如何看待“郑大一附院”系统违规操作损失800万，肇事者被判五年半？ 第1页

一是可能存在黑产。包括黄牛号、盗卖病人信息、盗卖临床数据。自从禁止临床数据出洋以来，有的地方出现了医院HIS系统遭攻击的情况。医院不希望夏某某是出于这个动机，医院有义务保护病人隐私，病人可以状告医院赔偿信息泄露的损失。

二是可能存在行业陋习，这个可能性更大。项目该验收付款了，或是该交每年的维护费、版权费了，甲方老爷推就开始三推四。这时候系统可能就会有些状况需要乙方来处理。

事发2017年，盗卖宇宙第一大医院几十年来的住院病历获刑11年的犯人刑满释一年了。信息安全长抓不懈啊！

我看这个问题这几天还是有好多人关注，那我就再给大家多讲一些吧，夏某说他平时工作维护的是一个综合信息平台，在本次事故中是无意中链接到了HIS平台，就这句话，可信不可信？是不是真有这种可能？到底可不可能涉及到灰产？

我的答案是：基于报道文章，我认为夏某的证词是可信的，他真的有可能是无意中连接到的HIS；从客观层面上讲，他有数据库最高权限，拥有可以和灰产或黑产合作的条件，但本次事件中仅仅涉及到了挂号表(相关报道并没有提及到其他表)，我认为大概率他并没有和灰黑产合作。

一个一个解答，首先说为什么我认为他是真的有可能不小心连接到HIS：

据我所知目前很多大型医院都在搭建一个全院信息化平台，在全国医疗系统中有一个很大的愿景就是以后各个医院的信息能够全部互通，病人在A医院开的药做的检查，B医院也可以直接查看。但是现在HIS系统百花齐放，开发的语言也各不相同，怎么做到呢？？

这里涉及到一个平台化的标准叫HL7，HL7通过规定通用的数据格式来制定标准，只要你按照标准来存放数据，那么别家医院也就可以按照标准来解读数据，这样就让多家HIS系统之间的数据互通有了可能（其实不止HIS系统，任何人任何系统都可以按照标准来解读数据），有兴趣的朋友可以自行搜索多了解看看。

虽然有了标准，但是光是一个医院里用到的系统就几十个，自家内部数据互通都不是那么的容易更何况全国流通，这就衍生出了另一个系统，叫做综合信息平台，综合信息平台的作用完全可以理解为信息系统的数据集散地：ABC各系统来综合系统里取出自己需要的数据进行加工，加工完毕后存回综合平台；以病人数据为例，不论哪个系统需要使用病人信息，它们都是用的同一份标准格式下的数据。这样以后只需要把各个不同的综合信息平台连接起来，医院和医院之间的数据不就可以流通了吗?

HL7只是一项标准，由美国提出，就像是USB接口标准，谁都可以做这个开发，只要按照标准来开发就行了。基本上综合信息平台都是在HIS系统之后开发。

所以某些医院的综合信息平台有可能就是HIS系统开发者来开发；也有可能被其他软件公司接手来开发，这些开发者之前可能根本没有做过医疗相关的行业；还有一些HIS系统已经运行了很多年，不可能改造旧统来适应新系统，通用做法是新系统去适应老系统，这样才能做到影响最小化，免得改来改去本来没毛病的都给改出来毛病了。

所以有些综合信息平台的表名就会沿用HIS系统里的表名，这是一个比较普遍的情况，只是综合信息平台的数据库是独立的数据库，和HIS系统不在同一个数据库下而已。

总体，基于以上，我认为一个平台运维错误连接到HIS系统并且还执行了一个致命语句，这个语句还正好能发挥作用，这种情况不是不存在的，也是有可能发生的。

那么黑灰产呢？

我认为不大可能，挂号表里面只有可能有挂号信息，不会有别的信息，里面一般存储的就是流水号，病人名称，身份证号，挂号科室，几点挂号的这些信息，不存在其他的特别敏感的信息，这是数据库范式的要求，不同意义的数据要分开存放，东软那么大的公司，不大可能出现那种低级的不按范式要求的设计。如果他锁的是医嘱表，发药表或者费用表的话那还值得怀疑一下是不是和黑灰产有合作，挂号表是真的没什么价值。。。

我始终还是觉得人性本善，不管什么职业，里面都有好人和坏人。有好医生也有坏医生，有好司机也有坏司机，有好厨师也有坏厨师，但是不管什么群体里面，总是好人占绝大多数的，看人看事情，不要总是站在人性本恶的角度去看待。再退一步说即使HIS系统崩溃了半天，也不会导致有病人死亡这种事情的发生，医院这个系统没大家想的那么脆弱，这个程序员真的罪不至死。

===================一条不是那么好看的分割线===================

相关从业人员，简答一下吧。

HIS系统是简称，全称是 hospitai infomation system，这个系统在医院的角度可了不得，基本上覆盖了整个医院方方面面的信息化管理操作(该系统还会向医院的其他系统提供数据接口，例如病人数据医嘱数据检查数据等等)。

如果按照新闻中描述的那样，HIS尿崩了，医院就只能回归到以前的手工时代，医生先手写个处方，然后你再拿着处方去划价，划价了再去交钱等等等等，如果是住院病人的话可能更麻烦一点，比如影像系统打不开了，拍不了CT看不到X光照片，然后医院设备科和信息科的人急得满头大汗，电话接不停，各机房上蹿下跳去检查问题，病人也很生气，医生苦笑着一边给病人解释一边手写各种医嘱。。。

以上就是医院里面大概的情况，反正崩溃不至于，但是至少是一次非常严重的灾难了。

对于这个搞事情的人呢，我就简单分析以下几点。

1.性能优化软件并不需要锁表

HIS系统一般是C/S架构，数据库采用关系型数据库，数据的增删改查都在表上进行，性能优化通常是想办法找到高消耗语句然后针对性的做一些优化，例如优化SQL语句，增加索引等操作，如果是直接增加索引可能会引起锁表，但是一般医院的数据库系统都会采用企业版，企业版支持在线增加索引，这就不会导致锁表。从医院提供的语句来看，locktable+表名字 这种语句并不是增加索引会用到的语句。

另外的答主提到了是不是和灰产黑产相关为了挂号，我感觉也不大像，网上挂号的话去call挂号的API就好了，数据库里直接添加挂号信息的话，财务上面可以看出来问题的，毕竟财务那边要是差了1分钱都得找出来这1分钱差在哪里，直接添加数据基本上当日的财务报表就会显示出来问题了。

还有位答主说可能是敲诈勒索医院，我感觉也不大可能，医院只需要断开外网，医院完全就是一个局域网环境，而医院内部除了社保需要联网，基本上其他的都不需要外网也可以正常运行，并且医院里面都会根据不同的情况去区分网段，不给开通的情况下就算同一个局域网都无法访问另一台服务器。而且运维人员又不是只有一个，怎么看敲诈勒索都是作死。

我感觉应该是这个员工拿别人家的生产环境试验自己的测试程序结果玩崩了，locktable这种语句啥时候用的最多，我觉得学习的时候用的最多，比如看看各个数据库隔离级别下select语句读到的数据有什么差异，其次就是为了维护数据完整性避免脏读幻读的出现，其他情况下很少用到locktable这种语句。当然也有可能是我接触到的比较少不知道更高级的用法。

基于以上我认为是这个员工是为了在上面试试自己的测试程序而闯下的祸。

这里敬告各位看官大大，别拿生产环境开玩笑，要想学习测试新技术，自己搭建测试环境。

2.悄咪登录客户的生产环境搞事情完全是有悖职业道德的行为

这个应该不需要细说，客户花钱购买的系统，系统上线之后就是客户的资产，任何系统的运维人员没有得到授权的情况下连接客户的系统和黑客入侵的性质别无二致。

这就好比我去4S买个车，结果4S那里还悄咪的存了一把钥匙，趁我不注意跑来打开我的车门和后备箱，甚至于悄悄的把我的车开走，这怎么能忍！

没有得到客户的授权就算你掌握客户全部的密码也不要随意登录客户的机器！
没有得到客户的授权就算你掌握客户全部的密码也不要随意登录客户的机器！
没有得到客户的授权就算你掌握客户全部的密码也不要随意登录客户的机器！

信任你才给你密码，非要自己作死怪不得别人！

3.案发后有意识的清理作案电脑上的痕迹绝不是单纯的无意识引发的问题

必然是知道自己闯祸了才会这么干，试图掩盖证据，可惜这种事情你跑不掉的。当时自己主动认错赔礼道歉可能都不会这么严重，没有造成实质性的伤害说不定还可能得到原谅的，结果，叹息。。。

4.医院信息科在此次事故中负有不可推卸的管理责任

信息科做为院方的实际管理负责人，在这种事情上面疏于管控，绝对是要负责的，但凡有个堡垒机和监控机制也不至于这样，可想而知在没出事之前，这个远程的使用是多么的随意，只要知道密码，随便什么阿猫阿狗都可以连接到HIS系统的数据库，这次只是锁定了一会表格，还算好的，要是真的有人想报复，删库跑路简直不要太简单。

这事儿给我的感觉吧，除了感慨一声五年半不冤以外，就只想吐槽医院的管理了。