上海市人民醫(yī)院信息安全與網(wǎng)絡安全基礎認證考試一、單選題（每題2分，共20題）1.以下哪項不屬于上海市人民醫(yī)院網(wǎng)絡安全等級保護三級的基本要求？A.定期進行安全審計B.具備災備恢復能力C.所有員工需通過安全意識培訓D.系統(tǒng)需通過國家信息安全測評中心認證2.在處理患者隱私數(shù)據(jù)時，上海市人民醫(yī)院應優(yōu)先采用哪種加密方式？A.對稱加密B.非對稱加密C.哈希加密D.BASE64編碼3.以下哪項是上海市醫(yī)保系統(tǒng)常見的網(wǎng)絡攻擊手段？A.DDoS攻擊B.SQL注入C.惡意軟件D.以上都是4.上海市人民醫(yī)院的網(wǎng)絡設備日志應至少保存多長時間？A.30天B.60天C.90天D.180天5.以下哪項不屬于上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全風險？A.數(shù)據(jù)泄露B.系統(tǒng)癱瘓C.賬戶盜用D.操作系統(tǒng)補丁未及時更新6.在上海市人民醫(yī)院，患者電子病歷的訪問權限應遵循什么原則？A.最小權限原則B.最大權限原則C.無權限原則D.隨意訪問原則7.以下哪項是上海市網(wǎng)絡安全條例中明確規(guī)定的法律責任？A.網(wǎng)絡攻擊者需繳納罰款B.醫(yī)院需定期進行安全評估C.患者隱私數(shù)據(jù)需脫敏處理D.以上都是8.上海市人民醫(yī)院的無線網(wǎng)絡應采用哪種認證方式？A.開放式認證B.WEP加密C.WPA2-EnterpriseD.WPA39.以下哪項是上海市醫(yī)院信息系統(tǒng)（HIS）常見的物理安全措施？A.防火墻B.門禁系統(tǒng)C.入侵檢測系統(tǒng)D.VPN10.上海市人民醫(yī)院的數(shù)據(jù)庫應采用哪種備份策略？A.全量備份B.增量備份C.差異備份D.A+B+C二、多選題（每題3分，共10題）1.上海市人民醫(yī)院網(wǎng)絡安全等級保護三級需滿足哪些要求？A.具備數(shù)據(jù)備份和恢復能力B.定期進行安全風險評估C.所有系統(tǒng)需通過國家認證D.具備入侵檢測和防御能力2.以下哪些屬于上海市醫(yī)院信息系統(tǒng)（HIS）的安全威脅？A.數(shù)據(jù)泄露B.網(wǎng)絡釣魚C.惡意軟件D.DDoS攻擊3.上海市醫(yī)保系統(tǒng)常見的加密算法包括哪些？A.AESB.RSAC.DESD.MD54.上海市人民醫(yī)院的網(wǎng)絡設備日志應記錄哪些信息？A.用戶登錄時間B.數(shù)據(jù)訪問記錄C.系統(tǒng)錯誤日志D.網(wǎng)絡流量統(tǒng)計5.以下哪些屬于上海市網(wǎng)絡安全條例中規(guī)定的法律責任？A.網(wǎng)絡攻擊者需繳納罰款B.醫(yī)院需定期進行安全評估C.患者隱私數(shù)據(jù)需脫敏處理D.系統(tǒng)運維人員需持證上崗6.上海市醫(yī)院信息系統(tǒng)（HIS）常見的物理安全措施包括哪些？A.門禁系統(tǒng)B.監(jiān)控攝像頭C.防火墻D.UPS電源7.以下哪些屬于上海市醫(yī)保系統(tǒng)的常見安全風險？A.數(shù)據(jù)泄露B.賬戶盜用C.系統(tǒng)癱瘓D.操作系統(tǒng)漏洞8.上海市人民醫(yī)院的無線網(wǎng)絡應采用哪些安全措施？A.WPA2-Enterprise認證B.隱藏SSIDC.MAC地址過濾D.VPN加密9.以下哪些屬于上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全威脅？A.數(shù)據(jù)泄露B.網(wǎng)絡釣魚C.惡意軟件D.DDoS攻擊10.上海市人民醫(yī)院的數(shù)據(jù)庫備份策略包括哪些？A.全量備份B.增量備份C.差異備份D.熱備份三、判斷題（每題1分，共10題）1.上海市人民醫(yī)院的所有系統(tǒng)都需要進行等級保護測評。（√）2.患者隱私數(shù)據(jù)可以隨意存儲在網(wǎng)絡設備中。（×）3.上海市醫(yī)保系統(tǒng)的數(shù)據(jù)傳輸應采用加密方式。（√）4.上海市醫(yī)院信息系統(tǒng)（HIS）的訪問權限可以隨意設置。（×）5.上海市人民醫(yī)院的網(wǎng)絡設備日志可以不記錄用戶登錄信息。（×）6.上海市網(wǎng)絡安全條例中規(guī)定了網(wǎng)絡攻擊者的法律責任。（√）7.上海市醫(yī)院信息系統(tǒng)（HIS）的物理安全措施包括門禁系統(tǒng)和監(jiān)控攝像頭。（√）8.上海市醫(yī)保系統(tǒng)的數(shù)據(jù)備份應采用全量備份和增量備份相結(jié)合的方式。（√）9.上海市人民醫(yī)院的無線網(wǎng)絡可以不采用加密認證方式。（×）10.上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全威脅包括數(shù)據(jù)泄露和惡意軟件。（√）四、簡答題（每題5分，共4題）1.簡述上海市人民醫(yī)院網(wǎng)絡安全等級保護三級的基本要求。2.解釋上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全風險有哪些，并提出應對措施。3.說明上海市醫(yī)保系統(tǒng)常見的加密算法及其應用場景。4.描述上海市人民醫(yī)院無線網(wǎng)絡的安全配置要求。五、論述題（每題10分，共2題）1.分析上海市醫(yī)院信息系統(tǒng)（HIS）的安全威脅及其應對措施，并結(jié)合實際案例說明。2.闡述上海市網(wǎng)絡安全條例中規(guī)定的法律責任，并說明醫(yī)院如何落實相關安全措施。答案與解析一、單選題1.D解析：上海市人民醫(yī)院網(wǎng)絡安全等級保護三級的基本要求包括定期進行安全審計、具備災備恢復能力、所有員工需通過安全意識培訓，但不要求系統(tǒng)必須通過國家信息安全測評中心認證。2.B解析：在處理患者隱私數(shù)據(jù)時，上海市人民醫(yī)院應優(yōu)先采用非對稱加密，因其安全性更高，適用于需要高強度加密的場景。3.D解析：上海市醫(yī)保系統(tǒng)常見的網(wǎng)絡攻擊手段包括DDoS攻擊、SQL注入、惡意軟件等，因此正確答案是“以上都是”。4.C解析：根據(jù)《信息安全技術網(wǎng)絡安全等級保護基本要求》，三級系統(tǒng)的日志應至少保存90天。5.D解析：上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全風險包括數(shù)據(jù)泄露、系統(tǒng)癱瘓、賬戶盜用等，但“操作系統(tǒng)補丁未及時更新”屬于運維問題，不屬于安全風險。6.A解析：上海市人民醫(yī)院的患者電子病歷訪問權限應遵循最小權限原則，即僅授權必要人員訪問必要數(shù)據(jù)。7.D解析：上海市網(wǎng)絡安全條例中規(guī)定了網(wǎng)絡攻擊者的法律責任、醫(yī)院需定期進行安全評估、患者隱私數(shù)據(jù)需脫敏處理等，因此正確答案是“以上都是”。8.C解析：上海市人民醫(yī)院的無線網(wǎng)絡應采用WPA2-Enterprise認證，因其安全性更高，適用于醫(yī)療場景。9.B解析：上海市醫(yī)院信息系統(tǒng)（HIS）常見的物理安全措施包括門禁系統(tǒng)、監(jiān)控攝像頭等，防火墻和入侵檢測系統(tǒng)屬于網(wǎng)絡安全措施。10.D解析：上海市人民醫(yī)院的數(shù)據(jù)庫備份策略應采用全量備份、增量備份和差異備份相結(jié)合的方式，以兼顧備份效率和數(shù)據(jù)完整性。二、多選題1.A,B,D解析：上海市人民醫(yī)院網(wǎng)絡安全等級保護三級的基本要求包括具備數(shù)據(jù)備份和恢復能力、定期進行安全風險評估、具備入侵檢測和防御能力，但不要求所有系統(tǒng)必須通過國家認證。2.A,B,C,D解析：上海市醫(yī)院信息系統(tǒng)（HIS）的安全威脅包括數(shù)據(jù)泄露、網(wǎng)絡釣魚、惡意軟件、DDoS攻擊等。3.A,B,C解析：上海市醫(yī)保系統(tǒng)常見的加密算法包括AES、RSA、DES，MD5主要用于哈希校驗，不適用于數(shù)據(jù)加密。4.A,B,C解析：上海市人民醫(yī)院的網(wǎng)絡設備日志應記錄用戶登錄時間、數(shù)據(jù)訪問記錄、系統(tǒng)錯誤日志，但不包括網(wǎng)絡流量統(tǒng)計。5.A,B,C解析：上海市網(wǎng)絡安全條例中規(guī)定了網(wǎng)絡攻擊者的法律責任、醫(yī)院需定期進行安全評估、患者隱私數(shù)據(jù)需脫敏處理，但不包括系統(tǒng)運維人員需持證上崗。6.A,B,D解析：上海市醫(yī)院信息系統(tǒng)（HIS）常見的物理安全措施包括門禁系統(tǒng)、監(jiān)控攝像頭、UPS電源，防火墻屬于網(wǎng)絡安全措施。7.A,B,D解析：上海市醫(yī)保系統(tǒng)的常見安全風險包括數(shù)據(jù)泄露、賬戶盜用、操作系統(tǒng)漏洞，系統(tǒng)癱瘓屬于運維問題，不屬于安全風險。8.A,C,D解析：上海市人民醫(yī)院的無線網(wǎng)絡應采用WPA2-Enterprise認證、MAC地址過濾、VPN加密，隱藏SSID不適用于醫(yī)療場景。9.A,B,C解析：上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全威脅包括數(shù)據(jù)泄露、網(wǎng)絡釣魚、惡意軟件，DDoS攻擊屬于網(wǎng)絡攻擊，不屬于HIS威脅。10.A,B,C解析：上海市人民醫(yī)院的數(shù)據(jù)庫備份策略包括全量備份、增量備份、差異備份，熱備份不屬于常見的備份策略。三、判斷題1.√解析：根據(jù)《網(wǎng)絡安全法》和《網(wǎng)絡安全等級保護條例》，上海市人民醫(yī)院的所有系統(tǒng)都需要進行等級保護測評。2.×解析：患者隱私數(shù)據(jù)必須脫敏處理并加密存儲，不能隨意存儲在網(wǎng)絡設備中。3.√解析：上海市醫(yī)保系統(tǒng)的數(shù)據(jù)傳輸必須采用加密方式，以保護患者隱私。4.×解析：上海市醫(yī)院信息系統(tǒng)（HIS）的訪問權限必須遵循最小權限原則，不能隨意設置。5.×解析：上海市人民醫(yī)院的網(wǎng)絡設備日志必須記錄用戶登錄信息，以備審計和追溯。6.√解析：上海市網(wǎng)絡安全條例中規(guī)定了網(wǎng)絡攻擊者的法律責任，包括罰款、刑事責任等。7.√解析：上海市醫(yī)院信息系統(tǒng)（HIS）的物理安全措施包括門禁系統(tǒng)和監(jiān)控攝像頭，以防止未授權訪問。8.√解析：上海市醫(yī)保系統(tǒng)的數(shù)據(jù)備份應采用全量備份和增量備份相結(jié)合的方式，以兼顧備份效率和數(shù)據(jù)完整性。9.×解析：上海市人民醫(yī)院的無線網(wǎng)絡必須采用加密認證方式，如WPA2-Enterprise，以防止未授權訪問。10.√解析：上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全威脅包括數(shù)據(jù)泄露和惡意軟件，必須采取有效措施防范。四、簡答題1.上海市人民醫(yī)院網(wǎng)絡安全等級保護三級的基本要求-定期進行安全審計，確保系統(tǒng)符合安全規(guī)范。-具備數(shù)據(jù)備份和恢復能力，以防止數(shù)據(jù)丟失。-所有員工需通過安全意識培訓，提高安全防范意識。-具備入侵檢測和防御能力，防止網(wǎng)絡攻擊。-系統(tǒng)需通過國家信息安全測評中心認證，確保系統(tǒng)安全性。2.上海市醫(yī)院信息系統(tǒng)（HIS）的常見安全風險及應對措施-數(shù)據(jù)泄露：采用加密存儲和傳輸，加強訪問控制。-網(wǎng)絡釣魚：加強員工培訓，提高防范意識。-惡意軟件：安裝殺毒軟件，定期更新系統(tǒng)補丁。-DDoS攻擊：部署防火墻和流量清洗服務。-系統(tǒng)癱瘓：定期進行系統(tǒng)維護，確保系統(tǒng)穩(wěn)定運行。3.上海市醫(yī)保系統(tǒng)常見的加密算法及其應用場景-AES：適用于數(shù)據(jù)加密，安全性高，適用于敏感數(shù)據(jù)傳輸。-RSA：適用于非對稱加密，常用于SSL/TLS協(xié)議。-DES：適用于早期數(shù)據(jù)加密，安全性較低，現(xiàn)已較少使用。-MD5：適用于哈希校驗，不適用于數(shù)據(jù)加密。4.上海市人民醫(yī)院無線網(wǎng)絡的安全配置要求-采用WPA2-Enterprise認證，確保用戶身份驗證安全性。-隱藏SSID，防止未授權設備連接。-配置MAC地址過濾，限制授權設備訪問。-采用VPN加密傳輸，保護數(shù)據(jù)安全。-定期更新無線設備固件，修復安全漏洞。五、論述題1.上海市醫(yī)院信息系統(tǒng)（HIS）的安全威脅及其應對措施-數(shù)據(jù)泄露：采用加密存儲和傳輸，加強訪問控制，定期進行安全審計。實際案例：某醫(yī)院因員工誤操作導致患者隱私數(shù)據(jù)泄露，最終被罰款并整改系統(tǒng)。-網(wǎng)絡釣魚：加強員工培訓，提高防范意識，部署郵件過濾系統(tǒng)。實際案例：某醫(yī)院因員工點擊釣魚郵件導致系統(tǒng)被入侵，最終通過加強培訓避免類似事件。-惡意軟件：安裝殺毒軟件，定期更新系統(tǒng)補丁，部署入侵檢測系統(tǒng)。實際案例：某醫(yī)院因系統(tǒng)漏洞被惡意軟件攻擊，最終通過及時修復漏洞避免損失。-DDoS攻擊：部署防火墻和流量清洗服務，確保系統(tǒng)穩(wěn)定運行。實際案例：某醫(yī)院因DDoS攻擊導致系統(tǒng)癱瘓，最終通過流量清洗服務恢復系統(tǒng)。-系統(tǒng)癱瘓：定期進行系統(tǒng)維護，確保系統(tǒng)穩(wěn)定運行，部署災備系統(tǒng)。實際案例：某醫(yī)院因系統(tǒng)維護不當導致系統(tǒng)癱瘓，最終通過災備系統(tǒng)恢復服務。2.上海市網(wǎng)絡安全條例中規(guī)定的法律責任及醫(yī)院如何落實相關安全措施-網(wǎng)絡攻擊者的法律責任：根據(jù)《網(wǎng)絡安全法》，網(wǎng)絡攻擊者需承擔民事責任、行政責任，甚至刑事責任。醫(yī)院應加強安全防護，防止系統(tǒng)被攻擊。-醫(yī)院需定期進行安全評估：醫(yī)院應定期進行安全風險評估，發(fā)現(xiàn)并修復安全漏洞。實際案例：某醫(yī)院通過定期安全評估發(fā)現(xiàn)系統(tǒng)漏洞，及時修復避免數(shù)據(jù)泄露。-患者隱私數(shù)據(jù)需脫敏處理：醫(yī)院應采用脫敏技術處理患者隱私數(shù)據(jù)，防止數(shù)據(jù)泄露。實際案例：某醫(yī)院通過脫敏技術保護患