醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報

1、醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告接到 xxx 衛(wèi)生廳辦公室關(guān)于開展網(wǎng)絡(luò)與信息安全檢查行動工 作的通知后，我院領(lǐng)導(dǎo)高度重視，立即召開相關(guān)科室負(fù)責(zé)人會議， 深入學(xué)習(xí)和認(rèn)真貫徹落實文件精神， 充分認(rèn)識到開展網(wǎng)絡(luò)與信息安全 自查工作的重要性和必要性， 對自查工作做了詳細(xì)部署， 由主管院長 負(fù)責(zé)安排、協(xié)調(diào)相關(guān)檢查部門、監(jiān)督檢查項目，由信息科負(fù)責(zé)具體檢 查和自查工作，并就自查中發(fā)現(xiàn)的問題認(rèn)真做好相關(guān)記錄， 及時整改，長期以來， 我院在信息化建設(shè)過程中， 一直非常重視網(wǎng)絡(luò)與信息 安全工作， 并采取目前國內(nèi)較先進(jìn)的安全管理規(guī)范、 有效的安全管理 措施。自 8 月 22 日起，全院開展網(wǎng)絡(luò)與信息安全工作自查，

2、根據(jù)互 聯(lián)網(wǎng)安全和院內(nèi)局域網(wǎng)安全的相應(yīng)特點，逐項排查，消除安全隱患， 現(xiàn)將我院信息安全工作情況匯報如下。信息安全工作情況一、網(wǎng)絡(luò)安全管理：我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng) 絡(luò)實現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨立、安全、高效運行。重點抓好 “三大安全”排查。1. 硬件安全，包括防雷、防火、防盜和 UPS 電源連接等。醫(yī)院 HIS 服務(wù)器機房嚴(yán)格按照機房標(biāo)準(zhǔn)建設(shè)， 工作人員堅持每天巡查， 排 除安全隱患。 HIS 服務(wù)器、多口交換機、路由器都有 UPS 電源保護， 可以保證短時間斷電情況下， 設(shè)備運行正常， 不至于因突然斷電致設(shè) 備損壞。此外，局域網(wǎng)內(nèi)所有計算機 USB 接口施行完全封閉，這樣

3、就有效地避免了因外接介質(zhì)（如 U 盤、移動硬盤）而引起中毒或泄 密的發(fā)生。2.網(wǎng)絡(luò)安全 :包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、 IP 管理、互聯(lián)網(wǎng)行為管 理等；網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理， 網(wǎng)絡(luò)連接的穩(wěn)定性， 網(wǎng)絡(luò)設(shè)備（交 換機、路由器、光纖收發(fā)器等）的穩(wěn)定性。 HIS 系統(tǒng)的操作員，每人 有自己的登錄名和密碼， 并分配相應(yīng)的操作員權(quán)限， 不得使用其他人 的操作賬戶，賬戶施行“誰使用、誰管理、誰負(fù)責(zé)” 的管理制度?；?聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定 IP 地址，由醫(yī)院統(tǒng)一分配、管理，不 允許私自添加新 IP ，未經(jīng)分配的 IP 均無法實現(xiàn)上網(wǎng)。為保障醫(yī)院互 聯(lián)網(wǎng)能夠滿足正常的辦公需要，通過路由器對于 P2P 等

4、應(yīng)用軟件進(jìn) 行了屏蔽，有效地阻止了有人利用辦公電腦在上班期間在線看視頻、 玩游戲等，極大地提高了互聯(lián)網(wǎng)的辦公利用率。二、數(shù)據(jù)庫安全管理：我院目前運行的數(shù)據(jù)庫為 XX HIS 數(shù)據(jù) 庫，是醫(yī)院診療、劃價、收費、查詢、統(tǒng)計等各項業(yè)務(wù)能夠正常進(jìn)行 的基礎(chǔ)，為確保醫(yī)院各項業(yè)務(wù)正常、高效運行，數(shù)據(jù)庫安全管理是極 為有必要的。數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)的技術(shù)防護而言 的，包括數(shù)據(jù)安全性、并發(fā)控制、故障恢復(fù)、數(shù)據(jù)庫容災(zāi)備份等幾個 方面。我院對數(shù)據(jù)安全性采取以下措施： （ 1）將數(shù)據(jù)庫中需要保護的 部分與其他部分相隔。（2）采用授權(quán)規(guī)則，如賬戶、口令和權(quán)限控制 等訪問控制方法。（3）對數(shù)據(jù)進(jìn)行加密后存

5、儲于數(shù)據(jù)庫； 如果數(shù)據(jù)庫 應(yīng)用要實現(xiàn)多用戶共享數(shù)據(jù)，就可能在同一時刻多個用戶要存取數(shù) 據(jù)，這種事件叫做并發(fā)事件。當(dāng)一個用戶取出數(shù)據(jù)進(jìn)行修改，在修改 存入數(shù)據(jù)庫之前如有其它用戶再取此數(shù)據(jù)， 那么讀出的數(shù)據(jù)就是不正 確的。這時就需要對這種并發(fā)操作施行控制， 排除和避免這種錯誤的 發(fā)生，保證數(shù)據(jù)的正確性；數(shù)據(jù)庫管理系統(tǒng)提供一套方法，可及時發(fā) 現(xiàn)故障和修復(fù)故障， 從而防止數(shù)據(jù)被破壞。 數(shù)據(jù)庫系統(tǒng)能盡快恢復(fù)數(shù) 據(jù)庫系統(tǒng)運行時出現(xiàn)的故障， 可能是物理上或是邏輯上的錯誤。 比如 對系統(tǒng)的誤操作造成的數(shù)據(jù)錯誤等； 數(shù)據(jù)庫容災(zāi)備份是數(shù)據(jù)庫安全管 理中極為重要的一部分，是數(shù)據(jù)庫有效、安全運行的最后保障，也是 保障

6、數(shù)據(jù)庫信息能夠長期保存的有效措施。 我院采用的備份類型為完 全備份，每天凌晨備份整個數(shù)據(jù)庫，包含用戶表、系統(tǒng)表、索引、視 圖和存儲過程等所有數(shù)據(jù)庫對象。在備份數(shù)據(jù)的過程中，主、從服務(wù) 器正常運行，各客戶端的業(yè)務(wù)能正常進(jìn)行，也即是熱備份。三、軟件管理： 目前我院在運行的軟件主要分為三類： HIS 系統(tǒng)、 常用辦公軟件和殺毒軟件。 HIS 系統(tǒng)是我院日常業(yè)務(wù)中最主要的軟 件，是保障醫(yī)院診療活動正常進(jìn)行的基礎(chǔ)，自 XXXX 年上線以來， 運行很穩(wěn)定，未出現(xiàn)過重大安全問題，并根據(jù)業(yè)務(wù)需要，不斷更新充 實。對于新入職的員工，上崗前會進(jìn)行一次培訓(xùn)，向其講解 HIS 系 統(tǒng)操作流程、規(guī)范，也包括安全知識，確

7、保其在使用過程中不會出現(xiàn) 重大安全問題。常用辦公軟件均由醫(yī)院信息科統(tǒng)一安裝，維護。殺毒 軟件是保障電腦系統(tǒng)防病毒、防木馬、防篡改、防癱瘓、防攻擊、防 泄密的有效工具。所有電腦，均安裝了正版殺毒軟件 （江民殺毒軟件、瑞星殺毒軟件和 360 安全衛(wèi)士），并定期更新病毒庫，以保證殺毒軟 件的防御能力始終保持在很高的水平。四、網(wǎng)站安全管理：在信息化高度發(fā)達(dá)的今天，網(wǎng)絡(luò)宣傳的作用 日益突出， 網(wǎng)站安全管理工作也不容忽視。 我院的網(wǎng)站后臺服務(wù)器施 行托管管理， 由省衛(wèi)生廳信息中心統(tǒng)一管理， 確保了網(wǎng)站后臺服務(wù)的 穩(wěn)定性和安全性。我院設(shè)專門網(wǎng)站管理員，負(fù)責(zé)日常更新、維護，嚴(yán) 格執(zhí)行網(wǎng)站管理規(guī)定 ，網(wǎng)站自開放

8、以來，從未發(fā)生過重大安全問 題，并一直運行良好。五、應(yīng)急處置：我院 HIS 系統(tǒng)服務(wù)器運行安全、穩(wěn)定，并配備 了大型 UPS 電源，可以保證大面積斷電情況下，服務(wù)器堅持運行半 小時。雖然醫(yī)院的 HIS 系統(tǒng)長期以來，運行良好，服務(wù)器未發(fā)生過 長時間宕機時間， 但醫(yī)院仍然制定了應(yīng)急處置預(yù)案， 并對收費操作員 和護士進(jìn)行過培訓(xùn)，如果醫(yī)院出現(xiàn)大面積、長時間停電情況， HIS 系 統(tǒng)無法正常運行，將臨時開始手工收費、記賬、發(fā)藥，以確保診療活 動能夠正常、有序地進(jìn)行，待到 HIS 系統(tǒng)恢復(fù)正常工作時，再補打 發(fā)票、補記收費項目?？傮w來說， 我院的網(wǎng)絡(luò)與信息安全工作做得很成功的， 從未發(fā)生 過重大的安全事故，各系統(tǒng)運轉(zhuǎn)穩(wěn)定，各項業(yè)務(wù)能夠正常運行。但自 查中也發(fā)現(xiàn)了不足之處， 如目前醫(yī)院信息技術(shù)人員少， 信息安全力量 有限；信息安全意識還夠， 個別科室缺乏維護信息安全的主動性和自 覺性；個別科室的計算機設(shè)備配置偏低，服務(wù)期限偏長。今后要加強 信息技術(shù)人員的培養(yǎng)， 更進(jìn)一步提高信息安全技術(shù)水平； 加強全院職 工的信息安全教育，提高維