HIT专家网
来源:HIT专家网 作者:北京网御星云信息技术有限公司 张号
无论是等保合规层面,还是医院的业务核心安全需求层面,数据都是医院最核心的资产,通过各种手段窃取数据是医院数据安全最主要的威胁之一。网御星云认为,信息安全要强调其整体性——应该以信息防泄漏为核心,按照体系化的方法而进行,即按照国家等级保护的方法进行完整全面的信息安全规划建设,从物理、网络、主机、应用、数据各个层面充分设计,形成有纵深的安全体系,这样解决的就不只是“点”,而是“面”。作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。
在《用等级保护的方法维护医疗卫生行业信息安全》一文中,系统的介绍了如何按照国家和行业要求进行体系化的等级保护建设全过程,其中提到了数据安全问题。笔者认为,无论是等保合规层面,还是医院的业务核心安全需求层面,数据都是医院最核心的资产,通过各种手段窃取数据是医院数据安全最主要的威胁之一。
既然“信息”如此被看重,我们不妨来回忆一下久违的“信息时代”这个说法,虽然听起来过时,但感受更深刻。特别是移动互联网和个人智能终端的超高速发展,更是将这个趋势推向前所未有的高度。大量的“低头族”,体现的是信息量爆炸式增长,个人获取信息变得更快捷简便,而信息的加工利用是这个时代的主旋律。遗憾的是,和其他领域一样,人们在享受信息科技成果的同时,信息安全威胁无孔不入。不断曝出的银行用户信息、快递用户信息、酒店用户信息、多个知名网站的个人信息等泄密事件,各种“XX门事件”轮番上阵。这也是为什么要做信息安全,做等级保护最原始的需求。
我国医疗卫生事业经过长足发展,信息化在医疗体制改革中起到了举足轻重的作用,可以说信息化水平直接决定着医疗服务水平,而其中最容易出现安全问题的有两类信息,即应用系统(主要是HIS)产生的数据信息以及广大患者的个人隐私信息,这也折射出医疗卫生行业一些特有的安全隐患,一个是“非法统方”问题,另一个则是患者个人隐私泄露问题。下面是部分案例:
2011年2月,某东部省会城市200多名医生回扣事件被爆光,医生回扣金额从几十元到几万元不等;
2011年6月, “温州两个三甲医院近百名医生受贿事件”被曝光;
2011年11月,深圳信息贩子兜售各大医院母婴信息事件;
2012年夏天,山东省济宁市某公立医院原院长、原药剂科主任、药品采购员、药品调剂师4人相继因受贿罪锒铛入狱;2013年2月,江苏某三甲医院病人信息全部泄露。
“非法统方”是医疗行业所特有的现象,是利用医药统方信息进行商业贿赂,统方数据来源于对医院的信息系统进行查询导出等操作,具备完整的非法商业利益链条,上述案例中,回扣金额多是依据统方信息而定。而个人信息则是被信息贩子公开叫卖,用于定向推销。个人信息的获取方式类似统方数据,只不过数据类型不同。那么这些问题到底出在哪儿?分析这些案例,数据泄露大体有以下几个途径:
1、内鬼,在巨大商业利益的驱使下,甘当内鬼去盗取数据信息换取非法所得的人一定会有,无论是统方信息还是个人信息都可以用来交易。
2、外贼,现在的攻击技术手段复杂多变,系统漏洞也是层出不穷。外部攻击者能够轻松通过技术手段入侵医疗信息系统数据库,非法获取医疗数据文件。
3、外人的“内部”操作,这里的外人不是指恶意攻击者,而是指软件开发商、第三方系统运维人员等,由于工作原因不可避免的要接触到系统数据,在平时维护过程中“顺便”拷贝点数据。
评论前必须登录!
注册