醫療行業信息安全3大「致命」痛點

醫療信息化的快速發展，讓醫院發生了很多的變化：

1.在系統的建設和應用方面，從單機、單用戶應用發展到部門級、全院級管理信息系統應用。

2.從以財務、藥品和管理為中心的發展，開始集中向以病人信息為中心的臨床業務支持和電子病歷應用。

3.微信、支付寶等快捷支付方式深入民生行業，使得醫療信息化系統從局限在醫院內部的應用，逐步走向開放的互聯網。

4.國家區域醫療建設的規劃，對區域醫療信息化多介面的應用，提出了前所未有的高要求。

HIS、RIS 、LIS、CIS、PACS、CPR等系統的應用逐漸深入整合，為醫療衛生行業的高效、快捷、便民提供了信息化基礎，但患者信息的高度集中，也讓數據的安全性受到較大的挑戰。

醫療作為關乎民生的重要行業，在巨大商業利益的驅使下，醫療行業的資料庫面臨來自內部威脅和外部威脅的雙重包夾。一旦數據泄露，不僅影響醫院公眾形象，甚至損害患者的個人利益，更是為本就緊張的醫患關係又增加了不和諧的色彩。而網路安全法的出台，也讓數據安全的責任界定有了更為明確的責任主體，醫院的信息部門無疑是「壓力山大」。

現如今的醫療行業信息安全建設，存在著不少「致命」的痛點：

1、技術人員不足

在當前的建設條件下，各個醫院的信息化設備一般都採取機房集中式託管的模式。在實際應用中，往往是數十台至幾百台伺服器的機房，卻只能配備1-2名技術人員，顯然，人員需求是不足的。

2、管理手段需要強化

在設備的日常管理和維護方面，大多數操作都是直接遠程登錄操作管理，或者派人員去機房對所需設備外接顯示器進行操作。對於這些操作過程的記錄和可追溯性不足，不滿足相關法規要求。

3、安全建設意識薄弱

安全建設一直處於一種「重建設、輕管理」的狀態，通常也只是在網路安全層面部署安全產品，如網路層面的內外隔離、防止底層的網路攻擊等。

隨著IT技術的不斷深入發展，面臨的安全危險也越來越多，傳統的網路安全界限也逐漸模糊化。對於實際的日常工作中遇到的最核心的數據層面的安全問題，缺乏有效的建設防護。

美創科技通過實際調研分析發現，用戶在核心數據安全方面，主要存在以下問題：

如何防止醫院臨床及藥品信息等核心數據的信息泄密？

如何監管和審核針對核心資產的操作？

這些問題實際上與核心數據安全建設思路以及安全管理制度的不足有關，單純靠底層的網路安全產品無法解決上述問題。

研究還發現，對醫療行業的信息系統來講，以下幾種常見的泄密途徑：

外來的系統運維人員、內部的IT運維人員

內外部運維人員的日常操作，存在賬號、密碼共享，身份鑒定難等問題。

應用程序開發人員

在應用系統不斷地在開發、維護當中，為了工作方便，開發人員都是直接在生產資料庫系統上進行應用的維護，包括創建新的表、修改原有的數據定義等。開發人員對應用系統的架構了如指掌，他們不需要額外的技術工具或者偷偷摸摸地進入核心的資料庫系統就可以借著維護數據的名義獲取醫院臨床及藥品等敏感信息。

外部的職業「黑客」

一般來講，醫院的內部網路和外部互聯網之間都部署了防火牆，有的甚至是物理上斷絕的，因此一般不會出現從互聯網上發起的攻擊。多數是這些「黑客」直接在醫院內部找到一個物理接入點，感染木馬等病毒後進行攻擊。由於現有的大多數資料庫網路通信都是明文的，如果對內部網路疏於管理，「黑客」極有可能在用戶現場得到後台系統的用戶名、口令等重要信息，從而可能造成對醫院的患者信息、臨床及藥品信息等系統敏感信息的泄露。