网站建设

医院网站安全风险来源。在我国，约80%的医院的信息管理部门，不具备医院门户网站的开发能力，需要把医院门户网站外包给第三方网站开发公司进行开发部署，由于软件外包公司以交付项目为目标，在网站开发的时候，大量引用开源框架、开源代码，且外包公司人力资源流动性极强，开发人员的能力也参差不齐，所以在软件研发过程中，并未深度和广度上考虑过网站安全，甚至未进行安全性测试，从而在代码级层面留下了隐患；而医院信息部门在验收过程中，重点在业务功能的实现，并未进行网站的安全性测试，所以在网站的整个生命周期过程中，代码安全存在很大隐患。

医院网站一般会有就医服务模块、新闻模块、科室导航模块、下载中心模块、自动办公模块、各个模块之间的数据库基本独立，而整个网站系统，又部署在Windows或Linux服务器上，利用了如Apache、MySQL、Ngix等架构和数据库。无论是操作系统、架构或是数据库，它们本身也是软件系统，是软件系统就会存在BUG或漏洞，然而医院信息部工程师不一定能及时对这些漏洞进行补丁升级，所以给攻击者留下了可乘之机。医院网站一般面向广大群众和医护人员，在网站登录验证机制上比较粗暴简单，基本不采用双因子验证，如短信密码验证、电子口令验证等，且对用户名和密码的安全性判断也较弱，如默认6位纯数字等，这给黑客流量了大量撞库的机会。

医院网站一般是放在云服务器或IDC机房，但长时间以来，医院体制内对信息部门不重视，导致信息部成为弱势群体，在网络安全建设中话语权较弱，所以在管理上力度也不足，如常年不更新网站，未执行不定期登录网站确认等，信息部管理人员自身安全意识薄弱，网络安全防范技术落后等现状。