醫院信息科2020年自查工作總結

醫院信息科2020年自查工作總結

一、工作開展檢查情況；

信息科積極落實市文件精神對網絡安全開展自查梳理。目前本院內外網屬於物理隔離，二個網段之間不能相互訪問，電腦USB端口設置禁用，較大避免因外部介質感染和內外互連互通導致可能出現病毒攻擊事件的發生。

1、檢查信息中心機房服務器端；

每週定期更新殺毒軟件病毒庫，服務器屏蔽高危端口和修改遠程訪問端，屏蔽全部不在用的端口、修改用户訪問內網服務器組策略、設置90天必須更換系統登錄密碼、密碼規則按照英文、數字、字符、大小寫等複雜程度設置、定期更換數據庫系統登錄密碼、修改內網出口防火牆組策略和訪問進出入規則、更新服務器高危補丁漏洞，對服務器系統做全盤備份。專用殺毒軟件服務器每週定期下載更新最新版病毒庫更新，並對系統設置空閒時間自動查殺病毒和漏洞掃描。

2、檢查網絡設備和安全設備端;

從機房端排查到各個樓層交換機等網絡設備均一切正常，未發現人為的篡改和插拔網絡，查詢日誌未發現可疑設備和網絡地址攻擊，硬件防火牆工作一切正常。機房內外網端口排查未發現內外相互混插跳線，在內網機器無法PING通外網電腦和網絡設備，機房網絡設備均有UPS電源輸出，保證在瞬間斷電，造成信息數據丟失和安全事件發生。從信息中心機房網絡設備端到內網臨牀科室工作站和樓層網絡安全設備上，內網並未發現有網絡熱點設備私自違規接入使用。

3、檢查臨牀科室醫護工作站內網端；

本次檢查排摸醫院內網電腦操作系統為WIN7和WIN10，WIN7微軟不再更新補丁，後期逐步替換更新成新的操作系統，避免出現安全隱患。

按照區信息中心對工作站的管理要求，信息管理員落實封閉高危端口3389、445和屏蔽USB等移動設備外部接入，補打勒索病毒免疫補丁，升級殺毒軟件，設置醫生工作電腦開機登錄密碼，在醫護人員信息業務系統內設置操作密碼登入，並且告知業務人員不得冒名頂替，必須專人專用，人機分離必須關閉個人在用操作的業務系統，否則容易造成信息數據保密性和安全性得不到保護。容易他人直接查詢使用及不法分子進入蓄意破壞信息數據。

為了保護信息中心服務器和數據庫系統，避免臨牀工作站軟件需要直接訪問服務器端，信息科按照信息安全管理要求，將所有在用HIS業務系統全部拷貝到醫護工作站本地電腦上運行，不在實時調閲訪問服務器，儘量避免臨牀工作站中毒導致機房服務器被攻擊或被篡改系統和數據庫密碼。

4、檢查醫院外網網絡及終端；

檢查醫院外網終端均可以使用USB接口，防病毒軟件為免費版360殺毒，內部病毒庫和版本系統自動升級，無需人工手動下載干預，外網端口未封閉，考慮外網為日常辦公需要，並未屏蔽端口和USB接口。外網終端操作系統設置登錄密碼。

二、 網絡信息安全自查存在的風險；

1. 外網路由器端接入口未安裝硬件防火牆（已安裝的為軟路由帶防火牆功能），容易遭受外部網絡攻擊。醫院信息科已落實整改，將網絡安全申報在2021年的機房等保三級項目內解決。

2. 按照區衞計委信息中心檢查規範要求，需要網絡交換機設備上的運行日誌保存6個月以上，目前醫院未安裝存儲設備，網絡交換機在斷電恢復後日志自動全部清零，在出現網絡攻擊和病毒感染時，無法追溯跟蹤分析來源，需要採購安裝網絡日誌服務器，才能滿足網絡設備數據個性化存儲。醫院信息科已落實整改，將網絡安全申報在2021年的機房等保三級項目內解決。

3. 臨牀科室醫護人員普片對電腦系統加密和業務系統加密等網絡安全意識上比較模糊和意識不強，缺少風險防範意識。後續需加強培訓指導。目前已經全部對在用電腦系統加密處理。

4. 檢查發現軟件公司部分業務應用系統還是過度依賴高危端口，一旦高危端口屏蔽後，軟件業務出現各種報錯信息，影響客户使用。目前醫院在用系統為C/S架構需要把系統部署到到本地電腦上存儲運行數據。已經聯繫軟件公司，回覆會新開發最新部署軟件，解決高危共享端口封閉後造成軟件不能使用的情況發生。

5. 信息安全管理人員較少，需要增加信息安全專業人員技術支持。

三、網絡信息安全自查工作建議

總體來説，我院領導對網絡與信息安全工作非常重視，從未發生過重大的安全事故，各系統運轉穩定，各項業務能夠正常運行。但自查中也發現了不足之處，如目前醫院信息技術人員力量有限；全院醫護人員對信息安全意識還夠，個別科室缺乏維護信息安全的主動性防範和自覺性保護。

醫院將今後加強信息技術人員的網絡安全培訓和外出學習，更進一步提高信息安全技術管理水平；加強全院職工信息安全教育培訓，提高維護信息安全的主動性和自覺性；加大對醫院信息安全設備建設的投入，提升網絡安全設備的基礎配置和淘汰舊損工作站，引進主流配置計算機，解決醫護人員因電腦速度慢而影響工作效率，進一步提高醫療診療工作效率和網絡信息系統運行的安全性運行。

經過近期自查工作，信息科充分意識到網絡信息安全工作是一個需要常抓不懈的工程，網絡信息安全需要人力物力的大力支持，要不斷的學習新出來的網絡安全知識，在改變舊有的管理方法和理念，同時要不斷創新，以適應新形勢下的安全管理需要。為醫院帶來新的管理方法，保障醫院信息化健康持續發展。

醫院信息科

2020/08/2