然而医院信息部工程师不一定能及时对这些漏洞进行补丁升级,所以给攻击者留下了可乘之机。医院APP一般面向广大群众和医护人员,在APP登录验证机制上比较粗暴简单,基本不采用双因子验证,如短信密码验证、电子口令验证等,且对用户名和密码的
医院APP安全风险来源。在我国,约80%的医院的信息管理部门,不具备医院门户APP的开发能力,需要把医院门户APP外包给第三方APP开发公司进行开发部署,由于软件外包公司以交付项目为目标,在APP开发的时候,大量引用开源框架、开源代码,且外包公司人力流动性极强,开发人员的能力也参差不齐,所以在软件研发过程中,并未深度和广度上考虑过APP安全,甚至未进行安全性测试,从而在代码级层面留下了隐患;而医院信息部门在验收过程中,重点在业务功能的实现,并未进行APP的安全性测试,所以在APP的整个生命周期过程中,代码安全存在很大隐患。
医院APP一般会有就医服务模块、新闻模块、科室导航模块、下载中心模块、自动办公模块、各个模块之间的数据库基本独立,而整个APP系统,又部署在Windows或Linux服务器上,利用了如Apache、MySQL、Ngix等架构和数据库。无论是操作系统、架构或是数据库,它们本身也是软件系统,是软件系统就会存在BUG或漏洞,然而医院信息部工程师不一定能及时对这些漏洞进行补丁升级,所以给攻击者留下了可乘之机。医院APP一般面向广大群众和医护人员,在APP登录验证机制上比较粗暴简单,基本不采用双因子验证,如短信密码验证、电子口令验证等,且对用户名和密码的安全性判断也较弱,如默认6位纯数字等,这给黑客流量了大量撞库的机会。
医院APP一般是放在云服务器或IDC机房,但长时间以来,医院体制内对信息部门不重视,导致信息部成为弱势群体,在网络安全开发中话语权较弱,所以在管理上力度也不足,如常年不更新APP,未执行不定期登录APP确认等,信息部管理人员自身安全意识薄弱,网络安全防范技术落后等现状。
