医院网站日常管理安全防护研究

文/王继斌 王建立

随着Web 应用的发展，网站

发挥了越来越重要的角色，越来

越多的网站由于存在自身安全隐

患而被频繁遭受各种外来攻击，

导致网站的敏感数据泄露、网络

页面被篡改、甚至网络平台成为

传播木马的傀儡，以至于给很多

访问者造成损害，给网站带来严

重损失。网站管理和防护越来越

重要，防护平台可通过管理平台

集中下发安全防护策略，从而实

现批量的安全防护，另外，管理

员也可按需对防护站点群中的某

些站点进行策略下发，从而满足

差异化防护要求。

摘 要

下几种。

1.1 关于SQL的注入

关于SQL 的注入标准释义，是将一些存

在恶意的SQL 命令利用现有的程序应用来进

行恶意的选择，最后重新注入到后台数据库，

从而进行去引擎执行的能力。

B/S 模式较多地被程序员去选择，用做应

用程序的编写，但由于实际中，相关开发人员

的水平和技能经验还不足，导致大部分的开发

技术人员在进行程序代码编写时，并没有严格

针对用户数据信息做出合法合理性判断，比如

页面或数据中携带的Cookie 信息等，最终导

致外来攻击者会根据所反馈的应用程序结果，

来进行提交数据库并查询代码所在的应用程

序，从中顺藤摸瓜获取所需数据。

关于SQL 的注入，所利用的服务窗口都

是一些HTTP 正常运行的窗口，起码在表面上

看起来与正常Web 访问并没有任何区别，隐

蔽性相对比较强，比较很难被察觉。

1.2 跨站脚本攻击（XSS）

跨站脚本攻击（Cross Site Scripting），为

了不与层叠样式表（Cascading Style Sheets，

CSS）的缩写混淆。故将跨站脚本缩写攻击缩

写为XSS。它是一种计算机安全漏洞，经常会

出现在WEB 应用中。XSS 允许恶意的Web 用

户将脚本代码去植入到公共页面并提供给其他

用户所使用。其中包括HTML 的代码和客户

端的脚本。攻击者利用XSS 的安全漏洞去旁

路掉访问控制——例如一些同源策略（英文俗

称same origin policy）。这种类型的漏洞比较

广为人知，是由于被黑客编写phishing 攻击而

危害性更大所造成。具体XSS 攻击所造成的

危害包括：

（1）各类用户账号的盗取，比如用户网

银账号、机器登录账号及各类管理员账号。

（2）企业数据的被控制，包括读取、添加、

删除及篡改企业的敏感数据。

（3）具有商业价值的企业资料被盗取。

（4）非法转账。

（5）电子邮件的被强制发送。

（6）网站挂马。

（7）操控受害者机器并向其他网站发起

Information Security • 信息安全

Electronic Technology & Software Engineering 电子技术与软件工程• 217

攻击。

1.3 网页挂马

网页挂马是通过将木马程序传输到网站

里面，利用木马生成器造生成网马，再上传至

空间中，通过代码的再加工，操控木马在网页

时被打开运行。网页挂马的方法有很多形式。

作为网页挂马散步者，它的目的是通过

将木马下载到用户本地，来进一步操控执行。

当木马被执行之后，就意味着更多的木马将会

被下载形成一个恶性的循环，使用户的电脑遭

到外来攻击和外来控制。

2 Web安全防护

要实现Web 安全，首先要了解Web 服务

器、Web 代码的安全，再进一步采取相应的防

护措施。了解Web 安全可以通过安全评估服

务或Web 安全检查服务来实现；Web 安全防

护可以利用安全性地加固和部署专业Web 安

全产品来实现目标。

2.1 Web安全检查服务

Web 网站安全检查服务是针对互联网网

站安全需求，依托自动化安全检测平台和专业

网站防护专家团队，通过远程方式对Web 站

点进行安全检查的服务类产品。检查内容主要

包括网页木马和网页漏洞，其主要内容如下。

（1）远程网页木马检查：检查互联网网

站Web 页面是否已经存在网页挂马；通过专

业人员核实后标明网页木马所在的网页链接。

（2）远程网页漏洞检查：检查互联网网

站是否存在Web 程序安全漏洞；标明漏洞类

型和存在的网页链接。

通过专业化的服务产品来检查和发现网

站的安全问题，能够将网站管理人员从繁重的

日常维护工作中解放出来，有效地防范、降级

用户网站所面临的政治压力，经济损失和数据

泄密等安全风险。

2.2 基于Web服务器的入侵防御系统（WIPS）

利用网站的安全检查机制来修复安全问

题，一般需要时间较长，对于较大的网站时间

更加需要延长来维持维修工作的进行。因此要

想做到防患未然，就要针对所呈现的动态的攻

击变化去采取有效合理的防护措施。这种防护

措施有别于防火墙，是需要对应用层的攻击，

如一些Web 应用层来进行防护措施，常见的

防护措施如注入SQL 攻击、注入XSS 的攻击

等等。最终来确保Web 网络访问的业务可以

得到多角度的完善防护。

为了成功阻断外来攻击，也为了业务的访

问可以正常运行，Web 网络访问的业务，首先

需要做到对常见Web 网络访问攻击的精确判

断识别，并予以采取阻断措施。注入SQL 攻击、

注入XSS 的攻击所造成的影响一致，会给漏

洞带来一定工作上的识别困难，因为它们同是

在利用疏漏Web 的应用程序编码、Web 表单

及URL 等程序来进行合法检查工作。目前主

要有三种可针对此类攻击的识别检查方法。

2.2.1 攻击特征的检测工作

攻击特征的检测工作是通过对SQL 数据

库的抽取注入及XSS 攻击关键字行为，来构

建攻击特征的数据库，目前是以SNORT 为代

表作为依据来与所建立的特征数据库进行比对

特征的检测工作。但此类攻击特征库的检测方

法存在一定弊端，漏报率很高。倘若设置攻击

特征较为宽松，黑客的攻击会通过转义等形式

躲过特征检测。倘若设置过于严格，又反而会

限制用户的正常Web 业务体验，甚至会产生

误报检测数据的现象。

2.2.2 异常攻击的检测工作

异常攻击的检测工作的优势在于不受限

制地去发现异常行为，但误报率也相对较高，

它是经过一个学习期的训练来达到自动建立各

参数如URL、COOKIE 等模型的正常使用，

从而依据模型来判断网络行为的异常，但是异

常并不等于真正的攻击，而且Web 上的互联

网访问并不符合防护模型的创建需求，学习期

还需要根据内部业务模型变化而变化，因此，

异常攻击的检测工作方法实际操作不强，不予

采纳。

2.2.3 VXID 技术检测

针对Web 业务的威胁进行检测算法是

VXID 技术检测方法，注入SQL 数据库攻击所

需要用的VSID 技术及其XSS 攻击所需要用