《智慧医院信息安全防御体系构建》教学设计-面向医学信息学研究生

《智慧医院信息安全防御体系构建》教学设计——面向医学信息学研究生一、教学基本信息与设计理念本课程设计面向医学信息学专业硕士研究生，课题名称为《智慧医院信息安全防御体系构建》。在健康医疗大数据上升为国家战略、医院数字化转型步入深水区的当下，信息安全已不再仅仅是技术部门的运维问题，而是上升为关乎患者生命安全、医院核心业务连续性和国家安全层面的战略问题【重要】。本课程旨在培养具备跨学科视野的高层次复合型人才，使学生不仅掌握信息安全的通用理论，更能深刻理解医疗场景下的特殊性与复杂性。课程设计秉持“技术为骨、管理为脉、安全为盾”的理念【1】，强调从“被动防御”向“主动免疫”的思维转变，通过“案例剖析+场景实训+思辨研讨”的立体化教学模式【1】，打通理论与实践的壁垒，塑造学生构建医院全方位信息安全体系的核心能力。二、教学背景与学情分析（一）学科定位与课程性质本课程属于医学信息学、医院管理与网络空间安全深度交叉的核心专业课。它要求学生在掌握基础医学知识、医院管理流程和信息技术的基础上，系统学习信息安全的政策法规、技术标准与管理规范，旨在解决智慧医院建设中“数据如何安全共享”、“系统如何稳定运行”、“隐私如何严格保护”等关键难题【热点】。（二）授课对象分析本课程的授课对象为医学信息学专业二年级硕士研究生。他们已经修读了《健康数据治理》、《医院信息系统》等先导课程，具备一定的医学信息学基础。然而，他们的知识结构往往侧重于“建系统”和“用数据”，对于“护安全”的系统性思维尚显薄弱。具体表现为：对信息安全的认识多停留在杀毒软件和密码管理层面，对医疗物联网（IoMT）设备的脆弱性、高级持续性威胁（APT）的攻击链、零信任架构在医疗场景的落地等前沿领域缺乏深度认知【难点】。此外，学生虽具备一定的研究能力，但将理论转化为解决实际医院安全问题的方案设计能力还有待提升。三、教学目标体系依据“立德树人”根本任务和专业人才培养方案，本课程设定如下三维教学目标：（一）知识与技能目标1.【基础】系统阐述医疗信息安全的核心概念，包括CIA三元组（机密性、完整性、可用性）在医疗场景下的特定内涵，如患者生命健康数据（PHI）的保护标准【重要】。2.【基础】准确复述《网络安全法》、《数据安全法》、《个人信息保护法》以及医疗卫生行业（如国家卫生健康委关于电子病历应用水平分级评价中的安全要求）对医院信息安全管理的关键规定【高频考点】。3.【重要】深入解析医院信息系统的组成架构（HIS、PACS、LIS、EMR等）及其对应的安全风险点，特别是传统IT系统与新兴医疗物联网（IoMT）设备的融合带来的攻击面扩展【2】。4.【核心】掌握构建医院纵深防御体系的关键技术，包括但不限于：网络边界隔离（防火墙/入侵防御系统IPS）、终端检测与响应（EDR）、数据加密（传输加密与存储加密）、数据库审计与防火牆、特权账号管理以及零信任网络访问（ZTNA）的应用【重要】。（二）过程与方法目标1.通过剖析真实世界重大医疗安全事件（如勒索病毒导致医院停诊、API接口漏洞导致数据泄露），培养学生从技术、管理、人的因素等多维度分析安全事件成因的能力【难点】。2.通过模拟医院信息安全管理决策（如是否允许第三方厂商远程运维），引导学生运用风险评估方法论（如GB/T20984），权衡业务效率与安全管控，制定科学合理的处置方案。3.通过实验室仿真环境操作，使学生初步掌握漏洞扫描、日志分析、安全加固等基础实战技能，体验从“攻击者”视角发现问题的过程，从而构建主动防御思维。（三）情感、态度与价值观目标1.【非常重要】树立“以患者为中心”的安全伦理观。深刻认识到任何安全漏洞都可能直接或间接转化为对患者隐私的侵犯甚至生命安全的威胁，从而内化为严谨负责的职业操守【5】。2.培养依法合规的底线意识。明确医院信息安全的红线，理解合规不仅是法律要求，更是保障医院稳健运行、维护医患信任的基石。3.弘扬科学精神和工匠精神。鼓励学生在面对复杂安全问题时，保持严谨求实的科学态度，追求精细化的安全配置与管理，杜绝粗放式运维。四、教学重点与难点（一）教学重点1.【重点】医疗信息系统特有风险全景图。重点讲授与传统企业IT安全不同的医疗场景风险，例如：老旧医疗设备（如运行WindowsXP的CT机）无法打补丁的困境、DI协议设计之初缺乏安全机制导致影像数据明文传输的风险、医疗物联网设备（输液泵、心电监护仪）默认密码和固件漏洞问题【8】【热点】。2.【重点】构建“云管端”立体化纵深防御体系。系统阐述从物理环境（如核心机房容灾）、网络边界（如环路冗余设计【1】）、主机终端、应用数据到管理制度的多层防护策略，强调“技术防护+制度规范+人员意识”三位一体的协同理念【1】【3】。（二）教学难点1.【难点】攻防对抗视角下的动态防御思维。学生容易静态地、孤立地学习安全产品，难以理解攻击者如何组合利用漏洞进行横向移动和权限提升。需要引导学生建立动态的、持续监测和响应的威胁管理思维。2.【难点】平衡“安全”与“业务”的实践智慧。医院是以救死扶伤为首要目标的复杂组织，过于严苛的安全策略（如复杂密码频繁过期、严格阻断U盘使用）可能反而阻碍临床业务。如何找到既能有效管控风险又不影响诊疗效率的平衡点，是实际工作中的最大挑战【非常重要】。这是从理论到实践最难跨越的一环。五、教学准备与资源1.多媒体课件与教案：精心制作的PPT，包含大量医院真实系统截图、网络拓扑图、攻击链示意图和高清案例视频。2.仿真实验环境：在虚拟化平台搭建模拟医院信息系统沙盘，包含HIS服务器、PACS服务器、医生工作站及模拟攻击机，用于部分演示和实操。3.案例素材库：收集并脱敏处理的近年国内外典型医疗安全事件报告、司法判决文书、行业审计发现的高风险问题等。4.辅助工具集：提供开源或演示版的安全工具，如Wireshark（网络协议分析）、Nmap（端口扫描）、OpenVAS（漏洞扫描）等，并准备详细的操作指南。5.阅读材料：提前发布国家相关法律法规原文、行业标准（如《信息安全技术健康医疗数据安全指南》GB/T39725）、以及顶级会议关于医疗安全的前沿研究论文。六、详细教学过程设计（核心环节）本课程总计4学时（180分钟），分为两个阶段进行，中间安排课间休息。教学过程遵循“认知唤醒体系构建场景深化思辨升华”的逻辑主线。（一）第一学时：认知重塑——从“信息泄露”到“生命威胁”（45分钟）1.导入环节：制造认知冲突（8分钟）创设情境：教师在屏幕展示一张医院急诊室繁忙的照片，随后播放一段经过艺术加工的60秒动画短片：一名黑客远程攻击了医院的PACS系统，导致急诊CT图像无法调阅，医生被迫在无影像资料的情况下进行抢救决策。引发思考：教师抛出问题：“同学们，以往我们谈网络安全，更多想到的是银行卡被盗刷、社交账号被盗。但在医院场景下，网络安全事件意味着什么？仅仅是数据泄露吗？”引导学生打破常规思维，将安全事件与“患者生命安全”直接挂钩【非常重要】。展示真实数据：展示近年来几组令人震惊的真实数据，如“某大型三甲医院日均遭受网络攻击次数超过百万次”【10】、“WannaCry勒索病毒导致英国NHS近两万个门诊预约取消”等，迅速抓住学生注意力，点明课程的高对抗性和高利害性。2.新知讲授：智慧医院的安全挑战图谱（30分钟）IT与OT的融合风险【基础/热点】：首先，教师以同济医院数字化转型为例【1】，展示现代智慧医院复杂的IT架构：云上的业务系统、互联互通的物联网设备、远程会诊系统等。然后，重点引入OT（操作技术）设备的概念【2】。指出传统IT安全关注的是数据的保密性和完整性，而OT安全（如手术机器人、输液泵、生命支持系统）直接关乎物理世界的安全运行。一旦OT设备被控，后果不堪设想【难点】。医疗行业特有风险剖析【重要】：教师结合图文，深入剖析三大核心风险：A.老旧设备漏洞困局【8】：展示一张价值千万的MRI设备图片，强调其内部可能是早已停止维护的Windows系统。由于设备昂贵且需要FDA或NMPA认证重新审批，无法轻易升级或打补丁，形成“带病运行”的顽疾。B.DI协议的先天不足【8】：通过Wireshark抓包演示视频，展示一张患者的CT影像在院内网络传输时，如果未做额外加密，其影像数据和患者姓名等信息是明文可见的。解释DI协议设计于上世纪，默认缺乏安全机制。C.API经济下的数据泄露风险：以医院通过APP、小程序提供挂号查询服务为例，说明开放的API接口若未做严格的鉴权、限流和审计，极易成为数据窃取的突破口。现场互动与即时评价：提问：“如果你是一家三甲医院的信息中心主任，面对以上三大风险，你会优先处理哪一个？为什么？”鼓励学生两两讨论并发言。教师根据学生的回答，即时点评其风险优先级意识的合理性。（二）第二学时：体系构建——“云管端”纵深防御详解（45分钟）1.承上启下（3分钟）简短回顾上一学时提出的医院特有风险，引出本学时的核心任务：面对如此复杂的风险，我们不能“头痛医头”，而必须构建一个层层设防的纵深防御体系。引用专家观点：“技术为骨、管理为脉、安全为盾”【1】。2.核心内容讲授：纵深防御技术体系（35分钟）网络边界层【基础/重要】：讲解下一代防火墙（NGFW）和入侵防御系统（IPS）的作用，不仅是基于端口和协议的访问控制，更要具备应用识别和威胁情报能力。重点介绍“微隔离”技术，即使在数据中心内部，不同业务系统（如HIS与EMR）之间的流量也要进行精细化管控，防止攻击者横向移动。引用同济医院的“环路网络自动容灾设计”【1】，说明网络高可用性本身就是安全的一部分。终端与主机层【重要】：讲解从传统的杀毒软件向EDR的演进。EDR不仅能查杀已知病毒，更能通过行为分析发现未知威胁（如勒索病毒加密文件的异常行为）。强调医院场景下对医护工作站的USB端口管控、外设管控的必要性【8】，防止通过U盘摆渡病毒或窃取数据。数据与权限层【核心/高频考点】：这是本学时的重中之重。A.数据加密：区分传输加密（TLS/SSL）和存储加密（TDE或应用层加密）。特别强调对包含敏感字段（如姓名、身份证号、诊断详情）的数据库表进行列级加密。B.动态权限管理【1】：引入“最小权限原则”。讲解如何通过堡垒机（跳板机）对运维人员的操作进行统一的认证、授权和审计。对于医护人员的访问，则介绍基于角色的访问控制（RBAC），确保护士只能访问其分管病床的患者数据。C.操作审计：讲解数据库审计系统的重要性，它能记录谁、在什么时间、通过什么IP、对哪些数据做了什么操作。一旦发生疑似泄露，可进行快速溯源。强调不仅防外部攻击，更要防内部“内鬼”【8】。物理与环境层【基础】：简要介绍核心机房的物理安全，如模块化UPS电池组、精密空调、门禁监控等【1】，这是最底层但也是最容易被忽视的防线。3.课堂小结与预告（7分钟）通过一张完整的“医院信息安全防御体系全景图”PPT，对本学时内容进行可视化总结，梳理各层级的关键技术和协同关系。预告下节课将进入实战，共同剖析一个完整的医院勒索病毒攻击案例。（三）第三学时：案例实战与攻防推演（45分钟）1.导入案例（5分钟）详细呈现一个改编自真实事件的案例：“某省三甲医院某日清晨，医生打开工作站发现所有文件后缀名被篡改为.locked，屏幕上出现勒索信息。医院随即启动应急响应……”案例包含详细背景：医院正在升级电子病历系统，核心交换机存在配置缺陷，部分服务器未安装最新补丁。2.分组研讨与攻防推演【非常重要/热点】（30分钟）将学生分为四个小组，分别扮演不同角色：“攻击者组”、“医院应急响应组（信息中心）”、“院领导管理层”、“监管与媒体组”。阶段一（攻击还原）：“攻击者组”根据案例背景线索，推演可能的攻击路径。例如：通过钓鱼邮件攻陷某医生工作站>以此为跳板在内网扫描>利用永恒之蓝漏洞横向移动到备份服务器>最终加密核心数据。其他组进行质询和补充【难点】。阶段二（应急响应）：“医院应急响应组”上台，阐述在事件发生后的1小时、24小时、一周内应采取的紧急措施。例如：立即断网隔离、上报卫健委和网安部门、启动手工模式保证急诊、联系数据恢复公司、发布公告等【4】。教师引导讨论断网的利弊、是否支付赎金的伦理困境。阶段三（复盘与追责）：“院领导管理层”和“监管与媒体组”从管理和合规角度进行复盘，分析事件暴露的管理漏洞（如备份策略是否有效、安全意识培训是否到位、第三方运维是否合规），并讨论相关责任人可能面临的法律责任。教师在此过程中巡回指导，不断抛出尖锐问题，激发辩论。例如：“如果备份也同时被加密，怎么办？”“如何向患者解释检查延误？”“这个漏洞到底是技术问题还是管理问题？”3.专家点评与提炼（10分钟）教师以行业专家身份对各组表现进行点评，肯定亮点，指出思考盲区。最后，从本次推演中提炼出关键教训：人是安全链上最薄弱的一环，有效的备份是最后一道救命稻草，应急预案不能停留在纸上，必须定期演练【7】。同时强调，安全管理不是要找“背锅侠”，而是要系统性地改进流程和技术。（四）第四学时：法规遵从与AI时代的安全新挑战（45分钟）1.政策法规梳理解读【基础/高频考点】（20分钟）“三驾马车”在医疗场景的落地：教师系统梳理《网络安全法》中的“网络安全等级保护2.0”（等保2.0）对医疗行业的要求（通常定级为第三级）；《数据安全法》要求建立数据分类分级制度，重点讲解如何对患者数据进行分级（如核心数据、重要数据、一般数据）；《个人信息保护法》中关于“单独同意”、“最小必要”原则在医疗场景的应用。行业监管重点：结合国家卫生健康委关于“智慧医院”评审、电子病历评级中对安全的要求（如对患者隐私保护的专项审查），让学生理解合规不仅是法律底线，也是医院高质量发展的“必答题”【2】。2.前沿展望：AI赋能安全与AI自身风险【热点】（20分钟）AIforSecurity：讲解如何利用人工智能（特别是用户与实体行为分析UEBA技术）来检测异常。例如，AI可以学习某个医生访问病历的习惯（时间、频率、科室），一旦出现凌晨三点批量上万份病历的异常行为，系统可实时告警甚至阻断【9】。引用同济医院AI病历质控效率提升40%的案例【1】，说明AI在辅助安全运营、提高效率方面的潜力。SecurityforAI：探讨AI系统本身带来的新风险。例如，医疗影像AI辅助诊断模型可能遭受“对抗性攻击”，攻击者通过在影像上添加微小扰动，使模型将恶性肿瘤误判为良性，直接危害患者生命。又如，用于新药研发的AI模型，其训练数据和算法逻辑本身也是需要保护的核心知识产权。引发深度思辨：提问：“当AI系统作出一个危及患者安全的错误判断时，责任应该由开发者、使用者还是医院承担？”引导学生关注智能时代的安全伦理与法律空白。3.课程总结与终极作业（5分钟）教师对本课程四个学时的核心内容进行升华总结。强调医院信息安全管理是一门“权衡的艺术”，是在效率、成本、体验与安全之间寻求最优解的动态过程。它需要技术专家具备悲悯之心，更需要医务管理者拥有技术之眼。布置终极作业（小组项目）：“请以小组为单位，为一家正在规划新院区的三级医院设计一份《新院区信息安全顶层设计方案》。”要求方案必须包含现状调研、需求分析、技术架构（含网络、数据、终端）、管理体系（含制度、人员、应急）以及预算概算