醫(yī)院信息安全自查報告及整改措施本次信息安全自查覆蓋醫(yī)院核心信息系統(tǒng)（HIS、電子病歷、LIS、PACS、醫(yī)保接口、互聯(lián)網(wǎng)醫(yī)院平臺）及相關(guān)基礎(chǔ)設(shè)施（服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)鏈路、數(shù)據(jù)存儲介質(zhì)），通過技術(shù)檢測、日志分析、人員訪談、漏洞掃描（使用Nessus、AWVS工具）、滲透測試（委托第三方機(jī)構(gòu)）等方式，重點(diǎn)排查網(wǎng)絡(luò)安全、數(shù)據(jù)安全、終端安全、訪問控制及人員管理風(fēng)險?，F(xiàn)將具體問題及整改情況報告如下：一、自查發(fā)現(xiàn)問題1.弱口令與身份認(rèn)證缺陷：門診收費(fèi)處5臺終端（IP：01205）使用默認(rèn)口令"123456"或簡單重復(fù)字符（如"abc123"），占該區(qū)域終端總數(shù)的31%；放射科3名醫(yī)生賬號未啟用雙因素認(rèn)證，存在賬號冒用風(fēng)險。2.數(shù)據(jù)訪問控制不嚴(yán)：藥劑科3名護(hù)士賬號（工號：YZ007、YZ012、YZ015）通過HIS系統(tǒng)越權(quán)訪問電子病歷（EMR）模塊，可查看非本科室患者診療記錄；檢驗(yàn)系統(tǒng)（LIS）存在12條冗余權(quán)限，已離職人員賬號未及時注銷。3.網(wǎng)絡(luò)邊界防護(hù)薄弱：互聯(lián)網(wǎng)醫(yī)院平臺Web應(yīng)用（域：）經(jīng)滲透測試發(fā)現(xiàn)SQL注入漏洞（CVE20241234），可導(dǎo)致患者姓名、手機(jī)號等個人信息泄露；醫(yī)保接口區(qū)與業(yè)務(wù)網(wǎng)間僅部署單臺防火墻，未劃分DMZ區(qū)，存在橫向滲透風(fēng)險。4.數(shù)據(jù)備份與恢復(fù)隱患：PACS系統(tǒng)（存儲患者影像數(shù)據(jù)）本地備份周期為每周一次全量備份+每日增量備份，但備份介質(zhì)（磁帶）僅存放在機(jī)房同一樓層，未執(zhí)行異地容災(zāi)；最近一次恢復(fù)測試（2024年3月）未覆蓋所有影像類型，乳腺鉬靶影像恢復(fù)失敗率達(dá)15%。5.終端安全管理缺失：急診科2臺移動查房平板（設(shè)備編號：PAD20240401、PAD20240402）未安裝企業(yè)級殺毒軟件，檢測到惡意軟件"Trojan.Win32.MalDoc"；門診診室4臺電腦存在使用私人U盤拷貝患者檢驗(yàn)報告的行為（涉及5例，拷貝文件含患者姓名、檢查結(jié)果）。6.人員安全意識不足：隨機(jī)抽取50名醫(yī)護(hù)人員進(jìn)行信息安全知識測試，平均得分62分（滿分100），其中23人不了解《個人信息保護(hù)法》中"最小必要"原則；3名護(hù)士在非工作時間（22:0024:00）登錄電子病歷系統(tǒng)，未留存操作日志。二、整改措施及落實(shí)情況1.強(qiáng)化身份認(rèn)證與口令管理：2024年5月20日前完成全院終端口令策略升級，強(qiáng)制要求8位以上字母+數(shù)字+符號組合，定期90天更換，禁用默認(rèn)及簡單口令；對門診收費(fèi)處5臺終端進(jìn)行專項(xiàng)檢查，重置弱口令并記錄，同步啟用賬號登錄失敗5次鎖定機(jī)制。放射科醫(yī)生賬號全部綁定動態(tài)令牌（OTP），雙因素認(rèn)證覆蓋率達(dá)100%。2.規(guī)范數(shù)據(jù)訪問權(quán)限：2024年5月25日前由信息中心聯(lián)合醫(yī)務(wù)科、藥劑科完成權(quán)限梳理，藥劑科3名護(hù)士賬號權(quán)限調(diào)整為僅藥品發(fā)放及庫存查詢，取消電子病歷訪問權(quán)限；建立"申請審批授權(quán)審計"全流程權(quán)限管理機(jī)制，離職人員賬號由人事部門同步通知信息中心，24小時內(nèi)注銷（已清理歷史冗余賬號12個）。3.加固網(wǎng)絡(luò)邊界防護(hù)：2024年5月18日前修復(fù)互聯(lián)網(wǎng)醫(yī)院平臺SQL注入漏洞（通過參數(shù)化查詢、輸入過濾實(shí)現(xiàn)），并部署Web應(yīng)用防火墻（WAF）進(jìn)行流量監(jiān)測；醫(yī)保接口區(qū)新增1臺防火墻，劃分DMZ區(qū)隔離第三方接口服務(wù)器，配置嚴(yán)格的訪問控制策略（僅開放80/443端口，限制源IP范圍）。4.完善數(shù)據(jù)備份與恢復(fù)機(jī)制：2024年5月22日前將PACS系統(tǒng)備份介質(zhì)遷移至同城災(zāi)備中心（距離主機(jī)房15公里），調(diào)整備份策略為每日增量備份+每周全量備份，每月進(jìn)行恢復(fù)測試（5月測試覆蓋所有影像類型，乳腺鉬靶影像恢復(fù)成功率提升至99%）；建立備份有效性驗(yàn)證記錄，由信息中心與放射科共同簽字確認(rèn)。5.加強(qiáng)終端安全管控：2024年5月19日前為急診科2臺移動查房平板安裝企業(yè)級殺毒軟件（深信服EDR），啟用終端安全管理系統(tǒng)（ESM），禁止非授權(quán)移動存儲設(shè)備接入（通過USB接口管控策略實(shí)現(xiàn)）；對門診診室違規(guī)使用U盤行為開展溯源，涉及的5例拷貝文件已追回并銷毀，相關(guān)人員進(jìn)行全院通報批評及安全培訓(xùn)。6.提升人員安全意識：2024年5月20日組織全院醫(yī)護(hù)人員（共823人）進(jìn)行信息安全培訓(xùn)，內(nèi)容包括《個人信息保護(hù)法》《數(shù)據(jù)安全法》解讀、醫(yī)院信息系統(tǒng)操作規(guī)范及典型案例分析（如某醫(yī)院因弱口令導(dǎo)致患者信息泄露事件）；培訓(xùn)后重新測試，平均得分提升至89分；對非工作時間登錄賬號啟用二次認(rèn)證（短信驗(yàn)證碼），并要求操作日志完整記錄（包括IP、時間、操作內(nèi)容）。三、整改效果驗(yàn)證截至2024年5月30日，所有自查問題均已整改完畢：弱口令終端整改率100%，雙因素認(rèn)證覆蓋核心業(yè)務(wù)賬號；數(shù)據(jù)權(quán)限梳理完成率100%，冗余賬號清理率100%；網(wǎng)絡(luò)漏洞修復(fù)后經(jīng)第三方檢測無高危風(fēng)險，邊界防護(hù)策略符合等保2.0要求；PACS備份介質(zhì)已實(shí)現(xiàn)異地存放，恢復(fù)測試通過率達(dá)標(biāo)；