医院安全专家眼中的周海媚事件，“满眼的漏洞”

图片来源网络，如有侵权即可删除

「“浪滔滔，人渺渺，青春鸟，飞去了，纵然是千古风流浪里摇”，人们还未从缅怀周海媚的歌声中回味过来，“周海媚病历信息泄露”事件将人们焦点拉回个人信息保护问题中，悲痛转变为怒火。

都说死者为大，当医护人员漠视这件事，利用职责之便拍摄病人病历发送微信群，这是简单的缺乏职业道德，还是流程体系出现问题。连明星都会遇到如此问题，那普通人的信息还能否安全。

为此，我们采访了北京某医疗机构安全负责人楚春鹏，楚春鹏在政府、金融、互联网领域等都从事过安全工作，具有丰富的安全经验。」

周海媚病例泄露事件是发生在顺义的一家公立医院，许多医疗机构确实容易出现这样的问题，因为人多。拿北京的三甲医院来说，员工数量可能就上万了吧，医护人员不是IT从业者，他们对信息安全并不了解，所以他们不会有太多安全意识存在。像这样随手拍病例传到网上的行为，除了缺少职业道德，也是缺乏安全意识的表现，他们并不清楚这样的行为是要受到法律处罚的。

像我所在的医疗机构，这样的事情就非常少的，我们面对的是高净值人群，他们是非常介意自己个人信息泄露的。作为安全负责人，我其实在信息安全方面做了相当多的事情。信息安全的工作其实就是管理所有信息的载体，包括软硬件，和使用软硬件的人。

首先，周海媚事件最直接相关是人的问题。

对于医护工作者，我会定期做安全相关的培训，像全国范围内的培训我一年会做两次，北京地区的培训我一年会做十二次。培训的方式方法很重要，我第一次培训时，发现大家根本听不懂我在说什么，我后面就会琢磨用他们能听懂的方式来引导。

我的培训理念一直是意识，行为，文化。虽然我们可以通过技术手段去控制很多事情，但安全和业务上的关系永远是复杂的，安全做的越严格，业务的阻力就会越大。所以我会先将意识引导进员工的心中，去纠正他们的行为，大概培训一两年后，会形成一种安全的企业文化，这样的效果是比较有效的。

在技术上，我还做了一些东西。

比如锁屏，我们控制医生离开电脑后，电脑会在5分钟内自动锁屏。这个事情是很有必要的。我有一次去其他医疗机构看病，医生在和我聊病情的时候被叫走了，当时他的电脑屏幕就那么亮着，一般医院的系统都是HIS系统，这时但凡有一个稍微懂点技术的人去操作一番，就可以把系统里所有患者的病历全扒出来。所以我们私立医院会非常注重锁屏这个技术。

但这也会带来一个问题就是医生操作带来不便，比如一个医生可能在和病人做病情讲解，讲着讲着电脑就自动锁屏了，这时他要重新输入密码才能解锁，所以许多医生对锁屏是非常抵触的，或者要求锁屏时间延长到一个小时，这样的情况只能去给医生们做安全培训，让他们逐渐接受并有安全意识。

员工在登陆HIS系统时必须登录账号，每个账号都能对应到相关人身上，我们会给操作页面布满水印，这样一旦出现泄露事件我们第一时间就可以内部追责，这也会给员工们一个心里警示作用，意识到不能随便拍照。

医院的安全系统因为是走内网的，自成体系，不像金融行业那样是在互联网上操作，充斥着各种不安全因素，所以医院的安全难度在安全领域算是中上等。不过这并不意味着没有黑客攻击，黑客攻击医院系统盗取病人的信息是有利可图的。在暗网市场，中国人的信息是按人头一条5元售卖。

黑客攻击医院经常使用的招数就是钓鱼邮件，医生点开邮件输入账号密码，黑客就可以利用这个账号突破内网，获取大量病历信息。因为我们也会有一些外国客户，通过邮件来预约或沟通，这种内网与互联网的开放连接就会给钓鱼邮件可乘之机。

为此，我们设计了一个钓鱼邮件插件，如果医生发现可疑邮件符合钓鱼邮件明显特征，可以直接用插件举报，我会把最终检测结果反馈回去。我每周还会做三到五个模拟的钓鱼邮件发下去测试，做个统计，有多少人打开了，有多少人识别出来了，最后做个报告发给大家看，提高他们的安全意识。

我过去在金融、政府、银行都有过安全工作的经历，也曾和全球顶尖的黑客高手进行攻防对决，较为刺激惊险。但医院的安全环境不同于金融的强技术，它的技术难度不那么强，其复杂性在于需要考虑许多场景性的问题。我用了三年从0到1为一家医院构建了安全体系，这个过程类似造堡垒。

我要先围一个栅栏，这叫区域边界，然后我开始造房子，这叫安全计算环境，等房子造好了，开始走水电，这叫搭建内部网络安全，然后如何设计水电，还需要安全访问控制，最后，往屋里放家具，这叫技术体系完善。从栅栏到家具，具体材质要取决于经费多少，如何用固有预算将风险降到最低。整个搭建过程最难的地方就在于不能有太大差错，如果哪根钢筋搭错了，混凝土没抹，就会留出漏洞，黑客就会利用漏洞来打你。

未来是一个数字化智能时代，数据如同我们的身份证信息，任何事情都会和数据连接，如果没有良好的安全意识，会大大加剧我们的生存风险。无论是明星还是个人，都要牢牢守住自己的安全“堡垒”。

发布于：北京

相关推荐

医院安全专家眼中的周海媚事件，“满眼的漏洞”
再见，周海媚，你不只是周芷若
周海媚被传患上红斑狼疮，这到底是个啥病？
当Log4j2漏洞引起广泛关注，开源组件的安全治理和云原生安全架构该怎么做？
VMware 修复两处“关键”漏洞，专家凭此发现获 8 万美元赏金
投资额超百亿，为什么这个医生眼中的初级产品，是资本眼中的最热赛道？
从小米摄像头事件，到物联网安全的“三重门”
超500亿规模的医疗信息安全领域，我们盘点了近50家国内企业后发现这些趋势
安全专家发现ATM机NFC功能漏洞，仅用一台手机就可改变金额，甚至强制提现
360发布EDR产品，致力于全方位守护政企用户的终端安全

网址: 医院安全专家眼中的周海媚事件，“满眼的漏洞” http://www.xishuta.com/newsview103008.html