圖片來源網絡，如有侵權即可刪除

“浪滔滔，人渺渺，青春鳥，飛去了，縱然是千古風流浪里搖”，人們還未從緬懷周海媚的歌聲中回味過來，“周海媚病歷信息泄露”事件將人們焦點拉回個人信息保護問題中，悲痛轉變為怒火。 都說死者為大，當醫護人員漠視這件事，利用職責之便拍攝病人病歷發送微信群，這是簡單的缺乏職業道德，還是流程體系出現問題。連明星都會遇到如此問題，那普通人的信息還能否安全。 為此，我們采訪了北京某醫療機構安全負責人楚春鵬，楚春鵬在政府、金融、互聯網領域等都從事過安全工作，具有豐富的安全經驗。

　　周海媚病例泄露事件是發生在順義的一家公立醫院，許多醫療機構確實容易出現這樣的問題，因為人多。拿北京的三甲醫院來說，員工數量可能就上萬了吧，醫護人員不是IT從業者，他們對信息安全并不了解，所以他們不會有太多安全意識存在。像這樣隨手拍病例傳到網上的行為，除了缺少職業道德，也是缺乏安全意識的表現，他們并不清楚這樣的行為是要受到法律處罰的。

　　像我所在的醫療機構，這樣的事情就非常少的，我們面對的是高凈值人群，他們是非常介意自己個人信息泄露的。

　　作為安全負責人，我其實在信息安全方面做了相當多的事情。信息安全的工作其實就是管理所有信息的載體，包括軟硬件，和使用軟硬件的人。

　　首先，周海媚事件最直接相關是人的問題。

　　對于醫護工作者，我會定期做安全相關的培訓，像全國范圍內的培訓我一年會做兩次，北京地區的培訓我一年會做十二次。培訓的方式方法很重要，我第一次培訓時，發現大家根本聽不懂我在說什么，我后面就會琢磨用他們能聽懂的方式來引導。

　　我的培訓理念一直是意識，行為，文化。雖然我們可以通過技術手段去控制很多事情，但安全和業務上的關系永遠是復雜的，安全做的越嚴格，業務的阻力就會越大。所以我會先將意識引導進員工的心中，去糾正他們的行為，大概培訓一兩年后，會形成一種安全的企業文化，這樣的效果是比較有效的。

　　在技術上，我還做了一些東西。

　　比如鎖屏，我們控制醫生離開電腦后，電腦會在5分鐘內自動鎖屏。這個事情是很有必要的。我有一次去其他醫療機構看病，醫生在和我聊病情的時候被叫走了，當時他的電腦屏幕就那么亮著，一般醫院的系統都是HIS系統，這時但凡有一個稍微懂點技術的人去操作一番，就可以把系統里所有患者的病歷全扒出來。所以我們私立醫院會非常注重鎖屏這個技術。

　　但這也會帶來一個問題就是醫生操作帶來不便，比如一個醫生可能在和病人做病情講解，講著講著電腦就自動鎖屏了，這時他要重新輸入密碼才能解鎖，所以許多醫生對鎖屏是非常抵觸的，或者要求鎖屏時間延長到一個小時，這樣的情況只能去給醫生們做安全培訓，讓他們逐漸接受并有安全意識。

　　員工在登陸HIS系統時必須登錄賬號，每個賬號都能對應到相關人身上，我們會給操作頁面布滿水印，這樣一旦出現泄露事件我們第一時間就可以內部追責，這也會給員工們一個心里警示作用，意識到不能隨便拍照。

　　醫院的安全系統因為是走內網的，自成體系，不像金融行業那樣是在互聯網上操作，充斥著各種不安全因素，所以醫院的安全難度在安全領域算是中上等。不過這并不意味著沒有黑客攻擊，黑客攻擊醫院系統盜取病人的信息是有利可圖的。在暗網市場，中國人的信息是按人頭一條5元售賣。

　　黑客攻擊醫院經常使用的招數就是釣魚郵件，醫生點開郵件輸入賬號密碼，黑客就可以利用這個賬號突破內網，獲取大量病歷信息。因為我們也會有一些外國客戶，通過郵件來預約或溝通，這種內網與互聯網的開放連接就會給釣魚郵件可乘之機。

　　為此，我們設計了一個釣魚郵件插件，如果醫生發現可疑郵件符合釣魚郵件明顯特征，可以直接用插件舉報，我會把最終檢測結果反饋回去。我每周還會做三到五個模擬的釣魚郵件發下去測試，做個統計，有多少人打開了，有多少人識別出來了，最后做個報告發給大家看，提高他們的安全意識。

　　我過去在金融、政府、銀行都有過安全工作的經歷，也曾和全球頂尖的黑客高手進行攻防對決，較為刺激驚險。但醫院的安全環境不同于金融的強技術，它的技術難度不那么強，其復雜性在于需要考慮許多場景性的問題。我用了三年從0到1為一家醫院構建了安全體系，這個過程類似造堡壘。

　　我要先圍一個柵欄，這叫區域邊界，然后我開始造房子，這叫安全計算環境，等房子造好了，開始走水電，這叫搭建內部網絡安全，然后如何設計水電，還需要安全訪問控制，最后，往屋里放家具，這叫技術體系完善。從柵欄到家具，具體材質要取決于經費多少，如何用固有預算將風險降到最低。整個搭建過程最難的地方就在于不能有太大差錯，如果哪根鋼筋搭錯了，混凝土沒抹，就會留出漏洞，黑客就會利用漏洞來打你。

　　未來是一個數字化智能時代，數據如同我們的身份證信息，任何事情都會和數據連接，如果沒有良好的安全意識，會大大加劇我們的生存風險。無論是明星還是個人，都要牢牢守住自己的安全“堡壘”。

楚春鵬，北京某醫療機構安全負責人

　　本文來自碼客人生，未經授權禁止轉載