信息中心
安恒信息提供醫(yī)療行業(yè)數(shù)據(jù)庫(kù)審計(jì)解決方案
1 安全背景與現(xiàn)狀
歷經(jīng)20多年的發(fā)展,我國(guó)醫(yī)療信息化建設(shè)已初具規(guī)模,并取得了長(zhǎng)足的進(jìn)步。然而,信息安全保密依然是醫(yī)療信息化建設(shè)的短板,嚴(yán)重影響或制約了信息化進(jìn)程。
隨著信息技術(shù)的不斷發(fā)展,在醫(yī)院這種社會(huì)公共服務(wù)領(lǐng)域,收集和儲(chǔ)存了大量的公民個(gè)人信息。但在當(dāng)前對(duì)醫(yī)療行業(yè)提供的網(wǎng)絡(luò)安全技術(shù)解決方案中,仍以防火墻(FW) 防病毒(AV)為主流選擇,但是這些傳統(tǒng)的安全技術(shù)手段只能阻擋部分從外部到內(nèi)部的攻擊,并且對(duì)來(lái)自內(nèi)部的信息竊取完全無(wú)能為力,這就導(dǎo)致了“泄密門”事件一次次發(fā)生,引發(fā)重要數(shù)據(jù)的丟失、破壞,不僅嚴(yán)重影響到醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行,還直接威脅到患者的隱私和生命安全。
2 安全需求分析
醫(yī)院信息系統(tǒng)(Hospital Information System HIS)是醫(yī)院重要的醫(yī)療信息基礎(chǔ)設(shè)施,HIS系統(tǒng)以大型數(shù)據(jù)庫(kù)系統(tǒng)為基礎(chǔ)平臺(tái),由門診掛號(hào)管理系統(tǒng)、醫(yī)療診治系統(tǒng)、住院管理系統(tǒng)、醫(yī)療科研系統(tǒng)以及OA系統(tǒng)等構(gòu)成。它的特殊性決定了安全性的極高,重點(diǎn)要考慮二方面的安全風(fēng)險(xiǎn):一是來(lái)自外部安全風(fēng)險(xiǎn),利用弱口令設(shè)置、數(shù)據(jù)庫(kù)系統(tǒng)漏洞,非授權(quán)進(jìn)入HIS系統(tǒng)訪問(wèn)、拷貝和修改數(shù)據(jù)內(nèi)容,甚至可以采用SQL注入,攻擊數(shù)據(jù)庫(kù)系統(tǒng);另一個(gè)是內(nèi)部安全風(fēng)險(xiǎn),以合法授權(quán)身份進(jìn)入HIS系統(tǒng)對(duì)數(shù)據(jù)的訪問(wèn)和操作的合規(guī)性,對(duì)HIS系統(tǒng)誤操作、越權(quán)操作等。以上安全風(fēng)險(xiǎn)會(huì)引發(fā)HIS系統(tǒng)癱瘓、各種內(nèi)部數(shù)據(jù)信息被泄露和篡改、涉密數(shù)據(jù)信息被竊取和失泄等信息安全事件發(fā)生。如:
n 深圳就發(fā)生了一次全市的孕婦信息庫(kù)泄露事件,不法分子將孕婦的資料制成了“泄密光盤”,4萬(wàn)條包括孕婦姓名、出生日期(嬰兒)、戶口性質(zhì)(流動(dòng)、暫住、常住)、家庭住址、聯(lián)系電話、以及就診醫(yī)院及預(yù)產(chǎn)期的信息以每條0.3元的價(jià)格進(jìn)行銷售,更令人咂舌的是這些信息每月還“滾動(dòng)更新”,累計(jì)達(dá)到了10萬(wàn)條。
n 很多乳品廠商也通過(guò)固定的渠道從醫(yī)院套取孕婦的個(gè)人信息來(lái)達(dá)到賺錢的目的。甚至,某些醫(yī)院的個(gè)別工作人員已經(jīng)和一些個(gè)人醫(yī)療信息的“收購(gòu)販子”形成了秘密而固定的“銷售渠道”, 乳品企業(yè)的一名銷售經(jīng)理向記者出示了一打兒厚厚的,記錄了產(chǎn)婦及其丈夫個(gè)人信息的表格。隨后,記者按照這位銷售經(jīng)理提供的號(hào)碼撥打了某醫(yī)院產(chǎn)科護(hù)士長(zhǎng)的電話,表示要購(gòu)買個(gè)人信息,對(duì)方很嚴(yán)肅地說(shuō):“不行,我們這里的個(gè)人信息是嚴(yán)格保密的,絕對(duì)不可以出售。”而當(dāng)那位銷售經(jīng)理親自給那家醫(yī)院的產(chǎn)科護(hù)士長(zhǎng)打電話時(shí),對(duì)方卻讓他過(guò)去取資料。
事實(shí)上,醫(yī)院出現(xiàn)信息系統(tǒng)安全的問(wèn)題已經(jīng)相當(dāng)普遍。信息安全的重要性,恐怕只有醫(yī)院IT部門知道,而當(dāng)今大多數(shù)醫(yī)院的IT部門,在醫(yī)院充其量還只是扮演‘保姆’的角色。國(guó)內(nèi)醫(yī)院信息化普遍起步晚、投入少,基本的IT軟硬件環(huán)境尚且捉襟見(jiàn)肘,更無(wú)法顧及信息安全系統(tǒng)建設(shè)。通常的大型醫(yī)院,在IT投資上也可謂“保守”,在近20年的信息化過(guò)程中,信息裝備投入十分有限,僅僅在近幾年,才投入幾百萬(wàn)元對(duì)全院的網(wǎng)絡(luò)進(jìn)行升級(jí)。而更嚴(yán)重的是,目前醫(yī)院的IT部門普遍處于很低的地位,信息安全在醫(yī)院領(lǐng)導(dǎo)觀念中就更為淡漠,這造成了醫(yī)院IT投資優(yōu)先考慮的是業(yè)務(wù)的需求,而非保障信息安全。這給醫(yī)院的信息系統(tǒng)埋下了巨大的安全隱患。
文章作者:國(guó)脈電子政務(wù)網(wǎng)
集成系統(tǒng)網(wǎng)絡(luò)情報(bào)信息數(shù)據(jù)庫(kù)
CIO頻道人物視窗
CIO頻道方案案例庫(kù)
大數(shù)據(jù)建設(shè)方案案例庫(kù)
電子政務(wù)建設(shè)方案案例庫(kù)
互聯(lián)集成系統(tǒng)構(gòu)建方案案例庫(kù)
商務(wù)智能建設(shè)方案案例庫(kù)
系統(tǒng)集成類軟件信息研發(fā)企業(yè)名錄