医院网络安全持续性改进工作要点

为了进一步保证大型医院网络安全稳定，需要通过持续性改进措施，来逐渐提高整体的管理效果，可以根据国家出台的相关法律法规政策，逐渐落实规划相关的制度以及安全培训，从而实现设备优化、安全巡检以及实时监控等工作效果，保证大型医院的日常工作能够顺利有效地完成。随着我国信息技术的逐渐发展和应用，现如今社会中各项生产生活都融入了网络系统和信息系统，因此维护网络安全也是我国目前维护国家安全的重要内容。而医疗卫生行业作为我国关键的基础设施，也必须要通过信息技术来逐渐更新和改善，为了保证大型医院安全管理工作顺利进行，也需要加强对网络安全的管理，这也是目前医院信息建设的主要内容。

一、大型医院网络安全管理工作要点

（一）安全规划为了能够使信息化建设顺利开展，医院必须要制定好全年的安全管理规划。在制定计划之前应该对国家刚刚出台的法律法规进行充分了解，例如十三五规划以及网络安全法中所提出来的信息安全要求以及战略，进一步制定有利于区域医联体，互联网医疗，互联网互通信共享平台医等网络安全互联策略，将相关的安全区域以及规则进行合理划分。另外医院还要对过去一年有关安全保护的措施进行整理，同时要对上级部门的检查结果进行适当的经验总结，根据已经发生的问题制定整改计划，其中主要包括本年度应该实行的长期整改方案以及完成工作的时间节点，有利于保证医院的安全建设计划更加清晰有效。

（二）制度修订与落实根据具体的整改和安全计划制定医院的安全管理制度，还要对当前已经实行的制度进行不定期的调整和审察。根据医院对实际发展情况的需求对其进行改善，最终由安全管理委员会对相关制度进行进一步的修订评审，完成之后需要通过信息中心进行信息的传递和，让在医院工作的所有人员都能够深刻了解具体安全管理的内容以及审批流程，这样可以有效地提高医院信息中心技术工作人员对操作的深刻了解。另外还可以对制度配套的记录单据以及审批过程进行进一步优化，保障网络准入、物理变更、人员管理、权限分配、数据统计等信息安全保护要求。

（三）安全培训要想进一步保证医院网络安全管理工作的落实，必须要对相关的工作人员进行安全意识的培训，在医院信息安全培训制度的引导下制定适合工作人员的培训计划，针对进修医师临床管理人员和新入职的员工要每年培训一次，同时在培训过程当中还要进一步强调密码安全、防病毒知识、风险上报等意识。对于信息技术人员来说，必须要要进行每年2~4次的技术以及安全意识培训。其中网络或者机房软硬件变更后，所掌握的故障以及问题处理和排查方式需要由培训中心提出，在进行安全意识培养的过程当中，主要内容是强化信息技术人员的职业道德意识。所有的安全培训过程都必须要实时准确的记录下来。

二、大型医院网络安全运维工作要点

大型医院的网络安全区域不可以只依靠一种防护措施，必须要进行差异性的防护，在内外网布置多台的安全设备，同时也要做好安全防护政策，在进行安全防护的时候，大型医院的网络安全设备比较多，安全策略需要及时调整，而且信息系统业务也比较复杂，所以必须要对相关环节进行实时监控，定期优化和巡检，保证医院网络安全防护手段能够始终发挥作用，从而有效的防控风险。

（一）安全巡检信息网络中心工作中，必须要做好巡检规范的书面文字记录，可以根据医院的安全管理制度做好记录，同时安排好工作人员的排班情况，每日都要对机房内设备环境数据库状态以及备份情况进行检查，同时还要将检查的结果记录下来，如果出现潜在风险，必须要及时反馈给管理人员进行解决。网络管理员还要通过现场巡视以及监控平台的方法对网络设备进行巡检，主要是对本地和异地所涉及到的备份内容进行验证和检查，特别是在非工作日以及节假日期间对重点设备进行备份，保证医院在全年任何时间段都可以正常运转。

（二）设备优化保证安全规划管理正常运行的基础上，要对网络安全设备以及储存设备进行优化，而且还要对磁盘阵列的CPU服务器以及内存存储空间进行适当地扩充，对于一些老化的线路和老旧的网络设备要及时更换，尽量延长网络设备的寿命，保证医院网络能够稳定应用。针对医院内网中的安全区间以及防火墙的策略以及性能要进行及时检查，以免影响工作，及时管理好网串联链路上的单点设备，保证互联网业务内外网之间的联系通畅。

（三）安全监控与加固安全设备部署以及网络安全防护工作需要对各类安全风险监控进行加强和管理，可以通过恶意代码防护系统以及防毒墙来控制网络病毒风险，出现了新型病毒需要及时关闭终端高危端口，并对服务器的防病毒系统进一步升级，保证在发现病毒之后能够及时的查杀。最后还要对出现的高危风险以及漏洞进行总结，制定相应的修复方案以及安全策略，保证在不影响医院业务运行的同时增强对防护系统的管理。

（四）安全审计与分析医院还要对各类网络以及安全设备的审计功能进行相应的管理，根据上网行为管理系统以及网络日志审计系统，收集互联网访问日志以及内网流量，记录数据库的审计系统中操作数据库的具体情况，最终使用终端安全管理系统对相关行为进行记录，将医院半年内有关系统，网络以及数据的全部审计工作进行保存和整理。

（五）安全应急与演练为了能够使安全管理措施更加有效，医院还可以根据年度安全制度来制定应急预案，通过对信息系统故障以及系统升级的情况制定相关流程，同时将要具体的工作落实到每一个应急人员，医院领导小组将详细的操作步骤以及准备的物品及时布置下去。信息中心不仅要制定紧急预案，而且还要将服务器、存储、网络、网站等重要设备制定出应急响应措施，保证所有技术人员都能够熟练掌握工作流程。另外医院还可以结合网络调试工作，以及系统升级进行每年两次至4次的演练，在演练过程中要有专门工作人员记录，根据具体的记录结果制定相应的管理以及演练措施，保证在不影响医院业务运行的过程当中完成网络安全应急演练。总而言之，要保证大型医院网络安全工作，必须要保证物理安全、网络安全、数据安全、主机安全、应用安全，并且做好后续的持续安全管理。

作者：黄波 单位：柳州市工人医院