孟晓阳：“医院+互联网”的阿喀琉斯之踵

信息技术被称为“第三次科技革命”，近年来兴起的“互联网+”更是将这个浪潮推向了顶峰。从淘宝网到滴滴打车再到百度外卖，传统行业一个接一个地被颠覆了，医疗行业似乎也将不可避免的走向“互联网+”的时代。

然而，一个现实的场景是，当前医院信息系统都是通过内外网物理隔离的方式控制安全边界的，如果不得不开放边界，进行内外网、医院间的信息交互，医院信息系统安全问题必须引起重视。

医疗数据包含个人隐私，由此产生的经济利益一直被某些不法分子所觊觎。“统方”现象一直存在，典型的场景如下：一些信息中心或HIS公司的离职人员，利用他们之前掌握的数据库结构和数据库的密码，通过自助机等无人管控的网络端口，用笔记本接入医院内网，定期进行“统方”活动，直至被发现。很多医院甚至还因此上线了防统方系统。

医院真的有能力保护自己的数据安全么？

首先说重视程度，有哪家医院会在系统上线时进行安全评估？又有哪家医院有专职的信息系统安全管理员？有个段子说，某军工背景的检查组检查医院信息系统安全，情况普遍不理想，只有一个还不错，闲聊中得知，原来这个医院之前出过泄密事件！

一位业内前辈说“信息系统安全领导都很重视，一提到钱的问题就没有下文了”，究其原因，根本在于医疗方面的投入本身就不足，能用在信息化上的就更少了，为了少花钱多办事，安全投入就可想而知。据了解，国外信息系统安全投入通常占到信息化建设投入的10%左右，而当前国内医院的信息化安全投入大约只有1.5‰。

正如一位信息安全专家评价：“当前医疗行业采取的安全防护手段，与其所掌握的数据资源不匹配”。

信息系统安全既包括系统高可用、数据备份，也要注意防入侵、防泄密。边界打开了就要设立岗哨，无论VPN、DMZ区、无线局域网还是专网专线，都是可被利用的入侵途径。

医院内网还要加强纵深防御，形象的描述就是“进不来”、“拿不走”、“看不懂”、“改不了”、“走不脱”。“进不来”指边界防护，“拿不走”指导入导出限制，“看不懂”指数据加密，“改不了”指数据完整性验证，“走不脱”是行为审计。

信息系统安全是信息化建设的基石。没有信息系统安全，再先进的医院信息系统也会功亏一篑。

正如那个著名的希腊神话：阿喀琉斯刚出生的时候，母亲就将其倒提脚着浸进冥河，使其能刀枪不入。但因被母亲捏着的脚后跟不慎露在水外，所以脚踵就成了唯一没有防护的地方。长大后，拥有不死之身的阿喀琉斯作战英勇无比、无人能敌，但当敌人知道他脚踵的秘密后，一箭射中其脚后跟，举世无双的英雄就此身亡。

各位走在“医院+互联网”路上的先驱们啊，也要小心不要被人射中脚后跟哦！

（本文作者孟晓阳为北京协和医院信息管理处高级工程师）

打赏