醫院網路安全和資訊化工作總結

隨著醫院資訊化發展，資訊網路安全問題也日趨突出，特別是近年來網路安全事件頻發，資訊資料洩露等，讓醫院也面臨重大壓力。我院在醫院資訊化建設及管理過程中，也遇到過網路故障、計算機中毒等情況，但通過及時處理並未造成重大影響。但同時也給醫院資訊網路安全管理提出警示。近兩年醫院積極按照省市衛計委的要求開展網路安全自查整改，通過力所能及的工作措施，確保了醫院網路安全工作的穩定。現將我院網路安全工作情況彙報如下：

一、我院資訊網路安全工作開展情況

（一）概況：我院資訊化建設起步晚，基礎薄弱。在院領導的重視支援下，自2013年開始資訊化建設得以快速發展。目前醫院設立單獨中心機房，配備有伺服器、儲存、核心交換機、防火牆、UPS、VPN、IPS等專用裝置。工作人員為4人，負責全院資訊網路建設，資訊系統維護、軟硬體裝置維護等工作。相繼建設執行的系統有:HIS系統、LIS系統、體檢系統、電子病歷等業務。

（二）關鍵資訊基礎設施情況：我院關鍵資訊基礎設施主要是業務類系統，負責全院醫療業務流程管理和質量管理、醫院日常辦公管理。醫院網站為託管模式，與我院內網完全分離，制定較為嚴格的管理及訪問規則，保證網站安全執行。

（三）醫院網路安全主要工作情況：

（1）加強制度建設和培訓宣傳。我院近兩年完善了資訊網路管理及安全建設相關的管理制度、應急預案，制定了網路及安全管理崗位職責、工作流程，開展了全員參與的資訊網路安全培訓，通過不斷的宣傳和督促，讓員工樹立資訊網路安全意識，主動參與網路安全防護、防止資訊洩露，確保醫院資訊網路執行安全。

（2）健全組織，強化責任。資訊管理作為醫院管理的重要工作之一，院領導十分重視。醫院調整了資訊化建設領導小組，由院長任組長，相關人員為成員。領導小組下設工作小組，由相關職能科室負責人、資訊科技專業人員為成員。明確了包括醫院資訊規劃、資訊網路建設、資訊網路安全、網路應急、人員培訓等方面的職能職責。為了進一步落實各級主管部門強調加強網路安全建設的要求，醫院成立了醫院網路安全管理小組並明確責任。對照國家及上級有關部門的要求，不斷完善醫院資訊網路系統功能，不斷提升資訊系統安全性與穩定性，滿足日益增加的資訊網路技術服務需求。

（3）加強資訊科管理。科室內經常性對資訊網路安全工作加以強調，儘量安排人員參加每一次資訊網路安全知識培訓。落實機房中心裝置定期巡查制度，及時排除隱患。資訊科組織專人到科室開展資訊網路安全巡查，提醒和糾正員工在日常操作中不規範行為，減少隱患。對醫院重要資料庫資料採用每日備份，和定期拷貝備份的方式，確保資料安全。

（4）多種防護措施保證資訊網路安全。一是業務用區域網與網際網路物理隔離。同時連線的有醫保專網、新農和專網，與網際網路一樣通過防火牆裝置進入。二是訪問公網的計算機均為固定IP，並繫結計算機，且與內網隔離。防止外來計算機的進入，帶來安全隱患。財務管理軟體系統的計算機連線財政專網與內網完全隔離。三是今年購置了一臺新IPS裝置，嚴把入口，局域內網分割槽域分段管理，限制訪問許可權，避免病毒全網傳播。四是院內區域網中客戶端均實行域控管理，對客戶端系統安裝均為本科專人管理預防病毒感染和威脅。五是重點部位重點管理，機房不準無關人員進入，系統資料庫均設定複雜密碼，專人保管。六是定期監控區域網內計算機是否異常，通過限制區域網內計算機使用U盤來防止病毒在網內傳播。七是伺服器區關閉非必須埠，提升防護能力。八是對辦公使用的外網計算機，安裝了免費防病毒軟體。

二、主要存在的問題

儘管採取了一定的防範措施和手段，我們依然感覺到網路發展之快，和現實工作對網路的依賴程度之高，給我們的網路管理帶來了很大壓力，特別是隨著業務的擴充套件和增加，以及上級各部門的工作通過網際網路完成的趨勢要求，網路及資料安全問題的壓力陡增。通過自查及整改後防護有所好轉，但仍然存在一些問題，主要表現在：

（一）隨著網際網路+醫療的推進，未來將會多系統通過網際網路進入，對醫院區域網將帶來很大威脅，存在一定的安全隱患。醫院的業務系統獨成一體，在醫院內部應用，通過內部區域網的管理和控制，基本可以保證安全與穩定。但隨著各部門要求醫院實時上報相關資料，雖然大部分專線來完成資料傳輸，但也有通過公共網際網路進行上報如網上預約、線上線下支付等，對醫院的管理和安全防護帶來壓力。醫院目前的安全防護裝置相對較少，僅靠人力被動處理，抵禦能力有限。

（二）資訊保安需要一定經費投入，對醫院來說有壓力。醫院也通過購置相關裝置對醫院的資訊保安進行一定的管理，但這些裝置需要不斷的更新，需要費用不斷投入，而且因為價格過高而沒有單獨購置主要系統（作業系統、資料庫系統、網路防毒）的正版軟體，對安全來說沒有保障。

（三）安全防護本身就是一個難題，涉及的點面較多，普通應用人員對網路威脅的辨別能力和防範意識不高，也容易產生隱患。而目前醫院網路管理專業技術人員缺乏也是安全防護隱患存在的一個因素。

三、下一步工作措施及建議

通過本次的自查，我們將進行下一步整改，通過對制度的完善，加強培訓，增購裝置等，使我院資訊網路安全進一步強化。下一步我們仍然會對照各級部門對資訊網路安全的要求，利用有限的資金做好安全防護，逐步達到資訊保安管理工作的各項要求。

（一）加強資訊保安組織管理。完善資訊管理組織的職能，堅持定期開展專題工作會議，安排部署資訊網路建設及安全等各項工作。巡查常態化，通過督促檢查，提升員工安全防護意識。

（二）根據實際落實和變化情況，修訂完善細化各類規章制度，通過網路宣傳、現場指導培訓、集中培訓等多種方式提高大家在網路環境中的安全意識。辨識虛擬環境中的不安全因素。

（三）進行嚴格的訪問許可權設定，降低安全風險，嚴令禁止內網使用者使用移動介質訪問，杜絕病毒網內傳播蔓延。

（四）制定醫院資訊化建設計劃中要列入資訊保安專案，通過分步分階段建設，逐步達到等級保護要求。

資訊化建設是各行各業實現高效服務的必要手段，醫院也不例外，脫離資訊化，整個管理將無法正常運轉，業務執行將受到限制，病人服務感受也大打折扣。下一步我們也會根據工作需要，完善相應的管理制度和管理手段，儘量在資訊保安方面做的更多。醫院即將搬遷，新院區的建設，特別是資訊網路建設，正在按照高標準、按照完整的等級保護目標進行建設，力爭醫院資訊化上一個大臺階。同時我們也建議由上級部門給予經費支援，強化醫院網路建設，或者由政府統一對行業進行專網建設，專網專用可以有效抑制病毒及非法入侵。統一建設醫院資訊化，統一管理，避免重複建設和資源浪費。