医院信息安全自查报告及整改措施

医院信息安全自查报告及整改措施第一章自查背景与目标1.1背景2024年3月，国家卫生健康委发布《医疗卫生机构网络安全管理办法（2024版）》，要求二级以上医院在6月底前完成一次全覆盖、穿透式的信息安全自查。本院（××市××医院，三级甲等，床位1800张）信息化领导小组决定以“实战、实查、实改”为原则，用30天完成自查，用60天完成整改，用全年完成巩固。1.2目标a.零死亡事故：确保不因信息安全事件导致患者死亡或重大伤残。b.零数据泄露：患者隐私、电子病历、检验检查结果、支付信息不发生非法外传。c.零勒索中断：核心业务系统（HIS、LIS、PACS、EMR、手麻、ICU监护）不因勒索软件停运超过30分钟。d.合规达标：一次性通过省级卫健委现场复核，评分≥90分。第二章自查范围与依据2.1范围覆盖“云、网、端、数、业、人”六个维度：云——医院私有云（VMwarevSphere7.0）及与××电信合作的医疗影像混合云。网——办公网、设备网、物联网（输液泵、监护仪、智能床）、5G医疗专网。端——医生工作站980台、护士推车260台、移动PDA350台、自助机145台。数——结构化数据22TB、影像数据310TB、备份数据450TB。业——185个业务子系统、47个互联网+医疗小程序、18条医保接口。人——院内职工3187人、外包驻场人员112人、实习生246人。2.2依据《网络安全法》《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》《GB/T22239-2019信息安全技术网络安全等级保护基本要求》《GB/T28448-2019等级保护测评要求》《GB/T35273-2020个人信息安全规范》《ISO/IEC27701:2019》《××省健康医疗数据安全实施细则（试行）》。第三章自查组织与分工3.1组织架构组长：分管信息化副院长（主任医师、CIO）。副组长：信息科主任（高级工程师）、保卫科科长（一级警督）。成员：医务部、护理部、门诊部、财务部、设备科、后勤服务中心、审计科、法务办、纪检办。外部支撑：××网络安全公司（应急服务支撑单位）、××律师事务所（数据合规律师）、××测评机构（A级）。3.2分工矩阵信息科：技术自查、漏洞扫描、渗透测试、日志审计、配置核查。保卫科：机房物理安全、视频监控、门禁、防盗报警。医务部：业务连续性、医生账号、病历权限、临床路径系统。护理部：移动护理终端、PDA、智能输液系统。财务部：医保结算、第三方支付、电子发票。法务办：隐私政策、患者授权、第三方合作协议。纪检办：问责、约谈、违规通报。第四章自查方法与工具4.1方法“四查三测一演练”：四查——制度符合性检查、配置基线核查、日志全量审计、人员访谈。三测——漏洞扫描、渗透测试、红队攻击。一演练——核心业务灾备切换演练。4.2工具漏洞扫描：Nessus10.5.3（自定义医疗专用模板316条）。基线核查：自研脚本H-Baselinev3.1（覆盖WindowsServer、CentOS、Oracle、SQLServer、Redis、ESXi）。日志审计：ELK8.12集群，接入syslog源312个，日增量480GB，保存180天。渗透测试：Metasploitv6.3、BurpSuiteProfessional2024.3，结合××省医疗行业威胁情报库（IOC1.8万条）。红队：模拟勒索软件Contiv2.8样本（隔离环境），攻击路径包括钓鱼邮件、U盘摆渡、RDP暴力、ZeroLogon。灾备演练：采用Zerto9.5U2，对HIS、EMR做15分钟粒度CDP，验证RPO≤15分钟、RTO≤30分钟。第五章自查过程与发现5.1制度层面a.《信息系统账号权限管理办法》2021版未提及“第三方人员离岗即冻”条款，缺失法律追责。b.数据分类分级制度未覆盖“基因数据”，与《人类遗传资源管理条例》冲突。c.应急预案仅有“火灾、地震”场景，无“勒索软件、数据泄露”专项。5.2物理环境a.主机房（B1层）防静电地板下方有积水痕迹，距配电柜0.8米，湿度探头校准过期。b.弱电间堆放纸箱，UPS电池间未设气体灭火，违反《GB50174-2017》A级机房标准。5.3网络架构a.办公网与设备网之间仅通过核心交换机ACL隔离，未部署IPS，存在横向移动风险。b.物联网网段（/16）可直接访问HIS数据库端口1521，未做微分段。c.VPN使用SSLVPN4.6.2，存在CVE-2023-27516，可获取管理员Token。5.4主机与终端a.医生工作站Ghost镜像未打2024-03月度补丁，永恒之黑MS17010仍可远程利用。b.260台护士推车Windows10LTSB2016，本地账户统一密码“123456@nurse”，未加入域。c.自助机145台，其中47台USB口未封，可外接键盘进入BIOS。5.5应用系统a.HIS使用Oracle，默认启用SCOTT、HR示例账户，密码未锁定。b.互联网医院小程序接口“/api/getReport”未做速率限制，可批量枚举检验报告。c.EMR病历浏览存在越权，修改URL参数“patientId”可查看他人病历。5.6数据安全a.备份系统（VeritasNetBackup8.3）使用相同密钥加密，密钥文件保存在/root/readme.key。b.影像云与第三方同步使用HTTP，未启用TLS，可被中间人篡改。c.数据脱敏测试库直接导入生产库，未删除患者姓名、身份证、电话。5.7人员管理a.外包驻场112人中，21人未签署《保密及数据安全协议》。b.2023年离职42名医生，账号于离职后30天才冻结，平均窗口期18天。c.钓鱼演练：发送模拟钓鱼邮件3187封，点击率18.4%，其中53人输入了域账号密码。5.8日志与监测a.防火墙策略“any-any”规则37条，占比8.9%，未记录日志。b.Windows安全日志本地保存7天，未传至日志集中平台，无法溯源。c.数据库审计仅记录“DDL”，未记录“select*frompatient”等敏感查询。第六章风险分级与处置优先级采用CVSSv3.1+医疗业务影响度双维度评分：极高（P0）：勒索软件横向移动、数据库明文、备份密钥泄露，共7项，72小时内关闭。高（P1）：VPN漏洞、小程序越权、离职账号滞后，共13项，7日内关闭。中（P2）：弱电间堆放、自助机USB、日志留存不足，共26项，30日内关闭。低（P3）：防静电地板积水、摄像头角度偏差，共11项，90日内关闭。第七章整改措施7.1制度整改7.1.1发布《××医院数据安全分类分级管理办法（2024版）》a.将数据分为5级：公开、内部、敏感、核心、绝密。b.基因数据、生殖数据、精神类病历列为“绝密”，实行“双人双锁”，访问需副院长级审批。c.每季度法务办牵头，联合纪检、审计进行合规抽查，抽查比例≥10%，违规一次扣部门绩效5%。7.1.2修订《信息系统账号权限管理细则》a.第三方人员账号“日冻周清”，离场当日18:00前由系统管理员冻结，次日10:00前由审计员复核。b.医生、护士调岗，权限变更“T+0”，由医务部/护理部在OA发起，信息科30分钟内完成。c.引入“零信任”策略，所有账号默认无权限，按需申请，季度再认证。7.1.3制定《勒索软件应急处置预案》a.事件分级：可疑邮件、单终端加密、多系统加密、核心业务停摆。b.响应流程：发现→报警（5分钟）→隔离（10分钟）→研判（30分钟）→通报（60分钟）→恢复（2小时）。c.建立比特币应急准备金账户，额度50万元，由财务部主任、CIO、院长三方共管。7.2物理环境整改7.2.1主机房a.积水：重做地面防水，采用环氧树脂+PVC卷材，坡度1%导向地漏，7天内完成。b.湿度探头：更换瑞士RotronicHC2A-S，校准证书溯源至国家计量院，每半年复检。c.气体灭火：新增IG541组合分配系统，钢瓶90L，喷放时间≤60s，与市消防支队联网。7.2.2弱电间a.清理可燃物，安装温感+烟感，张贴“禁止堆放”警示，保卫科每日巡查拍照上传钉钉群。b.增设7×24小时LoRa水浸传感器，阈值2mm，报警推送到信息科值班手机。7.3网络架构整改7.3.1零信任微分段a.采购××品牌SDP控制器2台，采用SPA单包授权，隐藏所有业务端口。b.物联网网段拆分为26个/24微段，默认DENYALL，仅开放输液泵→中间件TCP8080。c.核心交换机升级IOSXE17.12，关闭Telnet，启用SSHv2，算法限定aes256-ctr。7.3.2边界防护a.办公网-设备网之间新增IPS（××型号），策略库版本≥2024-04-001，阻断率≥99%。b.VPN升级至SSLVPN5.0.1，修复CVE-2023-27516，强制国密SM2证书+短信双因子。c.出口防火墙启用Geo-IP，屏蔽高风险国家IP段1.2万个，策略每日自动更新。7.4主机与终端整改7.4.1补丁管理a.搭建WSUS离线包+内网CDN，医生工作站、护士推车统一域控，补丁24小时内自动推送。b.对无法打补丁的Win7影像设备，采用“白名单+USB物理封+网络隔离”兜底。7.4.2终端加固a.本地账户密码策略：长度≥14位，复杂度4类，周期90天，与AD联动。b.自助机USB口使用一次性铅封+电子标签，每月盘点，照片存档。c.部署EDR（××品牌），启用勒索诱捕、行为AI分析，告警≤30秒上传SOC。7.5应用系统整改7.5.1账号与权限a.Oracle禁用SCOTT、HR，启用统一身份认证（OID），数据库账户≤30个。b.互联网医院小程序接入API网关，启用OAuth2.0+JWT，速率限制：同一IP60次/分钟。c.EMR增加Row-LevelSecurity，医生仅可查看主管患者，越权访问立即弹窗并记录。7.5.2安全开发a.引入DevSecOps，上线前强制通过SAST（Coverity）、DAST（AWVS）、SCA（Dependency-Track）。b.源代码托管在GitLabEE，启用分支保护、CodeReview、CI/CD流水线，测试覆盖率≥85%。7.6数据安全整改7.6.1备份与加密a.备份密钥改用HSM（UtimacoSe-P）管理，SM4算法，密钥长度256位，物理卡双人保管。b.影像云强制TLS1.3，证书采用国密SM2-WITH-SM4，关闭TLS1.0/1.1。c.每周进行备份恢复演练，随机抽取5%影像、1%病历，恢复成功率≥99.5%。7.6.2数据脱敏a.构建脱敏流水线：生产→掩码→测试，掩码算法：姓名→随机中文，身份证→保留出生年+4位随机，电话→保留前三后四。b.测试库网络隔离，仅开放堡垒机跳转，访问需项目单+法务审批。7.7人员管理整改7.7.1外包管理a.所有外包人员重新签署《保密及数据安全协议》，增加“违约金50万元”条款。b.建立外包人员白名单，未备案人员禁止进入机房、弱电间。7.7.2意识培训a.新员工入职8小时内完成“网络安全岗前培训”，考试≥90分方可开通账号。b.每季度钓鱼演练，点击率目标≤3%，超标部门扣发当月绩效2%。7.7.3离职流程a.账号冻结前置：人事科在OA点击“离职”即触发AD禁用脚本，同步禁用VPN、企业微信、门禁。b.离职审计：审计科导出近90天操作日志，重点检查批量导出、异常查询。7.8日志与监测整改7.8.1日志留存a.所有网络、安全、主机、数据库日志统一接入ELK，保存≥180天，关键系统≥365天。b.每日凌晨2:00自动哈希校验，防止篡改，哈希值写入区块链（××链）存证。7.8.2监测告警a.SOC启用ML模型，基线学习时间30天，异常检测准确率≥98%，误报≤2%。b.告警分级：P0电话+短信+飞书，P1短信+飞书，P2飞书，P3邮件。第八章实施计划与里程碑|阶段|时间|关键任务|责任部门|完成标志||准备|2024-04-01~04-03|整改方案宣贯、预算审批|信息化领导小组|院长签字、预算到账||制度修订|04-04~04-10|发布3项制度、全员签收|法务办、信息科|OA系统签收率100%||物理整改|04-04~04-15|机房防水、气体灭火、弱电间清理|后勤、保卫科|消防支队验收合格||网络整改|04-08~04-25|零信任部署、IPS上线、VPN升级|信息科|渗透复测通过||主机整改|04-10~04-30|补丁、EDR、白名单|信息科|漏洞关闭率100%||应用整改|04-15~05-10|系统升级、API网关、越权修复|软件开发商|复测无高危漏洞||数据整改|04-20~05-15|备份加密、脱敏、TLS1.3|信息科、财务科|恢复演练成功率≥99.5%||人员整改|04-04~05-20|外包签约、离职流程、培训|人事科、纪检办|钓鱼点击率≤3%||日志整改|04-05~04-30|ELK扩容、哈希上链、SOC调优|信息科|省级专家现场认可||验收|05-25~05-31|第三方测评、卫健委复核|测评机构|评分≥90分|第九章预算与资源总预算480万元，其中：硬件：IPS、SDP、HSM、气体灭火、EDR授权，合计260万元。软件：API网关、DevSecOps工具链、日志License，合计120万元。服务：渗透测试、红队、等保测评、律师咨询，合计70万元。培训：意识培训、钓鱼演练、认证考试，合计30万元。资金来源：医院信息化专项资金60%，医保结余考核奖励40%。第十章运维与持续改进10.1建立“1+3+7”机制1天：每日安全运营晨会，SOC值班员汇报告警。