云防護在醫院網站安全管理的應用

前言：尋找寫作靈感？中文期刊網用心挑選的云防護在醫院網站安全管理的應用，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】醫院網站是醫院對內對外宣傳的門戶，隨著“互聯網＋醫療”的不斷深化，惡意的網絡攻擊使醫院門戶網站面臨著嚴重的安全風險?；诒镜鼗膫鹘y防護模式存在一定弊端，無法滿足不斷變化的網站安全需求。云防護無論從安全威脅的防護能力、網站訪問和交付能力和動態擴展性都有革新性的突破。筆者結合云防護在醫院網站的實際應用效果，對醫院網站云防護管理方案進行初步分析和應用探討，為其他醫院網站安全管理提供應用參考。

【關鍵詞】醫院網站；網絡安全；云防護

1網站安全威脅及挑戰

國內輿情中，涉及民生、娛樂類占絕大部分，其中以醫療衛生、社會治安類輿情事件（話題）數量最多［1］。互聯網時代，醫院門戶網站可以提高用戶的感知度，為用戶傳遞醫院最新動態、醫生出診信息、就醫咨詢服務等。醫院網站是醫院對外交流和對外宣傳的主要窗口之一［2］，其所扮演的輿情承載、醫院醫療信息平臺的角色，及其擁有廣泛的群眾點擊量基礎，這使得醫院網站成為黑客喜歡攻擊的目標，惡意的網絡攻擊使醫院門戶網站面臨著嚴重的安全風險。ASP．NET、J2EE／LAMPD等是基于B／S結構的網站平臺常用的開發工具，然而，在網站設計時，不論利用的是何種開發工具，均無法免除被入侵的可能性。在網站開發的過程中所使用到的開源代碼中無法否認的存在一些漏洞，而這些漏洞極其容易受到黑客或其他非法入侵者利用，給醫院網站造成不利影響。網站驗證機制設計不完善也會存在安全隱患。例如，設定輸入信息的字符類型要求，比如要求輸入信息應由大小字符和數字共同組成，不滿足時則無法正常提交；或者設定輸入信息的指定長度，在超過指定要求時，無法正常提交。如果未設置驗證機制，或者驗證機制不完善，就很可能讓惡意攻擊者有機可乘，致使網站被攻擊，出現惡意刷屏、網站崩潰，甚至是服務器崩潰的情況。黑客攻擊服務器的情況頻繁出現，2016年7月26日據韓媒報道，韓國一個著名購物網站Interpark的服務器受到了黑客的攻擊，預估至少1000萬客戶的個人信息被泄漏。服務器是網站的最必須最關鍵的載體，如果服務器被入侵，那么網站信息安全即受到威脅，可能出現數據丟失、信息被篡改、信息損壞等一系列情況，嚴重情況下還可能發生信息泄露問題。很多網站經常被病毒入侵，導致很多數據的流失，甚至導致網站無法正常運行。這是因為網站的防御系統層次較低，對于病毒的侵入不能及時的維護和補救，導致更大的損失，其實這還跟網站制作時沒有專業的人才有關，所以一個網站防御系統的層次高低是很重要的，他對網站的維護和安全性管理起到很大的作用［3］。根據美國國防部統計數據得知，在每1000行Web代碼中，可能存在的漏洞數為5～15個，每修補其中一個漏洞，需要的時間一般為2～9個小時。而Web這類互聯網上應用最為廣泛的形式也是黑客最常見的攻擊目標。由Gartner調查可知，絕大多數信息安全攻擊是發生在Web應用層而非網絡層上。在這個Web應用迅速擴張的時代，大多數網站都存在著不同程度的安全隱患。由于Web應用中包含著大量的用戶信息，這使得Web應用成為了當今黑客攻擊的主要目標［4］。這對各網站所屬單位造成了不同程度的影響，包括可能存在的經營風險、經濟損失，損害單位形象，影響正常宣傳及管理工作的開展，所帶來的社會經濟效益影響等等。此外，目前黑客攻擊手段層出不窮，網絡上可隨意下載的攻擊軟件讓攻擊者不需要對網絡安全知識有深入了解，便可以對網站進行攻擊、破解后臺管理員密碼、盜取網站數據等。隨著現代計算機網絡和信息技術的不斷發展，各行業已在不同程度上邁入了“互聯網＋”大數據時代。數據記載著人群的基本信息、行為信息等，對喜好和行為的偏向分析、決策的做出等扮演著越來越重要的角色。數據正對人們的思維、生產和生活方式起著深刻的改變作用。隨著醫療改革的不斷深入，醫院的正常運行以及長遠發展將離不開數據。一旦由于意外而丟失數據，將會給醫療機構造成極大的經濟損失［5］。因此對醫院網站進行安全防護，防止信息泄露，迫在眉睫。

2網站安全管理傳統模式的弊端

日常安全運維和安全設備防護是傳統網站防護措施的主要兩大塊：日常安全運維包括：系統安裝和升級殺毒軟件，打開實時監控，掃描木馬和查殺病毒；針對存在的系統漏洞，安裝相應最新補丁，修復系統漏洞；開啟系統自帶防火墻，檢查已通過防火墻的程序是否存在隱患；定期查看端口連接情況，關閉沒用到的端口；定期更新修改用戶名和密碼，密碼設置盡量復雜化；定期查看網站日志記錄等。安全設備防護包括：安裝專業級別的Web防火墻設備、入侵檢測系統設備、防篡改軟件，其中安裝入侵檢測系統設備可以是部署IDS入侵檢測系統或IPS入侵防護系統設備等。然而由用戶購買部署Web防火墻、防病毒軟件、入侵檢測等安全設備，這一類傳統的網站安全防護模式受限于設備系統的性能有限、特征庫的更新時效性不足，已難以敏捷響應防御日益復雜的網站應用層攻擊。傳統模式不僅成本費用較高，對配置、運營、維護的技術要求復雜，無形增加管理負擔。同時，根據木桶理論，短板決定整體安全防御高度，對整個安全防護體系而言，一個環節的疏漏就意味著整個安全防護的失效，所以，面對各類安全威脅問題盤根錯節，傳統模式的網站安全管理難以為繼。

3云模式基本架構

云模式的架構主要分為兩部分：云平臺安全節點和管理中心。

3．1云平臺安全節點

云平臺安全節點負責分發網站內容。內容分發是根據運營商定義的內容分發策略，將該節點流媒體資源庫中指定的內容推送到下層節點，實現用戶就近訪問網站和網絡流量的智能分析。下層節點控制系統通知下層內容管理系統注冊接收，節點以內容注入的形式接收分發的內容。這從技術上解決了小網絡帶寬、大用戶訪問量、網絡分布不均等影響，極大提高了網絡的響應速度。云平臺安全節點位于網站服務器和用戶之間，所有網站和用戶之間的數據傳輸都會經過節點。節點將網站的靜態文件緩存起來，分發給用戶。云平臺安全節點負責均衡和優化用戶提交的訪問請求。用戶訪問請求調度是一種負載均衡技術，用于在服務節點之間平均分配訪問請求，其主旨是根據設備處理能力的不同，根據一定的規則將數據訪問請求重新定向到不同的服務節點，從而提高系統的響應速度。用戶請求優化是一種就近取用的技術，云平臺安全節點提供強大的網站優化加速功能，可以在醫院范圍內提供就近內容分發節點，將用戶的網站內容自動分發到離用戶最近的節點服務器上，為用戶提供就近的服務，極大提升用戶訪問請求的響應體驗。云平臺安全節點負責過濾針對網站的安全攻擊。當今的大多數應用程序都是Web應用程序，HTTP服務無法關閉。在當前網絡環境中，最危險的漏洞形式是Web應用程序漏洞，常見的Web應用程序攻擊漏洞有編碼漏洞、跨站腳本攻擊、SQL注入等，這通常是攻擊者破壞服務器的第一步。攻擊者通過跨站點腳本、SQL注入、表單破解等方法對Web應用程序攻擊，以此獲取服務器的高級權限。其中表單破解是對服務器用戶的弱密碼進行的破解。本質上來說，如果用戶輸入的字符沒有經過嚴格的過濾就會造成應用程序存在漏洞，導致非法攻擊者可以編寫惡意字符串達到攻擊的目的。鑒于以上網站Web存在的問題，云平臺安全節點可以以黑客視角，通過打開實時監控，定期掃描、檢測，發現Web應用中存在的漏洞，并提供修復的建議，并且將具體信息展示給云平臺安全節點管理員，讓其去落實填補修復漏洞，這樣能大大提高網站系統的安全性，從而減少漏洞對Web應用和業務所帶來的風險。云平臺安全節點負責網站情報分析。通過對網站進行智能化地觀察、調查、實驗、測量，將體現網站的各個方面的具體數據展示出來，通過統計網站生成的數據如用戶點擊量等，來監控網站的運行狀態，生成各類型數據報告，讓云平臺管理員更容易根據網站的實際變化情況，及時調整運營策略。為優化和改進網站提供參考依據。隨著醫院業務的發展壯大，云平臺安全節點也能根據不同的需求拓展出更多的功能，旨在防護醫院網站，使其安全運行。

3．2管理中心

管理中心由云平臺的管理員所控制，管理員的主要工作有：管理員負責節點之間的通信調度。云環境下資源狀態變化紛雜，資源負載情況比較難預測，管理員在掃描出資源分配不均的情況下，對資源進行動態調度。當某個虛擬節點的負載情況為空閑或者是過載的時候，一套消息機制將發送狀態消息給其他虛擬節點，其他虛擬節點在收到消息的情況下，將結合自身的負載情況來執行相應的操作，管理員在其中配合節點執行調度。在盡量低的資源條件下，給用戶提供更優質的服務。管理員負責提供Web應用，并對網站群的進行權限管理和安全管理。權限管理包括對訪問者的控制和對用戶的分級權限管理，其中對訪問者的控制主要有IP限制等，對用戶的分級權限管理是對不同身份的用戶設置不同的權限。安全管理方式有：管理員負責保存網站的功能配置文件及各類日志數據。防止Web應用配置文件丟失，導致網站不能正常運行，給用戶帶來不便。詳細記錄網站群操作日志和入侵防護日志，通過查看保存的日志能更好的定位Web應用出錯的原因，并提供相應解決的方法；若同一IP對網站多次進行危險操作，對該IP進行封禁和解禁操作等。

4云模式取得的成效

云計算技術是互聯網服務技術的一種，具有交互功能，它的使用也能完成對互聯網的動態擴展，整合虛擬化資源，給用戶帶來新的上網體驗。云計算運算能力突出，可以模擬氣候變化，進行天氣預測。它也可以用作統計市場數據，以此來監測市場變化和發展趨勢，預測行業的動態變化。云計算技術的使用原理是應用秉性技術對網絡信息存儲、虛擬化資源于一身，使用特點鮮明、效果顯著，具有良好的效果拓展性［6］。利用云計算技術的網站安全云平臺，采用一站式的安全解決方案，預防各種網站安全問題，如XSS（CSS）跨站腳本攻擊、僵尸網絡、SQL注入攻擊、零日攻擊、木馬植入攻擊等等；此外，通過綜合運用一系列技術，包括跨區域智能調度、跨網絡運營商調度、頁面優化及緩存等等，對網站訪問速度進行進一步的提升，對網站訪問服務體驗進行優化；旨在應用革命性、創新性的云服務模式，來提供高效的、安全的防護服務，以達到“自來水”式的零部署、零維護的效果，開啟醫院網站安全防護的全新云防護時代。相對于傳統的網站安全防護系統本地部署和云安全防護模式的方案來比較，網站安全云平臺解決方案高度融合了安全防護體系中的靜態防護和動態防護的完美結合，是現代網站安全防護方式的革命性改變和防御能力的新高度。云模式還具備以下優勢。

4．1安全性高

傳統防火墻主要由五個部分組成：一是安全的操作系統；二是網絡過濾器；三是網關；四是郵件處理；五是域名處理。雖然傳統防火墻對內網起到了一定防護的作用，但也是存在局限性的。有些惡意程序是可以繞開防火墻進行攻擊的。譬如，對于攜帶病毒的軟件，防火墻無法對其進行傳輸限制，越過防火墻，病毒會對網站進行不同程度的攻擊，會造成網站癱瘓，更甚者會造成網站服務器癱瘓。相對于傳統的網站防火墻系統，云防護系統完全屏蔽了網站的實際部署情況，使得攻擊者只能對云防護系統進行攻擊，而無法發現網站的真實情況，比傳統的網站防護系統大大地提高了網站的安全性，在目前的技術機制下，幾乎不可能出現網頁被篡改、暴庫等行為。其安全性是傳統的網站防護系統不能比擬的。

4．2實現網站安全“替身”

當一個服務器能夠Internet上的主機，訪問內部網絡時，這種服務的方式稱為反向服務［7］。云平臺的反向部署模式利用眾多安全節點將網站的真實服務器隱藏在節點背后，由節點來直接面對黑客的網絡攻擊。與Web服務器相比，節點的工作機制簡單很多，且性能強大，加以節點群的全局負載均衡效果，云平臺節點的安全性和穩定性都極高。相比傳統的“保鏢式”的安全理念，云平臺提供的“替身安全”理念，將防黑客攻擊的手段增加了一個維度，讓“防黑客的戰火”遠離網站機房，在云中解決Web安全問題。

4．3管理方便

網站群是由統一規劃建設的若干個能夠相互共享信息、按照一定的隸屬關系組織在一起，既可以統一管理，也可以獨立管理自成體系的網站集合［8］。網站群建立在統一技術構架基礎之上，分級管理，分級維護，耦合程度高，可以實現基于特定權限的信息共享［9］。在傳統的多個網站的管理情況下，用戶需要單獨對每個網站進行管理查看，網站數量一多，管理極其不便，而在云防護的管理平臺中，用戶可使用一個賬戶對多個網站進行管理，查看網站的運行情況，被攻擊情況，攻擊的分布，攻擊的種類，并可以打印報表，管理非常的方便，特別適合網站群的管理。基于云計算平臺的網站群可以實現計算資源利用的最大化，從而可以從根本上解決因計算資源不足而引起的作業排隊等待時間過長的問題［10］。

4．4CDN功能

從技術角度上講，CDN是一個信息的快速傳遞系統［11］。CDN基于總體策略性部署，利用緩存服務器，在用戶和內容間增加了一層架構，CDN在用戶上網的時候，同時將網站的內容依照特定規律發送到用戶附近，同時為用戶提供一個透明的鏡像。云防護本身具有CDN內容分發功能，只要接入了云防護平臺，就可以在全國范圍內，使得用戶在不同的位置實現快速的訪問，提升網站的使用效率和用戶的使用體驗。

5結論

構建完善的信息化醫院，要進行深入、全面的需求分析和用戶調查，反復改進［12］?，F今，信息技術已邁入高速發展的時代，加強醫院網站的安全管理尤為必要。相對于傳統的網站安全防護系統本地部署和網站專項安全服務相結合的相對安全方案來比較，網站安全云平臺解決方案高度融合了安全防護體系中的靜態防護和動態防護的完美結合，是現代網站安全防護方式的革命性改變和防御能力的新高度。

作者:吳向群 譚志明 羅敏