信息中心
安恒信息提供醫療行業數據庫審計解決方案
1 安全背景與現狀
歷經20多年的發展,我國醫療信息化建設已初具規模,并取得了長足的進步。然而,信息安全保密依然是醫療信息化建設的短板,嚴重影響或制約了信息化進程。
隨著信息技術的不斷發展,在醫院這種社會公共服務領域,收集和儲存了大量的公民個人信息。但在當前對醫療行業提供的網絡安全技術解決方案中,仍以防火墻(FW) 防病毒(AV)為主流選擇,但是這些傳統的安全技術手段只能阻擋部分從外部到內部的攻擊,并且對來自內部的信息竊取完全無能為力,這就導致了“泄密門”事件一次次發生,引發重要數據的丟失、破壞,不僅嚴重影響到醫院網絡的正常運行,還直接威脅到患者的隱私和生命安全。
2 安全需求分析
醫院信息系統(Hospital Information System HIS)是醫院重要的醫療信息基礎設施,HIS系統以大型數據庫系統為基礎平臺,由門診掛號管理系統、醫療診治系統、住院管理系統、醫療科研系統以及OA系統等構成。它的特殊性決定了安全性的極高,重點要考慮二方面的安全風險:一是來自外部安全風險,利用弱口令設置、數據庫系統漏洞,非授權進入HIS系統訪問、拷貝和修改數據內容,甚至可以采用SQL注入,攻擊數據庫系統;另一個是內部安全風險,以合法授權身份進入HIS系統對數據的訪問和操作的合規性,對HIS系統誤操作、越權操作等。以上安全風險會引發HIS系統癱瘓、各種內部數據信息被泄露和篡改、涉密數據信息被竊取和失泄等信息安全事件發生。如:
n 深圳就發生了一次全市的孕婦信息庫泄露事件,不法分子將孕婦的資料制成了“泄密光盤”,4萬條包括孕婦姓名、出生日期(嬰兒)、戶口性質(流動、暫住、常住)、家庭住址、聯系電話、以及就診醫院及預產期的信息以每條0.3元的價格進行銷售,更令人咂舌的是這些信息每月還“滾動更新”,累計達到了10萬條。
n 很多乳品廠商也通過固定的渠道從醫院套取孕婦的個人信息來達到賺錢的目的。甚至,某些醫院的個別工作人員已經和一些個人醫療信息的“收購販子”形成了秘密而固定的“銷售渠道”, 乳品企業的一名銷售經理向記者出示了一打兒厚厚的,記錄了產婦及其丈夫個人信息的表格。隨后,記者按照這位銷售經理提供的號碼撥打了某醫院產科護士長的電話,表示要購買個人信息,對方很嚴肅地說:“不行,我們這里的個人信息是嚴格保密的,絕對不可以出售。”而當那位銷售經理親自給那家醫院的產科護士長打電話時,對方卻讓他過去取資料。
事實上,醫院出現信息系統安全的問題已經相當普遍。信息安全的重要性,恐怕只有醫院IT部門知道,而當今大多數醫院的IT部門,在醫院充其量還只是扮演‘保姆’的角色。國內醫院信息化普遍起步晚、投入少,基本的IT軟硬件環境尚且捉襟見肘,更無法顧及信息安全系統建設。通常的大型醫院,在IT投資上也可謂“保守”,在近20年的信息化過程中,信息裝備投入十分有限,僅僅在近幾年,才投入幾百萬元對全院的網絡進行升級。而更嚴重的是,目前醫院的IT部門普遍處于很低的地位,信息安全在醫院領導觀念中就更為淡漠,這造成了醫院IT投資優先考慮的是業務的需求,而非保障信息安全。這給醫院的信息系統埋下了巨大的安全隱患。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄