《中國醫院協會：醫院網絡安全托管服務（MSS）實施指南（2025版）（47頁）.pdf》由會員分享，可在線閱讀，更多相關《中國醫院協會：醫院網絡安全托管服務（MSS）實施指南（2025版）（47頁）.pdf（47頁珍藏版）》請在三個皮匠報告上搜索。

1、醫院網絡安全托管服務（MSS）實施指南二二五年 四月中國醫院協會信息專業委員會（CHIMA）編2025 版 在數字化浪潮的持續推動下，醫療行業信息化建設取得顯著進展。醫院信息系統已深度融入醫療服務全流程，成為支撐診療業務開展、醫院管理運營及醫學科研創新的核心基礎設施，承載著海量患者診療數據、醫院管理信息等關鍵資產。然而，新技術應用帶來的便利與效率提升，也伴生了復雜多樣的網絡安全風險。當前，勒索軟件攻擊、數據泄露、系統癱瘓等網絡安全事件頻發，嚴重威脅醫療行業信息安全與業務連續性。這些安全事件不僅可能導致醫院業務中斷，影響患者正常就醫，更可能造成患者隱私泄露，危及公眾生命健康安全與合法權益。作為關

2、鍵信息基礎設施的重要組成部分，醫院網絡安全防護能力關乎公共衛生體系的穩定運行，構建堅實的網絡安全防線已成為醫療行業發展的必然要求。但從行業調研情況來看，眾多醫院受限于專業安全人才短缺、安全投入不足、技術更新滯后等因素，難以獨立構建全面、高效的網絡安全防護體系。在此背景下，網絡安全托管服務（Managed Security Service,MSS）作為一種專業化、集約化的安全運營模式，為醫院網絡安全建設提供了新的解決方案與發展路徑。中國醫院協會信息專業委員會立足行業發展需求，聯合多家醫療機構、行業專家及專業機構，共同編撰 醫院網絡安全托管服務（MSS）實施指南。本指南旨在為各級醫療機構提供科學、

3、系統、可操作的指導，幫助醫院在保障患者信息安全和醫療業務連續性的前提下，規范引入網絡安全托管服務，充分發揮其在醫院網絡安全防護體系中的重要支撐作用。指南圍繞托管服務的需求分析、服務商選擇、技術部署、運營管理及合規要求等關鍵環節，提出規范性要求與實施建議，助力醫院提升網絡安全防護能力，推動醫療行業在數字化轉型進程中穩健前行，為智慧醫療健康發展筑牢安全屏障。醫院網絡安全托管服務（MSS）實施指南前言北京大學腫瘤醫院前言中國醫院協會信息專業委員會與北京大學腫瘤醫院共同編制 醫院網絡安全托管服務（MSS）實施指南，旨在為醫院實施網絡安全托管服務提供系統性建設規范，指南內容覆蓋醫療衛生機構網絡安全服務的

4、各實施環節。針對當前醫院普遍存在的網絡安全服務選擇能力參差不齊、服務質量缺乏統一標準、服務成本投入產出比低、安全技術應用覆蓋面不足等痛點，本指南通過構建標準化的服務框架和可落地的實施方案，為醫院提供兼具實用性與參考價值的建設指引。指南發布后，我們將持續關注醫院發展，持續監測指南的指導效果，積極收集廣大讀者的反饋，適時進行更新和修訂，以適應醫院不斷變化的業務安全訴求，詳細建議可反饋 CHIMA 官方郵箱：。在專委會指導下，以下單位參與本指南的編寫和審核：北京大學腫瘤醫院、北京協和醫院、華中科技大學同濟醫學院附屬同濟醫院、上海交通大學醫學院附屬仁濟醫院、復旦大學附屬中山醫院、鹽城市第一人民醫院、華

5、中科技大學同濟醫學院附屬協和醫院、浙江大學醫學院附屬第四醫院、中南大學湘雅二醫院、中南大學湘雅三醫院、四川大學華西天府醫院、山西醫科大學第一醫院、河北醫科大學第四醫院、江蘇省人民醫院、中山大學附屬第六醫院、安徽醫科大學第一附屬醫院、西北婦女兒童醫院、海南醫科大學第二附屬醫院、濰坊市人民醫院、鄭州大學第三附屬醫院、中國醫科大學附屬盛京醫院、蘭州大學第二醫院、北京市衛生健康大數據與政策研究中心、浙江醫院、杭州市第一人民醫院、杭州師范大學附屬醫院、浙江大學醫學院附屬口腔醫院、杭州市婦產科醫院、江蘇乾元通信息科技有限公司、深信服科技股份有限公司。王安莉 鄧 悟 付繼剛 白云云 朱洪濤 朱 杰 朱麗艷

6、伊永菊 劉 華 孫潤康李潤平 李金剛 楊劍峰 吳 檠 沈玉強 張俊欽 張 楠 汪 偉 蘇子仁 邵 尉 陳元春 鄭 濤 鄭 智 郜 勇 郗 群 倪紅波 袁 林 陶 敏 蔡雨蒙 翟亞奇衡反修王才有 薛萬國馬聿嘉 田 昕 孫國強 張 睿 陳 斌 費科鋒 琚文勝醫院網絡安全托管服務（MSS）實施指南指南編制說明（以上排名不分先后）指南編制說明指南編寫參與人員（按姓氏筆畫排序）主 編：主 審：審核專家：編委成員：前言指南編制說明背景醫院網絡安全現狀與挑戰網絡安全托管服務的價值指南的目標和適用范圍相關術語與定義醫院網絡安全托管服務的種類及選擇醫院網絡安全托管服務種類及內容醫院服務種類選擇指引醫院實施網絡安

7、全托管服務的基礎條件醫院網絡技術條件醫院基礎防護技術條件人員及管理要求網絡安全托管服務提供商的資質要求及選擇服務技術資質服務團隊要求服務管理資質服務能力要求服務效果要求服務體驗要求服務成本要求0101010102030307080808080909091111161718目錄醫院網絡安全托管服務（MSS）實施指南目錄網絡安全托管服務協議約定責任聲明服務協議主要條款安全托管責任界定醫院網絡安全托管服務流程服務啟動階段服務上線階段服務持續運營階段服務終止階段醫院網絡安全托管服務的監管監管原則質量保障監督考核安全托管典型應用場景典型應用場景介紹醫院最佳實踐介紹附錄附錄A附錄B附錄C附錄D181818

8、181919192125262626272727283333343639醫院網絡安全托管服務（MSS）實施指南目錄一、背景1.1 醫院網絡安全現狀與挑戰近年來國家及行業主管單位接連頒布了中華人民共和國數據安全法 關于落實衛生健康行業網絡信息與數據安全責任的通知 醫療衛生機構網絡安全管理辦法等法律法規文件，明確要求定期開展安全檢查，對信息系統安全性進行有效驗證，以查促建、以查促管、以查促改、以查促防，促進網絡安全能力穩步提升，杜絕網絡信息與數據安全事件的發生。從相關調研數據來看，盡管全國約 75%的三級醫院已開展網絡安全等級保護建設，但仍面臨較多的安全挑戰：1.3 指南的目標和適用范圍關鍵資產管

9、控難度大多數醫院的互聯網資產類型復雜、不可視；許多科室自建系統脫離統一管理，形成大量“影子資產”。安全運維效率低當前醫院安全建設主要依賴傳統安全設備和人工運維，存在漏洞修復滯后、告警處置率低等問題；常見隱患包括弱密碼、高危漏洞、非必要開放端口等，但因人力不足、能力差異，難以及時閉環。011.2 網絡安全托管服務的價值網絡安全托管服務可作為醫院安全體系建設的補充，醫院可通過服務化技術托管方式，獲得 7*24 小時不間斷的威脅監測、研判分析、快速處置、事件閉環等安全運營能力及服務，能夠經濟、便捷地幫助醫院建立安全監測預警防護體系，對抗網絡信息安全威脅。醫院實戰能力薄弱大部分醫院存在安全人員實戰機會

10、少、經驗不足以及應急響應流程不完善等問題，難以應對外部專業、頻繁的實戰攻擊。醫院的安全運營防護能力還有進一步提升的空間。全天候防護能力：724 小時威脅監測、分析、處置，快速阻斷攻擊；結合 AI 自動化與人工研判，實現分鐘級響應，降低業務中斷風險。系統性風險管控:覆蓋資產梳理、漏洞修復、事件響應全流程，避免“頭痛醫頭、腳痛醫腳”；通過定期安全評估與加固，持續優化防護策略。合規與成本平衡：幫助醫院滿足法規要求，減少因違規導致的處罰風險；以服務化模式替代高成本自建團隊，幫助醫院節約投入成本。適用范圍：本指南適用于醫療衛生行業網絡安全服務供需雙方開展網絡安全服務內容、操作規范、服務響應能力以及相關合

11、同編制等活動中，都可以在此規范中獲取所需要的信息。規范服務選擇：統一托管服務的內容、質量標準和實施流程，解決醫院“選不準、用不好”問題。降低實施門檻：為醫院提供可落地的操作模板（如合同條款、驗收標準），減少試錯成本。推動能力共建：引導醫院借助外部專業力量，逐步培養自身安全團隊，實現“授人以漁”。核心目標醫院網絡安全托管服務（MSS）實施指南背景1.4 相關術語與定義信息安全漏洞 Information security vulnerability信息安全漏洞（以下簡稱“漏洞”）是指計算機信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于計算機信息系統

12、的各個層次和環節之中，一旦被惡意主體所利用，就會對計算機信息系統的安全造成損害，從而影響計算機信息系統的正常運行。威脅 Threat可能導致信息系統危害的不期望事件的潛在緣由。威脅情報 Threat Intelligence業內大多數所說的威脅情報可以認為是狹義的威脅情報，其主要內容為用于識別和檢測威脅的失陷標識，如文件HASH，IP，域名，程序運行路徑，注冊表項等，以及相關的歸屬標簽。高級可持續威脅：Advanced Persistent Threat 簡稱：APT持續攻擊是指對特定對象展開的持續有效的攻擊活動。事件響應劇本 Playbook事件響應劇本是基于安全專家對各類安全事件的深入理解

13、，以及豐富的實戰經驗固化出來的一種事件響應最佳實踐，并將其固化到平臺中，提升安全事件響應的效率及專業程度。黑客 hackers泛指對網絡或聯網系統進行未授權訪問，但無意竊取或造成損壞的人。黑客的動因被認為是想了解系統如何工作，或是想證明或反駁現有安全措施的有效性。信息安全事件 information security incident由單個或一系列意外或有害的信息安全事態所組成的，有可能危害業務運行和威脅信息安全。攻擊 attack在信息系統中，對系統或信息進行破壞、泄露、更改或使其喪失功能的行為（包含竊取數據）。服務水平協議 SLA服務水平協議是指通過書面形式對服務交付成果進行明確約定，一般

14、包含一系列可測量的服務指標。一般來說，SLA 是服務提供者與醫院之間協商并簽訂的一個具有法律約束力的合同或協議，規定了服務提供過程中雙方所承擔的商務條款，簡稱服務指標。安全編排自動化及響應 SOARSOAR（Security Orchestration,Automation and Response）技術是指一種可自動防范網絡攻擊和自動進行響應的服務和工具。這種自動化是通過統一集成、定義任務運行方式和制定滿足組織需求的事件響應計劃來實現的。02醫院網絡安全托管服務（MSS）實施指南背景國際咨詢機構 IDC 將安全托管服務（MSS）定義為安全服務提供商（MSSP）通過安全運營中心進行全天候監控和

15、管理的 IT 安全服務。服務范圍包括部署在本地、外部數據中心和云上的安全托管服務。醫院網絡安全托管服務（MSS）是指醫院通過外包托管的方式獲取 7*24 小時持續有效、高質量的安全運營能力，實現“合規可達、風險可管、事件可控”的醫院網絡安全目標。網絡安全服務商通過安全托管服務平臺和服務團隊，圍繞資產、脆弱性、威脅、事件四個核心安全風險要素，提供風險預防、威脅監測和事件響應閉環等一系列服務。二、醫院網絡安全托管服務的種類及選擇03醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托管服務的種類及選擇運作流程基礎配置：醫院通過信息安全等級保護建設的安全設備（如防火墻、終端防護系統）建立基礎防護。日

16、志上傳：重要安全設備的日志加密上傳至云端運營中心。云端分析：結合AI引擎、威脅情報及人工研判，識別真實事件并生成處置方案。協同閉環：云端團隊與醫院本地人員配合完成事件處置。2.1 醫院網絡安全托管服務種類及內容2.1.1 遠程網絡安全托管服務在當前的安全服務選擇中，主要分為兩類：本地網絡安全托管服務和遠程網絡安全托管服務。特點：通過云端平臺提供724小時威脅監測、分析及處置，覆蓋安全事件全生命周期管理，具備靈活、經濟的特點。外網業務區辦公區內網核心業務區互聯網醫院門戶網站微信掛號智慧問診辦公系統供應商管理系統外網辦公終端各科室辦公終端臨床科室工作站醫保系統全民信息健康平臺不良事件管理EMRHI

17、SPACS管理員日志加密上傳遠程聯動態勢感知邊界防火墻流量采集探針 終端安全管理軟件.按需協助處置按需協助處置疑難雜癥緊急事件/威脅/漏洞一般事件/威脅/漏洞SLA 指標項目匯報 溝通 管理本地化服務安全托管服務-本地團隊醫院側安全托管服務-遠程服務團隊安全運營服務平臺（醫院威脅情報、熱點攻擊事件、行業專屬處置方案、攻防實戰經驗、工單系統、報告中心.）安全能力中臺（數據湖、安全分析與檢測引擎、行業專屬檢測規則.）安全托管服務運營架構安全專家組（專家會診）云端分析師（日常管理）醫院服務經理（跟蹤協調）質量運營專家項目管理PMO本地安全服務工程師本地項目經理醫院 IT 工程師安全工程師（應急響應

18、威脅挖掘）服務質量管理服務質量管理互聯網云地協同圖 21 安全托管服務運營框架托管服務組件范圍平臺類：如態勢感知平臺、擴展檢測與響應平臺（XDR）。流量采集類：如威脅流量探針。邊界防護類：如防火墻。終端管理類：如終端安全管理系統。資產信息：資產的主要信息和指紋信息，如 IP 地址、物理位置、對應的業務系統、負責人、操作系統版本、開放的端口等。脆弱性信息：需采集漏洞掃描器主動發現或安全設備被動發現的系統漏洞、WEB 漏洞和弱口令脆弱性數據，按脆弱性進行優先級排序。網絡攻擊日志：應含 WEB 應用防護日志、漏洞攻擊防護日志、DDOS 日志、僵尸網絡日志、應用控制日志、文件殺毒日志、郵件安全日志和業

19、務脆弱點日志。流量審計日志：應含 TCP/UDP 會話日志、HTTP 日志、DNS 日志、文件審計日志、郵件協議（SMTP/POP3）日志、第三方設備日志（Syslog）。終端行為日志：應含Windows進程創建日志、進程銷毀日志、文件創建日志、文件創建時間修改日志、文件刪除日志、遠程線程創建日志、注冊表創建/刪除/設置日志、DNS 查詢日志、網絡連接日志、進程調用 API 日志、計劃任務創建日志、Windows 主機系統/狀態日志等；Linux 終端行為日志應含進程創建/銷毀日志、文件創建/時間修改/重命名/移動/刪除日志、DNS 查詢日志、網絡連接日志、進程憑證修改/修改日志、內核動態加載

20、信息日志和系統內核交互日志、Linux 系統日志、Linux 主機狀態日志等。終端安全日志：應含病毒查殺日志、WebShell 查殺日志、暴力破解日志、微隔離日志和異常賬號檢測日志。其他安全產品（SIP、NTA 或其他 SIEM）分析得出的告警數據包括安全事件、威脅事件、脆弱性事件和明文傳輸信息事件。接入流程與管理要求接入方式：醫院通過服務組件作為接入點，將安全日志加密傳輸至托管平臺。授權管理：所有組件接入需經醫院明確授權，托管平臺需支持異構安全設備的統一管理。權限與協作服務商安全服務專家與醫院安全工程師可通過平臺查看已接入設備，并進行策略配置、升級包更新、開展處置動作及對威脅、事件進行分析和

21、溯源。托管服務方需配合醫院對威脅事件進行聯動分析與處置。服務商數據采集內容說明服務商應全面采集相關的事件數據、告警數據、安全日志等。采集內容醫院安全組件接入說明采集原則支持多種方式采集第三方安全設備日志，確保威脅檢測準確性。僅收集與安全防護相關的必要數據，避免非必要信息外發。04醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托管服務的種類及選擇托管服務數據存儲要求存儲架構：安全日志數據需分層存儲，以滿足威脅狩獵、事件分析、溯源調查、報表生成等場景需求。合規要求：所有數據必須存儲在中華人民共和國境內的服務器；存儲時長需符合 網絡安全法 等規定，以便更好地對安全事件進行分析研判和調查溯源。安全

22、態勢展示：實時顯示威脅事件統計、漏洞分布及風險趨勢，支持按資產類別、威脅類型篩選查看。工單管理a)工單類型：威脅工單、脆弱性工單、應急工單等。功能要求b)平臺應展示當前工單數量和處置狀態，便于雙方查看服務處置過程和閉環效果，掌握當前專家服務進度，監督服務質量。c)安全告警工單管理：展示威脅告警信息，包括威脅類型、威脅發生時間、攻擊者 IP、被攻擊者 IP、威脅描述、攻擊趨勢等信息，也應包括安全專家確認告警的記錄。d)安全事件工單管理：若判斷為有效威脅，服務人員應將該威脅轉化為威脅事件，并轉給更高級人員處理。威脅事件的分析過程應詳細記錄到對應工單里，便于工單流轉和過程回溯。處置完成后，威脅事件進

23、行關閉。流程管理:提供流程編排引擎，支持服務流程的編排與持續優化，確保達成量化的服務指標。報告中心a)自動生成并導出威脅處置報告 安全運營月報等；b)支持按事件管理、攻擊威脅、脆弱性管理等模塊定制報告。平臺架構安全能力中臺:支持風險檢測、分析、響應全流程管理，聚合網絡側與終端側數據，輔助云端專家精準威脅分析、調查、響應及能力賦能。托管服務平臺:為醫院全服務周期內各項服務工作提供支撐，整合服務流程、專家經驗、知識庫等模塊，持續優化服務質量。為方便醫院了解服務內容、進展、效果等，托管服務方應提供可展示的服務界面并具備以下能力：網絡安全托管服務界面能力要求規則管理支持檢測規則配置及自定義規則，增強關

24、聯分析能力。知識庫積累安全事件處置方案、策略優化經驗，提供工具庫以提升服務效率。重保中心a)覆蓋重大活動保障時期的備戰、實戰、結束三個階段的指導性工作流程。b)支持重大活動保障時期特殊的安全要求，如生成每日值守日報、根據重保攻擊頻率和重點業務關注度而自定義檢測規則和告警等級等。05醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托管服務的種類及選擇服務可視化要求為便于醫院實時掌握服務進展與安全態勢，托管服務平臺需提供以下可視化功能：圖 22 醫院門戶功能模塊服務監控資產管理風險管理交付物管理整體安全情況監控資產臺賬事件管理運營周報運營月報運營季度報告.威脅管理脆弱性管理資產指紋信息資產存活性

25、服務過程監控服務 SLA 監控總覽看板展示整體資產安全風險評級、服務前后防護效果對比；可視化呈現風險趨勢、工單處置進度及當前負責專家。事件管理模塊應支持服務周期內所有服務資產發現的事件，經過專家側人工研判，確定為真實有效的事件后，推送至醫院門戶，醫院可實時跟蹤每個事件的分析處置閉環過程。威脅管理模塊應支持服務周期內，所有外部攻擊以及全網爆發的最新情報，經專家側人工研判，確定為真實攻擊后，推送至醫院門戶，醫院可實時跟蹤每個威脅的閉環過程。脆弱性管理模塊應支持服務周期內，通過漏洞掃描設備掃描和流量探測上報的漏洞和弱口令數據，經人工研判以后推送至醫院門戶，方便醫院進行跟蹤管理。資產管理模塊展示托管資

26、產清單（IP、開放端口、存活狀態等），支持輕量化管理。質量監控模塊實時展示服務指標（漏洞修復率、平均響應時間、事件閉環率等）。報告管理模塊歸檔安全運營月報 威脅處置報告等服務交付物，支持分類檢索與下載。設備管理模塊實時監控接入安全設備（防火墻、探針等）的在線狀態及運行日志。服務內容：駐場工程師負責日常安全運維，結合定期的現場安全服務（如漏洞修復、應急響應等）。本地托管服務核心流程與遠程托管服務一致，區別在于人員駐場執行。特點：需安全工程師駐場服務，服務周期通常為 1 年、3 年或 5 年。對駐場人員專業性、網絡安全經驗要求較高，適合具備駐場條件的醫院。2.1.2 本地網絡安全托管服務06醫院網

27、絡安全托管服務（MSS）實施指南醫院網絡安全托管服務的種類及選擇2.1.3 醫院網絡安全托管服務主要內容安全加固根據專業安全評估結果，制定加固方案，涵蓋操作系統、數據庫、網絡設備等。其他服務事項日常運維：安全設備維護、策略優化、威脅通報；體系建設：協助完善安全架構、合規審計支持；流程優化：定期總結問題，改進工作流程。資產梳理范圍：全面識別服務器、網絡設備、業務系統等關鍵資產，記錄操作系統版本、IP 地址、開放端口、網絡拓撲等信息，并錄入安全運營平臺動態管理。更新機制：資產變更時，通過標準化流程與安全專家協同更新臺賬，確保數據準確性。安全評估方法：通過漏洞掃描、基線核查等工具，評估醫院網絡面臨的

28、威脅、脆弱性及防護措施有效性。范圍：涵蓋網絡架構、現有安全設備、管理制度及流程。脆弱性管理檢測服務器、網絡設備、小程序/APP 等系統的漏洞、弱密碼問題；通過漏洞管理平臺關聯資產與漏洞信息，實現全生命周期跟蹤（發現、修復、復測）。應急響應針對醫院突發的安全事件，應包含以下處置流程：1.負責安全事件的取證、分析、修復、加固等應急處置工作；2.包括病毒的查殺、網絡攻擊行為分析、封堵與溯源等，并協助相關部門處理安全問題。3.提供應急響應報告，對安全風險、安全事件描述、危害性、原因、排查過程、處置加固方法等進行詳細說明，進行根因分析，優化應急響應流程。通過建立安全事件處置知識庫，提升醫院安全能力，協助

29、醫院閉環處置安全事件，并且通過對安全威脅的趨勢分析，提供長期的安全規劃及改進建議。重要時期保障在醫院的重要時期，例如國家兩會、重大活動、國慶、春節等重要節日，以及醫院關鍵業務測評時期，如醫院等級評定、互聯互通測評、電子病歷評級等期間，做好保障和值守，避免惡意攻擊對醫院關鍵信息資產造成影響。醫院網絡安全托管服務的核心目標是通過對關鍵信息資產的持續監測與值守，降低安全事件發生風險。服務內容涵蓋以下方面：07醫院網絡安全托管服務（MSS）實施指南選擇原則醫院需根據資源投入、安全現狀、人員配置等綜合條件，選擇適配的服務模式：本地托管服務適用場景：安全預算充足、已自建安全運營平臺的大型三甲醫院。特點：駐

30、場工程師提供日常運維及定期的現場服務。2.2 醫院服務種類選擇指引醫院網絡安全托管服務的種類及選擇三、醫院實施網絡安全托管服務的基礎條件醫院具備互聯網出口，且允許安全設備內相關數據連通到線上的托管服務平臺。外網互聯網出口的帶寬應不低于5Mbps。醫院如果不具備以下相關設備，可通過采購或租賃等方式進行補充，完善基礎的防護技術條件。3.1 醫院網絡技術條件3.2 醫院基礎防護技術條件網絡流量采集設備（必需）針對醫院關鍵網絡處，部署流量采集設備，一般在內網核心交換和外網核心交換處旁路部署鏡像模式，網絡流量采集設備完成初始化流量采集、分析、上傳到托管服務平臺，以便線上托管團隊分析、研判和定位具體威脅和

31、事件。網絡邊界防護設備（必需）邊界防護設備可與托管服務平臺進行有效聯動，通過提供邊界安全隔離、流量檢測、入侵防護和外聯管控等防護能力，提升威脅分析、事件定位、聯動處置和策略加固等效率與效果。端點防護采集軟件（必需）在關鍵信息資產主機上安裝防護軟件，實現主機安全防護能力，同時采集主機必要的安全日志并上傳至托管服務平臺。網端數據聚合有助于安全團隊更加精確的定位和處置。漏洞掃描工具（必需）有效識別業務系統、操作系統、中間件、數據庫、安全設備的漏洞以及弱口令、高危端口等脆弱性問題，為網絡安全托管服務的脆弱性管理提供必要的基礎數據。安全運營平臺（可選）安全運營類平臺（包括態勢感知類平臺等）可有效加強全方

32、位告警分析、研判和調查溯源能力，增強第三方安全設備的接入與聯動能力，從而提升安全運營的效率。醫院本地需要有對接遠程網絡安全托管服務的接口工程師（醫院安全工程師或駐場運維人員），配合遠程安全服務團隊完成網絡安全托管服務的現場配合工作，例如非聯網系統的問題處置等，該人員應具備網絡安全、設備操作等基礎知識與能力。3.3 人員及管理要求08醫院網絡安全托管服務（MSS）實施指南醫院實施網絡安全托管服務的基礎條件遠程托管服務適用場景：各級醫院，尤其是缺乏專職安全團隊的單位。優勢：724 小時監測、效果有保障、靈活低成本、快速補齊安全能力?；旌夏Ｊ椒桨福罕镜貓F隊負責日常運維（58 小時），云端團隊提供應急

33、響應等專家能力以及非工作時間的監測與處置。趨勢：逐漸成為主流，兼顧效率與成本。遠程網絡安全托管服務適用性較廣，性價比高、更能滿足大多數醫院的實際需求，因此本指南圍繞該模式重點展開介紹，詳細服務清單見附錄 C。四、網絡安全托管服務提供商的資質要求及選擇為保障網絡安全托管服務的安全性和可靠性，醫院在選擇服務商時應重點關注以下資質要求：4.1 服務技術資質安全運營團隊采用“人機共智”模式（人工與自動化協同），為醫院提供 724 小時安全運營服務。安全專家團隊負責安全威脅研判、事件處置等核心工作，解決復雜疑難問題。攻防研究團隊由高級專家組成，研究前沿攻防技術，持續提升平臺檢測與響應能力。質量管理團隊監

34、督服務全流程，通過數據分析和滿意度調查優化服務質量。在實際服務交付中，網絡安全托管服務通過云地協同的方式為醫院提供閉環服務：本地安全服務工程師負責網絡安全托管服務的上線準備、資產梳理、設備策略調優以及首次威脅線下處置等工作，并對線上無法覆蓋的問題進行持續跟蹤和閉環處理。4.2 服務團隊要求等級保護測評托管服務平臺應當做好嚴格的安全防護，并嚴格按照信息安全技術網絡安全等級保護基本要求完成等級保護測評工作，服務平臺至少應通過等級保護三級測評。安全運營服務資質托管服務平臺應具備中國信息安全測評中心開展的安全運營類服務資質認證，證明其服務能力及可靠性。云計算安全能力認證可信云安全運營中心評估：通過中國

35、信息通信研究院的評估，確保云服務能力符合行業標準。云計算服務安全評估：通過中央網信辦等四部委聯合評估，驗證云平臺安全性與可控性。其他信息安全資質服務商宜具備信息安全服務資質認證證書（風險評估）、信息安全服務資質認證證書（應急處理）等補充資質，以提升服務全面性。4.2.1 組織架構09醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇4.2.2 職責分工質量運營專家負責用戶滿意度的調研，客戶質量數據的分析，輸出質量報告項目管理PMO負責項目的交付質量標準定義、項目質量管理推進，達標情況監督和質量問題化工作云端分析師負責服務項目的告警審核、告警診斷、告警白名單管理等工作應

36、急響應工程師負責協同服務經理，通過應急響應對威脅事件處置閉環，提升安全風險響應速度和能力主要負責項目的日常運營服務工作，包含資產管理、脆弱性管理、威脅管理、事件管理、項目問題跟進、運營報告編寫、定期匯報等工作客戶服務經理威脅挖掘工程師負責對升級的威脅工單進行研判和主動挖掘服務內資產的隱藏威脅風險，并將其沉淀為平臺技術能力云端業務專家負責協助服務經理解決疑難業務問題，根據服務落地情況，不斷優化迭代業務流程和規劃設計新業務，提升整體安全服務質量應急響應專家負責協助應急響應工程師處理威脅事件，對應急響應情況進行審核復盤，優化提升響應速度高級威脅分析專家負責通過多維度長期深度分析，挖掘高級威脅，并將其

37、威脅特征沉淀為平臺技術能力安全攻防專家負責參與實戰攻防工作，并將實戰經驗進行人員賦能和沉淀為平臺能力威脅情報專家負 責 管 理 威 脅 情 報，跟 蹤 情 報POC、EXP，審核和驗證漏洞真實性情況滲透測試專家負責對服務資產進行授權模擬攻擊，對安全性進行評估，查找和展示系統安全隱患問題T2T3T1網絡安全托管服務團隊的具體分工應至少包含如下表所示。云端分析師應急響應工程師醫院服務經理云端業務專家高級威脅分析專家安全運營團隊安全專家組團隊名稱專家角色職責分工負責服務項目的告警審核、告警診斷、告警白名單管理等工作。負責協同服務經理，通過應急響應對威脅事件處置閉環，提升安全風險響應速度和能力。主要負

38、責項目的全生命周期管理和日常運營服務工作，包含資產管理、脆弱性管理、威脅管理、事件管理、項目問題跟進、運營報告編寫、定期匯報等工作。負責對升級的威脅工單進行研判和主動挖掘服務內資產的隱藏威脅風險，并將其沉淀為平臺技術能力。負責協助服務經理解決疑難業務問題，根據服務落地情況，不斷優化迭代業務流程和規劃設計新業務，提升整體安全服務質量。負責通過多維度長期深度分析，挖掘高級威脅，并將其威脅特征沉淀為平臺技術能力。威脅挖掘工程師圖 41 網絡安全托管服務團隊職責分工10醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇網絡安全托管項目管理人員需具備“項目管理資質認證（PMP）

39、”或“信息系統項目管理師（高級）”資質證書。網絡安全托管技術人員需具備“注冊信息安全專業人員認證”或“信息安全保障人員認證”。4.2.3 安全托管服務人員資質ISO 27001 認證服務商的信息安全管理體系（Information Security Management System,ISMS）需通過 ISO 27001 認證，且認證范圍涵蓋網絡安全托管服務。加密傳輸安全日志數據需通過加密方式采集，防止被網絡嗅探泄露。數據隔離與脫敏不同醫院的日志數據隔離存儲；對敏感信息進行脫敏處理，確保不可還原。存儲與刪除支持醫院在存儲期內取回或刪除數據；數據存儲期限需符合中華人民共和國網絡安全法要求，到期后

40、應自動刪除。4.3 服務管理資質4.4 服務能力要求4.4.1 數據采集與存儲安全要求應急響應專家安全攻防專家滲透測試專家質量運營專家PMO質量管理團隊攻防研究部安全專家組負責協助應急響應工程師處理威脅事件，對應急響應情況進行審核復盤，優化提升響應速度。負責參與實戰攻防工作，并將實戰經驗進行人員賦能和沉淀為平臺能力。負責對服務資產進行授權模擬攻擊，對安全性進行評估，查找和展示系統安全隱患問題。負責管理威脅情報，跟蹤情報 POC、EXP，審核和驗證漏洞真實性情況。負責醫院滿意度調研，醫院質量數據分析及質量報告輸出。負責項目的交付質量標準定義、項目質量管理推進，達標情況監督和質量問題整改工作。威脅

41、情報專家為確保服務質量與規范性，醫院應選擇通過以下國際管理體系認證的服務商：ISO 20000 認證服務商應通過 ISO 20000 信息技術服務管理體系認證，且范圍應該涵蓋網絡安全托管服務。11醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇安全編排自動化及響應技術實現告警閉環設備管理服務人員辦公計算機禁止接入互聯網；部署防泄密措施（如禁用數據拷貝、添加水?。?。訪問控制服務人員需通過 VPN 或零信任加密方式訪問平臺；訪問源 IP 需限制為白名單地址。保密協議服務人員上崗前需與醫院簽訂保密協議。4.4.2 人員安全管控要求訪問限制平臺禁止直接對互聯網開放訪問。身份

42、驗證服務平臺和加密隧道登錄需多因素認證（賬號密碼+短信驗證碼/硬件特征碼）。權限管理遵循最小授權原則，僅向直接服務專家開放醫院數據；數據操作全程審計，分析人員與處置人員權限分離。容災與開發安全核心數據異地備份，確保 724 小時可用性；平臺開發需遵循 SDL 流程，代碼通過嚴格安全測試。漏洞管理定期開展風險評估、滲透測試、漏洞掃描，及時修復問題。醫院門戶安全醫院查看服務成果的門戶需多因素認證登錄。應通過安全編排自動化及響應技術，整合多源威脅數據，利用專家與機器的組合執行事件分析和分類，定義標準工作流；進而根據醫院標準工作流來定義、確定優先級并推動標準化事件的響應活動，實現醫院安全問題的閉環工作

43、。4.4.3 平臺安全管控要求4.4.4 服務商技術能力要求醫院網絡安全托管服務商需具備以下技術能力，以確保防護效果與實戰能力：12AI 驅動的防護能力技術應用：結合 AI 技術提升高隱蔽攻擊的監測與防御能力，優化資產梳理、漏洞修復、威脅監測等流程自動化水平。持續迭代：基于醫院實際場景，持續改進自動化處置流程，提升防護效率。醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇面向醫療實戰的閉環處置流程經驗沉淀：基于醫療行業攻防經驗，形成標準化事件響應流程（Playbook），內置處置劇本。閉環管理：通過 SOAR 技術將流程固化至平臺，確保每類事件均按專業方案閉環。優先

44、順序響應檢測分類分診工作流修正風險商業情報收集決策威脅狩獵調查人為干預SOAR編排威脅情報度量應將安全專家和技術通過 SOAR 技術編入醫院安全服務的業務處理流程中，確保安全事件響應的及時性、標準性和專業性。圖 42 SOAR 技術典型框架圖 43 基于 ATT&CK 框架的典型攻擊路徑示例13初始化影響執行持久化提權防御繞過憑證訪問發現橫向移動收集命令控制數據滲漏創建服務惡意代碼簽名用戶執行沙盒逃逸遠程登錄移動媒介數據收集VPN登錄異常數據破壞Regsvr32注冊運行鍵值令牌重放文件刪除賬號登錄異常LDAP域查詢管理設備滲透音頻捕獲常見C2端口數據壓縮移動介質攻擊數據被加密計劃任務Windo

45、wsUAC繞過暴力破解網絡監聽DCOM滲透郵件收集連接代理加密模塊加載釣魚附件磁盤格式化LASSS驅動Windows內存注入權限竊取服務探測PTH移動剪切板收集DGA算法遠程文件拷貝釣魚郵件終端DoSRundll32賬號復制Bash歷史 端口探測PTT移動錄屏操作 非標準端口 數據加密Wifi攻擊網絡DoSPowerShell 隱藏文件Hooking域信任發現登錄腳本截屏操作遠控工具限速傳輸服務執行創建賬號 訪問特性mshta執行鍵擊記錄虛擬化逃逸RDP移動瀏覽器中間人加密通道計劃傳輸鑒權Token重放攻擊進程注入Rootkit 植入國際主流威脅檢測架構技術框架：采用 ATT&CK 等國際標準

46、框架，覆蓋全球常見攻擊方式。定制能力：支持根據醫院業務特點定制檢測策略（Usecase），滿足個性化檢測告警需求。醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇01-URL/Domain-事件類-AF/SIP-PlayBook-V202-MD5-事件類-EDR-PlayBook-V203-IP-事件類-AF/SIP-PlayBook-V2IOC 指標:惡意域名、惡意 URLAF、SIP 上報的事件:僵尸網絡木馬病毒蠕蟲病毒挖礦病毒勒索病毒其他病毒AF 上報的【終端行為異?！縄OC 指標:MD5EDR 上報事件:僵尸網絡木馬病毒蠕蟲病毒挖礦病毒勒索病毒其他病毒Web

47、shellIOC 指標:IPAF、SIP 上報的事件:僵尸網絡木馬病毒蠕蟲病毒挖礦病毒勒索病毒其他病毒工單生成誤判確認空節點（后臺）空節點（后臺）結束結束結束定位分析溯源分析加固建議結束結束結束結束結束結束結束繼續繼續未處置完成未處置完成全部處置完成繼續遏制影響遏制影響定位分析結束結束結束結束獲取服務商威脅情報獲取舉證信息獲取服務商威脅情報獲取VirusTotal威脅情報獲取VirusTotal威脅情報分析綜合威脅情報分析綜合威脅情報填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作提交處理結果展示遏制影響通知話術填寫處理進展填寫處理進展工單環節操作填寫溯源進展填寫加固建議工單環節操

48、作人工處置提示填寫處理進展工單環節操作選擇惡意文件處理方式選擇惡意 IP處理方式展示遏制影響通知話術填寫處理進展人工處置提示填寫處理進展 工單環節操作填寫溯源進展 工單環節操作填寫處置進展繼續結束結束結束工單環節操作人工處置提示填寫溯源進展填寫加固建議工單環節操作填寫處置進展工單環節操作展示遏制影響通知話術填寫處理進展工單自動分配全部處置完成/全部不處置全部處置完成未處置完成未處置完成結束繼續未處置完成工單自動分配獲取第三方威脅情報獲取第三方威脅情報獲取SOC威脅情報獲取SOC威脅情報獲取舉證趨勢信息查詢相關歷史工單查詢相關歷史工單填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作工

49、單生成獲取IP封鎖結果14結束結束繼續獲取服務商威脅情報獲取VirusTotal威脅情報分析綜合威脅情報提交處理結果工單自動分配獲取第三方威脅情報獲取SOC威脅情報獲取舉證趨勢信息查詢相關歷史工單結束工單生成誤判確認工單生成工單生成誤判確認工單生成提交處理結果路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）獲取文件隔離結果）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）選擇惡意域名處理方式選擇惡意URL 處理方式獲取 URL限制結果結束溯源分析加固建

50、議結束填寫加固建議加固建議結束結束空節點（后臺）填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作遏制影響溯源分析路徑選擇處理環節（后臺）醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇04-IP-橫向移動-AF/SIP-PlayBook-V206-IP-攻擊類-AF-PlayBook-V207-文本-事件類-AF-PlayBook-V2結束結束結束繼續結束結束獲取IP 地理位置獲取服務商威脅情報獲取VirusTotal威脅情報分析綜合威脅情報填寫處理進展誤報操作白名單操作錄入SOC威脅情報工單環節操作獲取第三方威脅情報獲取SOC威脅情報獲取舉證趨勢信息獲

51、取攻擊日志詳情查詢相關歷史工單獲取舉證信息獲取舉證信息查詢相關歷史工單誤報操作白名單操作白名單操作工單環節操作工單環節操作提交處理結果選擇惡意 IP處理方式溯源分析組件展示遏制影響通知話術繼續結束結束繼續進入下一環節進入下一環節誤判關閉接受風險已完成誤判關閉接受風險已完成結束未處置完成填寫處理進展填寫溯源進展工單環節操作工單環節操作工單自動分配工單自動分配工單自動分配提交處理結果提交處理結果IOC 指標:IP持續攻擊高級黑客漏洞攻擊IOC 指標:URLSIP 上報【黑鏈】AF 上報【勒索端口開放】圖 44 網絡安全托管內置的事件響應劇本示例15獲取舉證趨勢信息獲取攻擊日志詳情查詢相關歷史工單結

52、束結束結束結束人工處置提示填寫處理進展獲取舉證信息填寫處理進展工單生成誤判確認工單生成工單生成誤判確認工單生成工單生成誤判確認工單生成路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）路徑選擇處理環節（后臺）IOC 指標:IPAFSIP上報的橫向移動空節點（后臺）空節點（后臺）填寫處理進展定位分析溯源分析填寫加固建議加固建議結束遏制影響記錄確認結果獲取IP封鎖結果工單結束空節點（后臺）結束定位分析溯源分析填寫加固建議加固建議結束醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選

53、擇16威脅情報聯防聯控情報整合：聚合醫療行業漏洞、暗網監控等情報，建立高質量威脅情報庫。精準匹配：通過云端共享與下發，實現情報與醫院資產關聯，支撐風險預警與響應。威脅調查與溯源能力攻擊鏈分析：提供攻擊路徑還原、網端數據關聯分析，自動化定位根因及影響范圍。加固支持：通過攻擊鏈回溯漏洞、配置缺陷等入口，協助醫院及時修復脆弱點。醫院需與服務商明確約定可量化的服務指標，以評估服務效果并保障安全目標達成，具體要求如下：服務指標分類分級圍繞安全事件、威脅、漏洞三個維度定義分級標準，事件級別需符合國家標準。關鍵指標定義需包含檢測準確率、平均檢測時間、平均響應時間、事件閉環率、高危漏洞修復率等核心指標。重大事

54、故要求對重大安全事故（如數據泄露、勒索攻擊）需設定更嚴格的服務指標，包括響應時間、現場處置時效等。職責與協作說明明確服務指標達成所需的醫院配合事項（如授權、資源支持）及雙方責任邊界。未達標的處理措施約定服務指標未達成時的具體懲罰條款（如延長服務時間等）。法律約束力服務指標需明確寫入合同，具備法律效力，確保安全目標的達成。服務承諾管理服務過程中，醫院可基于實際需求要求服務商補充書面效果承諾。以下供參考：4.5 服務效果要求面向安全服務的服務指標要求：分析研判通知時效 MTTA遏制影響時效 MTTC準確率閉環率從安全日志上傳分析研判到通告，用時 60mins聯動防火墻/終端防護軟件遏制影響時間 9

55、9%100%從安全日志上傳分析研判到通告，用時 30mins聯動防火墻/終端防護軟件遏制影響時間 99%100%威脅等級一般威脅重大威脅服務指標醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇專屬服務經理服務商應為醫院配置專屬服務經理，負責服務全周期管理（計劃制定、溝通協調、定期匯報等），深化對醫院業務特性及安全需求的理解，提升服務精準性。多樣化溝通渠道日常溝通：通過即時通訊群組推送安全事件通告；進展跟蹤：移動端門戶實時展示工單處置進度；緊急響應：電話授權關鍵操作；文檔交付：郵件發送服務報告、處置方案等。為保障醫院對服務進展及安全態勢的透明感知，托管服務需滿足以下要

56、求：4.6 服務體驗要求網絡安全托管服務應提供多種增值服務，如網絡安全保險、網站監測、攻擊面管理等，以滿足醫院的個性化需求和應用場景，充分保障醫院的實際安全效果。面向安全事件提供的服務指標要求：閉環率100%100%面向高?？衫寐┒刺峁┑姆罩笜艘螅悍治鲅信型ㄖ獣r效 MTTA遏制影響時效 MTTC準確率漏報率從安全日志上傳分析研判到通告，用時 30mins聯動防火墻/終端防護軟件遏制影響時間 99%攻擊成功事件 0 漏報；至少發現攻擊鏈路上的一個攻擊行為從安全日志上傳分析研判到通告，用時 15mins聯動防火墻/終端防護軟件遏制影響時間 15mins經醫院授權后協助醫院閉環安全事件的時間

57、8 小時經醫院授權后協助醫院閉環安全事件的時間 99%事件等級一般事件重大事件服務指標漏洞通知漏洞級別準確率防護率事件閉環時間 MTTR高?？衫寐┒粗卮笫鹿蕬表憫兄Z：工作時間 15 分鐘內、非工作時間 30 分鐘之內云端專家響應，默認由專家團隊遠程協助處置，如遠程無法解決的則安排安全專家上門處置，省會（含北京、上海、深圳、重慶、天津等一線城市和直轄市）2 小時內上門處置，省內 8 小時內上門處置。云端專家使用服務商漏掃工具完成漏掃后 2 個工作日內推送漏洞報告。漏洞經專家確認后，準確率達到 99%。聯動防火墻配置規則后，防護率 99%。724 小時服務保障非工作時間仍按服務指標要求提供持

58、續監測與響應，并推送夜間/節假日安全態勢簡報。17醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務提供商的資質要求及選擇醫院是網絡安全的第一責任主體，托管服務僅為輔助手段，不可替代醫院自身管理職責，醫院自身仍需高度重視網絡安全工作。醫院可借助安全托管服務公司的力量優化自身人員、流程、技術能力，強化網絡安全運營能力。高性價比投入推薦采用遠程托管服務，利用云端資源共享機制，減少自建安全團隊及平臺的初期投入，降低運維成本。靈活擴展策略初期階段：優先將核心業務資產（如患者數據系統、電子病歷平臺）納入托管范圍；后續階段：根據安全預算及實際需求，逐步擴大托管資產覆蓋范圍，最終實現全資產統一管理。4.

59、7 服務成本要求五、網絡安全托管服務協議約定5.1 責任聲明協議內容范圍需明確服務時間、內容、清單、范圍、方式及交付物等核心要素。5.2 服務協議主要條款服務可視化與反饋通過可視化界面實時展示服務進展、風險趨勢及閉環效果；定期輸出總結報告，輔助醫院安全管理決策。服務指標約定協議需包含可量化的服務指標（如響應時間、漏洞修復率等），并說明承諾條件與考核方式，便于醫院監督。18主體原則根據中華人民共和國網絡安全法及醫療衛生機構網絡安全管理辦法，醫院作為網絡運營者始終是安全第一責任人，服務托管部分安全工作內容，第一責任人不因網絡安全托管服務的實施而變化。5.3 安全托管責任界定服務邊界確定責任范圍以協

60、議約定的服務內容、服務指標和資產覆蓋范圍為準，雙方需在服務邊界內明確分工。責任與義務劃分明確醫院與服務商的責任邊界，包括服務授權、協作方式、保密義務及知識產權歸屬。違約處理機制約定未達成服務指標或服務缺失時的懲罰措施（如整改、賠償），細化責任劃分、生效條件及免責條款。相關安全托管服務合同或協議模板可參考附錄 D。醫院網絡安全托管服務（MSS）實施指南網絡安全托管服務協議約定服務保障：確保醫院網絡環境可以正常訪問，避免托管服務平臺與醫院本地安全設備的連接中斷；授權與配合：提供必要權限、網絡環境及第三方設備策略優化支持醫院工作內容和要求圖 61 網絡安全托管服務流程的四個階段六、醫院網絡安全托管服

61、務流程6.1 服務啟動階段服務啟動階段，通過召開內外部服務啟動會，明確服務預期，對溝通機制和交付內容達成一致，并針對安全托管服務進行授權、完成保密協議的簽署。6.2 服務上線階段服務上線階段，聚焦于對現有業務安全問題進行綜合評估及問題處置，主要包括服務資產確認和首次分析與處置流程。安全托管服務（MSS）是提升醫院網絡安全防護能力、保障患者隱私和業務連續性的重要舉措。從服務全生命周期角度，安全托管服務流程一般可分為四大階段，即服務啟動階段、服務上線階段、服務持續運營階段和服務終止階段。19醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托管服務流程設備維護：保障托管接入設備的在線狀態及監測能力

62、。日常運營支持：為服務商提供必要的支持和協助，如協調醫院內部各部門之間的工作，確保服務商的工作能夠順利進行。服務質量：按照服務指標的要求，對服務商的服務質量進行監督和評估，定期檢查服務指標的完成情況，及時提出改進意見和建議。其他：除網絡安全托管服務范圍外的其他安全工作，包括但不限于及時修復漏洞等。按服務清單完整交付服務內容；對于影響服務正常開展的風險進行及時預警，并明確告知醫院所需的配合動作；避免服務人員出現操作失誤，造成不良影響；服務人員應在得到授權后進行具體操作；服務人員應嚴格遵守保密要求，不得泄露醫院數據；服務過程中應監控并確保服務指標承諾達標，如及時通知風險與響應閉環等。若服務商未按照

63、約定的服務指標完成既定工作，應承擔相應責任；爭議處理若發生重大安全事件或監管通報，服務商需優先采取補救措施，雙方按協議協商界定責任。服務商工作內容和要求服務啟動階段服務上線階段服務持續運營階段服務終止階段借助安全工具對當前信息資產進行全面發現和深度識別，并結合人工確認，梳理成真實、可用的資產臺賬，具體步驟如下：醫院網絡安全托管服務流程脆弱性分析與處置漏洞掃描：檢測操作系統、數據庫、常見應用等存在的系統漏洞和 Web 漏洞。弱口令核查：對 SMB、MySQL、SSH 等服務的弱密碼進行自動化猜解檢測。安全基線檢查：核查主機操作系統、數據庫、中間件的賬號管理、訪問控制、服務配置等是否符合安全基線要

64、求。修復建議：根據漏洞風險等級提供修復方案（如補丁更新、配置優化）。病毒類事件分析與處置勒索病毒分析：分析主機是否感染勒索病毒文件；根據漏洞攻擊行為分析是否存在勒索病毒攻擊等。挖礦分析：分析主機是否感染了挖礦病毒/木馬；是否處于挖礦狀態；根據漏洞攻擊行為分析是否存在以植入挖礦木馬為目的的漏洞攻擊等。蠕蟲病毒事件：確認文件是否被感染，定位失陷的代碼。針對病毒類事件，提供病毒處置工具和有效處置措施建議，協助醫院進行病毒查殺。失陷類事件分析與處置失陷主機分析：對失陷主機進行分析研判，并給出修復建議。潛伏威脅分析：分析內網主機的非法外聯威脅行為，判斷是否存在潛伏威脅，如對外攻擊、C&C 通道、隱藏外聯

65、通道等外聯威脅行為，并給出解決建議。針對勒索、挖礦類事件：應主導處置工作，并進行最大程度溯源；定位惡意文件路徑并提供查殺指導；并分析有無異常進程與服務，發現異常及時通知醫院，并協助處置。針對后門腳本類事件：高級專家主導處置工作，提供專殺工具對感染服務器進行全面后門腳本查殺，并進行最大程度溯源。針對隱藏通信通道、可疑外發行為：提供實際佐證材料，進行最大范圍溯源，并給出修復建議；配合定位異常進程以及惡意文件，并提供查殺建議。攻擊行為評估20醫院網絡安全托管服務（MSS）實施指南資產探測工具部署：部署資產探測工具并配置安全策略，主動發現網絡中的資產信息。資產梳理：首次全面掃描服務內資產，記錄關鍵信息

66、，形成資產臺賬并錄入托管平臺。建立臺賬：與醫院核對資產責任人、重要性等信息，建立可信資產數據庫。6.2.1 服務資產確認流程服務初期需對服務資產現狀從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對現有安全問題進行客觀評估，對評估發現的安全問題進行處置。具體流程如下：6.2.2 首次分析與處置流程攻擊行為檢測：工具和人工相結合，分析 SQL 注入、WebShell 上傳、暴力破解等攻擊痕跡，判斷是否攻擊成功，發現風險點。策略調優：根據攻擊特征調整防火墻、入侵檢測系統（IDS）等防護策略。6.3 服務持續運營階段持續運營階段，是指圍繞脆弱性、威脅、事件三個核心要素幫助醫院開展持續

67、化的安全保障工作，主要分為脆弱性管理、威脅管理、事件管理、安全通告以及定期總結匯報五個環節。漏洞掃描與數據同步工具部署：部署脆弱性掃描工具，定期對服務器、網絡設備、Web 業務系統等進行漏洞掃描，結果同步至托管服務平臺。掃描策略：根據醫院網絡環境配置掃描頻率與范圍，避免影響業務運行。優先級排序工單確認：安全團隊需確認漏洞工單，結合漏洞危害程度、資產價值及利用難度劃分優先級。風險評級：高危漏洞（如可被直接利用的遠程代碼執行漏洞）需優先處置。制定修復方案方案輸出：安全團隊提供修復建議（如補丁下載鏈接、配置修改步驟），并通知醫院責任人員。安全加固實施醫院自主修復：常規漏洞由醫院按方案自行修復；跟蹤處

68、置價值展示重要性排序識別與評估脆弱性管理圖 62 脆弱性管理執行準則框架服務資產定期梳理，核心是醫院配合服務商進行服務內的資產梳理，包括資產再識別、錄入以及資產全生命周期的追蹤管理，具體步驟如下：變更監控：定期探測資產可用性及變更狀態（如設備指紋變化），識別新增或異常資產。變更響應流程：發現變更后自動觸發工單，通知醫院確認并更新臺賬，確保信息準確。臺賬維護：定期與醫院核對資產責任人、重要性等信息，動態維護可信資產數據庫。6.3.1 服務資產定期梳理流程通過以下流程實現脆弱性（系統漏洞、弱密碼等）的全生命周期管理：6.3.2 脆弱性管理流程21醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托

69、管服務流程6.3.3 威脅管理流程通過以下流程實現威脅的持續監測與閉環處置：醫院應要求服務商基于網絡安全托管服務界面+云端專家托管模式，綜合運用行業經驗和威脅情報知識庫，對不同安全組件設備的安全日志、流量進行聚合、關聯分析，并通過對安全威脅的分析及定位，全面檢測網絡和主機中的安全告警/威脅。同時，托管服務團隊應對識別到的威脅進行主動響應，采取措施降低威脅可能造成的影響，協助醫院閉環處置安全威脅，并且通過對安全威脅的趨勢分析，提供長期的安全改進建議。在網絡中部署網絡側、終端側的安全組件，應配置安全策略收集安全日志，匯聚并同步到云端網絡安全托管安全運營中心平臺，觸發相關流程，具體流程如下：修復驗證

70、與閉環進度跟蹤：通過工單系統監控修復進度，逾期未處理時自動提醒。復測確認：修復完成后重新掃描驗證，確保漏洞徹底消除。安全組件部署與日志聚合人工確認：安全團隊結合威脅情報和響應劇本，驗證告警真實性并評估影響范圍。處置建議：向醫院推送威脅詳情及處置方案（如封禁攻擊 IP、隔離受感染主機）。聯動處置與閉環快速響應：聯動防火墻、終端防護系統等設備自動阻斷攻擊，提升處置效率。狀態更新：處置結果實時同步至平臺，更新威脅狀態（如“已處置”“待復查”）。組件接入：在網絡側（如防火墻）和終端側部署安全組件，加密傳輸日志至云端安全運營中心。日志整合：聚合多源安全日志（攻擊告警、流量記錄等），為關聯分析提供數據基礎

71、。自動化分析：平臺基于規則引擎 724 小時分析日志，生成威脅告警及事件工單。初步分類：按攻擊類型（如 DDoS、WebShell 上傳）自動劃分工單優先級。持續監測與告警生成威脅分析與研判高危漏洞聯動防護：對無法及時修復的高危漏洞，通過防火墻規則、入侵防御策略臨時阻斷攻擊路徑?，F場支持：必要時協調服務商工程師協助處置，并將結果同步至平臺。深度分析精準定位威脅持續監測與主動狩獵安全應用場景設計（use case）高效閉環及加固價值展示威脅管理22醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托管服務流程圖 63 威脅管理執行準則框架策略優化與防護升級策略檢查：定期審查安全組件的防護規則（如

72、 WAF 策略、入侵檢測規則），確保有效性。動態調優：根據威脅趨勢調整策略，例如新增針對高頻攻擊的阻斷規則。圖 64 事件管理流程執行準則示例GMSS服務平臺發現事件服務人員主動識別病毒自動生成工單分派工單安全分析師分析安全事件優先級排序升級服務專家遠程處置本地安全服務工程師遠程/現場處置專家組深度溯源分析與響應報告輸出服務人員進行問題復核處理完成歸檔PlayBook和UseCase事件調查與分析724 小時響應：安全團隊需提供全天候在線支持，對安全事件進行人工研判、影響范圍分析及證據采集。事件處置與閉環快速聯動處置：通過醫院現有安全設備（如防火墻、終端防護系統）自動阻斷攻擊，或人工操作清除威

73、脅。工單閉環：處置完成后標記事件工單狀態，并將結果同步至托管平臺。影響抑制與恢復業務恢復優先：通過隔離受感染主機、暫停高危服務等措施，快速降低事件對業務的影響。威脅清除與根因分析惡意文件清除：使用專用工具清除木馬、后門腳本等惡意文件。攻擊鏈還原：基于日志與流量數據，還原攻擊路徑并定位入侵入口（如漏洞、弱密碼），生成溯源結果。安全加固與防護優化修復建議：提供漏洞修復、配置優化等加固方案，指導醫院實施。策略調優：根據事件分析結果更新防護規則，防止同類事件復發。知識庫沉淀與復用經驗積累：將事件處置過程及方案錄入知識庫，為后續事件響應提供參考。23醫院網絡安全托管服務（MSS）實施指南6.3.4 事件

74、管理流程通過以下流程實現安全事件的全生命周期管理，確保事件閉環處置與防護能力提升：醫院網絡安全托管服務流程6.3.5 安全通告流程閉環標準網絡攻擊病毒木馬脆弱性設備類攻擊成功抑制抑制抑制抑制抑制抑制抑制調查調查調查調查調查調查調查溯源溯源溯源溯源溯源溯源溯源處置處置處置處置處置處置處置加固加固加固加固加固加固加固攻擊失敗感染型病毒非感染型病毒漏洞弱口令加固杜絕問題再次發生處置已發生問題的解決抑制限制攻擊破壞影響的范圍調查充足的舉證信息溯源完整的入侵路徑圖 65 網絡安全托管服務事件閉環執行標準可通過以下流程實現威脅情報驅動的主動防護：威脅情報預警情報推送：實時同步云端最新威脅情報（如高危漏洞、

75、行業安全事件），結合醫院資產信息（操作系統、中間件版本等）進行精準匹配，推送風險預警。影響預判：通過資產指紋庫判斷潛在受影響范圍，避免重復漏洞利用或攻擊。八大閉環流程閉環方案對齊基于實際業務環境，就典型類型事件后續協作機制達成一致抑制封鎖 IP/封鎖域名/隔離文件/隔離主機調查全局掃描/調查進程/調查啟動項/調查計劃任務.溯源分析設備日志/分析系統日志/分析 Web 日志.處置封鎖 IP/查殺病毒/結束進程/清除異常項.加固策略調優/指導打補丁/指導修復漏洞.跟進主動跟進并提供幫助直至徹底閉環.同步同步處置進展、根因結論及最終的閉環結果.圖 66 網絡安全托管服務閉環執行流程24醫院網絡安全托

76、管服務（MSS）實施指南受影響資產排查工具輔助檢測：利用掃描工具驗證威脅情報關聯的資產是否受影響，并通知醫院具體風險點。漏洞處置指導修復方案輸出：提供補丁安裝指南及臨時規避措施（如防火墻規則調整），協助醫院快速加固。醫院網絡安全托管服務流程6.3.6 安全匯報流程服務成果可視化通過專屬 WEB 門戶及交付報告（如安全運營月報），以圖表等形式展示資產風險趨勢、漏洞修復率、威脅處置時效等核心指標。周期性復盤與改進建議每季度/年度對服務效果全面復盤，針對遺留問題（如未修復漏洞、防御短板）提出優化方案。定期匯報機制在關鍵節點（如季度末、年度總結）向醫院匯報服務成效、風險態勢及下一步計劃。256.4.1

77、 服務驗收驗收標準制定醫院需在服務開始前明確驗收標準及通過條件，并與服務商達成一致。驗收會議服務終止前召開驗收會議，服務商匯報服務成果并形成會議紀要。驗收確認醫院簽署網絡安全托管服務驗收報告，雙方存檔備查。6.4.2 終止交接材料交接服務商需通過加密方式移交服務交付物及過程文檔。遺留問題與建議服務商應整理需要持續跟進的安全問題及后續改進建議，提交醫院備案。工具與文件處理刪除醫院本地部署的安全工具，或在不違反知識產權協議的前提下移交工具手冊及使用權限。6.4.3 權限回收權限清理服務商需移交或刪除所有服務期間獲取的賬號權限（如設備賬號、VPN 權限）。設備配置還原關閉日志上傳通道，斷開設備連接，

78、還原防火墻策略、IP 白名單等配置。組件回收回收因服務期結束的而下線的安全設備組件，必要時應現場操作。溝通群組處理服務商備份即時通訊群組文件并保存 6 個月，雙方備份后方可解散群組。6.4.4 數據處置數據遷移或刪除服務終止時，醫院可要求將平臺數據遷移至本地或立即刪除。默認清理規則若無明確要求，服務商需在終止 6 個月后自動刪除醫院所有數據。醫院網絡安全托管服務（MSS）實施指南6.4 服務終止階段醫院網絡安全托管服務流程七、醫院網絡安全托管服務的監管7.2 質量保障為規范服務交付并保障效果，托管服務需建立以下質量保障機制：醫院對網絡安全托管服務的監管應以“合規導向、量化評估與實效驗證、動態改

79、進”為原則，建立多維度監督機制，對安全托管服務商的質量保障措施進行考察，對服務成果和效果進行全程監督考核，確保 MSS 服務商能力與醫院安全需求精準匹配，并持續滿足醫院業務變化對應的安全要求，實現醫院既定的安全目標。獨立質量管理團隊設立獨立于交付團隊的質量管理團隊，負責服務全流程監督與檢視。質量規范與考核制定服務交付規范、分級問題管理措施及考核機制，并對交付團隊定期培訓。質量評估指標設計科學指標（如服務指標達成率、漏洞修復時效）客觀評估服務質量。定期檢視與改進質量管理團隊需定期檢查服務指標執行情況，優化服務流程，提升安全能力。質量紅線與處罰明確服務質量紅線標準及違規處罰措施。7.1 監管原則合

80、規導向原則以國家法律法規、行業標準及醫院安全管理制度為基準，通過定期檢查服務商交付成果、交付物文檔完整性、服務流程，確保安全托管服務全生命周期符合合同約定與要求。量化評估與實效驗證原則采用量化指標（如高危漏洞防護率、平均確認時間、平均遏制時間、平均閉環時間、安全事件閉環率等）評估安全運營效果，并結合醫院對安全實戰效果的總結梳理，重點考核服務商在威脅監測、漏洞治理、應急響應等環節的實際成效，確保安全投入轉化為實質性風險管控能力。動態改進原則實施服務質量的動態跟蹤管理，通過階段性復盤、年度驗收考核等機制持續評估服務商更新迭代的能力，并通過制定服務計劃等方式，推動服務商不斷改進服務，促進雙方安全能力

81、的協同進化與可持續發展。圖 71 醫院網絡安全托管服務監管醫院網絡安全托管服務（MSS）實施指南醫院網絡安全托管服務的監管26服務啟動階段服務上線階段服務監管服務持續運營階段服務終止階段7.3 監督考核醫院需建立監督考核機制，涵蓋以下內容：服務指標監督醫院監督服務商通過 WEB 門戶、移動端等實時展示的服務指標達標情況（如響應時間、閉環率）。服務評價與反饋服務商主動提供便捷渠道（如工單系統、線上評分）供醫院對具體服務項進行評價。滿意度調查醫院定期開展滿意度評估，及時對服務效果、體驗及人員進行效果反饋。安全資質監督醫院可要求服務商提供有效等級保護測評報告、資質續證證明，服務商在更新安全資質時應主

82、動向醫院提供最新資質文件。八、安全托管典型應用場景8.1 典型應用場景介紹常態化安全運營通過線下網絡側設備具備入侵防御、網關殺毒、WEB 應用防護，終端側防護軟件的勒索、挖礦等頑固病毒木馬的專項查殺、策略調優及其他安全功能，結合網絡安全托管服務的線上可持續生長的安全能力與安全運營整體情況可視化展示，以及線上安全專家 7*24 小時值守主動評估風險、監測與響應事件等服務內容，覆蓋醫院常態化安全運營場景，實現對醫療衛生行業常見安全事件的有效防御，如層出不窮的變種勒索病毒與挖礦木馬等，保障醫療服務正常運行。為避免包括勒索病毒在內的安全事件造成經濟損失，可結合網絡安全保險方式增加常態化的損失兜底能力，

83、進一步強化安全運營效果。安全通報預防與響應隨著各單位均在積極履行網絡安全通報職責，通報工作呈現通報檢查方式更多樣、通報內容更廣泛、通報頻率更高、處罰更嚴厲等特點。醫院應加強重視，化被動為主動，了解自身安全風險、彌補安全短板、建設常態化通報應對能力，有效配合好監管單位和主管單位的通報工作，進一步提升醫院網絡安全保障水平。勒索預防與響應醫院的業務系統涉及大量患者、醫藥等敏感數據，容易成為勒索團隊的重點攻擊對象。通過網絡安全托管服務覆蓋勒索病毒防御及響應的場景，做好 7*24 小時的持續監測和值守，避免勒索團隊攻擊醫院關鍵信息資產帶來的重大影響和損失。攻防實戰演練及重要時期保障醫院往往會被列為攻防演

84、練重點檢驗目標，因此需要積極部署、主動應對，在實戰演練前、中、后均有完善的工作流程進行安全保障，具備快速監測與響應各種安全攻擊和事件的能力。同時，醫院應以實戰攻防演練為契機，實現實戰攻防能力由“戰時”向“平時”的轉化，全面提升常態化的安全防護能力。在醫院的重要時期，例如國家兩會、重大活動、國慶、春節等重要節日，以及醫院關鍵業務測評時期，如醫院等級評定、互聯互通測評、電子病歷評級等期間，通過網絡安全托管服務做好 7*24 小時安全保障和值守，避免黑客對醫院關鍵信息資產造成影響。醫院網絡安全托管服務（MSS）實施指南安全托管典型應用場景27華中科技大學同濟醫學院附屬同濟醫院（以下簡稱“武漢同濟醫院

85、”）始建于 1900 年，是一所集醫療、教學、科研為一體的三級甲等醫院，綜合實力居國內醫院前列。28醫院網絡安全托管服務（MSS）實施指南8.2 醫院最佳實踐介紹1、安全設備“上架配置即終生”：醫院信息人員沒有精力頻繁更新防護策略和規則庫，導致無法檢測出新型病毒和威脅，也無法防護新業務資產。2、安全風險不斷累積：沒有對信息資產進行全生命周期的追蹤管理，導致隱形資產、“老、隱蔽、難修復”的漏洞越積越多。3、安全工作繁雜耗費人員精力：醫院信息人員不僅要大力投入信息化建設，也要經常處理設備巡檢、日志分析等安全工作，無暇對不同設備產生的告警進行聯動分析。4、事件通報較多且響應不及時：面對真實攻擊時缺乏

86、相應的流程和應急機制，導致醫院信息人員處置滯后，容易被通報批評。華中科技大學同濟醫學院附屬同濟醫院需求描述背景介紹在長期探索中，武漢同濟醫院將網絡安全“常態化運營”作為其新一代安全建設的理念，大膽嘗試，穩步推進安全運營建設工作，以“平臺+組件+服務+流程“四位一體的建設模式，最終搭建起了 7*24 小時實時守護的“網絡安全運營體系”。1、提前預防：定期清除業務系統安全風險醫院的業務系統數量多且交互復雜，日常由云端安全專家對醫院資產的脆弱性、威脅持續管理和追蹤。信息中心根據云端安全專家定期掃描出的資產變動、弱口令、漏洞、威脅，及時進行設備策略優化、資產指紋庫更新、老舊系統風險清除等工作。云端專家

87、持續復測進一步確保了風險清除工作的有效。2、加強了對勒索病毒的提前預防基于合作的安全廠家多年來對勒索病毒家族和勒索行為的大數據分析，總結出百余項勒索檢查項 Checklist，并由云端專家定期按照 Checklist 展開深度排查，助力武漢同濟醫院提前排查勒索病毒，排除勒索病毒隱患。正是武漢同濟醫院在安全運營中對“資產、脆弱性、威脅、事件”的持續管理，早于攻擊者發現并處置了數個安全風險，避免“帶病運行”，才在大型攻防演練中多次獲得最佳防守單位的殊榮。3、持續有效：提高安全事件閉環效率在多個重要活動時期，面對幾十萬的網絡攻擊下，打通平臺、組件、服務，打造出一套高效的事件管理流程7*24小時監測、

88、分鐘級響應、溯源分析、啟動應急預案進行閉環處置。在云端專家全天候的監測值守下，不再滯后于監管通報。AI 安全感知平臺和云端專家的線上快速研判、通告攻擊、溯源分析，輔助信息中心快速利用安全組件進行攻擊阻斷和防御，根據提前制定的應急預案快速拉通醫院內部人員處置、決策。實現 10 分鐘內響應、2 小時內100%閉環處置攻擊！4、實時可視：隨時掌握安全態勢安全需要持續有效，也需要可視可控。同濟醫院利用安全感知平臺和安全運營專家做到了省心掌握安全態勢，在日常運營中不斷優化安全防護策略、提高安全管理效率，為全院的信息化布控和決策助力。解決方案安全托管典型應用場景背景介紹如今，武漢同濟醫院的常態化安全運營已

89、經結出累累碩果：零重大安全事故、零監管通報，并多次獲得省實網攻防演習“最佳防守單位”，對于武漢同濟醫院來說，這個結果絕不是“臨陣磨槍”。在過往的春節、國慶假期、二十大等網絡攻擊密集時期，頻頻有醫院失守。武漢同濟醫院作為全國排名靠前的三級甲等醫院，往往遭受著黑客最猛烈的火力，卻始終以“零網絡安全事故”保障著醫院業務穩定運行。未來，武漢同濟醫院會打造更多的安全實踐，并依托數字化安全底座，讓智慧醫療更穩定、更安全！上線效果復旦大學附屬中山醫院，始建于 1936 年，為紀念中國民主革命先驅孫中山先生而命名，是三十年代由國人自己創辦的一所規模較大的綜合性醫院，是一所三級甲等綜合醫院，醫院在心臟、肝臟、腎

90、臟、肺臟、消化道、泛血管等領域的臨床能力處于國內頂尖、世界先進水平，擁有眾多國家臨床重點?？平ㄔO項目和上海市“重中之重”臨床醫學中心。近年來，組織機構面臨的監管側實戰化、常態化安全檢查越來越嚴格。與此同時，我國承辦的國內外重大會議越來越多。醫院作為民生組織，重大活動期間的網絡安全保障成為了安全建設工作的重中之重，中山醫院作為國家重點醫院，網絡安全的保障成為所有業務開展的基石。需求描述在當前數字化時代，醫院的信息系統承載著患者數據、醫療記錄、財務信息等眾多敏感數據，其安全性直接關系到患者隱私保護、醫療服務的連續性和醫院的整體聲譽。1）漏洞與威脅管理深入挑戰：對資產現存的漏洞、面臨的威脅無法做到

91、100%識別處置，如在重要節日、活動期間被人利用，將造成無法挽回的損失。2）黑客攻擊手段的日新月異：外部黑客技術的快速更迭、復雜多變的攻擊手段、智能化的攻擊工具都不斷增大防守難度，對防守人員的安全知識和處置經驗提出了更高的要求。3）跨院區安全管理需求：醫院有東西兩個院區，各院區資產眾多，缺少整體的安全監控中心，難以形成有效的安全管理機制。解決方案通過可擴展檢測與響應平臺 XDR+端點安全管理 aES+網絡安全托管服務的整體解決方案，中山醫院在重保時期，通過對運營中心流量日志以及外部威脅進行 7*24 小時監測，緩解中山醫院運維人員的值守壓力。在有外部攻擊時，安全運營平臺及時響應，通知云端高級專

92、家進行深度分析研判，聯合中山醫院運維人員根據前期制定的應急預案那進行快速響應、實時攻擊對抗、實時策略調優，以高階專家的安全能力+平臺的經驗彌補醫院的安全“短板”。上線效果云地協同助力醫院安全閉環服務上線后，云端服務經理實時在線，基于云端大量實戰經驗積累，提供準確分析能力，微信群中實時通告，一定程度上緩解了醫院 IT 人員的工作負荷。醫院只需要做好人員的管理，通過“云地協同”機制，由云端提供專業的分析、研判，輸出可落地處置建議，由本地駐場根據云端輸出的結果進行落地閉環，形成良好配合，高效閉環日常安全事件。夜間緊急通知應急，真 7*24 小時守護云端監測到安全事件存在異常行為，夜間緊急通知醫院安全

93、負責人，院方安全負責人迅速趕赴現場協助配合。云端第一時間對威脅進行遏制，防止其進一步擴散，本地做好風險面管理及橫向擴散排查，避免造成更大損失。保障醫院第二天正常醫療業務的開展。復旦大學附屬中山醫院醫院網絡安全托管服務（MSS）實施指南安全托管典型應用場景29背景介紹鹽城市第一人民醫院創建于 1948 年，歷經七十余年的發展，現已成為一所集醫療、教學、科研、康復、急救為一體的國家三級甲等綜合性醫院。隨著智慧醫院建設不斷推進，鹽城市第一人民醫院近年陸續上線了不少互聯網醫院的業務系統，內網生產業務不得不與外網業務進行打通，實現數據互訪。面向公眾的互聯網診療服務暴露在公網，頻繁遭受網絡掃描攻擊，醫院十

94、分擔心互聯網業務的安全防護效果，希望以最小的成本提升整體的網絡安全防護效果。需求描述醫院的互聯網業務不僅面臨來自公網的掃描攻擊，還會定期接受網絡安全主管單位的人工滲透式的安全檢查，導致醫院承受較大的安全運維壓力，尤其是缺少安全專業人才，缺失夜間和節假日的安全值守，導致醫院安全運維較為被動，往往投入較多工作精力，但各類安全問題時有發生。解決方案建設面向醫院整體的安全運營平臺，分區部署流量分析探針持續監控醫院內網、外網的流量行為，并匯集分析邊界防火墻、終端殺毒軟件、合規審計設備的安全告警日志，進一步匯集分析形成安全事件，自動化實現溯源與聯動處置能力。結合第三方的遠程網絡安全托管服務，實現對夜間、節

95、假日以及重大活動時期的網絡安全值守，并通過規范的協同機制，協助醫院持續改進安全防護策略，使得漏洞利用、病毒感染等安全問題持續改進，高效提升醫院整體的安全防護效果?；诨ヂ摼W區業務的安全風險評估結果，建設互聯網的安全防護技術體系，包括借助應用交付設備實現對 SSL業務的流量解密，便于其他安全設備進行流量監測分析?？紤]到互聯網業務面臨較大的安全風險，醫院在互聯網業務主機上部署終端檢測響應 EDR，對操作系統的進程、文件操作、網絡外聯、注冊表修改、服務運行等行為信息進行全方位采集，從而實現對 WebShell 上傳、勒索病毒攻擊等高級威脅的防護效果。鹽城市第一人民醫院內外業務打通以往靜態防御被打破鹽

96、城市第一人民醫院此前按照等級保護的基本要求，對醫院內網業務系統進行了比較完善的安全建設。隨著醫院不斷上線互聯網醫院等業務系統，導致越來越多的互聯網業務與內網業務、數據庫進行打通，原本相對穩定的內部安全環境被打破，需要在互聯網側補齊安全建設能力，并伴隨外網業務的變化，不斷調整安全策略，優化安全防護效果。安全運維考驗人的技術能力和時間精力醫院前期按照等級保護三級進行采購了各類安全設備。不同品牌、不同類型、不同部署位置的安全防護設備往往對同一安全事件有不同的安全告警，導致人工溯源分析難度大大增加。另外，醫院的業務需要 724 小時穩定運行，而復雜的安全攻擊往往發生在夜間和節假日。在控制預算的大背景下

97、，醫院面臨如何通過高性價比方式實現724 小時的安全效果。終端安全問題反復出現難根治醫院的醫護工作站和行政辦公終端數量眾多，安全運維人員經常通過流量分析設備、網關防護設備發現特定終端存在安全風險，通過殺毒軟件的管理平臺下發查殺策略。雖然殺毒軟件能夠發現并查殺病毒，但其他安全設備仍提示安全風險存在，多次反復操作仍無法確定具體的安全問題，導致安全運維工作耗費大量精力。30醫院網絡安全托管服務（MSS）實施指南安全托管典型應用場景跨院區統一安全管理通過整合兩院區的安全資源，建立統一的安全運營中心，實現對全院資產的安全情況集中監控和管理，打破信息孤島，提升安全管理效率；并通過自動化編排工具 SOAR

98、將日常安全事件流程化標準化，做好事件留存沉淀安全知識。上線效果風險驅動，持續提升整體安全建設效果遠程托管服務平臺通過對現網安全告警、流量行為、外部最新漏洞、惡意攻擊威脅進行持續評估，給出當前醫院整體安全建設存在的防護短板，并提出整改建議，并通過工單等方式，確保在服務期內整改落地。云地協同，更低成本實現 724 小時持續運營本地駐場工程師與云端線上專家協同配合，實現對本地安全運營平臺的各類安全告警進行統一分析，并結合全球海量威脅情報，發現內部隱藏的安全風險，有效彌補了醫院本地在夜間、節假日和重大活動時期技術人才短缺的問題。精準聯動，徹底根治終端安全威脅主機上安裝的 EDR 軟件采集了各類信息，使

99、得安全運營平臺可以將網絡側發現的惡意流量和終端上的惡意文件、惡意進程以及其他操作行為進行關聯，實現惡意文件精準定位，惡意進程阻斷遏制以及主機安全攻擊故事線自動還原等高級能力。同時，安全運維平臺為運維人員提供自動化編排能力，通過預先配置不同安全事件處置的場景化劇本，即可實現自動化處置效果，大大提升安全運維效率。醫院介紹北京大學腫瘤醫院（北京腫瘤醫院、北京大學臨床腫瘤學院、北京市腫瘤防治研究所）始建于 1976 年，是一所由北京大學、北京市醫院管理中心共管的三級甲等腫瘤?？漆t院。被國家衛健委授予首批腫瘤多學科診療試點醫院、國家首批腫瘤高通量基因測序臨床試點單位；是唯一承擔北京地區癌癥發病登記與生存

100、統計，并向政府及 WHO 提供數據的中心。全年門診量達 75 萬人次，年收治病人 9.6 萬人次，手術 1.7 萬例；在這里，每天都進行著生與死的抗爭，很多人不遠萬里，來這里尋求生命的希望?，F狀描述癌癥的治療是一場持久戰，很多患者需要進行多輪的放療、化療，治療結束后也要定期復查，需要頻繁地來回復診。2019 年，北京大學腫瘤醫院日均門診量約為 3000 人次，其中 70%的患者來自外地。再加上疫情的爆發，上線互聯網診療成為了必然的選擇。打開“北腫云病歷”APP，患者就來到了“線上門診”。綁定個人信息，點擊“在線復診”，完成預約申請后，患者即可排隊候診。通過視頻，患者與醫生的問診過程被搬到了線上

101、?；ヂ摼W診療破解了空間限制的問題，同時讓廣大患者在頻繁的復診就醫過程中享受更大的便利。但互聯網診療給廣大患者打開一扇門的同時，也給黑客攻擊打開了一扇窗。過去，醫院的核心業務系統都運行在內網中，隨著互聯網診療的重要性日益提升，外網已然成為醫院的重要生產系統。但網絡攻擊無孔不入，尤其是近年來勒索病毒、數據泄露等惡性事件頻發，網絡安全問題成為了懸在醫院頭上的“達摩克里斯之劍”。場景最佳實踐北京大學腫瘤醫院需求描述對于國內不少醫院而言，網絡安全能力要求高、專業人員不足一直以來都是一個棘手的難題，尤其是專職的安全專家，對很多醫院來說都是“奢侈品”。北京大學腫瘤醫院也不例外。1）由于專職安全人員的缺乏，北

102、京大學腫瘤醫院此前采用的是定期安全運維服務模式，即每個月針對院內安全產品做巡檢，有問題時通過第三方運維人員遠程服務+現場服務的模式進行解決。醫院發現這個運維過程中存在很多漏洞點，技術人員和第三方運維需要下班休息，黑客的攻擊卻是 7*24 小時的，且專挑防護薄弱的時間下手。醫院網絡安全托管服務（MSS）實施指南安全托管典型應用場景312）此外，由于缺少長期的、統一的安全運營機制，整體安全建設的效果并不理想。醫院存在各種異構品牌的安全設備，導致日志分散、割裂且告警量巨大，這也對駐場人員的安全專業度提出了非常高的要求。面向大量的告警日志，現有技術人員很難對真實事件進行高效、準確的研判，整體防護過程中

103、較為被動。3）信息科衡主任說“網絡安全事件往往發生得非?？?，需要我們馬上能夠應對，對安全人員的要求很高。我們也在尋找一種辦法幫助我們實現 7*24 小時值守”，面對網絡安全的重重壓力，北京大學腫瘤醫院也在思考，有沒有一種方式能夠快速補齊專業安全能力的短板，并且在此基礎之上實現 7*24 小時的不間斷的值守。解決方案這時候，網絡安全托管服務進入了北京大學腫瘤醫院的視野。在深入溝通了解之后，醫院果斷進行了嘗試，最終效果也達到了醫院的預期。簡而言之，網絡安全托管服務是以保障風險管控效果為目標，以“人機共智”模式為手段，以 7*24 小時持續在線守護為主線，以【資產、脆弱性、威脅、事件】四個核心安全風

104、險要素為抓手，幫助北京大學腫瘤醫院提升安全風險管控能力和安全工作效果。通過 7*24 小時的“人機共智”安全運營服務，聯動云端安全專家和線下駐場服務人員配合共同處置安全問題，很好的完善了北京大學腫瘤醫院整體的安全運營閉環機制。上線效果在網絡安全托管服務的助力下，北京大學腫瘤醫院網絡安全防護壓力得到了一定程度的緩解，這讓醫院信息部門在宵衣旰食的數字化建設中解除了“后顧之憂”，也讓醫信工作者有更多精力投入到直面臨床、直面業務、直面患者服務的工作中。主要體現在以下幾個方面：7X24 小時主動防御，讓安全風險無處遁形網絡安全托管平臺能夠 724 小時不間斷收集醫院網、端兩側上傳的告警日志，并借助機器學

105、習引擎與異常行為分析引擎，在海量的日志中準確識別勒索病毒、APT、釣魚等高級威脅及異常行為，并自動發出預警。此外，借助網絡安全托管服務 400+云端實時在線的高級安全專家，還能在平臺告警基礎上進一步分析研判，確保攻擊威脅和事件是真實發生的。云端安全專家還能利用平臺提供的各類工具，協助醫院線下運維人員一道加速事件的閉環處置，幫助醫院提升和完善現有安全體系建設能力，有效解決了醫院專業安全人員不足的難題。在網絡安全托管服務的加持下，不管是醫院內網還是外網的重要資產，都實現了安全主動監測；不管是白天還是深夜，平日還是節假日，都實現了持續檢測與快速響應，實現平均 5 分鐘響應、10 分鐘遏制、事件閉環率

106、 100%。實戰見真章，安全防護能力實現質的飛升近年來，國家對于網絡安全重視程度與日俱增，對醫院的安全防護要求日漸嚴格。每年，各個相關單位都會面向醫院組織多輪的網絡安全“大考”。借助網絡安全托管服務，北京大學腫瘤醫院迅速補齊了在弱口令等方面的短板，實現了安全防護能力的常態化提升。此外，在“大考”來臨之前，醫院也將實施開展針對性的專項排查，再次篩查風險并進行安全加固，確保各個業務系統已充分滿足安全基線。實戰見真章，在使用了網絡安全托管服務之后，醫院的安全防線在當年的網絡安全攻防演練中經受住了重重考驗，取得了非常不錯的成績，從過去的倒數第五名上升到了第二名。這也側面體現了醫院在實戰防護能力上已取得

107、質的飛升。持續賦能安全人員，鑄造網絡安全更強防線“人”往往是網絡安全防護中最薄弱的一環。北京大學腫瘤醫院在重視安全服務質量的同時，更重視自身醫院安全能力的沉淀，安排多名醫院工程師參加安全能力培訓，不斷提升安全專業能力，并取得了 CISP(注冊信息安全專業人員）的資質，不斷提升安全人員專業水平，讓整體安全運營水平趨于無懈可擊。32醫院網絡安全托管服務（MSS）實施指南安全托管典型應用場景甲方：（印章）乙方：（印章）以下是網絡安全托管服務人員與醫院在服務期間，簽署的安全服務保密協議的典型示例：甲乙雙方經友好協商，根據 中華人民共和國民法典 及相關法律法規的規定，就乙方在為甲方提供安全服務的過程中可

108、能獲悉的甲方保密信息及為甲方保密事宜，達成如下協議：1.本協議所稱“保密信息”是指：乙方基于為甲方提供安全服務所獲取的甲方域名、業務系統等虛擬資產中所附帶的或甲方安全設備上報的網絡安全信息、以及醫院數據和業務相關信息等。2.未經甲方書面同意，乙方不得以任何形式或任何方式將保密信息和/或其中的任何部分，披露或透露給任何第三方。乙方有義務妥善保管保密信息，不得擅自復制備份，并應避免泄露或遺失。乙方亦不得依據保密信息，就任何問題，向任何與甲方所需安全服務無關的第三方做出任何建議。3.甲方同意乙方有權因提供服務的必要，而向其安全服務人員透露或允許其接觸保密信息和/或其中的任何部分，同時，乙方承諾該等服

109、務人員在提供服務的過程中將對其所接觸的保密信息承擔與本協議同等的保密義務。4.甲方有權在服務終止時要求乙方將所獲悉的保密信息歸還給甲方，不能歸還的，應進行銷毀處理。5.凡因執行本協議所發生的或與本協議有關的一切爭議，雙方應通過友好協商解決。如果協商不能解決時，任何一方可向被告所在法院提請訴訟。6.本協議保密期限為整個安全服務期間及服務期限截止后兩年。7.本協議一式兩份，自雙方蓋章之日起生效。附錄 A網絡安全托管服務保密協議示例安全服務保密協議甲方（服務接受方）：乙方（服務提供方）：33醫院網絡安全托管服務（MSS）實施指南附錄九、附錄由于網絡安全托管服務需要采集部署在醫院本地的安全組件的安全告

110、警日志，因此需出具對醫院安全日志數據所采取的嚴格保護措施的詳細說明。以下是一個典型的安全日志數據的使用和保護說明示例。尊敬的醫院：網絡安全托管服務（以下簡稱“MSS 服務”）需以服務組件的安全日志數據為基礎，通過整合技術、專家和流程開展持續化的網絡安全保障工作。本著對醫院負責的態度和原則，為更好地保障醫院的知情權以及同時確認醫院授權同意，本文件再次對 MSS 服務期間可能涉及使用的日志數據信息以及對數據信息的保護進行說明。一、網絡安全托管服務所需數據類型及用途以下說明的數據均僅用于為醫院提供網絡安全托管服務，不用于其他任何目的。為提升安全事件檢出率，以更好地對安全事件進行溯源分析，MSS 需要

111、搜集網絡攻擊日志、流量審計日志、Windows 終端行為日志、終端安全日志、Windows 主機系統日志、Windows 主機狀態日志以及其他安全產品分析得出的告警數據。為實現事前預防，需要搜集漏洞掃描組件主動發現或安全設備被動發現的系統漏洞、WEB 漏洞和弱口令脆弱性數據，按照脆弱性危害進行優先級排序以及生命周期管理。為實現安全事件深度溯源和未知威脅分析，需要搜集安全組件識別到的可執行文件樣本以識別未知文件的安全性，檢測其是否為惡意程序文件，文件樣本會用于人工分析或沙箱自動化分析。二、網絡安全托管服務數據信息存儲措施網絡安全托管服務僅在中華人民共和國境內收集日志數據，產生的數據信息將存儲于中

112、華人民共和國境內的服務器上。針對不同醫院使用網絡安全托管服務期間提交的數據，網絡安全托管平臺將進行隔離存儲，確保數據保密性。針對網絡安全托管涉及使用的安全類數據（如安全日志、告警數據、脆弱性數據等），為確保在發生安全事件時的溯源調查效果，網絡安全托管將在醫院提交該部分數據后存儲 6 個月。前述設置的存儲期限屆滿后相關數據會被自動刪除。在存儲期內，貴單位也可以根據自身實際需求通知網絡安全托管服務人員取回或刪除貴單位的數據信息。三、網絡安全托管服務的數據信息保護措施3.1 網絡安全托管服務的平臺系統已通過公安部等級保護三級認證和 ISO 27001 認證。安全認證將嚴格按照認證標準落實等級保護和安

113、全要求，以切實保障貴單位的信息安全。3.2 物理及網絡安全業務劃分 DMZ 區和內網隔離區，網絡入口及區域之間部署防火墻防護，并做嚴格的 ACL 訪問及上網白名單控制，保證內外網安全。生產網絡與研發網絡物理隔離，研發人員采用 VDI 方案，無外網訪問權限。附錄 B網絡安全托管服務對醫院日志數據的使用和保護說明示例關于網絡安全托管服務對醫院日志數據的使用和保護說明34醫院網絡安全托管服務（MSS）實施指南附錄服務提供商年 月 日生產內網部署安全流量檢測平臺，及時發現異常行為并處置。3.3 主機及業務安全主機上部署終端殺毒軟件進行本地防護，并開啟微隔離策略實現內網不同主機之間的隔離，保證主機安全。

114、網絡安全托管服務平臺基于 SDL 流程開發，對應用代碼進行嚴格的安全測試，上線前會通過滲透測試，確保上線代碼無新漏洞引入。線上系統定期進行漏洞掃描和外部滲透測試，及時發現新的漏洞并修復。網絡安全托管服務平臺不對公網發布，通過登錄 VPN 進行線上運營，并且 VPN 配置源 IP 白名單只對服務團隊開放；VPN 和服務平臺采用賬號、短信驗證碼、硬件特征碼等多重校驗機制，確保賬號安全。服務人員使用云桌面辦公，確保數據不外泄。核心業務數據異地機房備份，確保發生事故時能夠快速恢復。3.4 數據傳輸及訪問安全網絡安全托管服務采用 SSL 加密的方式采集日志數據，確保數據在傳輸過程中不因網絡嗅探而泄露。對

115、醫院的賬號信息、電話號碼、郵箱等敏感信息進行加密存儲。網絡安全托管服務平臺采用嚴格的權限控制策略，醫院數據只對服務專家開放，數據使用范圍僅限于安全事件分析和響應溯源。數據相關的操作過程也將被全程審計。由于網絡安全托管服務涉及使用的數據信息均來自于前述已說明的基礎服務組件設備，在向貴單位提供設備使用時也已就相關醫院信息保護政策進行說明并獲取貴單位的明示同意，如對使用和保護貴單位的數據信息仍有其他疑問，貴單位可以具體查看設備后臺的醫院信息保護政策說明，或聯系業務人員為貴單位解答。感謝貴單位對網絡安全托管服務的信賴與支持！35醫院網絡安全托管服務（MSS）實施指南附錄附錄 C網絡安全托管服務內容清單

116、示例安全專家交付方式安全專家安全專家安全專家+安全組件安全專家+安全組件安全專家安全專家安全專家安全專家安全專家+安全組件資產信息確認表項目啟動會 PPT首次安全風險分析報告/交付物首次安全威脅分析 問題記錄表安全問題整改指導組件部署與接入服務細則資產收集與錄入策略檢查脆弱性評估資產暴露面梳理失陷類事件評估安全策略調優攻擊行為評估脆弱性問題修復指導失陷類事件處置服務項服務上線安全現狀評估安全問題處置詳細描述安全專家對需要接入MSS的組件（如漏掃工具/態勢感知平臺/邊界防護設備/終端安全防護軟件等）進行部署并接入至安全托管運營平臺。安全專家在上線前對服務資產進行收集，并將資產信息錄入到安全運營平

117、臺中進行管理。上線前安全專家對安全組件上的安全策略進行統一檢查，確保安全組件上的安全策略始終處于最優水平，針對威脅能起到最好的防護效果。對操作系統、數據庫、常見應用/協議、系統與Web漏洞進行漏洞掃描，弱口令掃描可實現信息化資產不同應用弱口令猜解檢測，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。安全專家在上線前使用掃描組件對資產開展暴露面探測，以梳理資產面向互聯網的開放情況，快速發現違規暴露在互聯網中的資產及存在的風險并進行協助處置，實現對暴露面資產可管可控，降低暴露面資產的風險。勒索病毒事件分析：安服專家分析判

118、斷主機是否感染了勒索病毒，是否已感染勒索病毒文件，根據已發生的漏洞攻擊行為分析判斷是否存在勒索病毒攻擊等。挖礦病毒事件分析：安服專家分析是否感染了挖礦病毒/木馬，是否處于挖礦狀態，根據已發生的漏洞攻擊行為分析判斷是否存在以植入挖礦木馬為目的的漏洞攻擊等。失陷主機分析：安全專家對失陷主機進行分析研判（如惡意程序及后門腳本類事件），并給出處置及加固建議。潛伏威脅分析：安全專家分析內網主機的非法外聯威脅行為，判斷是否存在潛伏威脅，并給出處置及加固建議。含：對外攻擊、APT、C&C通道、隱藏外聯通道等外聯威脅行為。針對漏洞利用攻擊行為、Webshell上傳行為、Web系統目錄遍歷攻擊行為、SQL注入攻

119、擊行為、信息泄露攻擊行為、口令暴力破解攻擊行為、僵尸網絡攻擊行為、系統命令注入攻擊行為及僵尸網絡攻擊行為進行分析評估，判斷攻擊行為是否成功以及業務風險點。安全專家根據安全威脅/事件分析的結果以及處置方式，對安全組件上的安全策略進行調整工作。針對資產脆弱性，安全專家分析研判后提供實際佐證材料，并給出修復建議。蠕蟲病毒事件：安服專家確認文件是否被感染，定位失陷的代碼并進行修復。針對服務資產的勒索、挖礦類事件。安全專家主導處置工作，并提供最大程度溯源服務（如涉及到重裝業務系統，服務商提供重裝指導）；安全專家定位惡意文件路徑并提供查殺指導（授權情況下，可由服務商直接操作）；并分析有無異常進程與服務，發

120、現異常進行通告（授權情況下，可由服務商直接對異常情況進行操作）。36醫院網絡安全托管服務（MSS）實施指南附錄/首次安全威脅分析問題記錄表安全問題整改指導資產信息確認表漏洞清單失陷類事件處置攻擊行為處置資產指紋探測資產變更管理漏洞掃描與驗證漏洞修復優先級排序與通告漏洞可落地修復方案漏洞復測與狀態追蹤弱口令分析與管理高利用漏洞防護7*24 小時威脅分析研判7*24 小時威脅通告威脅影響面分析威脅情報通告威脅協助處置安全專家+安全組件安全專家+安全組件安全專家+安全組件安全專家+安全組件安全專家+安全組件安全專家+安全組件安全專家+安全組件安全專家安全專家安全專家安全專家安全專家安全問題處置資產管

121、理脆弱性管理安全專家+安全組件針對后門腳本類事件。安全專家主導處置工作，提供專殺工具對感染服務器進行全面后門腳本查殺，并提供最大程度溯源服務。針對隱藏通信通道、可疑外發行為。安全專家提供實際佐證材料，并給出修復建議，提供最大范圍的溯源服務。配合定位異常進程以及惡意文件，并提供查殺建議。針對分析研判確認的入侵行為，安全專家給出策略調整建議。如果有可聯動處置的邊界防護設備等，在獲得授權后，在服務時間內安全專家調整安全策略進行封禁。持續服務過程中安全專家每季度對資產進行指紋（操作系統、中間件、軟件廠商等信息）探測，并對指紋信息進行確認與更新，確保安全托管服務安全運營中心中資產指紋信息的準確性和全面性

122、。持續服務過程中安全專家每季度對資產進行存活性探測，當發現未存活資產或資產發生變更時，安全專家對變更信息進行確認與更新，確保安全托管服務安全運營中心中資產信息的準確性和全面性。每月對服務資產的系統漏洞和Web漏洞進行全量掃描，并針對發現的WEB漏洞進行驗證，驗證WEB漏洞在已有的安全體系發生的風險及分析發生后可造成的危害?；诼┒磼呙杞Y果、資產重要性及漏洞的威脅情報，對漏洞進行重要性排序，確定修復的優先級；并將最終結果通告給醫院接口管理員。對漏洞進行分析并輸出可落地的修復方案，通過工單系統跟蹤修復情況。實現信息化資產不同應用弱口令猜解檢測，如：SMB、Mssql、Mysql、Oracle、sm

123、tp、VNC、ftp、telnet、ssh、mysql、tomcat等。針對醫院提供行業密碼字典，有針對性的進行弱口令檢測。并將檢測發現的問題通過工單系統跟蹤修復狀態。對于配備有可聯動處置防火墻的醫院單位，支持一鍵防護掃描組件發現的高可利用漏洞。對修復的漏洞進行復測，及時更新漏洞工單的漏洞修復狀態。威脅管理基于云端安全能力平臺，云端專家提供 7*24 小時的威脅監測：依托于安全防護組件、檢測響應組件和安全平臺，將海量安全數據脫敏，包括漏洞信息、共享威脅情報、異常流量、攻擊日志等數據，經由大數據處理平臺結合人工智能和云端安全專家使用多種數據分析算法模型進行數據歸因關聯分析，實時監測網絡安全狀態，

124、對安全告警和威脅進行分析研判，并生成工單。安全專家將云端分析確認后的真實威脅、事件實時通過微信、郵件等方式向醫院接口管理員通告，并提供處置建議。安全專家針對每一個真實的威脅和告警，進行深度分析驗證，分析判斷受影響范圍及是否攻擊成功，將深度關聯分析的結果通過服務群/郵件等方式告知醫院。安全專家針對分析結果提供對應的處置或加固建議（如封鎖攻擊源、設置安全策略防護等措施），并協助醫院閉環。37醫院網絡安全托管服務（MSS）實施指南附錄/威脅情報威脅狩獵報告安全專家威脅情報管理高級威脅狩獵策略檢查策略調優安全事件調查與分析安全事件處置與閉環重大事件應急響應專屬服務經理實時專家咨詢節假日值守安全運營周報

125、安全運營月報運營成果可視7*24 小時服務團隊事件管理安全運營季度匯報醫院 portal醫院 portal安全專家年度總結匯報安全專家安全運營季報安全專家安全運營月報安全專家安全運營周報安全專家安全專家安全專家安全專家+安全組件應急響應報告安全專家安全專家安全專家安全專家安全專家節假日值守快報（微信群）安全運營年度匯報威脅管理實時抓取互聯網最新威脅情報與詳細資產信息進行匹配，對最新威脅情報進行通告與排查，結合威脅情報，安全專家排查是否對服務資產造成影響并通知醫院，及時協助進行安全加固。安全專家每年可按需開展2次針對內/外網或特定業務系統及特定漏洞，基于醫院業務定制檢測邏輯，盡可能快地發現漏洞或

126、攻擊痕跡，發現潛在的安全隱患和已失陷的主機/被釣魚成功的員工/賬密信息泄露等，最大限度地降低攻擊者造成的危害，評估造成的損失等內容，最終幫助醫院驗證風險并推動發現的問題和隱患進行閉環處理。每月安全專家對安全組件上的安全策略進行統一檢查，確保安全組件上的安全策略始終處于最優水平，針對威脅能起到最好的防護效果。每月安全專家根據安全威脅/事件分析的結果以及處置方式，按需對安全組件上的安全策略進行調整工作。安全專家7*24小時在線服務，針對主機發生的安全事件開展調查分析和影響面分析，對發生的安全事件進行人工鑒定和舉證分析。對醫院網絡內服務資產爆發勒索病毒、挖礦病毒、篡改事件、webshell、僵尸網絡

127、等安全事件，利用一些工具和腳本對惡意文件、代碼進行根除，幫助醫院快速恢復業務，消除或減輕影響，閉環事件工單。事件影響抑制：通過事件檢測分析，提供抑制手段，降低入侵影響，協助快速恢復業務。入侵威脅清除：排查攻擊路徑、惡意文件，并清除。入侵原因分析：還原攻擊路徑，分析入侵事件原因，提供安全事件溯源結果。加固建議指導：結合現有安全防御體系，指導醫院進行安全加固、提供整改建議、防止再次入侵。為醫院配置一名經驗豐富的安全專家作為專屬服務經理安全專家對醫院咨詢或上報的安全問題進行及時響應并給出建議，如主機加固建議咨詢、安全事件處置建議咨詢等。安全值守專家進行7*24小時安全監測，對發生的安全事件進行及時響

128、應并在節假日期間每日進行值守總結，在服務群發送值守總結快報安全專家每周對服務資產進行安全運營情況的分析總結并輸出 安全運營周報。安全專家每月對服務資產及整體安全狀況進行分析總結并輸出 安全運營月報。安全專家每季度總結階段性安全運營情況并輸出 安全運營季報 發送給醫院，向醫院進行遠程或線下總結匯報。安全專家總結年度安全運營情況并輸出 年度總結報告 發送給醫院，向醫院進行總結匯報。支持在線展示所有脆弱性、威脅、事件工單的處置進程和結果支持醫院在線對服務SLA進行查閱和監督?？梢暬疨ortal支持隨時查看服務范圍內業務資產安全狀態。38醫院網絡安全托管服務（MSS）實施指南附錄附錄 D附錄 D 為醫

129、院網絡安全托管服務合同的部分內容示例，對應第五章的主要內容，僅供醫院參考，詳細內容請結合實際情況補充修訂。注釋內容（斜體）僅供參考，正式簽署前請刪除。醫院網絡安全托管服務合同（示例）合同編號：簽約日期：甲方：地址：電話：傳真：郵編：乙方：地址：電話：傳真：郵編：39醫院網絡安全托管服務（MSS）實施指南附錄鑒于甲方有意采購安全托管服務，用于自身網絡系統建設或安全維護，經與乙方協商一致，同意按照中華人民共和國有關法律法規的規定簽訂本合同。第一條 合同標的1.甲方向乙方采購本合同項下安全托管服務的具體清單及服務內容詳見附件服務采購清單。（注：服務采購清單內容可參考本指南附錄 C）2.甲方所購買之服

130、務提供完畢后，需要乙方繼續提供服務的，雙方可另行簽訂服務合同。3.服務內容要求中如有關于 SLA 的約定，以附件SLA 協議內容或雙方書面約定為準。（注：SLA 協議內容可參考本指南第 4 章第 5 小節）第二條 支付條款1.本合同項下的服務費用金額（含稅）總計 元（大寫：人民幣 ）。2.本合同簽訂后，甲方須在 個工作日內向乙方支付全部款項，乙方應向甲方開具相應金額的合規增值稅發票（稅率 6%）。第三條 雙方保證（一）甲方：1.甲方保證其有能力及資格簽署本合同并授權乙方提供本合同項下安全托管服務，并保證向乙方提供的授權/聲明文件及所有相關數據資料在整個授權服務期間均真實、合法和有效。2.甲方保

131、證簽署本合同時已充分理解乙方提供的服務內容，知悉相關可能性風險，并同意授權乙方為提供服務之必要收集及處理相關信息。3.甲方應在服務的各個階段配合乙方進行協調和管理，包括但不限于及時向乙方提供必要的工作環境、資料信息及其他必要協助。4.對服務賬戶和驗證碼進行有效的管理和保護，避免無權限人員對服務賬戶進行非正常操作。5.為實現服務目的，乙方有可能為甲方提供安全服務期間所需的配套硬件設備，此設備由乙方運用專業技術手段方可使用，并構成乙方提供服務所使用的工具；硬件設備雖然安裝在甲方所在地，但硬件設備的所有權和使用權均歸乙方所有。甲方應于服務期屆滿時配合乙方拆除并回收該設備。如因甲方原因造成乙方設備損壞

132、或滅失，甲方應按乙方設備公開報價予以賠償。（二）乙方：1.乙方保證所提供的安全服務符合相關技術規范要求，所指派的專業人員均有能力按照本合同約定完成服務交付相關事項。2.乙方應嚴格按照本合同約定或甲方授權或知情同意的范圍提供服務，服務過程中應注意保護相關信息系統及數據的安全。3.乙方應按約定交付相應的服務文檔，如合同終止或解除，乙方應配合進行相關文檔資料的移交。第四條 知識產權條款及保密條款1.甲乙雙方應互相尊重對方的知識產權和商業秘密。如甲方對于項目保密有特別要求的，甲乙雙方均應嚴格按照特別要求執行。2.乙方為甲方提供服務及交付相關服務成果并不意味著乙方向甲方轉讓或授權許可使用任何乙方自主擁有

133、或已獲第三方許可的知識產權；甲方應注意保護乙方交付的相關文檔中可能包含的乙方的商業秘密或技術方案等內容，未經乙方同意不應向其他任何第三方披露。40醫院網絡安全托管服務（MSS）實施指南附錄413.乙方應對提供服務過程中獲取或知悉的甲方保密信息履行嚴格的保密義務，非經甲方同意不得向第三方披露，并不得用于提供服務以外的其他任何目的。4.一方可僅為本合同目的向其確有知悉必要的雇員披露對方提供的保密資料，但同時須指示其雇員遵守本條規定的保密義務。一方因法律法規的強制性規定或政策要求須披露相關信息的，應盡可能提前通知披露方，使其得以采取其認為必要的保護措施。5.本合同所述應予以保密的信息不包含屬于以下情

134、形的內容：(1)并非因接收方的過錯而已經進入公有領域的；(2)已通過接收方的有關記錄證明是由其獨立開發的；(3)由接收方從沒有違反對披露方的保密義務的一方取得的。第五條 違約責任1.乙方應依約履行合同義務。乙方所交付安全服務不符合本合同約定的，乙方應予以補救。如因乙方原因給甲方造成損失的，乙方應按甲方的直接經濟損失進行賠償。2.甲方應按本合同約定的時間付款，甲方逾期付款應每日按未支付款項金額的的標準向乙方支付違約金。如延遲付款時間超過 15 日，乙方有權終止對甲方的服務承諾。3.甲方違背本合同第三條所述保證，乙方有權自發現甲方違背保證情形之時起中止服務（服務期限不予順延）。若甲方在約定期限內仍

135、未履行相關保證義務，乙方有權單方解除合同。乙方因此解除合同、終止服務的，不免除甲方的付款義務；乙方因甲方違約事由受到第三方追責的，由甲方承擔全部損失的賠償責任。4.甲乙雙方均一致同意，因境內外基礎電信運營商的通訊線路故障或其他各種不可抗力原因而導致的任何損失，雙方均無需向對方承擔違約或損害賠償責任。5.如乙方所交付的安全服務不符合附件SLA 協議（如有）相關要求時，應按照SLA 協議承擔相應責任。第六條 通知與送達1.為方便開展工作，提高雙方的工作效率，甲方安排 （聯系方式：）負責與乙方保持日常聯系，乙方安排 （聯系方式：）負責與甲方保持日常聯系。2.任何一方的聯系人或聯系方式如需變更，應以書

136、面形式提前通知對方，因未及時通知而造成的損失由責任方自行承擔。第七條 爭議解決與本合同有關的一切爭議，雙方應首先通過友好協商解決，如協商不成，任何一方可向（原告方/被告方）所在地人民法院訴請解決。醫院網絡安全托管服務（MSS）實施指南附錄甲方（蓋章）：法定代表人/授權代表（簽字）：乙方（蓋章）：法定代表人/授權代表（簽字）：第八條 合同生效及其它1.本合同自雙方蓋章之日起生效，一式貳份，雙方各持壹份，每份具有同等法律效力。2.如有相關未盡事宜，或需對合同內容作任何修改或補充的，雙方可在協商一致后簽署書面的補充協議進行約定，補充協議生效后即成為本合同不可分割的組成部分。3.除雙方另行協商一致外，因非乙方原因導致服務提前終止的，乙方有權不予退還服務費用。4.雙方同意并認可：一方或雙方在簽約時使用電子簽章的，與實體簽章具有同等法律效力。同時，傳真件、打印件、復印件、掃描件與原件亦具有同等法律效力。5.附件：服務采購清單 SLA 協議（如有）。（以下為簽署頁，無正文）醫院網絡安全托管服務（MSS）實施指南附錄42