醫(yī)院信息網(wǎng)絡(luò)安全應(yīng)急預(yù)案適用主體：××三級(jí)甲等綜合醫(yī)院應(yīng)對(duì)事件：醫(yī)院信息網(wǎng)絡(luò)安全突發(fā)事件（勒索軟件攻擊、數(shù)據(jù)泄露、核心系統(tǒng)宕機(jī)、醫(yī)療物聯(lián)網(wǎng)被控、供應(yīng)鏈木馬植入等）一、風(fēng)險(xiǎn)評(píng)估1.誘因矩陣|誘因類(lèi)別|典型場(chǎng)景|發(fā)生概率|影響深度|綜合等級(jí)||外部攻擊|勒索軟件通過(guò)釣魚(yú)郵件橫向感染HIS、PACS、LIS|高|極高|Ⅰ級(jí)（災(zāi)難）||內(nèi)部違規(guī)|運(yùn)維人員私設(shè)FTP導(dǎo)致患者隱私數(shù)據(jù)外泄|中|高|Ⅱ級(jí)（重大）||供應(yīng)鏈|新版超聲工作站鏡像被植入遠(yuǎn)控木馬|低|高|Ⅱ級(jí)（重大）||基礎(chǔ)設(shè)施|核心機(jī)房UPS電池?zé)崾Э匾l(fā)火災(zāi)，雙活存儲(chǔ)掉電|中|極高|Ⅰ級(jí)（災(zāi)難）||系統(tǒng)缺陷|老舊Windows7影像終端永恒之藍(lán)漏洞被利用|高|中|Ⅲ級(jí)（較大）||人為破壞|離職員工利用未回收VPN賬號(hào)刪除電子病歷|低|中|Ⅲ級(jí)（較大）|2.發(fā)生等級(jí)定義Ⅰ級(jí)（災(zāi)難）：業(yè)務(wù)中斷≥6小時(shí)或>5萬(wàn)份病歷無(wú)法訪(fǎng)問(wèn)，直接經(jīng)濟(jì)損失≥500萬(wàn)元，或引發(fā)重大輿情。Ⅱ級(jí)（重大）：業(yè)務(wù)中斷2–6小時(shí)，1–5萬(wàn)份病歷受影響，直接經(jīng)濟(jì)損失100–500萬(wàn)元。Ⅲ級(jí)（較大）：業(yè)務(wù)中斷30分鐘–2小時(shí)，局部系統(tǒng)異常，直接經(jīng)濟(jì)損失10–100萬(wàn)元。Ⅳ級(jí)（一般）：業(yè)務(wù)中斷<30分鐘，單點(diǎn)故障，可通過(guò)冗余切換恢復(fù)，損失<10萬(wàn)元。3.風(fēng)險(xiǎn)接受準(zhǔn)則Ⅰ級(jí)、Ⅱ級(jí)必須零容忍，通過(guò)技術(shù)、管理、保險(xiǎn)手段降至Ⅲ級(jí)以下；Ⅲ級(jí)殘余風(fēng)險(xiǎn)需經(jīng)院務(wù)會(huì)審議決定是否接受；Ⅳ級(jí)納入日常運(yùn)維基線(xiàn)。二、職責(zé)分工（到人到崗）1.應(yīng)急指揮組組長(zhǎng)：院長(zhǎng)（法定代表人）副組長(zhǎng)：主管信息化副院長(zhǎng)、主管醫(yī)療副院長(zhǎng)成員：信息中心主任、醫(yī)務(wù)部主任、護(hù)理部主任、院辦主任、安保部主任、財(cái)務(wù)部主任、宣傳科主任職責(zé)：?jiǎn)?dòng)/終止預(yù)案、對(duì)外信息發(fā)布、向衛(wèi)健委和公安網(wǎng)安報(bào)告、資源調(diào)配、事后追責(zé)。2.技術(shù)響應(yīng)組組長(zhǎng)：信息中心副主任（A角）副組長(zhǎng)：網(wǎng)絡(luò)安全主管（B角）成員：①網(wǎng)絡(luò)工程師2名（C、D角）——負(fù)責(zé)邊界防火墻、IPS、VPN策略封禁；②系統(tǒng)管理員2名（E、F角）——負(fù)責(zé)服務(wù)器、虛擬化、存儲(chǔ)應(yīng)急切換；③數(shù)據(jù)庫(kù)管理員1名（G角）——負(fù)責(zé)數(shù)據(jù)一致性校驗(yàn)、應(yīng)急庫(kù)啟停；④安全分析師2名（H、I角）——負(fù)責(zé)流量鏡像、樣本逆向、IOC特征提取；⑤醫(yī)療軟件工程師3名（J、K、L角）——負(fù)責(zé)HIS、EMR、PACS、LIS進(jìn)程啟停、補(bǔ)丁回退；⑥現(xiàn)場(chǎng)運(yùn)維2名（M、N角）——負(fù)責(zé)機(jī)房巡檢、UPS、空調(diào)、KVM。職責(zé)：事件定位、遏制、根除、恢復(fù)、取證。3.醫(yī)療應(yīng)急組組長(zhǎng)：醫(yī)務(wù)部主任副組長(zhǎng)：護(hù)理部主任成員：門(mén)急診主任、各病區(qū)護(hù)士長(zhǎng)、手術(shù)室麻醉科主任、檢驗(yàn)科主任、放射科主任、藥劑科主任職責(zé)：手工流程切換、病人安全評(píng)估、手術(shù)延期決策、檢驗(yàn)報(bào)告雙簽字、放射膠片手工發(fā)放。4.后勤保障組組長(zhǎng)：安保部主任副組長(zhǎng)：總務(wù)科主任成員：物資庫(kù)管、電工班、運(yùn)輸隊(duì)、保潔班、消防控制室值班員職責(zé)：機(jī)房物理封閉、備用發(fā)電、應(yīng)急照明、餐飲配送、廢介質(zhì)銷(xiāo)毀。5.法務(wù)與合規(guī)組組長(zhǎng)：院辦法務(wù)專(zhuān)員副組長(zhǎng)：醫(yī)保辦主任成員：病案室主任、數(shù)據(jù)質(zhì)控員、合作律師事務(wù)所顧問(wèn)職責(zé)：證據(jù)鏈保全、患者通知、保險(xiǎn)理賠、配合監(jiān)管調(diào)查。6.通訊與輿情組組長(zhǎng)：宣傳科主任副組長(zhǎng)：客服中心主任成員：公眾號(hào)運(yùn)維、電視臺(tái)聯(lián)絡(luò)員、熱線(xiàn)坐席職責(zé)：統(tǒng)一口徑、24小時(shí)輪值、黑熱搜監(jiān)測(cè)、短視頻辟謠。三、分階段處置流程階段0日常加固（觸發(fā)前）資源清單：a.邊界：雙活防火墻（主備模式）、IPS、全流量探針、EDR2800點(diǎn)授權(quán)、沙箱；b.內(nèi)網(wǎng)：微隔離（VXLAN+策略中心）、醫(yī)療終端安全衛(wèi)士、USB端口封貼；c.數(shù)據(jù)：CDP持續(xù)數(shù)據(jù)保護(hù)（RPO≤15秒）、異地副本（50km）、離線(xiàn)磁帶庫(kù)（WORM）；d.賬戶(hù)：AD+4A統(tǒng)一身份、MFA動(dòng)態(tài)令牌、堡壘機(jī)錄像留存180天；e.供應(yīng)鏈：軟件白名單、MD5校驗(yàn)、源代碼escrow、第三方滲透測(cè)試報(bào)告；f.保險(xiǎn)：網(wǎng)絡(luò)安全專(zhuān)項(xiàng)險(xiǎn)（保額2000萬(wàn)元，含營(yíng)業(yè)中斷、數(shù)據(jù)恢復(fù)、勒索贖金）。責(zé)任人：信息中心副主任；操作步驟：每月第1個(gè)工作日完成漏洞掃描、補(bǔ)丁評(píng)審、基線(xiàn)核查、備份恢復(fù)演練、威脅情報(bào)同步。階段1發(fā)現(xiàn)與報(bào)告（0–15分鐘）觸發(fā)條件：①EDR彈窗“發(fā)現(xiàn)勒索行為”；②全流量探針檢測(cè)到內(nèi)網(wǎng)大量445橫向；③業(yè)務(wù)科室投訴HIS卡頓、電子病歷無(wú)法保存；④公安網(wǎng)安通報(bào)“醫(yī)院IP大量外發(fā)患者數(shù)據(jù)”。操作步驟：a.值班安全分析師（H角）5分鐘內(nèi)確認(rèn)告警真實(shí)性，截圖、抓包、拉取進(jìn)程樹(shù)；b.通過(guò)企業(yè)微信“應(yīng)急群”同步@技術(shù)響應(yīng)組組長(zhǎng)、應(yīng)急指揮組副組長(zhǎng)；c.10分鐘內(nèi)填寫(xiě)《網(wǎng)絡(luò)安全事件初報(bào)》（附件1），含影響系統(tǒng)、疑似攻擊鏈、已采取措施；d.若綜合等級(jí)≥Ⅱ級(jí)，由院長(zhǎng)（組長(zhǎng)）在15分鐘內(nèi)電話(huà)上報(bào)市衛(wèi)健委信息處、公安網(wǎng)安支隊(duì)。階段2初步遏制（15–60分鐘）資源清單：①隔離VLAN999（黑洞路由）；②應(yīng)急U盤(pán)32個(gè)（WinPE、專(zhuān)殺、離線(xiàn)補(bǔ)?。虎郾?哥斯拉查殺腳本、IOC列表（每日更新）；④手工臺(tái)賬、復(fù)寫(xiě)紙、印章。責(zé)任人：網(wǎng)絡(luò)工程師C角、安全分析師H角操作步驟：a.在防火墻創(chuàng)建“緊急阻斷”策略，將感染終端源IP+MAC加入黑名單，關(guān)閉邊界445、135、139、3389；b.通過(guò)策略中心把疑似感染終端劃入隔離VLAN，保留DNS與NTP，其余流量丟棄；c.若核心HIS服務(wù)器尚未被加密，立即創(chuàng)建快照并禁用域控中所有非必要服務(wù)賬戶(hù)；d.通知醫(yī)療應(yīng)急組啟動(dòng)手工模式，門(mén)急診收費(fèi)啟用“應(yīng)急收費(fèi)單機(jī)版”（本地SQLite），掛號(hào)處發(fā)放手工號(hào)源；e.后勤保障組封閉機(jī)房二樓通道，僅保留A、B角兩人進(jìn)入，啟用機(jī)房臨時(shí)門(mén)禁虹膜+機(jī)械鑰匙雙因子。階段3評(píng)估與溯源（60–180分鐘）資源清單：①沙箱（FireEyeAX）、逆向工作站（IDA7.7）、日志聚合平臺(tái)（Elastic7.16）；②服務(wù)器鏡像盤(pán)（4TB×10）、只讀硬盤(pán)底座、證據(jù)封存袋；③律師見(jiàn)證人、公證處攝像機(jī)。責(zé)任人：安全分析師I角、數(shù)據(jù)庫(kù)管理員G角操作步驟：a.對(duì)隔離終端做內(nèi)存dump（winpmem），計(jì)算SHA256后上傳沙箱，30分鐘內(nèi)輸出行為報(bào)告；b.在日志平臺(tái)檢索“user=administratorANDevent_id=4624”確認(rèn)異常登錄源IP，繪制時(shí)間線(xiàn)；c.若發(fā)現(xiàn)數(shù)據(jù)泄露，立即對(duì)涉事數(shù)據(jù)庫(kù)做冷備份，并計(jì)算表級(jí)哈希，由法務(wù)與合規(guī)組封存；d.若判斷為勒索軟件且已加密>30%文件，進(jìn)入“支付決策”子流程：——由院長(zhǎng)、財(cái)務(wù)部主任、法務(wù)專(zhuān)員三方在30分鐘內(nèi)評(píng)估比特幣市值、保險(xiǎn)條款、監(jiān)管態(tài)度；——若決定不支付，直接跳轉(zhuǎn)階段4；——若決定支付，由財(cái)務(wù)部主任在公安網(wǎng)安見(jiàn)證下使用冷錢(qián)包轉(zhuǎn)賬，并索要解密工具，全程錄像。階段4根除與恢復(fù)（180分鐘–24小時(shí)）資源清單：①備用虛擬化集群（vSphere7.0，48臺(tái)刀片，裸容量1.2PB）；②離線(xiàn)補(bǔ)丁包（WSUSexport2024Q2）、黃金鏡像（Win1022H2、CentOS7.9）；③應(yīng)急藥品目錄（含抗生素、化療藥、麻醉藥）紙質(zhì)版；④移動(dòng)DR、移動(dòng)超聲、手持血?dú)鈨x各3套。責(zé)任人：系統(tǒng)管理員E角、醫(yī)療軟件工程師J角操作步驟：a.使用“黃金鏡像”重新生成HIS應(yīng)用服務(wù)器、PACS影像服務(wù)器，補(bǔ)丁級(jí)別≥20240601；b.通過(guò)CDP在備用集群掛載昨日22:00快照，校驗(yàn)數(shù)據(jù)庫(kù)DBCCCHECKDB無(wú)錯(cuò)誤；c.醫(yī)療應(yīng)急組組織“業(yè)務(wù)回歸測(cè)試”：——門(mén)急診掛號(hào)10單、收費(fèi)5單、藥房發(fā)藥3單、檢驗(yàn)條碼打印2單、放射拍片1單；——全部測(cè)試通過(guò)，由醫(yī)務(wù)部主任簽字確認(rèn)；d.切換DNS記錄，將指向備用集群虛擬IP，TTL由3600秒改為30秒；e.對(duì)原有加密主機(jī)進(jìn)行全盤(pán)格式化+DoD5220.22M覆寫(xiě)3遍，貼上“已清理”標(biāo)簽，納入備件庫(kù)；f.若業(yè)務(wù)中斷>6小時(shí)，啟動(dòng)“應(yīng)急體檢車(chē)+云影像”模式：將CT影像通過(guò)5GSA切片上傳至市影像云，放射科主任在手機(jī)端出具臨時(shí)報(bào)告；g.后勤保障組同步恢復(fù)醫(yī)保專(zhuān)線(xiàn)、銀醫(yī)通、互聯(lián)網(wǎng)醫(yī)院，財(cái)務(wù)人工窗口暫停現(xiàn)金業(yè)務(wù)，統(tǒng)一使用“應(yīng)急P(pán)OS”走銀聯(lián)通道。階段5持續(xù)監(jiān)測(cè)（24–72小時(shí)）資源清單：①威脅情報(bào)API（微步、奇安信、VirusTotal）；②蜜罐系統(tǒng)（12個(gè)仿真PACS、15個(gè)仿真超聲工作站）；③安全運(yùn)營(yíng)中心大屏（SOC7×24）。責(zé)任人：安全分析師H角、網(wǎng)絡(luò)工程師D角操作步驟：a.每6小時(shí)對(duì)全網(wǎng)再次進(jìn)行漏洞掃描，比對(duì)基線(xiàn)差異；b.蜜罐捕獲新的橫向移動(dòng)，立即溯源并更新防火墻黑名單；c.醫(yī)療軟件工程師K角在72小時(shí)內(nèi)完成源代碼走查，重點(diǎn)檢查上傳接口、SQL拼接、弱口令寫(xiě)死問(wèn)題；d.若未再發(fā)現(xiàn)異常，由應(yīng)急指揮組組長(zhǎng)宣布解除應(yīng)急狀態(tài)，轉(zhuǎn)入“事后總結(jié)”階段。階段6事后總結(jié)與改進(jìn)（72小時(shí)–30天）資源清單：①事件報(bào)告模板（含時(shí)間線(xiàn)、損失評(píng)估、改進(jìn)清單）；②紅隊(duì)復(fù)盤(pán)會(huì)議系統(tǒng)（Zoom+Confluence）；③預(yù)算追加申請(qǐng)表（網(wǎng)絡(luò)安全專(zhuān)項(xiàng)）。責(zé)任人：信息中心副主任、法務(wù)與合規(guī)組操作步驟：a.7天內(nèi)完成《網(wǎng)絡(luò)安全事件總結(jié)報(bào)告》，提交院務(wù)會(huì)審議；b.對(duì)存在失職的第三方運(yùn)維公司，依據(jù)合同第8.2條扣除當(dāng)月服務(wù)費(fèi)30%，并限期整改；c.30天內(nèi)修訂《醫(yī)院網(wǎng)絡(luò)安全管理制度》《供應(yīng)商安全準(zhǔn)入細(xì)則》，增加“源代碼強(qiáng)制審計(jì)”“離職賬號(hào)48小時(shí)凍結(jié)”條款；d.對(duì)表現(xiàn)突出的應(yīng)急人員，由院長(zhǎng)簽發(fā)“院長(zhǎng)特別獎(jiǎng)”，獎(jiǎng)金5000元并通報(bào)表?yè)P(yáng)；e.將事件處置全過(guò)程錄像、日志、鏡像刻錄成三張只讀光盤(pán)，一份存院辦檔案室，一份交公安網(wǎng)安，一份交保險(xiǎn)公司。四、演練計(jì)劃1.演練類(lèi)型a.紅隊(duì)對(duì)抗演練（年度）：外聘專(zhuān)業(yè)攻擊隊(duì)，目標(biāo)獲取域控、加密病歷、篡改檢驗(yàn)報(bào)告；b.醫(yī)療業(yè)務(wù)連續(xù)性演練（半年度）：模擬HIS雙活失效，門(mén)急診手工模式運(yùn)行4小時(shí)；c.供應(yīng)鏈投毒演練（季度）：向軟件供應(yīng)商推送帶后門(mén)更新包，檢驗(yàn)白名單與MD5校驗(yàn)有效性；d.勒索軟件專(zhuān)項(xiàng)演練（月度）：使用無(wú)害模擬勒索程序，檢驗(yàn)EDR彈窗、隔離、通知、恢復(fù)全鏈路。2.演練場(chǎng)景示例（2024年9月紅隊(duì)對(duì)抗）攻擊路徑：①攻擊者通過(guò)醫(yī)院公眾號(hào)小程序上傳0day（CVE2024fake），獲取Web服務(wù)器權(quán)限；②提權(quán)至內(nèi)網(wǎng)，利用弱口令“P@ssw0rd”登錄財(cái)務(wù)NC系統(tǒng)；③投放mockransom，加密財(cái)務(wù)科共享盤(pán)，并橫向移動(dòng)至HIS數(shù)據(jù)庫(kù)；④修改檢驗(yàn)科LIS參考值，導(dǎo)致鉀離子參考上限改為1.0mmol/L。演練目標(biāo)：——技術(shù)響應(yīng)組在30分鐘內(nèi)發(fā)現(xiàn)異常檢驗(yàn)值并溯源；——醫(yī)療應(yīng)急組在60分鐘內(nèi)啟動(dòng)“檢驗(yàn)值雙人復(fù)核”手工流程；——無(wú)真實(shí)患者數(shù)據(jù)被篡改，無(wú)輿情發(fā)酵。3.演練評(píng)估采用“雙百制”：①技術(shù)指標(biāo)100分：發(fā)現(xiàn)時(shí)間≤30分鐘（30分）、遏制時(shí)間≤60分鐘（30分）、恢復(fù)時(shí)間≤4小時(shí)（30分）、報(bào)告質(zhì)量（10分）；②業(yè)務(wù)指標(biāo)100分：患者滯留率≤5%（40分）、手工處方差錯(cuò)率≤1‰（30分）、投訴量≤3例（30分）。得分<150分為不合格，由應(yīng)急指揮組組長(zhǎng)約談相關(guān)責(zé)任人，并扣發(fā)年度績(jī)效10%。五、動(dòng)態(tài)更新機(jī)制1.威脅情報(bào)日更：每日08:30由安全分析師H角將微步、CNCERT、FDA、HC3公告導(dǎo)入本地TIP，自動(dòng)匹配醫(yī)院資產(chǎn)，30分鐘內(nèi)生成“高危資產(chǎn)清單”，經(jīng)信息中心副主任審批后，當(dāng)日17:00前完成加固或臨時(shí)下線(xiàn)。2.預(yù)案版本控制：采用“年.月.修訂號(hào)”三級(jí)編號(hào)，如2024.09.03，所有變更須通過(guò)GitLabMergeRequest，經(jīng)技術(shù)響應(yīng)組組長(zhǎng)、法務(wù)與合規(guī)組雙審批方可合并；歷史版本封存7年，滿(mǎn)足《網(wǎng)絡(luò)安全法》及等保2.0審計(jì)要求。3.供應(yīng)鏈動(dòng)態(tài)準(zhǔn)入：新增供應(yīng)商須在合同簽訂前完成“安全準(zhǔn)入問(wèn)卷+滲透測(cè)試+源代碼審計(jì)”，得分≥