医院信息网络安全应急预案

医院信息网络安全应急预案适用主体：××三级甲等综合医院应对事件：医院信息网络安全突发事件（勒索软件攻击、数据泄露、核心系统宕机、医疗物联网被控、供应链木马植入等）一、风险评估1.诱因矩阵|诱因类别|典型场景|发生概率|影响深度|综合等级||外部攻击|勒索软件通过钓鱼邮件横向感染HIS、PACS、LIS|高|极高|Ⅰ级（灾难）||内部违规|运维人员私设FTP导致患者隐私数据外泄|中|高|Ⅱ级（重大）||供应链|新版超声工作站镜像被植入远控木马|低|高|Ⅱ级（重大）||基础设施|核心机房UPS电池热失控引发火灾，双活存储掉电|中|极高|Ⅰ级（灾难）||系统缺陷|老旧Windows7影像终端永恒之蓝漏洞被利用|高|中|Ⅲ级（较大）||人为破坏|离职员工利用未回收VPN账号删除电子病历|低|中|Ⅲ级（较大）|2.发生等级定义Ⅰ级（灾难）：业务中断≥6小时或>5万份病历无法访问，直接经济损失≥500万元，或引发重大舆情。Ⅱ级（重大）：业务中断2–6小时，1–5万份病历受影响，直接经济损失100–500万元。Ⅲ级（较大）：业务中断30分钟–2小时，局部系统异常，直接经济损失10–100万元。Ⅳ级（一般）：业务中断<30分钟，单点故障，可通过冗余切换恢复，损失<10万元。3.风险接受准则Ⅰ级、Ⅱ级必须零容忍，通过技术、管理、保险手段降至Ⅲ级以下；Ⅲ级残余风险需经院务会审议决定是否接受；Ⅳ级纳入日常运维基线。二、职责分工（到人到岗）1.应急指挥组组长：院长（法定代表人）副组长：主管信息化副院长、主管医疗副院长成员：信息中心主任、医务部主任、护理部主任、院办主任、安保部主任、财务部主任、宣传科主任职责：启动/终止预案、对外信息发布、向卫健委和公安网安报告、资源调配、事后追责。2.技术响应组组长：信息中心副主任（A角）副组长：网络安全主管（B角）成员：①网络工程师2名（C、D角）——负责边界防火墙、IPS、VPN策略封禁；②系统管理员2名（E、F角）——负责服务器、虚拟化、存储应急切换；③数据库管理员1名（G角）——负责数据一致性校验、应急库启停；④安全分析师2名（H、I角）——负责流量镜像、样本逆向、IOC特征提取；⑤医疗软件工程师3名（J、K、L角）——负责HIS、EMR、PACS、LIS进程启停、补丁回退；⑥现场运维2名（M、N角）——负责机房巡检、UPS、空调、KVM。职责：事件定位、遏制、根除、恢复、取证。3.医疗应急组组长：医务部主任副组长：护理部主任成员：门急诊主任、各病区护士长、手术室麻醉科主任、检验科主任、放射科主任、药剂科主任职责：手工流程切换、病人安全评估、手术延期决策、检验报告双签字、放射胶片手工发放。4.后勤保障组组长：安保部主任副组长：总务科主任成员：物资库管、电工班、运输队、保洁班、消防控制室值班员职责：机房物理封闭、备用发电、应急照明、餐饮配送、废介质销毁。5.法务与合规组组长：院办法务专员副组长：医保办主任成员：病案室主任、数据质控员、合作律师事务所顾问职责：证据链保全、患者通知、保险理赔、配合监管调查。6.通讯与舆情组组长：宣传科主任副组长：客服中心主任成员：公众号运维、电视台联络员、热线坐席职责：统一口径、24小时轮值、黑热搜监测、短视频辟谣。三、分阶段处置流程阶段0日常加固（触发前）资源清单：a.边界：双活防火墙（主备模式）、IPS、全流量探针、EDR2800点授权、沙箱；b.内网：微隔离（VXLAN+策略中心）、医疗终端安全卫士、USB端口封贴；c.数据：CDP持续数据保护（RPO≤15秒）、异地副本（50km）、离线磁带库（WORM）；d.账户：AD+4A统一身份、MFA动态令牌、堡垒机录像留存180天；e.供应链：软件白名单、MD5校验、源代码escrow、第三方渗透测试报告；f.保险：网络安全专项险（保额2000万元，含营业中断、数据恢复、勒索赎金）。责任人：信息中心副主任；操作步骤：每月第1个工作日完成漏洞扫描、补丁评审、基线核查、备份恢复演练、威胁情报同步。阶段1发现与报告（0–15分钟）触发条件：①EDR弹窗“发现勒索行为”；②全流量探针检测到内网大量445横向；③业务科室投诉HIS卡顿、电子病历无法保存；④公安网安通报“医院IP大量外发患者数据”。操作步骤：a.值班安全分析师（H角）5分钟内确认告警真实性，截图、抓包、拉取进程树；b.通过企业微信“应急群”同步@技术响应组组长、应急指挥组副组长；c.10分钟内填写《网络安全事件初报》（附件1），含影响系统、疑似攻击链、已采取措施；d.若综合等级≥Ⅱ级，由院长（组长）在15分钟内电话上报市卫健委信息处、公安网安支队。阶段2初步遏制（15–60分钟）资源清单：①隔离VLAN999（黑洞路由）；②应急U盘32个（WinPE、专杀、离线补丁）；③冰蝎/哥斯拉查杀脚本、IOC列表（每日更新）；④手工台账、复写纸、印章。责任人：网络工程师C角、安全分析师H角操作步骤：a.在防火墙创建“紧急阻断”策略，将感染终端源IP+MAC加入黑名单，关闭边界445、135、139、3389；b.通过策略中心把疑似感染终端划入隔离VLAN，保留DNS与NTP，其余流量丢弃；c.若核心HIS服务器尚未被加密，立即创建快照并禁用域控中所有非必要服务账户；d.通知医疗应急组启动手工模式，门急诊收费启用“应急收费单机版”（本地SQLite），挂号处发放手工号源；e.后勤保障组封闭机房二楼通道，仅保留A、B角两人进入，启用机房临时门禁虹膜+机械钥匙双因子。阶段3评估与溯源（60–180分钟）资源清单：①沙箱（FireEyeAX）、逆向工作站（IDA7.7）、日志聚合平台（Elastic7.16）；②服务器镜像盘（4TB×10）、只读硬盘底座、证据封存袋；③律师见证人、公证处摄像机。责任人：安全分析师I角、数据库管理员G角操作步骤：a.对隔离终端做内存dump（winpmem），计算SHA256后上传沙箱，30分钟内输出行为报告；b.在日志平台检索“user=administratorANDevent_id=4624”确认异常登录源IP，绘制时间线；c.若发现数据泄露，立即对涉事数据库做冷备份，并计算表级哈希，由法务与合规组封存；d.若判断为勒索软件且已加密>30%文件，进入“支付决策”子流程：——由院长、财务部主任、法务专员三方在30分钟内评估比特币市值、保险条款、监管态度；——若决定不支付，直接跳转阶段4；——若决定支付，由财务部主任在公安网安见证下使用冷钱包转账，并索要解密工具，全程录像。阶段4根除与恢复（180分钟–24小时）资源清单：①备用虚拟化集群（vSphere7.0，48台刀片，裸容量1.2PB）；②离线补丁包（WSUSexport2024Q2）、黄金镜像（Win1022H2、CentOS7.9）；③应急药品目录（含抗生素、化疗药、麻醉药）纸质版；④移动DR、移动超声、手持血气仪各3套。责任人：系统管理员E角、医疗软件工程师J角操作步骤：a.使用“黄金镜像”重新生成HIS应用服务器、PACS影像服务器，补丁级别≥20240601；b.通过CDP在备用集群挂载昨日22:00快照，校验数据库DBCCCHECKDB无错误；c.医疗应急组组织“业务回归测试”：——门急诊挂号10单、收费5单、药房发药3单、检验条码打印2单、放射拍片1单；——全部测试通过，由医务部主任签字确认；d.切换DNS记录，将指向备用集群虚拟IP，TTL由3600秒改为30秒；e.对原有加密主机进行全盘格式化+DoD5220.22M覆写3遍，贴上“已清理”标签，纳入备件库；f.若业务中断>6小时，启动“应急体检车+云影像”模式：将CT影像通过5GSA切片上传至市影像云，放射科主任在手机端出具临时报告；g.后勤保障组同步恢复医保专线、银医通、互联网医院，财务人工窗口暂停现金业务，统一使用“应急POS”走银联通道。阶段5持续监测（24–72小时）资源清单：①威胁情报API（微步、奇安信、VirusTotal）；②蜜罐系统（12个仿真PACS、15个仿真超声工作站）；③安全运营中心大屏（SOC7×24）。责任人：安全分析师H角、网络工程师D角操作步骤：a.每6小时对全网再次进行漏洞扫描，比对基线差异；b.蜜罐捕获新的横向移动，立即溯源并更新防火墙黑名单；c.医疗软件工程师K角在72小时内完成源代码走查，重点检查上传接口、SQL拼接、弱口令写死问题；d.若未再发现异常，由应急指挥组组长宣布解除应急状态，转入“事后总结”阶段。阶段6事后总结与改进（72小时–30天）资源清单：①事件报告模板（含时间线、损失评估、改进清单）；②红队复盘会议系统（Zoom+Confluence）；③预算追加申请表（网络安全专项）。责任人：信息中心副主任、法务与合规组操作步骤：a.7天内完成《网络安全事件总结报告》，提交院务会审议；b.对存在失职的第三方运维公司，依据合同第8.2条扣除当月服务费30%，并限期整改；c.30天内修订《医院网络安全管理制度》《供应商安全准入细则》，增加“源代码强制审计”“离职账号48小时冻结”条款；d.对表现突出的应急人员，由院长签发“院长特别奖”，奖金5000元并通报表扬；e.将事件处置全过程录像、日志、镜像刻录成三张只读光盘，一份存院办档案室，一份交公安网安，一份交保险公司。四、演练计划1.演练类型a.红队对抗演练（年度）：外聘专业攻击队，目标获取域控、加密病历、篡改检验报告；b.医疗业务连续性演练（半年度）：模拟HIS双活失效，门急诊手工模式运行4小时；c.供应链投毒演练（季度）：向软件供应商推送带后门更新包，检验白名单与MD5校验有效性；d.勒索软件专项演练（月度）：使用无害模拟勒索程序，检验EDR弹窗、隔离、通知、恢复全链路。2.演练场景示例（2024年9月红队对抗）攻击路径：①攻击者通过医院公众号小程序上传0day（CVE2024fake），获取Web服务器权限；②提权至内网，利用弱口令“P@ssw0rd”登录财务NC系统；③投放mockransom，加密财务科共享盘，并横向移动至HIS数据库；④修改检验科LIS参考值，导致钾离子参考上限改为1.0mmol/L。演练目标：——技术响应组在30分钟内发现异常检验值并溯源；——医疗应急组在60分钟内启动“检验值双人复核”手工流程；——无真实患者数据被篡改，无舆情发酵。3.演练评估采用“双百制”：①技术指标100分：发现时间≤30分钟（30分）、遏制时间≤60分钟（30分）、恢复时间≤4小时（30分）、报告质量（10分）；②业务指标100分：患者滞留率≤5%（40分）、手工处方差错率≤1‰（30分）、投诉量≤3例（30分）。得分<150分为不合格，由应急指挥组组长约谈相关责任人，并扣发年度绩效10%。五、动态更新机制1.威胁情报日更：每日08:30由安全分析师H角将微步、CNCERT、FDA、HC3公告导入本地TIP，自动匹配医院资产，30分钟内生成“高危资产清单”，经信息中心副主任审批后，当日17:00前完成加固或临时下线。2.预案版本控制：采用“年.月.修订号”三级编号，如2024.09.03，所有变更须通过GitLabMergeRequest，经技术响应组组长、法务与合规组双审批方可合并；历史版本封存7年，满足《网络安全法》及等保2.0审计要求。3.供应链动态准入：新增供应商须在合同签订前完成“安全准入问卷+渗透测试+源代码审计”，得分≥