湘雅医院信息中心主任黄玉成：“移动互联网”背景下的医院数据安全及系统结构布局.pptx

中南大学湘雅医院网络信息中心黄玉成

EraofInformation

自动化

购物

航班

人口信息

电子邮件

高速公路

物流

智能家居

电子商务

地图

博客

银行

电信

生物工程

视频

健康

保保险险

信息时代的个人隐私

微信

保险

论坛

地铁

B、其他潜在安全问题包括医院信息系统瘫痪、研究数据泄密、伤害某类/个特定病人等。

美国长老会医院中勒索软件导致医院系统瘫痪

A、医疗卫生行业信息安全问题主要集中在医疗信息泄露

安全建设-高度重视医疗卫生行业信息安全共性

浙一互联网医院技术漏洞致患者信息泄露

信息

集成平台

智能终端

物联网

云服务

大数据

OA

网站

区域医疗、云计算及大数据应用

医院信息系统发展

以患者为中心数据集成

02

EMR

移动互联网

人工智能

2012至今

2010-2012

HIS

LIS

01

无线传感

移动网络

2017

双向转诊

短信平台

03

医联体

互联网无线WIFI

校园网

内网WIFI

内网

对外服务

（预约挂号、远程医疗、全病程管理、掌上湘雅）

外网办公（OA带外开放）

专网安全

（医保、区域、卫计委上报）

医院信息化网络的类型

家属区网络监管

网络结构体系

HIS、LIS、PACS、EMR、心电、内镜、手术麻醉、病理、集成平台，

财务绩效、财务软件（财务、预算、会计）

HRP系统（物流、设备、物供、资产、人事、OA、教学、科研）

药学管理：合理用药、处方点评、WMS药品仓库管理、药房自动化、静配中心

HQMS、

预约挂号：窗口、网络、掌上APP、电话

远程医疗：疑难病会诊、心电诊断、远程病理、国际远程病理

全病程管理

医保：三系统（省、市、农合）

上报：省卫计委区域平台、国家信息监管平台、

医院大数据分析、移动医疗、互联互通、数据质量、信息安全、模块化云数据中心

大数据、863项目、单病种手麻、脑卒中等

医院信息化工作的类型

对外软件系统

院内软件系统

科研

未来

名称

项目名称

使用科室

回复

xiangya_hospital_app

掌上湘雅APP

网络中心

是

xiangya_bedmanage

院前管理系统

院前准备中心

是

xiangya_appoint

门诊预约挂号系统

门诊办

是

xiangya_msg_manage

院办短信平台

院办

是

xiangya_msg_patients

病友服务平台

病友服务中心

是

xiangya_msg_outpatient

门诊短信平台

门诊办

是

xiangya_msg_pos

pos缴费管理

住院结算中心

是

xiangya_msg_sos

危急值报警平台

医务部

是

xiangya_weixin

微信平台

病友服务中心

是

xiangya_msg_teaching

教学信息系统

护理部

是

xiangya_msg_health

健康管理系统

健康管理中心

是

xiangya_msg_cadres

干部体检管理系统

干部医疗科

是

各种应用平台数据接口

外联业务交互平台

患者及家属

医院信息建设特色-统一外联平台

统一支付与结算平台

药品供应链

耗材供应商平台

商业保险

手机移动应用

第三方应用接入

医保农合传输与结算

公安、财政、物价

卫计委监管系统

全病程管理

患者服务体系

远程医疗

区域医疗

自主

第三方

政府

序号

系统名称

漏洞描述

1

OA系统

任意文件上传

2

远程医学平台

SQL注入

3

数字病理远程会诊平台

SQL注入

4

远程会诊系统

弱口令

5

湖南省健康管理协会

弱口令

6

风险防控系统

风险防控APP

JBOSS非法访问、任意文件上传、JAVA反序列化

7

HIS系统

客户端代码泄漏、服务器弱口令

8

LIS系统

客户端代码泄漏、服务器弱口令

9

电子病历

弱口令、SQL注入、websphere非法访问，任意文件上传

委托中国信息安全测评中心湖南省分测评中心进行测评安全测试内容（2016.3.30-4.12）

建设内容-信息安全测评

数据库(DB)的整合-信息的真正整合

HIS核心系统

OA办公系统

掌上医疗-对外门户

ORACLE

CDR数据中心

干部保健系统

医院感染管理

其他子系统

信息系统

体检系统

应用服务器的整合布置

EMR

序号

设备名称

备注

1

防火墙

热备

3

WAF防火墙

外网服务器防护

4

APT攻击监测设备

外部攻击实时监测

6

数据库审计系统

7

堡垒主机

运维审计

8

日志管理平台

日志审计

9

异地容灾备份

数据灾备

建设内容-网络安全整改