医疗卫生行业网站安全监测解决方案（参考）

然而目前缺乏有效的网站安全监测手段对辖区内的重要门户网站安全进行全面的监测，各个地市卫生局及医院门户网站都由单位各部门自己运营管理，造成安全水准差异化较大，难与统一评估指导。本项目拟建立一套覆盖全省各地市的网站安全监测平台，为所有地市卫生局及医院网站提供统一化监测，建立安全监控制度，并指导各地整改提升网站安全水准。

预期在项目建设后，能全面评估全省各地市卫生局及医院网站的安全水平，并跟踪各地安全整改情况，最终全面地提升XXX医疗WEB系统安全建设水平。

2.网站及重要信息系统安全现状

2.1网站面临的安全风险

2.1.1网站成为重要的为民办事窗口

以Internet为代表的全球性信息化浪潮日益发展，信息网络技术的应用正日益普及，其应用层次正逐渐深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，而在医疗单位中的很多日常工作已经逐渐在网站上实现为民服务，门户网站已成为了单位的形象代表。

2.1.2趋利化、专业化应用攻击事件近年来明显上升

如今的门户网站在传统的安全防护方法中，通常会采用网络防火墙、入侵检测(IDS)、防病毒等系统，防火墙用来过滤部分网络层以及端口类攻击探测，入侵检测可以监测到网站的外部安全实时威胁，防病毒可以防止一些恶意代码及病毒攻击。但从目前常见的攻击手法研究来看，以上防护方法基本上无能为力，从大量被黑站点的统计分析来看，70%以上被攻击站点都已经部署了防火墙，或者托管IDC已经进行了相关部署，25%以上部署了IDS系统，80%都部署了防病毒系统。而目前针对网站主流攻击方法主要包括拒绝服务攻击、注入攻击、跨站脚本攻击、挂马攻击等等，经检测，我国85%以上大中型网站均遭受过以上应用攻击，而且有些网站即使修复后还是反复遭到以上几类攻击。而与以往的攻击行为不同，当前攻击类型多为形成黑客产业链的趋利化行为，更多专业的黑客投入此类有组织的攻击中，谋取不法利益，该类事件持续上升。

同样，随着趋利化的攻击事件增长，黑客的攻击行为与以往不同。由于医疗单位和重要信息系统部门的网站存储的信息价值较高、公共影响力大、网页PR值高等因素影响，容易成为国内外黑色地下产业的攻击目标。主要安全问题原先关注较多的问题为网站页面的篡改，以此来彰显其个人能力，而目前趋利化影响，黑客们开始转战挂暗链、挂网马、以此牟利，而这类攻击事件目前并未引起单位网站维护的重视，但是当黑客获取到此类权限，说明该网站已经彻底沦陷，该网站将引发各类安全问题，造成较大的损失。

2.1.3网站安全风险多元化，入侵事件层出不穷

随着我国互联网规模不断扩大、应用也更加广泛， WEB系统承载这类业务的信息系统逐渐成为黑客重点攻击对象，各种网络攻击、信息安全事故发生率也不断攀升，互联网信息安全已成为国家经政治安全的重要组成部分。

据cncert2月份统计数据：

2014 年 2 月，境内被篡改网站的数量为12428 个，值得注意的是，被篡改的GOV域名类网站有583个，占境内被篡改网站的比例为4.7%。
2014年2月，境内被植入后门的网站数量为4556个。值得注意的是，被植入后门的GOV域名类网站有180个，占境内被植入后门网站的比例为4.0%。

综上所述，大量网站频繁发生的安全事件，尤其是政府企事业单位网站深受其害，已在一定程度上影响了单位公信力与声誉，轻者导致网站访问率下降，使网站不能发挥应有效果，重者会影响社会稳定民族团结，使得单位网站成为社会不稳定因素的引导者。故单位应积极应对互联网不良势力的入侵，采取有力措施降低安全事故的发生概率。

2.2网站安全治理面临诸多问题

2.2.1安全预警不到位

由于当前0DAY漏洞频发，并且这类漏洞为黑客带来巨大的商机，WEB安全问题日新月异，而由于单位网站缺乏有效的预警机制，即使在各大安全厂商披露最新漏洞或网马之后，仍无法尽快处理有问题的网站，更无法在漏洞或者安全事件未发生前就及时预警，及时整治，因此带来众多安全损失。

如在2013年7月17日，struts2漏洞疯狂爆发，短短两三天时间里，很多知名门户、电商、银行、政府等网站被曝存在该漏洞，众多安全厂家第一时间在网站上曝光该漏洞并对用户进行提示，但是在之后3个月内，某知名厂家进行安全大检查时，仍然发现有较多政府企事业单位网站未修复该漏洞。

由于各单位网站的安全预警制度不到位，无法第一时间掌握最新发现的安全风险，也就无法定位众多管辖内网站中有哪些网站存在该类问题。

2.2.2网站安全事件处理不及时

由于当前卫生医疗网站的安全监管缺少有效的技术手段，当网站被入侵后，如果不是发生如重要页面篡改等安全事件，极有可能在很久之后才发现安全事件，而此时网站已经被黑客利用多时。

2012年某省的人事考试信息网，被黑客入侵挂入非法链接，通过该链接可查询证书有效信息，黑客通过地下交易在该网站的数据库中插入非法信息，并可通过该链接查实，该事件发生半个月后才该网站负责单位才发现网站异常。

总体上看，信息安全主管部门在技术手段、人员队伍以及管理措施上还存在不足，在防渗透、防篡改、防瘫痪等方面仍然需要有针对性地加强，用户数据信息保护、业务连续性保障、网络信息安全事件应急处置是需要重点跟踪和研究改进的主要问题。

2.2.3传统监管方式陷入困境

在传统的监管方式中，省级单位的监管人员往往无法得知各地市网站的安全水平，也难以对被监管单位作出有效的安全考核；而被监管单位由于对应用安全的理解水平参差不齐，所维护的站点安全水平堪忧，由于没有统一的考核标准，被监管人员也通常不知道需要维护的安全项。

目前卫生医疗单位外网的日常工作存在如下难题：

信息安全监控独立为战，缺乏风险分析能力
专业安全人员缺乏，无精力进行日常安全防护
无法全天候保证安全设备上架率，存在临检突击应付的情况
网站维护单位检查工作项目众多，基本依靠人工，比较繁重
资产设备量大，人工管理难度大效率低，智能性和实时性差

有些单位网站的监管方式开始采用单机版检测工具，配备专门的人员对站点进行检测，然而这类传统的检测方式目前已无法满足需求：首先，单机检测工具只能在某个时间了解系统的安全，无法掌握该系统的动态安全走向以及最新发生的安全事件；其次，当检测单位需要对大量的站点数据进行检测、分析汇总时，需要投入大量的人力，而且效率低下；除此外，监管单位无法及时通知下属单位整改，无法将监管制度落实到底，建立有效的响应机制。