2025年醫(yī)保網(wǎng)絡(luò)安全自檢自查報(bào)告2025年，我單位嚴(yán)格貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及國(guó)家醫(yī)療保障局《醫(yī)療保障信息系統(tǒng)安全等級(jí)保護(hù)基本要求（試行）》等法律法規(guī)和行業(yè)規(guī)范，以“零容忍、全覆蓋、嚴(yán)整改”為目標(biāo)，圍繞醫(yī)保信息系統(tǒng)網(wǎng)絡(luò)安全全生命周期管理，組織技術(shù)團(tuán)隊(duì)、業(yè)務(wù)部門及第三方安全服務(wù)商，開展了為期2個(gè)月的網(wǎng)絡(luò)安全自檢自查工作。本次自查覆蓋核心業(yè)務(wù)系統(tǒng)、終端設(shè)備、數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)、網(wǎng)絡(luò)邊界等全場(chǎng)景，涉及參保人員信息管理、醫(yī)保結(jié)算、異地就醫(yī)備案、藥品耗材招采等12個(gè)業(yè)務(wù)模塊，累計(jì)檢查設(shè)備327臺(tái)（套），分析日志數(shù)據(jù)230GB，核查數(shù)據(jù)訪問(wèn)記錄15萬(wàn)條，發(fā)現(xiàn)并整改問(wèn)題21項(xiàng)?，F(xiàn)將自查情況報(bào)告如下：一、網(wǎng)絡(luò)安全管理體系建設(shè)情況（一）制度與責(zé)任落實(shí)。我單位已建立“主要領(lǐng)導(dǎo)負(fù)總責(zé)、分管領(lǐng)導(dǎo)直接抓、信息部門具體實(shí)施、業(yè)務(wù)部門協(xié)同配合”的網(wǎng)絡(luò)安全責(zé)任體系，明確“一把手”為網(wǎng)絡(luò)安全第一責(zé)任人，分管信息化工作的領(lǐng)導(dǎo)為直接責(zé)任人，信息中心主任為執(zhí)行責(zé)任人。2025年3月修訂了《醫(yī)保信息系統(tǒng)網(wǎng)絡(luò)安全管理制度》《醫(yī)保數(shù)據(jù)安全管理辦法》《第三方合作安全協(xié)議模板》等11項(xiàng)制度，新增“零信任訪問(wèn)控制”“AI安全監(jiān)測(cè)”“數(shù)據(jù)跨境流動(dòng)管理”等3項(xiàng)條款，確保制度覆蓋網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、運(yùn)行、維護(hù)全流程。目前，所有制度均已通過(guò)單位辦公會(huì)審議并印發(fā)執(zhí)行，各部門均簽署了《網(wǎng)絡(luò)安全責(zé)任書》，明確了23項(xiàng)具體責(zé)任事項(xiàng)。（二）人員管理與培訓(xùn)。2025年累計(jì)開展網(wǎng)絡(luò)安全專題培訓(xùn)4次，覆蓋全體職工（127人）及第三方運(yùn)維人員（23人），培訓(xùn)內(nèi)容包括《數(shù)據(jù)安全法》解讀、醫(yī)保數(shù)據(jù)泄露典型案例、終端安全操作規(guī)范、應(yīng)急響應(yīng)流程等。其中，針對(duì)技術(shù)崗位人員（信息中心15人）開展了“漏洞挖掘與修復(fù)”“滲透測(cè)試實(shí)戰(zhàn)”等進(jìn)階培訓(xùn)，考核通過(guò)率100%。建立了“最小權(quán)限”賬戶管理制度，所有系統(tǒng)賬號(hào)實(shí)行“一人一碼、按需授權(quán)”，定期（每季度）開展權(quán)限審計(jì)，2025年1-10月共收回冗余權(quán)限27項(xiàng)，調(diào)整高風(fēng)險(xiǎn)權(quán)限（如數(shù)據(jù)庫(kù)管理權(quán)限）5項(xiàng)。（三）合規(guī)性評(píng)估。委托國(guó)家認(rèn)可的第三方測(cè)評(píng)機(jī)構(gòu)（XX信息安全測(cè)評(píng)中心）對(duì)醫(yī)保核心業(yè)務(wù)系統(tǒng)開展了等保2.0三級(jí)測(cè)評(píng)，測(cè)評(píng)得分92.3分（滿分100分），針對(duì)測(cè)評(píng)中提出的“部分終端未啟用磁盤加密”“日志留存時(shí)間不足6個(gè)月”等7項(xiàng)問(wèn)題，已全部完成整改并提交復(fù)測(cè)報(bào)告。同時(shí)，對(duì)照《醫(yī)療保障信息系統(tǒng)安全規(guī)范（2024版）》開展自評(píng)估，重點(diǎn)核查數(shù)據(jù)分類分級(jí)（已將參保人員身份證號(hào)、聯(lián)系方式、診療記錄等12類數(shù)據(jù)標(biāo)記為“核心敏感數(shù)據(jù)”）、跨境數(shù)據(jù)流動(dòng)（本年度無(wú)醫(yī)保數(shù)據(jù)出境情況）、第三方合作安全（與2家藥品耗材平臺(tái)、1家云服務(wù)商簽署了安全協(xié)議，明確數(shù)據(jù)使用范圍及安全責(zé)任）等關(guān)鍵環(huán)節(jié)，評(píng)估結(jié)果符合行業(yè)要求。二、網(wǎng)絡(luò)安全技術(shù)防護(hù)體系運(yùn)行情況（一）網(wǎng)絡(luò)架構(gòu)與邊界防護(hù)。醫(yī)保信息系統(tǒng)采用“兩地三中心”架構(gòu)（本地生產(chǎn)中心、同城災(zāi)備中心、異地?cái)?shù)據(jù)備份中心），網(wǎng)絡(luò)區(qū)域劃分為核心業(yè)務(wù)區(qū)、終端接入?yún)^(qū)、互聯(lián)網(wǎng)服務(wù)區(qū)、第三方接入?yún)^(qū)，各區(qū)域間通過(guò)防火墻（深信服AF-1000-B2100）實(shí)現(xiàn)邏輯隔離，策略規(guī)則共1200條，每月進(jìn)行策略優(yōu)化（2025年累計(jì)優(yōu)化3次）?；ヂ?lián)網(wǎng)出口部署了入侵檢測(cè)系統(tǒng)（啟明星辰天闐入侵檢測(cè)系統(tǒng)V5.0）、Web應(yīng)用防火墻（安恒明御WAF），2025年1-10月累計(jì)攔截SQL注入攻擊132次、XSS攻擊87次、CC攻擊5次，阻斷惡意IP訪問(wèn)623個(gè)。第三方接入?yún)^(qū)采用“白名單+雙向認(rèn)證”機(jī)制，僅允許已備案的23家醫(yī)療機(jī)構(gòu)、5家藥店接入，接入前需通過(guò)數(shù)字證書（CFCA證書）和動(dòng)態(tài)令牌雙重驗(yàn)證。（二）終端與設(shè)備安全。全單位共部署終端設(shè)備283臺(tái)（其中業(yè)務(wù)終端217臺(tái)、辦公終端66臺(tái)），全部安裝了終端安全管理系統(tǒng)（深信服EDR），實(shí)現(xiàn)進(jìn)程監(jiān)控、補(bǔ)丁管理、外設(shè)管控（禁用USB存儲(chǔ)設(shè)備，僅允許認(rèn)證U盤使用）等功能。2025年累計(jì)推送系統(tǒng)補(bǔ)丁（Windows、Linux）127個(gè)，補(bǔ)丁安裝率99.8%；發(fā)現(xiàn)并處理異常進(jìn)程（如可疑腳本運(yùn)行）15起，均為誤操作導(dǎo)致，已對(duì)相關(guān)人員進(jìn)行安全提醒。核心網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）均啟用SSH協(xié)議遠(yuǎn)程管理，禁用Telnet，管理員賬號(hào)密碼每90天強(qiáng)制更換，2025年共修改密碼4次，未發(fā)生設(shè)備被非法登錄事件。（三）應(yīng)用系統(tǒng)安全。醫(yī)保核心業(yè)務(wù)系統(tǒng)（包括醫(yī)保結(jié)算系統(tǒng)V3.0、參保人員管理系統(tǒng)V2.5、異地就醫(yī)平臺(tái)V4.2）均采用B/S架構(gòu)，前端與后端通過(guò)HTTPS（TLS1.3）加密傳輸，敏感數(shù)據(jù)（如銀行卡號(hào)、病歷號(hào)）在傳輸過(guò)程中進(jìn)行二次加密（AES-256）。身份認(rèn)證采用“用戶名+密碼+短信驗(yàn)證碼”三重機(jī)制，登錄失敗超過(guò)5次自動(dòng)鎖定賬號(hào)（鎖定時(shí)間30分鐘）。2025年開展了2次應(yīng)用系統(tǒng)滲透測(cè)試（委托XX安全公司），發(fā)現(xiàn)高危漏洞2個(gè)（SQL注入、未授權(quán)訪問(wèn)），中危漏洞5個(gè)（弱口令、敏感信息泄露），均在72小時(shí)內(nèi)完成修復(fù)并復(fù)測(cè)通過(guò)。（四）數(shù)據(jù)安全管理。建立了醫(yī)保數(shù)據(jù)全生命周期管理制度，數(shù)據(jù)采集環(huán)節(jié)通過(guò)接口校驗(yàn)（如身份證號(hào)格式校驗(yàn)、參保狀態(tài)校驗(yàn)）確保數(shù)據(jù)準(zhǔn)確性；傳輸環(huán)節(jié)使用虛擬專用網(wǎng)絡(luò)（VPN）加密，2025年累計(jì)傳輸數(shù)據(jù)2.3TB，未發(fā)生數(shù)據(jù)泄露；存儲(chǔ)環(huán)節(jié)對(duì)核心敏感數(shù)據(jù)（如診療記錄、費(fèi)用明細(xì)）進(jìn)行加密存儲(chǔ)（AES-256），數(shù)據(jù)庫(kù)（Oracle19c）開啟審計(jì)功能，記錄所有數(shù)據(jù)操作（增刪改查）；使用環(huán)節(jié)實(shí)行“最小必要”原則，業(yè)務(wù)人員僅能訪問(wèn)與其職責(zé)相關(guān)的數(shù)據(jù)，2025年1-10月共審批數(shù)據(jù)查詢申請(qǐng)327次，均符合授權(quán)范圍；共享環(huán)節(jié)僅向公安、民政等8家單位提供數(shù)據(jù)，通過(guò)安全交換平臺(tái)（金睛數(shù)據(jù)交換系統(tǒng)）進(jìn)行脫敏處理（隱匿姓名、身份證號(hào)后6位），2025年累計(jì)共享數(shù)據(jù)1.2萬(wàn)條；銷毀環(huán)節(jié)采用物理銷毀（硬盤粉碎）或邏輯銷毀（數(shù)據(jù)擦除工具DBAN），2025年共銷毀過(guò)期存儲(chǔ)介質(zhì)17塊。（五）監(jiān)測(cè)與應(yīng)急響應(yīng)。部署了網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)（奇安信天眼監(jiān)測(cè)平臺(tái)），實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量、設(shè)備狀態(tài)、應(yīng)用性能的實(shí)時(shí)監(jiān)控，2025年1-10月累計(jì)生成安全日志12.7萬(wàn)條，發(fā)現(xiàn)異常事件（如異常登錄、流量突增）43起，均在30分鐘內(nèi)處置完畢。制定了《醫(yī)保信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案V3.0》，明確了“事件分級(jí)（特別重大、重大、較大、一般）、響應(yīng)流程（監(jiān)測(cè)-報(bào)告-處置-恢復(fù)-總結(jié)）、責(zé)任分工（信息中心負(fù)責(zé)技術(shù)處置，辦公室負(fù)責(zé)信息通報(bào)，業(yè)務(wù)部門負(fù)責(zé)業(yè)務(wù)銜接）”，2025年6月組織了“醫(yī)保結(jié)算系統(tǒng)大規(guī)模斷網(wǎng)”應(yīng)急演練，模擬因運(yùn)營(yíng)商光纜中斷導(dǎo)致系統(tǒng)無(wú)法訪問(wèn)的場(chǎng)景，演練歷時(shí)2小時(shí)，完成了業(yè)務(wù)切換至災(zāi)備中心、向參保人員發(fā)送短信通知、恢復(fù)后數(shù)據(jù)對(duì)賬等流程，演練評(píng)估得分90分，發(fā)現(xiàn)“災(zāi)備中心帶寬不足”“部分業(yè)務(wù)人員對(duì)應(yīng)急流程不熟悉”等2項(xiàng)問(wèn)題，已分別通過(guò)擴(kuò)容帶寬（從100Mbps提升至500Mbps）、增加專項(xiàng)培訓(xùn)（8月開展1次）完成整改。三、自查發(fā)現(xiàn)的問(wèn)題及整改情況（一）終端安全管理存在漏洞。部分辦公終端（12臺(tái)）因使用年限較長(zhǎng)（超過(guò)5年），無(wú)法安裝最新版終端安全管理軟件（深信服EDRV3.5），導(dǎo)致補(bǔ)丁安裝率（92%）低于整體水平（99.8%）。整改措施：2025年9月已采購(gòu)12臺(tái)新終端（聯(lián)想M730q），替換舊設(shè)備并安裝最新安全軟件，目前補(bǔ)丁安裝率已達(dá)標(biāo)（100%）。（二）第三方合作安全評(píng)估不夠全面。與某藥品耗材平臺(tái)（XX公司）合作時(shí)，僅對(duì)其基本資質(zhì)（營(yíng)業(yè)執(zhí)照、ICP備案）進(jìn)行了審查，未對(duì)其網(wǎng)絡(luò)安全防護(hù)能力（如是否通過(guò)等保測(cè)評(píng)）進(jìn)行深入評(píng)估。整改措施：2025年8月補(bǔ)充要求該平臺(tái)提供等保三級(jí)測(cè)評(píng)報(bào)告（已提供）及近1年安全事件記錄（無(wú)重大安全事件），并修訂合作協(xié)議，增加“每半年提供安全自查報(bào)告”條款。（三）日志留存時(shí)間不足。部分網(wǎng)絡(luò)設(shè)備（如早期部署的交換機(jī)）日志留存時(shí)間僅30天，不符合《網(wǎng)絡(luò)安全法》“日志留存不少于6個(gè)月”的要求。整改措施：2025年7月升級(jí)了日志服務(wù)器（華為OceanStor5310），擴(kuò)容存儲(chǔ)容量至10TB，調(diào)整日志采集策略，所有設(shè)備日志統(tǒng)一收集至服務(wù)器并留存180天，目前已完成15臺(tái)交換機(jī)的配置更新。（四）數(shù)據(jù)脫敏規(guī)則不夠嚴(yán)謹(jǐn)。在向民政部門共享“困難群眾參保數(shù)據(jù)”時(shí)，僅隱匿了身份證號(hào)后6位，但未對(duì)聯(lián)系電話（如1381234）進(jìn)行脫敏處理，存在信息泄露風(fēng)險(xiǎn)。整改措施：2025年10月修訂數(shù)據(jù)脫敏規(guī)則，要求聯(lián)系電話隱匿中間4位（如1381234改為1381234），并在安全交換平臺(tái)中增加自動(dòng)脫敏功能，已對(duì)歷史共享數(shù)據(jù)（2000條）進(jìn)行補(bǔ)脫敏處理。四、下一步工作計(jì)劃（一）持續(xù)完善制度體系。2026年擬修訂《醫(yī)保數(shù)據(jù)跨境流動(dòng)管理辦法》（因國(guó)家可能出臺(tái)相關(guān)細(xì)則）、《AI在醫(yī)保安全中的應(yīng)用規(guī)范》（隨著智能監(jiān)測(cè)系統(tǒng)上線），新增《移動(dòng)終端安全管理規(guī)定》（應(yīng)對(duì)醫(yī)保APP用戶量增長(zhǎng)），確保制度與技術(shù)發(fā)展同步。（二）強(qiáng)化技術(shù)防護(hù)能力。2026年計(jì)劃部署零信任安全架構(gòu)，實(shí)現(xiàn)“身份認(rèn)證+設(shè)備安全+環(huán)境可信”的動(dòng)態(tài)訪問(wèn)控制；采購(gòu)AI安全檢測(cè)系統(tǒng)（如奇安信AI威脅檢測(cè)平臺(tái)），提升對(duì)未知攻擊（如APT攻擊）的識(shí)別能力；升級(jí)數(shù)據(jù)庫(kù)加密技術(shù)（從AES-256升級(jí)至國(guó)密SM4），增強(qiáng)核心數(shù)據(jù)安全性。（三）深化數(shù)據(jù)安全治理。開展醫(yī)保數(shù)據(jù)分類分級(jí)再評(píng)估（重點(diǎn)關(guān)注基因檢測(cè)、罕見病診療等新增數(shù)據(jù)類型），建立數(shù)據(jù)“資產(chǎn)清單”和“風(fēng)險(xiǎn)矩陣”；推動(dòng)與公安、衛(wèi)健等部門的數(shù)據(jù)安全共享機(jī)制，探索“數(shù)據(jù)可用不可見”的聯(lián)邦學(xué)習(xí)技術(shù)應(yīng)用，在保護(hù)隱私的前提下提升數(shù)據(jù)利用價(jià)值。（四）提升人員安全意識(shí)。2026年計(jì)劃將網(wǎng)絡(luò)安全培訓(xùn)納入職工