医院信息安全威胁与新思路

美创科技

医疗行业信息安全痛点与新思路

医疗信息化的快速发展，让医院发生了很多的变化：

1.在系统的建设和应用方面，从单机、单用户应用发展到部门级、全院

级管理信息系统应用。

2.从以财务、药品和管理为中心的发展，开始集中向以病人信息为中心

的临床业务支持和电子病历应用。

3.微信、支付宝等快捷支付方式深入民生行业，使得医疗信息化系统从

局限在医院内部的应用，逐步走向开放的互联网。

4.国家区域医疗建设的规划，对区域医疗信息化多接口的应用，提出了

前所未有的高要求。

HIS、RIS 、LIS、CIS、PACS、CPR等系统的应用逐渐深入整合，为医疗卫生行业的高效、快捷、便民提供了信息化基础，但患者信息的高度集中，也让数据的安全性受到较大的挑战。

医疗作为关乎民生的重要行业，在巨大商业利益的驱使下，医疗行业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦数据泄露，不仅影响医院公众形象，甚至损害患者的个人利益，更是为本就紧张的医患关系又增加了不和谐的色彩。而网络安全法的出台，也让数据安全的责任界定有了更为明确的责任主体，医院的信息部门无疑是“压力山大”。

现如今的医疗行业信息安全建设，存在着不少“致命”的痛点：

1.技术人员不足

在当前的建设条件下，各个医院的信息化设备一般都采取机房集中式托管的模式。在实际应用中，往往是数十台至几百台服务器的机房，却只能配备1-2名技术人员，显然，人员需求是不足的。

2.管理手段需要强化

在设备的日常管理和维护方面，大多数操作都是直接远程登录操作管理，或者派人员去机房对所需设备外接显示器进行操作。对于这些操作过程的记录和可追溯性不足，不满足相关法规要求。

3.安全建设意识薄弱

安全建设一直处于一种“重建设、轻管理”的状态，通常也只是在网络安全层面部署安全产品，如网络层面的内外隔离、防止底层的网络攻击等。

随着IT技术的不断深入发展，面临的安全危险也越来越多，传统的网络安全界限也逐渐模糊化。对于实际的日常工作中遇到的最核心的数据层面的安全问题，缺乏有效的建设防护。

美创科技通过实际调研分析发现，用户在核心数据安全方面，主要存在以下问题：

如何防止医院临床及药品信息等核心数据的信息泄密？

如何监管和审核针对核心资产的操作？

这些问题实际上与核心数据安全建设思路以及安全管理制度的不足有关，单纯靠底层的网络安全产品无法解决上述问题。

研究还发现，对医疗行业的信息系统来讲，以下几种常见的泄密途径：

1.外来的系统运维人员、内部的IT运维人员

内外部运维人员的日常操作，存在账号、密码共享，身份鉴定难等问题。

2.应用程序开发人员

在应用系统不断地在开发、维护当中，为了工作方便，开发人员都是直接在生产数据库系统上进行应用的维护，包括创建新的表、修改原有的数据定义等。开发人员对应用系统的架构了如指掌，他们不需要额外的技术工具或者偷偷摸摸地进入核心的数据库系统就可以借着维护数据的名义获取医院临床及药品等敏感信息。

3.外部的职业“黑客”

一般来讲，医院的内部网络和外部互联网之间都部署了防火墙，有的甚至是物理上断绝的，因此一般不会出现从互联网上发起的攻击。多数是这些“黑客”直接在医院内部找到一个物理接入点，感染木马等病毒后进行攻击。由于现有的大多数数据库网络通信都是明文的，如果对内部网络疏于管理，“黑客”极有可能在用户现场得到后台系统的用户名、口令等重要信息，从而可能造成对医院的患者信息、临床及药品信息等系统敏感信息的泄露。

美创科技根据多年的安全技术积累，在医疗行业有着完整的数据防护

体系和大量的客户使用案例，可以帮助医院快速、有效的建立起一整套完

善的安全防护体系，保护患者隐私以及临床及药品统方等核心信息的安全。公司自主研发的数据库防水坝、数据库防火墙、数据库审计、数据库

加密、数据脱敏等安全产品，能够帮助客户实现患者敏感数据的全生命周

期安全管理。从而建立起由内而外的层层防御机制，有效应对医院核心数

据资产的非法访问、篡改、人员的访问授权、追溯困难等，从技术手段和

管理手段上来强化安全建设。