由“携程泄密”事件反观医院信息系统安全

3月22日，乌云漏洞平台发布消息称，携程系统存在技术漏洞，可导致用户个人信息、银行卡信息等泄露。对此，携程当晚对媒体表示，已进行技术排查和修复。如用户因此产生损失，携程将赔偿。有网友建议，使用信用卡在携程上进行过支付的消费者，应该立刻更换信用卡。还有部分微博网友表示，将因此与携程“告别”。

携程网，作为一家在线票务服务公司，收集和存储了大量公民的信息数据。医院作为社会公共服务领域的重要组成部分，同样收集和储存了海量患者信息。因此，医院信息系统安全问题一直是社会关注的焦点。2013年8月26日，加利福尼亚护士协会的一篇报道称，加利福尼亚北部萨特医院的电子健康记录（Electronic Health Record，EHR）系统全线黑屏，该系统在此之前就被曝存在问题，此次更是将广大患者置于附加危险境地。该医院的注册护士报告说上个月出现了多种问题并登记了无数投诉。

2013年7月，宁波两家医院挂号系统瘫痪事件，同样也引起了社会各界对医院信息系统安全的高度关注。

医院信息系统承担着医院内各项业务，其安全状况事关的患者隐私和健康、社会秩序及稳定等等。

医院信息系统所面临的风险

从医院内部管理来看，医院的信息系统面临着很大的安全风险，迫切需要建立起完整的信息安全防护体系。这些风险主要在于：

1.医院的信息系统不是一个孤立的系统，同合作单位(如社保部门)甚至互联网都存在接口，存在被黑客入侵、网络攻击的风险。

2.作为医院最核心的业务系统，医院信息系统（Hospital Information System，HIS）的运营缺少有效的安全保护措施和审计机制，存在账号滥用、业务数据被非法读取的风险。譬如，由于HIS系统缺乏权限管理，任何有机会接触HIS终端的人员均可以通过HIS系统进行药物使用情况的查询等。

3.内外网划分不清晰，缺少内外网隔离措施，有可能存在医院的核心业务信息通过互联网泄密的风险。

4.大部分医院未部署终端安全管理和审计系统，导致不合规的终端也能随时接入内部网络，且出现终端安全事故时无法追查。

5.医院的门户网站缺少必要的安全保护措施，存在被结构化查询语言(Structured Query Language，SQL)注入攻击、网站挂马的风险。

医院信息系统安全的解决方案

针对上述的安全风险，仅仅部署了防火墙和终端防病毒软件是不够的，远未达到等级保护、纵深防御的政策要求，也没有建立起一个完整的安全防护体系。不管是从政策合规还是业务保障层面来看，医疗卫生机构信息安全建设的要求都是非常迫切的。目前最新的医院信息系统安全的解决方案有：

1、区域边界的一体化防护：在安全域边界，如合作单位的接入区域、互联网接入边界部署一体化安全网关，实现检测防火墙的所有功能，更具有网络入侵防御功能和网络防病毒功能，能够检测并阻断木马连接、蠕虫病毒、网络扫描等各种威胁，同时一体化的部署大大简化了管理员的配置和管理工作。

2、加强Web业务的保护：医院的门户网站和网上诊疗业务是典型的基于Web的应用，面临的主要风险是来自互联网的SQL注入攻击、跨站脚本攻击等应用层攻击，这些攻击能够穿越防火墙，对Web业务造成毁灭性的破坏。必须采用一些入侵防御类产品，实现基于入侵原理的攻击识别，精确识别SQL注入攻击并予以阻断，以加强Web业务的保护。

3、分析核心网络入侵行为：在核心交换机的位置旁路部署设备，用来监视网络中的安全事件和流量变化情况，包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件，以及P2P下载等流量信息。当检测到入侵和流量事件时，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

4、安全审计消除业务风险：在HIS等核心业务系统之前部署网络安全审计系统，对业务数据进行记录和审计。网络安全审计采用旁路部署的形式，对医院的业务不会造成任何影响，仅需在交换机上作简单的配置即可实现对数据的采集和还原，在这种情况下无论是通过HIS系统访问数据库，还是通过客户端对数据库直接访问，特别是对数据库关键表（处方表、医师表）的联合查询都能够进行记录和审计。

5、终端准入确保内网合规：在《医疗机构信息系统安全等级保护基本要求》中规定，系统应具备记录、允许或拒绝终端PC接入医院网络的能力，应对医院内接入信息系统的终端的设备接口（如光驱、软驱、USB口等）进行管理和控制。通过在医院的合法终端部署终端安全产品既能够防止非法终端私自接入网络，又能够确保合法终端的安全状态都是合乎医院的管理规定的：比如必须安装杀毒软件、注册表状态正常、不能安装点对点应用程序、不能非法使用USB接口等。

6、定期的漏洞和脆弱性评估：在网络中部署脆弱性扫描和风险评估系统，对网络主机、数据库和应用系统定期进行漏洞扫描，对发现的网络、系统安全漏洞进行及时的修补。应定期安装系统的最新补丁程序，并根据厂家提供的可能危害计算机的漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份。

在进行了上述的安全部署之后，医院已经建立起比较完善的信息安全防护体系，能够对内部、外部的安全风险进行控制和管理。在此基础之上，还可以考虑部署信息安全运营中心进行全局的风险管理，将不同位置、不同资产（主机、网络设备和安全设备等）中分散且海量的安全信息进行范式化、汇总、过滤和关联分析，形成基于资产或域的统一等级的威胁与风险管理，并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理，提供了网络架构的安全统一视点。

美国医院信息系统安全的管理细节

美国在医院计算机应用领域最有影响的组织是“医院信息管理系统协会”，协会每年就健康医疗信息系统应用进行一次详细的现状与趋势的调查，其中有二类任务被选为最优先考虑实现的项目，一个是减少医疗差错和提高病人的治疗安全，另一个是实现医疗保险改革的法律条文《健康保险可携带性与责任法案》（Health Insurance Portability and Accountability Act，HIPAA)对健康医疗信息系统其信息安全性、病人隐私权的保护和电子信息交换标准化的要求。

为了推进医院信息化工作，HIPAA已经制定了医疗行业数据传输保密的最低标准，这就为高科技公司的介入奠定了基础，也为他们的发展带来了无限商机。IBM、微软等IT巨鳄已经设立了特别的部门，专门负责这些系统的重建工作。

安全问题在银行和其它大行业中的重要性已经毋庸置疑，安全也是医院信息化的重要一环，医院安全软件研发已经成为美国众多IT公司一显身手的舞台。

美国利用软件技术公司提供的防火墙与虚拟加密网络，可以帮助医生远程管理保存于医院数据库的患者信息。同时，这项技术也可以让医疗机构审查网络登陆记录，这对确保患者信息安全相当重要。美国还着手开发可以定时扫描网络的产品，以发现系统的漏洞，这对于那些日渐将自己的数据库和互联网相接的医疗机构非常重要。

如果电子邮件中包含了患者的个人信息，那么，这些电子邮件和相关存储系统的安全问题也成为人们关注的焦点。于是，一些专注于电子邮件软件开发的公司也开始为医疗机构服务。目前，个别医疗服务中心已经严格规定所有的电子邮件必须要进行128位加密处理。