“海南卫生厅某系统漏洞可能泄露数千万参保人员敏感信息;江苏疾控中心某平台漏洞导致几千万敏感信息泄露;河南省某厅某系统泄露全省1641万参保人员详细敏感信息……“

日前，笔者从某国产安全厂商漏洞响应平台上看到，近期又有一波重大网站漏洞被披露，其中很多漏洞集中在一些省市的疾控中心和卫生系统，导致数千万用户的医疗数据可能被泄露。这些数据包括用户的家庭住址、患病情况以及社保卡等敏感信息。这些数据的泄露不仅仅会侵害到用户的隐私，甚至可能会让他们遭受经济上的损失。

面对“医疗卫生行业的集体沦陷”，该品牌漏洞响应平台负责人呼吁医疗卫生行业整体重视加强网站的安全防护， 以避免更多的用户数据被泄露。

医疗卫生机构如何加强网络安全防护呢？

在2014年10月31日召开的北京卫生信息化大讲堂上，301医院刘敏超主任、阜外医院赵韡主任以及众行业厂商纷纷带来网络信息安全保护“秘籍”，点击下图了解详情。

据笔者粗略统计，在该漏洞响应平台12月公布的27个影响较大的漏洞中，其中7个为医疗卫生行业漏洞，每个漏洞都会导致超过百万用户数据泄露。以海南省卫生厅某系统漏洞为例，该漏洞可能泄露全省数千万参保人员;河南省某厅某系统泄露全省1641万参保人员详细敏感信息; 徐州市疾控中心某漏洞可能泄露全市763万居民敏感信息;江苏省疾控中心某平台漏洞导致几千万敏感信息遭泄露。

据了解，信息泄露在医疗行业比较集中的原因，这一方面是由于医疗卫生行业的个人信息比较集中，因而吸引到黑客的更多兴趣和关注;另外也跟我国医疗卫生机构对网站安全的长期不够重视有关。很多医疗机构被爆出的漏洞均属于低级和古老的漏洞----比如弱口令，以及SQL注入、命令执行等。爆出这些漏洞对于安全水平较高的行业来说，几乎是不可想象的。

“此外， 我们发现很多疾控中心的网站采用相同的建站系统，爆出的网站漏洞很多也属于同一类型。因此爆出一个漏洞往往可能影响到其他同行的网站。”负责人表示。

尽管根据《2014中国网站安全报告》的信息， 我国医疗卫生行业网站的安全水平较去年有较大提升，但从爆出的漏洞及影响来看，整体的安全意识和安全水平仍亟待提升。

由于医疗卫生行业关系到千家万户， 赵武建议相关主管部门尽快采取行动提升网站安全水平，具体措施包括加密存储用户信息、及时更新补丁、开展网站代码扫描和漏洞和扫描，以及主动征集和处理漏洞等。“对于技术上需要帮助的用户，企业也可以提供必要的支持，比如帮助修补后门，以及通过安全卫士提供防护等。”

2014年12月 补天平台收到的影响较大的医疗行业网站漏洞

江苏省疾控中心某平台漏洞导致几千万敏感信息被泄露

漏洞描述：学生健康监测系统、肿瘤登记随访报告系统、严重精神障碍信息管理系统、严重精神障碍报告系统、病媒生物检测网络直报系统、传染病预测预警平台、地方病检测系统、健康教育工作体系信息化管理平台、健康素养评估学习系统、医疗消毒质量检测系统、信息发布系统、数据标准管理系统、平台管理系统全部沦陷，一锅端了。

苏宿迁卫生局某系统漏洞可导致近500万用户姓名、身份证、病史等信息泄露

2013年末，宿迁户籍总户数148.55万户，户籍总人口572.11万人，比上年增加11.85万人。常住人口481.9万人，比上年增加2.11万人。常住人口出生率14.60‰，死亡率7.52‰，人口自然增长率7.08‰。全市城镇常住人口252.38万人，城镇常住人口占52.37%，比上年提高1.4个百分点。

徐州市疾控中心某漏洞可能泄露全市80% 居民(763万)敏感信息

徐州市某系统泄露全市80%的居民(763万)敏感信息，包含：姓名、性别、年龄、身份证、家庭关系、地址、电话、患病情况。

某年数据截图：

海南省卫生厅某系统漏洞可能泄露全省数千万参保人员及医疗报销人员详细敏感信息

湖南浏阳市某卫生系统漏洞可能导致123万居民、12万儿童姓名、身份证、病史等信息泄露

2011年，浏阳市辖6个街道、25个镇、6个乡。人口144万(2014年数据)。是世界闻名的花炮之乡。中国著名的将军之乡、诗词之乡、花木之乡，中国发展改革试点城市、优秀旅游城市。本次泄露数据123万，占比全市93%。包括用户姓名、身份证、病史、联系方式等等。

山东省疾控制中心某内部系统泄露近190万病人信息和近140万随访信息

可以查看近190万病人的隐私资料，包含：身份证、姓名、性别、生日、电话、职业、户籍、地址、工作单位、患病情况等等敏感信息，以及近140万随访信息，含敏感资料。

泰州市疾控中心某系统泄露全市68%的居民(345万)敏感信息

泰州市常驻人口68%的居民数据被泄露了(泰州市人口507万，本次泄露居民数量345万)，包含：姓名、性别、年龄、身份证、家庭关系、地址、电话、患病情况等信息。

河南省某厅某系统泄露全省1641万参保人员详细敏感信息