网页升级访问紧急通知

互联网医院网站安全应急预案

为迅速、有效地处置信息系统被网络攻击的突发事件，最大

限度地保信息系统的正常运行，维护互联网医院信息系统的安全、

畅通，特制定本应急预案。

一、攻击行为分类

（一）流量攻击

DDoS攻击的一个致命趋势是使用复杂的欺技术和基本协议，

如HTTP，Email等协议,而不是采用可被阻断的非基本协议或高

端口协议,非常难识别和防御,通常采用的包过滤或限制速率的

措施只是通过停止服务来简单停止攻击任务,但同时合法用户的

请求也被拒绝，造成业务的中断或服务质量的下降；DDoS事件的

突发性,往往在很短的时间内，大量DDoS攻击数据可使网络资源

和服务资源消耗殆尽.

（二)木马病毒

系统遭受各种木马病毒的感染。

（三）恶意网络入侵

恶意的网络入侵包括了恶意扫描、通过应用程序漏洞进行黑

客行为.

二、攻击行为应急处理流程

网站应急响应流程主要分为：分析确认、启动应急预案，故

障修复、恢复运行、详细备案。

（一）DDos流量攻击应急处理

收到预警后，第一时间联系机房服务方进行流量的清洗。必

要情况下直接接入安全服务商的云防护清洗平台。

查看防火墙日志，确定非正常访问的ip。对此ip进行阻断。

分析原因和损失。归纳总结并编写报告。

根据恶意情况制定系统加固方案进行加固。

生成报告留存。

对外发布致歉信息。

(二）木马病毒的应急处理

收到预警后，首先中断重要设备与互联网的连接。

对外发布致歉信息。

升级杀毒软件病毒库到最新，然后进行全面的杀毒.

对病毒样本进行分析，寻找专杀工具进行查杀。

通过命令的详细信息,完全监控计算机上的连接，查找异常

的连接。

查看系统的服务项，禁用不明的服务。

查看注册表信息,删除怀疑的病毒感染键值。

查找木马病毒爆发的原因。对外进行加固防护，对内进行惩

罚和高标准的规范以及技术防护。

总结原因生成报告留存.

对外发布故障解决完成并再次致歉.

（三）恶意入侵的应急处理

1。遭受黑客攻击时的应急响应流程

工作时间内，发现黑客攻击应在第一时间通知具体责任人。

具体责任人接到通知后,应详细记录有关现象和显示器上出

现的信息，将被攻击的服务器等设备从网络中隔离出来，保护现

场。同时通知总负责人，召集相关技术人员共同分析攻击现象,

提供解决方法，主机系统管理员和应用软件系统管理员负责被攻

击或破系统的恢复与重建工作。视情况向集团公司领导汇报事件

情况。

非工作时间内发现的攻击事件，值班人员应首先立即切断被

攻击外网服务器的网络连接，并做好相关记录;然后通知具体责

任人按流程处理。

2.页面被篡改、出现非法言论的应急响应流程

工作时间内发现页面被篡改，应在第一时间通知具体责任人.

具体责任人接到通知后：

将服务器从网络中隔离，抓屏、保存非法言论的页面。

修复网页内容、删除网站上的非法言论.

网页修复后，对网站全部内容进行一次查看，确保没有被篡

改的或非法的言论后解除站点服务器的隔离。

会同技术人员共同追查非法篡改、非法言论来源，尽可能确

定信息发布者。

向总负责人报告情况，视情况向集团公司领导汇报事件情况。

非工作时间内发现的篡改事件，值班人员应首先立即通知集

团公司部，请其切断被攻击外网服务器的网络连接，并做好相关

记录；然后通知具体责任人按流程处理。

(四）网站无法访问

发现网站无法访问的情况后,立即通知具体负责人。

具体负责人接到通知后，应及时确定故障原因。如因主机设

备或软件系统故障导致且不能在2小时内解决,应及时启动备用

网站。

三、应急处置工作原则

（一）统领导、规范管理.网站突发事件由技术中心应急建

设领导小组统协调领导，遵照“统领导、综合协调、各司其职”

的原则协同配合、具体实施，完善应急工作体系和机制。

（二）明确责任，分级负责，保证对网络与信息安全事件做

到快速觉察、快速反应、及时处理、及时恢复。

（三）预防为主，加强监控。积极做好日常安全工作，提高

应对突发网络与信息安全事件的能力。建立和完善信息安全监控

体系，加强对网络与信息安全隐患的日常监测，重点监控网页是

否被篡改、信息发布是否异常、网站运行是否异常等问题。

四、应急预防保障措施

（一)对于流量攻击，网络边界部署了防火墙、IPS等设备，

公司内部已经建立了完善的监控系统,可以对信息系统的运行状

态进行监控。发现异常会第一时间报警到相关负责人紧急处理。

并且机房了流量清洗服务以及与第三方安全公司签订了流量清

洗云服务。

（二)对于系统漏洞，网络中部署的IPS可以进行虚拟化补

丁修复，信息系统采用了隐藏真实IP技术，所有重要系统服务

器都部署在内网,边界部署了防火墙，严格限制了访问规则。24

小时技术人员值班，每天跟进最新的漏洞详情并结合我单位的实

际情况进行核实、检测是否存在问题并且及时测试、更新。

（三)每周对所有信息系统进行一次安全扫描、安全配置检

查，能够及时的发现被植入的病毒、后门程序,第一时间进行清

除并及时修复安全问题。

（四）与世纪互联、安全宝公司签订安全服务关系，对DNS

劫持、网络钓鱼等安全问题能够进行很好的防护。

（五）与第三方安全漏洞平台友好合作，定期参加众测。

（六)建立健全网络与信息安全管理预案，加强对网站网络

信息的日常监测、监控，强化安全管理，对可能引发网络与信息

安全事件的有关信息，要认真收集、分析判断，发现有异常情况

时，及时处理并逐级报告。

（七）做好网站文件和数据库备份。备份采用完全备份策略

与部分备份策略相结合，服务器管理员负责每天对网站数据库进

行一次完整备份，每季度对网站文件进行一次完整备份。

(八）特殊时期启动网络与信息安全应急值班制度。在特殊

时期进行24小时应急值班，对网络和信息数据加强保护，进行

不间断监控，一旦发生网络与信息安全事件，立即启动应急预案，

判定事件危害程度，采取应急处置措施，并立即将情况报告有关

领导.在处置过程中,及时报告处置工作进展情况,直至处置工作

结束。属于重大事件或存在非法犯罪行为的，及时向公安报告。

(九)保持与安全厂商沟通渠道的畅通,确保在应急处理过程

中遇到困难或问题时能及时获得安全厂商的技术支援。

五、应急处理措施

（一)网站、网页出现非法言论事件紧急处置措施

发现网站出现非法信息或内容被篡改，立即通知应急小组及

上级领导，将非法信息或篡改信息从网络中隔离出来，必要时断

开网络服务器。

情况严重，保护现场,保存非法信息或篡改页面,并断开网络

服务器，立即向公安报警。

网站管理员应同时作好必要记录,追查非法信息来源，清理

或修复非法信息，妥善保存有关记录，强化安全防范措施，并将

网站重新投入运行。

将处理结果向公安汇报.

（二）系统软件遭受破性攻击、网站瘫痪的紧急处置

系统软件遭到破性攻击，网站瘫痪,立即向应急小组和上级

领导报告，并将系统停止运行。

情况严重的，要保护好现场，保存非法信息或篡改页面，并

断开网络服务器，立即向公安报警。

待公安提取相关资料后，技术维护人员会同技术服务商检查

日志等资料，确认攻击来源。

修复系统，重新配置运行环境，恢复数据。

做好相应的记录,实施必要的安全加固措施，将网站重新投

入运行。

（三）硬件故障或意外情况的应急处理

出现线路问题，由世纪互联数据中心负责处理.

网络设备、计算机系统、网络系统出现故障,由技术中心运

维部负责紧急维护。

机房遇到失火、盗窃，及时世纪互联数据中心和应急小组报

告，必要时请公安或消防部门提供帮助。

以上情况均做好必要的记录，并妥善保存。

六、常见安全漏洞管理

（一）跨站脚本编制

危害：可能会窃取或操纵客户会话和cookie，它们可能用于

模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记

录以及执行事务.

风险级别:中级

整改建议：应对跨站点脚本编制的主要方法有两点：

一是不要信任用户的任何输入，尽量采用白名单技术来验证

输入参数；

二是输出的时候对用户提供的内容进行转义处理.

（二)基于DOM的跨站脚本编制

危害：可能会窃取或操纵客户会话和cookie，它们可能用于

模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记

录以及执行事务。

风险级别：高级

整改建议:建议分析并加强客户端（JavaScript)代码。清理

攻击者所能影响的输入源。

（三）SQL注入与SQL盲注

危害：可能会查看、修改或删除数据库条目和表.严重的注

入漏洞还可能以当然数据库用户身份远程执行操作系统命令.

风险级别：高级

整改建议:补救方法在于对用户输入进行清理。通过验证用

户输入,保证其中未包含危险字符,便可能防止恶意的用户导致

应用程序执行计划外的任务,例如：启动任意SQL查询、嵌入将

在客户端执行的Javascript代码、运行各种操作系统命令，等

等。

（四）文件目录遍历

危害：程序中如果不能正确地过滤客户端提交的../和./之

类的目录跳转符，恶意者就可以通过上述符号跳转来访问服务器

上的特定的目录或文件。

风险级别：高级

整改建议：在程序中过滤。./和。/之类的目录跳转符，或

者加强网站访问权限控制，禁止网站目录的用户浏览权限.

（五）脚本代码暴露

1。危害：攻击者可以收集敏感信息（数据库连接字符串，

应用程序逻辑）。这些信息可以被用来发动进一步袭击。

2.风险级别：中级

3。整改建议：许多方式可以诱使Web应用程序显示其源代

码。要确保应用程序不允许Web用户访问源代码，请执行下列操

作:

(1）检查已安装与源代码泄露相关的所有系统补丁。

（2)检查未将应用程序源代码留在HTML注释中。

(3）检查已从生产环境中除去所有源代码文件。

（六)已解密的登录请求

危害:用户登录密码为明文，可通过http报文截取登录用户

密码。

风险级别：中级

整改建议：确保所有登录请求都以加密方式发送到服务器。

请确保敏感信息，一律以加密方式传给服务器.

（七）目录列表

危害:可能会查看和下载特定Web应用程序虚拟目录的内容，

其中可能包含受限文件.

风险级别：高级

整改建议：将Web服务器配置成拒绝列出目录。根据Web服

务器或Web应用程序上现有的问题来下载特定安全补丁.部分已

知的目录列表问题列在这个咨询的“引用”字段中。

（八）CSRF跨站请求伪造

危害：攻击者可以盗用身份，发送恶意请求。CSRF能够做的

事情包括:发消息，盗取账号，甚至于商品,虚拟货币等.造成的

问题包括：个人隐私泄露以及财产安全。

风险级别：中级

整改建议：

验证HTTPReferer字段：Referer为空或为外域就禁止(性

价比最高，但不能保证浏览器没有漏洞，在一定程度上还可以结

合XSS绕过Referer校验，比如在留言簿上发条

url为攻击url的话，此时就可生效，但前提是存在XSS漏洞)

在请求地址中添加token并验证:用户登录后往ssion里

面写一个随机token，输出到页面时使用js将此token放到每

个请求（包括form、ajax)的参数之后,收到请求时服务器端将参

数中的token与ssion中的进行比对.（为什么攻击者拿不到

此token：因为只有受害者自己才能看到token.但不是绝对的，

攻击者可以抓包得到token）

在HTTP头中自定义属性并验证（将token不放到参数中，

而是放到httpheader中）

关键请求使用验证码。

(九）文件上传漏洞

危害:由于文件上传功能实现代码没有严格限制用户上传的

文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问

的目录上传任意后缀文件，并能将这些文件传递给脚本解释器，

就可以在远程服务器上执行任意脚本或恶意代码.

风险级别：高级

整改建议：对网站所有上传接口在服务器端进行严格的类型、

大小等控制，防止攻击者利用上传接口上传恶意程序。

（十）文件包含

危害：开发者将可重复使用的代码插入到单个的文件中，并

在需要的时候将它们包含在特殊的功能代码文件中，然后包含文

件中的代码会被解释执行。由于并没有针对代码中存在文件包含

的函数入口做过滤，导致客户端可以提交恶意构造语句,并交由

服务器端解释执行.

风险级别：中级

整改建议：修改程序源代码,禁止服务器端通过动态包含文

件方式的文件链接。

(十一）后台管理

危害：站点信息的更新通常通过后台管理来实现，web应用

程序开发者或者站点维护者可能使用常用的后台地址名称来管

理，比如admin、manager等。攻击者可能通过使用上述常用地

址尝试访问目标站点,获取站点的后台管理地址,从而可以达到

暴力破解后台登录用户口令的目的。攻击者进入后台管理系统后

可以直接对网站内容进行增加、篡改或删除。

风险级别：中级

整改建议：

为后台管理系统设置复杂访问路径，防止被攻击者轻易找到；

增加验证码后台登录身份验证措施，防止攻击者对后台登录

系统实施自动暴力攻击；

修改网站源代码,对用户提交数据进行格式进行限制，防止

因注入漏洞等问题导致后台验证绕过问题；

加强口令管理，从管理和技术上限定口令复杂度及长度。

（十二）危险端口

危害：开放危险端口（数据库、远程桌面、telnet等），可

被攻击者尝试弱口令登录或暴力猜解登录口令，或利用开放的端

口进行DDOS拒绝服务攻击.

风险级别：中级

整改建议：加强网站服务器的端口访问控制,禁止非必要端

口对外开放。例如数据库连接端口1433、1521、3306等;谨慎开

放远程管理端口3389、23、22、21等，如有远程管理需要,建议

对端口进行更改或者管理IP进行限制.

(十三）中间件

危害:WEB应用程序的搭建环境会利用到中间件，如：IIS、

Nginx、Apache、Weblogic等，而这些中间件软件都存在一些漏

洞，如：拒绝服务漏洞，代码执行漏洞、跨站脚本漏洞等。恶意

攻击者利用中间件的漏洞可快速成功攻击目标网站.

风险级别：中级

整改建议:加强网站web服务器、中间件配置，及时更新中

间件安全补丁，尤其注意中间件管理平台的口令强度。

(十四）配置文件

危害：未做严格的权限控制，恶意攻击者可直接访问配置文

件,将会泄漏配置文件内的敏感信息。

风险级别：高级

整改建议:加强对网站常见默认配置文件比如数据库连接文

件、备份数据库等文件的管理，避免使用默认配置路径及默认格

式存放，防止攻击者针对网站类型直接获取默认配置文件。

（十五)系统漏洞

危害:系统漏洞问题是与时间紧密相关的。一个系统从发布

的那一天起,随着用户的深入使用，系统中存在的漏洞会被不断

暴露出来.如果系统中存在安全漏洞没有及时修复，并且计算机

内没有防病毒软件等安全防护措施,很有可能会被病毒、木马所

利用,轻则使计算机操作系统某些功能不能正常使用，重则会使

用户账号密码丢失、系统破等。

风险级别：高级

整改建议:

及时更新网站服务器、中间件、网站应用程序等发布的安全

漏洞补丁或安全增强措施；

如果因特殊情况不宜升级补丁，则应该根据漏洞情况使用一

些第三方的安全防护措施防止漏洞被利用；

如有条件，建议经常对网站进行系统层漏洞检测。

（十六）错误的认证和会话管理

危害:攻击者可以窃取用户名、密码，窃取会话的ssionid，

冒充用户进行登录。

风险级别：中级

整改建议：

要整体审视架构。认证机制本身必须是简单、集中和标准化

的；使用容器提供给标准ssionid;确保在任何时候用SSL来

保护我们的密码和ssionid.

验证认证的实现机制。检查SSL的实现方法，验证所有与认

证相关的函数，确保“注销登录"的动作能够关闭所有的会话.

（十七)不安全的加密存储

危害：攻击者能够取得或是篡改机密的或是私有的信息；攻

击者通过这些秘密的窃取从而进行进一步的攻击；造成企业形象

破损，用户满意度下降，甚至会有法律诉讼等。

风险级别：中级

整改建议:

识别所有的敏感数据；识别这些数据存放的所有位置;确保

所应用的威胁模型能够应付这些攻击；使用加密手段来应对威胁。

使用一定的机制来进行保护文件加密;数据库加密；数据元

素加密。

使用标准的强算法；合理的生成,分发和保护密钥；准备密

钥的变更.

确保使用了标准的强算法；确保所有的证书、密钥和密码都

得到了安全的存放；

（十八）远程代码执行漏洞

危害：由于开发人员编写源码，没有针对代码中可执行的特

殊函数入口做过滤,导致客户端可以提交恶意构造语句提交，并

交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似

system()，eval(），exec（）等函数是该漏洞攻击成功的最主要

原因。

风险级别：高级

整改建议：建议假定所有输入都是可疑的，尝试对所有输入

提交可能执行命令的构造语句进行严格的检查或者控制外部输

入，系统命令执行函数的参数不允许外部传递。不仅要验证数据

的类型，还要验证其格式、长度、范围和内容。不要仅仅在客户

端做数据的验证与过滤，关键的过滤步骤在服务端进行。对输出

的数据也要检查，数据库里的值有可能会在一个大网站的多处都

有输出，即使在输入做了编码等操作，在各处的输出点时也要进

行安全检查。

（十九）弱口令

危害：弱口令很容易被他人猜到或破解,可以直接对信息系

统造成破。

风险级别：高级

整改建议：避免使用top200内的弱口令,口令的复杂度应该

强健,至少大于8位，数字、字母大小写、特殊符号的非规律性

组合.

七、安全漏洞扫描与评估

为尽早发现操作系统或应用程序自身存在的安全问题,我们

将在信息系统生命周期的多个阶段开展安全漏洞定期扫描和实

时安全扫描评估。安全漏洞扫描评估主要分三个大板块内容：

（一）操作系统基线配置安全扫描评估

在操作系统安装完成之后，将对系统基线进行安全配置，主

要涉及：(1)系统账号和口令安全设置；（2）系统服务开放和访

问权限设置；（3）日志审计。具体操作要求将按照《互联网医院

平台操作系统基线安全配置规范》内容执行。为了保障系统安全

配置加固实施效果，将对系统进行基线安全扫描评估。主要采用

安全配置自动化检测工具和部分人工checklist方式进行全面

安全检查.如有不达标将按照配置规范进行限期整改.

（二)系统服务和组件(通用型）漏洞扫描评估

在系统安装时，将根据“最小化安装系统"的原则进行操作。

根据业务需求，严格删除默认自带的系统服务，比如ftp文件传

输服务、psftfix邮件服务等.将必要的系统服务升级到最新版

本。

系统安装完成之后,将采用一些专项系统漏洞检测工具进行

安全漏洞扫描评估。比如采取X—Scan，NMAP，Nessus、IBMAppScan,

以及AcunetixWebVulnerabilityScanner等扫描工具.

(三)应用软件自身（专业型)漏洞扫描评估

应用软件上线前，将采取黑白盒混合方式进行代码安全评估。

代码上线提交前，将采取Web专项安全漏洞扫描工具进行代码漏

洞安全检测.按不同业务漏洞类型,将采用WebInspect、Nessus、

Acunetix、WebVulnerabilityScanner、AppScan等web综合扫描

工具进行安全漏洞评估。采用BurpSuite、Sqlmap、Pangolin等

工具对SQL注入专项漏洞进行安全评估。采用Jsky、Xelenium

等工具进行XSS跨站脚本漏洞专项安全检测。通过安全评估报告

和漏洞级别制度，评定出安全漏洞风险级别，最后根据业务上线

漏洞管理制度进行业务安全上线操作。

八、责任归属

运维部信息安全组负责漏洞的发现、通知整改、整改跟进以

及复测.

研发、运维等各部门履行漏洞的修复职责。

各部门人员可在能力范围内进行漏洞的检测工作，发现问题

后发送给运维部信息安全组，经过运维部信息安全组确认以后，

给与奖励。

九、漏洞的管理规定

为了降低公司信息系统的安全风险,特制定以下漏洞管理规

定：

（一)发现信息系统安全漏洞，经过分析确认后，邮件发送

给责任部门领导。并根据漏洞的风险级别和漏洞的数量预定修复

完成时间。

（二)责任部门领导收到邮件后进行漏洞的确认，并制定相

关的修复方案和并对预定的修复完成时间节点进行合理性考量

评估，确定具体的方案和完成时间后邮件回复运维部信息安全组。

（三）运维部信息安全组及时跟进修复进度、修复结果,并

对修复完成后的系统进行复测检查.

(四）责任部门应该把收到的漏洞反馈、漏洞详情、修复方

案、修复结果进行综合整理并归档。

（五)如责任部门没有在规定的时间内修复完成，请及时反

馈原因、并具体修复完成的时间通知运维部信息安全组.

(六）对信息系统安全漏洞没有修复或者没有按时修复而不

反馈原因的责任部门依据医院的考核制度进行合理处罚。