近年来，境外黑客势力猖獗，网络安全事件频发，网络安全的重要性日渐凸显，伴随着微信小程序、公众号、互联网医院等新业态不断涌现，网络安全风险进一步加剧，个人信息安全问题显得尤为重要！

靖江市人民医院一直高度重视信息网络安全建设工作，一直不断推进国家信息安全主动防御体系建设，将提高医院信息化体系对抗外界高水平攻击的能力作为工作重点，近日，医院举行了一次信息网络安全攻防演练，全程参照军事演习模式。并邀请了靖江市委网信办、公安局网安大队的专家作为导演组。医院网络安全员及安全设备运维工程师为红军；第三方测评机构为蓝军；为医院做等保测评测评公司作为观察员。

演练前制定了较为详细的脚本。演练以医院真实系统为目标，确保在不造成重大影响的情况下开展远程监测与渗透，演练全程可控制、可溯源，实战实练、真攻真防。

蓝军用SQL注入攻击

红军发现服务器遭受攻击

3月10日起进行了环境搭建，开始对业务系统和互联网交互服务进行渗透测试、对医院安全设备策略进行评估等工作，经过了多方的努力，取得了预期的效果。

3月12日下午，参演的各方一起进行了项目的总结和分析，作为攻防的蓝军按照攻防演练的脚本，对目标系统进行攻击并对成果进行截图存档。发现医院业务系统整体安全性较强，安全设备部署合理。但在演练中发现了医院内部管理系统也存在着少许漏洞，能够被获取相关权限，从而导致信息泄露。针对本次演练，攻方给出了修补漏洞、升级系统的整改建议。

作为观察员的等保测评公司认为，本次攻防演练从制定脚本开始历时1周，专业技术人员9名，整个流程缜密渗透测试的手段丰富，多方位的考验信息系统的安全防护。对于发现到的新风险，今后将整改措施到位，并接收效果验证。

攻防演练结束后现场总结图片

导演组专家就本次演练提出几点建议，卫生系统的信息化建设是民生工程，人民医院有较多方便老百姓的互联网+医疗服务。但当前网络安全环境复杂，医院有大量的居民基本信息和健康信息，是不法分子的觊觎的重要资源，类似案件在外地时有发生，医院本次攻防演练积极意义较大，应总结活动中经验和教训，持续做好信息安全工作。以法律为基石，夯实安全制度；以发展为目标，重视安全管理；以技术为手段，铸就安全屏障。

季湧副院长在总结会上表示，信息安全是国家安全的首要战略，此次攻防演练也暴露出医院信息安全在一些细节上还不能尽善尽美，信息科的技术人员将此次暴露出的问题进行汇总分析，完善应急处置流程，讨论修订应急预案，不断提高各种突发网络安全事件的应对能力，快速、有效的采取措施。今后医院将从依法、全面、合规、管理、技术和综合等六个方面建立常态化网络安全工作保障机制，及时消除信息安全威胁，迎接大数据时代的到来。（信息中心）