近几年信息安全是被讨论的比较火热的一个话题，大家对这个问题也越来越重视。对于信息安全的这个问题，我想谈一下我的思考。

一、安全问题的由来

      为了说透问题，请允许我把你拉回到几十年前，刚出现PC机的年代，那时候还没有互联网。那这个阶段有没有没安全问题？假设在这个阶段你想干坏事，先写一个病毒程序，找到携带病毒（软盘、光盘），还要送给“目标”。先不说这事有多麻烦，我假设你一切顺利，用户成功“中招”。如果用户选择报案，逮到你的几率很大，这是一件挺危险的事，用户不选择报案，如果没有重要数据，大不了系统重装一下，即使有重要数据丢失了，也只能自认倒霉，反正也联系不到你，拿不到“解药”。通过我刚才一番描述你发现没有，你想搞破坏是一个很不划算的事，俗称“风险高、零收益、不便捷”。所以这个阶段我们一般不担心安全问题。

      后来慢慢的互联网就开始诞生了，用户插上网线就可以网上冲浪了。互联网给人们的生产生活带来了极大的便利，同时也给那些别有用心的人带来了便利。继续上面那个例子，你现在写一个病毒程序，互联网就像修了一条免费“高速”直接到你家，送给你极为方便，而且在互联网很容易隐藏自己的身份，要找你难度堪比“大海捞针”。“低风险、有收益、超便捷”让“安全问题”有了生根发芽土壤。“低风险、超便捷”我刚才已经聊过了，不再赘述。“有收益”是什么意思？回答这个问题，我们首先想一下为什么要制造计算机病毒、发明漏洞？背后的需求，第一，为了出名，秀一下技术实力。比如当年的CIH病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传入大陆地区的。第二，有利可图，比如贩卖公民信息，非法入侵公司网站，获得后台数据，勒索病毒要求受害者付费。第三，存心搞破坏，看别人过得好，就是羡慕嫉妒恨，比如黑掉别人的网站。

二、如何防护

    安全问题的本质非授权访问资源。浏览器的出现是互联网时代一个重要发明，浏览器的研发有无考虑安全问题，其实是有的，比如脚本没有提供操作文件的API。当时的开发人员低估了人民群众的智慧，各种“坑蒙拐骗”、“五花八门”的技术手段被陆续发明创造出来。

    病毒、漏洞、攻击手段被人有意发明创造出来的。从纯粹理论的高度，没有一套终极解决方案解决“安全问题”。每一次安全防护只是提高了“对手”攻击成本，所以最好安全防护手段，与“对手”赛跑，提前想到那些“损招”，并提供所护措施。

接下来我们常见的“损招”：

sql注入：恶意改变sql语句逻辑，应对措施，使用PreparedStatement 为能够避免 SQL 注入的问题。

暴力破解：维护一个密码库，通过恶意程序，暴力猜测，应对措施，加强密码强度要求必须包含数字字母，加强验证码的强度。

XSS 攻击：在你的浏览器中，插入一段恶意的 JavaScript 脚本，从而窃取你的隐私信息或者仿冒你进行操作。应对措施，验证输入，验证输出。

……

    网络安全问题从法律角度上看是在网络世界中进行违法犯罪活动，岀台相关法律，公安机关严厉打击。

三、如何重视

    为什么我们大部分的医院对信息安全没有真正重视？一个主要原因投入100万搞安全项目有什么效果大家看不见，还有人都有一种侥幸心理，别的医院发生信息安全事故，觉是一种低概率的事件，觉得自己没有那么容易中“头彩”。

    现在大部分医院搞信息安全是为了等保要求，这是国家有关部门强制要求，我不再此赘述。除了等保以外，那还有什么原因导致医院开始注重信息安全。最常见的一个原因“被人捅刀子”，受到勒索病毒导致数据库被加密不可用。“受伤严重”以后信息安全建设就会空前重视起来。

  我个人有个大胆的建议，与其“被人捅刀子”不如模拟“主动让人捅刀子”，现场“包扎治疗”。什么意思？如果你能够找到实力强悍、服务好的安全厂商，找一个时间召开一全院信息会议，这不是演练，直接攻击你的信息系统，再现场“包扎治疗”，当然提前做好各种预案，叫各个HIT厂商做好技术支持。