加以完善，而不是一關了之，才能不斷提高醫院安全管理的防護能力。

作者簡介：

陳昌杰

中國信息安全技能競賽專家

全國高校信息安全競賽專家

上海衛生健康委信息安全專家

國家信息技術服務標準工作組專家