2025年医院网络安全培训试题及答案.docxVIP

2025年医院网络安全培训试题及答案

一、单项选择题（每题2分，共40分）

1.根据《中华人民共和国网络安全法》及《关键信息基础设施安全保护条例》，下列哪项不属于医院作为关键信息基础设施运营者应履行的义务？

A.制定网络安全事件应急预案并定期演练

B.每年至少进行一次网络安全检测和风险评估

C.将患者电子病历数据存储于境外服务器

D.设置专门安全管理机构并配备安全管理人员

答案：C（解析：关键信息基础设施运营者存储数据应符合本地化要求，医疗数据属于重要数据，不得随意存储于境外）

2.某医院护士通过微信将患者CT影像发送给上级医生会诊，这种行为违反了以下哪项安全原则？

A.最小权限原则

B.数据加密传输原则

C.最小必要原则

D.责任溯源原则

答案：B（解析：微信传输未使用医院专用加密通道，可能导致数据在传输过程中被截获）

3.医院HIS系统（医院信息管理系统）遭受勒索软件攻击后，正确的应急处置流程是？

A.立即支付赎金获取解密密钥→恢复系统→上报主管部门

B.断开感染设备网络连接→启动容灾备份→分析攻击路径→上报并留存证据

C.关闭防火墙→使用杀毒软件全盘扫描→联系软件厂商修复漏洞

D.继续使用系统→记录异常日志→24小时后上报

答案：B（解析：勒索软件攻击后需立即隔离防止扩散，优先使用备份恢复，同时保留证据用于溯源）

4.下列哪类医疗数据属于《个人信息保护法》规定的“敏感个人信息”？

A.患者姓名及就诊科室

B.患者年龄及联系方式

C.患者传染病诊断结果

D.患者门诊挂号序号

答案：C（解析：传染病诊断结果涉及健康敏感信息，受《个人信息保护法》严格保护）

5.医院部署物联网医疗设备（如智能输液监控系统）时，应重点防范的安全风险是？

A.设备固件未及时更新导致的漏洞利用

B.设备屏幕显示分辨率不足

C.设备电池续航时间过短

D.设备操作界面不友好

答案：A（解析：物联网设备常因固件更新不及时成为网络攻击入口，可能导致设备被控制或数据泄露）

6.某医生使用医院内网电脑访问不明链接后，电脑出现文件加密提示，最可能的攻击手段是？

A.DDoS攻击

B.勒索软件攻击

C.SQL注入攻击

D.中间人攻击

答案：B（解析：文件加密是勒索软件的典型特征）

7.根据《医疗质量安全核心制度要点》，关于电子病历访问控制的要求，下列说法正确的是？

A.实习医生可使用带教老师账号登录电子病历系统

B.医生账号应设置为6位数字密码并长期不更换

C.护士仅能访问本科室患者的电子病历

D.行政人员可查看所有患者的电子病历用于统计

答案：C（解析：需遵循最小权限原则，仅授予必要访问权限）

8.医院网络安全等级保护三级系统的年度测评要求是？

A.每3年至少测评1次

B.每2年至少测评1次

C.每年至少测评1次

D.每半年至少测评1次

答案：C（解析：等保三级系统需每年开展测评）

9.下列哪项措施不能有效防范钓鱼邮件攻击？

A.在邮件服务器部署反钓鱼过滤规则

B.定期组织员工参加钓鱼邮件模拟演练

C.要求员工将收到的可疑邮件直接删除

D.对邮件附件启用沙箱检测技术

答案：C（解析：直接删除可能遗漏关键信息，正确做法是通过专用渠道上报并留存分析）

10.医院移动护理终端（PDA）的安全管理应重点关注？

A.终端外壳是否防摔

B.终端是否安装医院统一MDM（移动设备管理）系统

C.终端屏幕尺寸是否符合操作需求

D.终端电池容量是否满足8小时工作

答案：B（解析：MDM系统可实现设备定位、数据擦除、应用管控等安全功能）

11.某医院将患者检验报告接口开放给第三方体检机构，需首先完成的安全评估是？

A.网络带宽是否满足传输需求

B.数据接口的加密方式是否符合国密标准

C.第三方机构的网络安全资质及数据使用协议

D.接口开发语言是否为Java

答案：C（解析：数据共享前需对第三方进行安全评估并签订保密协议）

12.医院信息系统日志应至少保存多长时间？

A.3个月

B.6个月

C.1年

D.2年

答案：B（解析：《网络安全法》要求日志留存不少于6个月）

13.下列哪种加密算法适用于电子病历数据的存储加密？

A.MD5（哈希算法）

B.AES-256（对称加密）

C.SHA-256（哈希算法）

D.RSA（非对称加密）

答案：B（解析：AES-256是对称加密算法，适合大量数据的存储加密）

14.医院网络安全事件分为四级，其中“导致2000名以上患者个人信息泄露”属于哪一级？

A.特别重大事件（Ⅰ级）

B.重大事件（Ⅱ级）

C.较大事件（Ⅲ级）

D.一般事件（Ⅳ级）

答案：B（解析：根据《医疗卫生机构网络安全事件报告管理办法》，泄露500