医院网站安全风险来源。在国内,约80%的医院的信息管理部门,不拥有医院门户网站的开发能力,需要把医院门户网站外包给第三方网站建设公司进行开发部署,因为软件外包公司以出货项目为目的,在网站建设的时候,很多引用开源框架、开源码,且外包公司人力资源流动性最强,开发职员的能力也参差不齐,所以在软件研发过程中,并未深度和广度上考虑过网站安全,甚至没有进行安全性测试,从而在代码级层面留下了隐患;而医院信息部门在验收过程中,重点在业务功能的达成,并没有进行网站的安全性测试,所以在网站的整个生命周期过程中,代码安全存在非常大隐患。
医院网站通常会有就诊服务模块、新闻模块、科室导航模块、下载中心模块、自动办公模块、每个模块之间的数据库基本独立,而整个网站系统,又部署在Windows或Linux服务器上,借助了如Apache、MySQL、Ngix等构造和数据库。无论是操作系统、构造或是数据库,它们本身也是软件系统,是软件系统就会存在BUG或漏洞,然而医院信息部工程师不肯定能准时对这类漏洞进行补丁升级,所以给攻击者留下了可乘之机。医院网站通常面向广大群众和医护职员,在网站登录验证机制上比较暴力简单,基本不使用双因子验证,如短信密码验证、电子口令验证等,且对用户名和密码的安全性判断也较弱,如默认6位纯数字等,这给黑客流量了很多撞库的机会。
医院网站通常是放在云服务器或IDC机房,但长期以来,医院体制内对信息部门不看重,致使信息部成为弱势群体,在互联网安全建设中话语权较弱,所以在管理上力度也不足,如长期不更新网站,未实行不按期登录网站确认等,信息部管理职员自己安全意识薄弱,互联网安全防范技术落后等近况。
