信息化
首页  >  信息化  >  信息化要闻

2014年12月医疗卫生系统网站漏洞披露

2015-01-08  来源:360安全社区  作者:

导读:笔者从某国产安全厂商漏洞响应平台上看到,2014年12月又有一波重大网站漏洞被披露,其中很多漏洞集中在一些省市的疾控中心和卫生系统,导致数千万用户的医疗数据可能被泄露。

“海南卫生厅某系统漏洞可能泄露数千万参保人员敏感信息;江苏疾控中心某平台漏洞导致几千万敏感信息泄露;河南省某厅某系统泄露全省1641万参保人员详细敏感信息……“

日前,笔者从某国产安全厂商漏洞响应平台上看到,近期又有一波重大网站漏洞被披露,其中很多漏洞集中在一些省市的疾控中心和卫生系统,导致数千万用户的医疗数据可能被泄露。这些数据包括用户的家庭住址、患病情况以及社保卡等敏感信息。这些数据的泄露不仅仅会侵害到用户的隐私,甚至可能会让他们遭受经济上的损失。

面对“医疗卫生行业的集体沦陷”,该品牌漏洞响应平台负责人呼吁医疗卫生行业整体重视加强网站的安全防护, 以避免更多的用户数据被泄露。

医疗卫生机构如何加强网络安全防护呢?

在2014年10月31日召开的北京卫生信息化大讲堂上,301医院刘敏超主任、阜外医院赵韡主任以及众行业厂商纷纷带来网络信息安全保护“秘籍”。

据笔者粗略统计,在该漏洞响应平台12月公布的27个影响较大的漏洞中,其中7个为医疗卫生行业漏洞,每个漏洞都会导致超过百万用户数据泄露。以海南省卫生厅某系统漏洞为例,该漏洞可能泄露全省数千万参保人员;河南省某厅某系统泄露全省1641万参保人员详细敏感信息; 徐州市疾控中心某漏洞可能泄露全市763万居民敏感信息;江苏省疾控中心某平台漏洞导致几千万敏感信息遭泄露。

据了解,信息泄露在医疗行业比较集中的原因,这一方面是由于医疗卫生行业的个人信息比较集中,因而吸引到黑客的更多兴趣和关注;另外也跟我国医疗卫生机构对网站安全的长期不够重视有关。很多医疗机构被爆出的漏洞均属于低级和古老的漏洞----比如弱口令,以及SQL注入、命令执行等。爆出这些漏洞对于安全水平较高的行业来说,几乎是不可想象的。

“此外, 我们发现很多疾控中心的网站采用相同的建站系统,爆出的网站漏洞很多也属于同一类型。因此爆出一个漏洞往往可能影响到其他同行的网站。”负责人表示。

尽管根据《2014中国网站安全报告》的信息, 我国医疗卫生行业网站的安全水平较去年有较大提升,但从爆出的漏洞及影响来看,整体的安全意识和安全水平仍亟待提升。

关键词:医疗卫生系统 安全 医疗信息化