医院网络安全会议纪要.docxVIP

医院网络安全会议纪要

一、会议基本信息

会议时间：2023年10月26日14:00-16:30

会议地点：医院行政楼三楼会议室

主持人：分管副院长李XX

记录人：信息科科员王XX

参会人员：院长张XX、分管副院长李XX、信息科全体成员、各临床科室主任及护士长代表、网络安全服务供应商技术人员、医务部、护理部、后勤保障部负责人

会议主题：医院网络安全工作部署与风险防控专题会议

会议目的：分析当前医院网络安全形势，通报近期网络安全事件及隐患，部署下一阶段网络安全重点工作，明确各部门职责分工，保障医院信息系统稳定运行及患者数据安全。

二、当前医院网络安全形势分析

2.1外部威胁态势

2.1.1勒索软件攻击频发

2023年第三季度，全国医疗机构共报告勒索软件攻击事件23起，较去年同期增长45%。攻击者通过钓鱼邮件、漏洞利用等手段入侵医院内网，加密核心业务系统并索要高额赎金。某三甲医院因急诊HIS系统被锁，导致当日接诊量骤降60%，患者数据面临泄露风险。

2.1.2医疗数据黑产猖獗

暗网监测显示，患者电子病历交易价格已从2022年的单套50元上涨至2023年的120元。攻击者通过入侵影像存档系统（PACS）或实验室信息系统（LIS），窃取包含身份证号、诊断结果的敏感数据，用于精准诈骗或保险欺诈。

2.1.3供应链攻击升级

某知名医疗设备厂商的固件漏洞被利用，导致全国17家医院的监护设备出现异常数据。攻击者通过篡改设备固件，远程操控医疗参数，对重症患者生命安全构成直接威胁。

2.2内部管理漏洞

2.2.1终端管控薄弱

临床科室普遍存在违规使用个人设备现象。调查显示，78%的护士曾通过U盘拷贝患者数据至家用电脑进行居家办公，其中32%的U盘未经过病毒查杀。某医院检验科因外接移动硬盘传播勒索病毒，导致检验报告系统瘫痪48小时。

2.2.2权限管理混乱

信息系统存在“超级用户”滥用问题。审计日志显示，某医院信息科临时工长期拥有全院数据库管理员权限，可随意调阅院长及VIP患者就诊记录。离职员工账号未及时注销的情况占比达41%。

2.2.3安全意识不足

新员工培训考核通过率仅为63%。典型案例：实习医生点击伪装成“专家会诊通知”的钓鱼邮件，导致科室工作站感染木马，近千份手术计划被加密勒索。

2.3技术防护短板

2.3.1网络架构缺陷

核心业务区与办公区未实现物理隔离。某医院因行政楼感染蠕虫病毒，病毒通过未加密的无线网络迅速扩散至住院部，造成电子病历系统大面积不可用。

2.3.2应急响应滞后

安全事件平均响应时间超过72小时。某医院遭遇DDoS攻击时，因缺乏流量清洗机制，互联网出口带宽被占满，导致官网、预约系统瘫痪达8小时。

2.3.3数据防护不足

患者数据传输过程中存在明文传输。审计发现，移动查房设备与服务器间的数据交互未启用SSL加密，数据包可通过网络嗅探工具直接截获。

三、网络安全问题根源剖析

3.1管理机制缺失

3.1.1制度体系不健全

医院网络安全管理制度存在明显断层。调查发现，68%的三级甲等医院未制定《医疗数据分级分类保护细则》，仅依据《网络安全法》制定通用性条款。某省级医院因缺乏《移动存储介质使用规范》，导致U盘交叉感染事件频发，平均每月发生3次病毒传播。制度执行层面，安全考核权重仅占信息科KPI的12%，远低于业务系统可用性指标的40%。

3.1.2责任主体模糊化

网络安全责任呈现“三不管”现象。信息科认为设备归属临床科室，临床科室认为应由信息科维护，后勤保障部则强调物理环境安全。某医院因放射科CT机固件漏洞未修复，导致影像系统被植入后门，事后追溯发现三方均未在设备维保协议中明确安全责任条款。审计报告显示，83%的安全事件存在责任推诿记录。

3.1.3流程管控失效

安全运维流程存在严重漏洞。新员工入职时，IT账号开通仅需科室主任签字，未同步进行安全背景审查。某医院实习医生利用漏洞获取全院患者数据，调查发现其入职时仅填写了《保密承诺书》但未签署《账号使用协议》。应急响应流程中，事件上报需经过三级审批，平均耗时4.5小时，远超行业2小时标准。

3.2技术防护薄弱

3.2.1网络架构缺陷

核心业务区与办公区未实现逻辑隔离。某医院因行政楼感染蠕虫病毒，通过未加密的无线网络迅速扩散至住院部，造成电子病历系统大面积不可用。网络拓扑中，HIS系统与互联网出口之间仅部署单台防火墙，未形成纵深防御体系。2023年勒索攻击事件中，87%的医院存在类似架构缺陷。

3.2.2终端防护不足

医疗终端安全防护存在盲区。移动查房设备普遍未安装EDR（终端检测与响应）系统，某医院感染事件中，5台平板电脑成为病毒传播源。打印机、输液泵等IoT设备默认密码未修改，某三甲医院发现23台设备存在弱密码漏洞，其中3台已被控制为跳板攻击服务