2025年信息系统安全专家医疗行业访问控制设计与审计案例专题试卷及解析.pdfVIP

2025年信息系统安全专家医疗行业访问控制设计与审计案例专题试卷及解析1

2025年信息系统安全专家医疗行业访问控制设计与审计案

例专题试卷及解析

2025年信息系统安全专家医疗行业访问控制设计与审计案例专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在医疗信息系统中，为了确保只有授权的医生才能访问其负责患者的电子病历，

最应采用哪种访问控制模型？

A、自主访问控制（DAC）

B、强制访问控制（MAC）

C、基于角色的访问控制（RBAC）

D、基于属性的访问控制（ABAC）

【答案】C

【解析】正确答案是C。RBAC通过将权限分配给角色，再将角色分配给用户，非

常适合医疗行业中根据职业（如医生、护士）分配权限的场景。A选项DAC由资源所

有者自主控制权限，易导致权限管理混乱；B选项MAC适用于高安全等级系统，灵活

性不足；D选项ABAC虽然更精细，但实现复杂度高，在基础权限管理中不如RBAC

高效。知识点：访问控制模型选择。易错点：混淆RBAC与ABAC的适用场景。

2、某医院在审计HIS系统时发现，离职护士仍能访问患者数据，最可能的原因是？

A、密码策略过于简单

B、未及时撤销用户账户

C、系统日志未开启

D、未使用双因素认证

【答案】B

【解析】正确答案是B。离职人员账户未及时撤销是导致权限残留的直接原因。A

选项密码问题主要影响账户安全性，而非权限有效性；C选项日志缺失影响审计追溯，

与权限无关；D选项双因素认证是增强登录安全性的措施，与账户状态无关。知识点：

账户生命周期管理。易错点：将权限问题与认证问题混淆。

3、在医疗数据访问审计中，以下哪项不属于必须记录的关键信息？

A、访问时间

B、访问者IP地址

C、患者医保号

D、执行的操作类型

【答案】C

【解析】正确答案是C。患者医保号属于敏感个人信息，不应直接记录在审计日志

中，而应使用内部标识符替代。A、B、D项均为审计追踪的基本要素。知识点：审计

2025年信息系统安全专家医疗行业访问控制设计与审计案例专题试卷及解析2

日志内容规范。易错点：忽视敏感信息脱敏要求。

4、某三甲医院实施”最小权限原则”时，应优先采取哪种措施？

A、给所有医生开放全院病历访问权限

B、根据科室分配默认权限

C、按需动态授予临时权限

D、采用默认拒绝策略

【答案】D

【解析】正确答案是D。默认拒绝策略是最小权限原则的基础实现方式。A选项明

显违反原则；B选项可能导致权限过度分配；C选项虽合理但属于补充措施。知识点：

最小权限原则实施。易错点：将”按需授权”等同于”最小权限”。

5、在医疗云环境中，以下哪种访问控制技术最适合实现跨机构数据共享？

A、防火墙规则

B、OAuth2.0协议

C、VLAN隔离

D、IPSecVPN

【答案】B

【解析】正确答案是B。OAuth2.0专为跨系统授权设计，适合医疗云场景。A、C

选项属于网络层控制；D选项主要用于安全连接而非细粒度授权。知识点：跨域访问控

制技术。易错点：混淆网络层与应用层控制机制。

6、某医院审计发现，系统管理员可以查看所有患者数据，这违反了哪个安全原则？

A、职责分离

B、审计独立性

C、数据完整性

D、可用性保障

【答案】A

【解析】正确答案是A。管理员权限过大违反职责分离原则。B选项涉及审计机制

设置；C、D选项属于其他安全属性。知识点：管理权限控制。易错点：忽视特权账户

的权限限制需求。

7、在医疗物联网设备接入控制中，最有效的初始认证方式是？

A、用户名密码

B、数字证书

C、短信验证码

D、生物特征

【答案】B

2025年信息系统安全专家医疗行业访问控制设计与审计案例专题试卷及解析3

【解析】正确