医疗行业分布式拒绝服务攻击应急预案

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页医疗行业分布式拒绝服务攻击应急预案一、总则

1适用范围

本预案适用于医疗机构及其附属信息系统面临的分布式拒绝服务（DDoS）攻击事件。涵盖从核心业务系统瘫痪到边缘设备干扰的所有攻击场景，重点针对影响患者信息系统（HIS）、电子病历（EMR）、远程医疗（Telemedicine）等关键信息基础设施的攻击。例如，某三甲医院曾遭遇峰值流量达500Gbps的DDoS攻击，导致挂号系统完全不可用，延误约1200名患者的就诊，此案例明确本预案的适用性。要求所有医疗机构在遭受类似攻击时，必须启动应急响应机制，确保在最短时间内恢复核心系统服务。

2响应分级

根据攻击造成的业务中断程度、数据泄露风险及系统恢复能力，将应急响应分为三级。

（1）一级响应

适用于攻击导致核心系统完全瘫痪，或造成敏感数据（如患者隐私信息）遭窃取的风险。典型指标包括：HIS系统响应时间超过30秒、数据库连接数下降80%以上，或检测到SQL注入攻击企图。例如，某专科医院遭遇加密DDoS攻击，带宽占用率飙升至700Mbps，此时必须立即启动一级响应，调用上游运营商的流量清洗服务，并启动备用数据中心切换。

（2）二级响应

适用于攻击影响部分非核心系统，如官方网站访问缓慢或广告推送系统失效。表现为系统CPU使用率持续高于70%，但未发生数据篡改。例如，某社区医院官网遭遇UDPFlood攻击，流量峰值达200Gbps，虽未影响EMR系统，但需启动二级响应，通过黑洞路由缓解攻击压力。

（3）三级响应

适用于攻击仅影响测试环境或临时搭建的辅助系统。例如，攻击流量低于50Mbps，且未波及生产网络，此时仅需加强监控，无需全面启动应急资源。

分级原则以攻击影响范围和业务连续性需求为依据，优先保障生命攸关系统（如急诊通信）的可用性，并遵循“最小化损失”原则，避免过度反应导致资源浪费。

二、应急组织机构及职责

1应急组织形式及构成单位

成立应急指挥中心，下设技术处置组、业务保障组、后勤协调组与外部联络组，构成矩阵式应急架构。应急指挥中心由医院主管信息化的副院长担任总指挥，成员包括各临床科室主任、信息科骨干及网络安全服务商代表。技术处置组负责攻击溯源与清洗；业务保障组协调系统切换与患者服务；后勤协调组保障资源供应；外部联络组对接公安网安部门与运营商。

2工作小组职责分工

（1）技术处置组

组成：信息科核心技术人员（网络工程师3名、安全分析师2名）、网络安全服务商专家团队。职责：实时监测攻击流量特征，启动DDoS高防设备；执行黑洞路由策略，隔离恶意流量；分析攻击源IP，配合公安机关完成取证；评估系统受损程度，制定回退方案。行动任务包括每15分钟生成战报，通过BGP协议调整路由策略。

（2）业务保障组

组成：信息科业务接口人、重点临床科室（急诊、重症）负责人。职责：根据攻击影响暂停非紧急操作，优先保障急诊电子病历系统（EMR）写入功能；启用纸质挂号流程，协调调派备用挂号窗口；统计受影响患者数量，通过短信渠道发布替代服务方案。行动任务包括每小时评估业务恢复进度，向指挥中心汇报系统可用率。

（3）后勤协调组

组成：设备科、财务部、行政办公室。职责：紧急调配备用服务器与带宽资源；审核网络安全服务商费用；为受影响科室提供物资支援。行动任务包括24小时内完成应急通信设备（如卫星电话）的部署。

（4）外部联络组

组成：法务部律师、信息科对外联络员。职责：向网信办通报事件进展；协调运营商提升带宽容量；接收公安机关指令并执行。行动任务包括每日上午10点前提交事件处置周报。

三、信息接报

1应急值守电话

设立24小时应急值守热线（号码保密），由信息科值班人员负责接听，同时开通短信和邮件辅助报障渠道。值班电话需接入专用电话线路，避免受网络攻击影响。

2事故信息接收

接收流程：值班人员接报后，立即记录事件要素（时间、现象、影响范围），并通过内部即时通讯系统（如钉钉/企业微信）同步至技术处置组。技术处置组启动实时流量监控工具（如Zabbix/Suricata）核实事件。

内部通报程序：技术处置组确认事件后，通过医院内部公告系统（如数字大屏/内网广播）发布预警，内容包含“网络攻击事件，暂停非紧急系统访问”。责任人：信息科值班主管。

3向上级报告事故信息

报告流程：一级响应须在攻击发生2小时内，通过应急指挥中心向主管卫健委及上级单位报送《突发事件报告表》，内容包括攻击类型（如SYNFlood）、影响系统（标注HIS/EMR）、预估损失（患者延误数）。时限要求：二级响应12小时内提交简报，三级响应24小时内完成情况说明。

责任人：应急指挥中心总指挥，法务部协助审核报告格式。

4向外部通报事故信息

通报方法：通过公安机关网络安全保卫支队指定的通报平台提交《网络攻击事件通报函》，附攻击溯源初步报告。向运营商通报需提供《服务中断报告》，说明预计恢复时间。媒体沟通由外部联络组通过官方渠道发布统一口径声明。

程序要求：涉及数据泄露（如PII）时，需先取得公安机关同意，48小时内完成通报。责任人：外部联络组负责人，需同时抄送网信办备案。

四、信息处置与研判

1响应启动程序

（1）启动方式

一级响应：由应急指挥中心总指挥依据技术处置组提交的《攻击分析报告》（含带宽占用超600Mbps、核心数据库连接中断指标）自动触发，通过修改BGP策略实现全网流量切换至清洗设备。

二级响应：应急领导小组审议《事件评估表》（需同时满足影响非核心系统30分钟以上且带宽占用超300Mbps条件），由总指挥宣布启动，技术处置组12小时内完成防火墙策略升级。

三级响应：由技术处置组通过《预警通报单》提请，应急领导小组授权后启动，重点监控攻击流量是否突破100Mbps阈值。

预警启动：当检测到攻击特征与已知恶意IP库匹配，但未达响应条件时，由技术处置组发布《预警通知》，应急领导小组24小时内组织防御策略演练。

（2）启动决策

达到相应级别条件时，应急领导小组在30分钟内完成决策。决策依据《应急响应决策矩阵》，包含攻击类型权重（DDoS攻击权重1.2）、系统重要性系数（EMR系数1.5）、患者数量影响因子等量化指标。

2响应调整机制

启动响应后，技术处置组每30分钟提交《事态发展分析表》，内容涵盖攻击频率变化、存活攻击源数量、清洗设备效能等。应急领导小组根据《响应调整评估标准》决定级别变更：

-升级条件：攻击流量回升至原水平80%以上，或检测到APT攻击迹象（如数据外传）。

-降级条件：攻击流量持续低于50Mbps，核心系统可用性恢复至90%以上。

级别调整需由总指挥签署《响应变更令》，并同步更新应急资源调配方案。

五、预警

1预警启动

预警信息通过以下渠道发布：

（1）渠道：医院内部公告系统（数字大屏、内网弹窗）、应急指挥中心专用电话、核心部门（急诊、信息科）短信群组。

（2）方式：发布《网络安全预警通知》，包含攻击类型（如UDPFlood）、预估影响范围（如官网访问延迟）、建议措施（如禁用不必要对外服务）。

（3）内容：必须明确攻击来源IP段、攻击特征码（如特定ICMP类型）、受影响系统资产名称（精确到应用层）、建议防御措施（如调整黑洞路由策略）。

2响应准备

预警启动后，应急领导小组24小时内完成以下准备工作：

（1）队伍：技术处置组进入24小时战备状态，网络安全服务商专家抵达现场；抽调运维、网络工程师组成后备队伍。

（2）物资：检查备用带宽资源（运营商应急通道）、备用服务器（VMware集群）、网络安全设备（DDoS清洗设备）状态。

（3）装备：启动态势感知平台（如AliCloudSecurityCenter），部署蜜罐诱捕攻击样本；配置应急通信设备（卫星电话、对讲机）。

（4）后勤：准备应急发电机组、备用电源线缆；协调财务部预授权网络安全服务商费用。

（5）通信：建立应急联络表（含公安网安、运营商、服务商关键联系人），测试加密通信工具（如Signal）。

3预警解除

预警解除条件：

（1）攻击流量持续低于50Mbps，且72小时内未出现攻击反弹。

（2）安全设备拦截所有已知攻击特征码，核心系统可用性恢复至98%以上。

（3）公安机关确认无进一步攻击威胁。

解除要求：由技术处置组提交《预警解除评估报告》，经应急指挥中心总指挥审核，通过后通过原发布渠道发布《网络安全预警解除通知》。责任人：技术处置组组长，需抄送外部联络组备案。

六、应急响应

1响应启动

（1）级别确定

依据《应急响应分级标准》，技术处置组每30分钟提交《攻击影响评估表》（含受影响业务SLA达成率、带宽占用峰值、攻击工具类型等指标），由应急指挥中心结合《系统重要性矩阵》（EMR系数1.8、HIS系数1.5）自动或经领导小组审议确定级别。

（2）程序性工作

一级响应：启动后2小时内召开应急指挥部全体会议，同步向卫健委（应急处）、网信办、公安网安部门报送《突发事件Ⅰ级响应报告》（含攻击载荷分析、业务中断清单）。

资源协调：调用上游运营商BGP协议优先级，切换至备用数据中心；协调网络安全服务商启动最高清洗能力。

信息公开：由外部联络组通过官方微博发布《服务暂停公告》（说明预计恢复时间窗口）。

后勤保障：启动备用发电机，为数据中心配备制冰机（用于设备降温）；财务部预拨200万元应急资金。

2应急处置

（1）现场处置

警戒疏散：信息科机房设置警戒线，禁止非授权人员进入；暂停非急诊区域的非必要网络接入。

人员搜救：协调临床科室排查受系统故障影响的患者，启动人工挂号通道。

医疗救治：优先保障急诊系统（EMR只读访问权限）与远程会诊（调整QoS优先级）。

现场监测：部署红外热成像仪监测设备温度，使用Wireshark抓包分析攻击特征。

技术支持：请求服务商专家通过远程接入提供防火墙策略调优。

工程抢险：更换受损网络接口板（需备件库备份数据）。

环境保护：使用吸音棉降低机房噪音分贝（避免干扰设备运行）。

（2）人员防护

技术处置组穿戴防静电服，佩戴N95口罩；进入核心区域需进行鞋套更换。

3应急支援

（1）支援请求

当攻击流量超过清洗设备处理极限（800Gbps）时，由总指挥通过加密电话向公安网安部门请求技术支援，同步提供攻击日志与IP溯源报告。

（2）联动程序

外部力量到达后，由总指挥移交《现场情况交接单》，接管攻击溯源技术分析，我方负责系统恢复与患者安抚。

（3）指挥关系

联动期间，总指挥保持最终决策权，外部专家担任技术顾问，所有行动需经我方授权方可执行。

4响应终止

终止条件：

（1）攻击完全停止，持续72小时无复发。

（2）核心系统恢复至SLA标准（EMR写入延迟<5秒，HIS可用率>99%）。

（3）公安机关出具《事件结案通知书》。

终止要求：由技术处置组提交《应急响应终止评估报告》，经领导小组确认后，在24小时内召开总结会，形成《应急响应报告书》。责任人：总指挥，需报送主管部门备案。

七、后期处置

1污染物处理

（1）网络攻击的“污染物”主要为入侵日志、恶意样本及潜在数据泄露痕迹。处置措施包括：

-对受感染系统（如HIS数据库）进行全量数据备份与病毒扫描，清除SQL注入后门。

-将攻击样本（如DDoS工具流量特征）提交至国家互联网应急中心（CNCERT）平台进行溯源分析。

-启动数据备份恢复程序，对加密文件进行解密尝试（如使用Kaspersky解密工具）。

-按照等保2.0要求，对受影响系统进行安全加固，补丁修复需在测试环境验证通过后实施。

（2）责任人：信息科安全工程师负责技术处置，法务部律师监督合规性。

2生产秩序恢复

（1）分阶段恢复方案：

-第一阶段（24小时内）：优先恢复急诊、重症监护（ICU）等生命攸关系统，采用冷启动方式（重启非关键服务）。

-第二阶段（48小时内）：恢复预约挂号、费用结算等辅助系统，实施灰度发布（10%用户流量测试）。

-第三阶段（72小时内）：全面恢复诊疗信息系统，同步开展压力测试（模拟峰值300%并发）。

（2）质量验证：每恢复一项功能，需通过自动化测试工具（如JMeter）和手动抽样检查相结合的方式验证SLA达成率。

（3）责任人：业务保障组牵头，信息科配合，临床科室参与验收。

3人员安置

（1）受影响患者安抚：

-通过短信、APP推送发布《服务恢复公告》，明确各科室挂号时间表。

-设置“绿色通道”人工窗口，为无法使用电子系统的患者提供纸质单据。

-对延误诊疗的患者，安排专家进行免费补诊。

（2）员工心理疏导：

-对信息科员工组织网络安全事件复盘会，由心理健康顾问进行压力管理。

-检查受影响科室（如眼科、儿科）是否存在因系统故障导致的工作延误，协调人力资源部进行工作量核算。

（3）责任人：医务科负责患者安置，行政办公室负责员工关怀。

八、应急保障

1通信与信息保障

（1）联系方式

建立应急通信录，包含应急指挥中心热线（内线8008）、技术处置组移动联络群（加密微信）、外部协作单位（公安网安总队-分机1234、运营商应急中心-短信通道）、网络安全服务商（应急联系人-分机5678）。

（2）通信方法

常态下通过内网电话系统，紧急情况下启用卫星电话（型号TH-331，存放位置：信息科保险柜）或现场对讲机（品牌科比特，频率4.0GHz，存放位置：设备科工具间）。

（3）备用方案

当主通信线路中断时，通过运营商提供的备用线路（IPSecVPN，带宽50Mbps），同时启动微信公众号自动发布功能（预设模板：XX系统暂停服务）。

（4）保障责任人

信息科值班主管为通信保障第一责任人，行政办公室负责协调发电车通信设备（卫星电话、对讲机）的运输。

2应急队伍保障

（1）专家队伍

组建内部专家组（成员：网络工程师3名、安全分析师2名、系统架构师1名），负责复杂攻击分析；外部专家库包含5名网络安全服务商高级工程师，通过保密协议授权接入内部网络。

（2）专兼职队伍

专兼职技术处置队（信息科全员）、临床科室应急联络员（各科室骨干1名）、后勤保障组（设备科3名）。

（3）协议队伍

与XX网络安全公司签订《应急响应服务协议》（SLA响应时间≤15分钟），与XX云服务商签订《灾备切换服务协议》（RTO≤90分钟）。

3物资装备保障

（1）物资清单

类型数量性能存放位置运输条件更新时限管理责任人

DDoS清洗设备1套处理能力800Gbps信息科机房防静电包装年度检测张工

备用带宽1条1Gbps运营商缓存服务器文档运输协议每季度核对李工

备用服务器10台E5-2650v4数据中心冷库冷启动环境每半年巡检王工

备用发电机1台300KVA设备科水底存放每月试运行赵工

网络安全工具5套KaliLinux信息科柜子防震包装每年更新钱工

（2）管理要求

所有物资建立《应急物资台账》，包含购置日期、保修期、维保单位；核心设备（清洗设备、备用服务器）需配备两套操作手册（纸质+电子版）。

九、其他保障

1能源保障

（1）信息科配备2台300KVA备用发电机，配备满负荷运行72小时燃油储备（柴油，存放于设备科专用油库）。

（2）数据中心核心区域部署UPS不间断电源（容量500KVA，后备时间30分钟），每月进行满载测试。

（3）与电网运营商签订《应急供电协议》，保障双路供电线路独立性，要求在主供线路故障时15分钟内切换至备用线路。

2经费保障

（1）设立应急专项经费账户，年度预算包含200万元用于网络安全设备购置与维保。

（2）紧急情况下，财务部可在未授权情况下先行支付不超过50万元的应急采购费用，后续补办审批手续。

（3）经费使用范围涵盖攻击清洗服务费、备件购置费、专家咨询费及数据恢复服务费。

3交通运输保障

（1）配备1辆应急通信保障车（含卫星电话、对讲机、发电机），由设备科管理，每月检查车况。

（2）与本地出租车公司签订《应急运输协议》，保障专家团队及重要物资的快速运输需求。

（3）制定《数据中心应急运输路线图》，规划3条备用进入路线，避开交通枢纽区域。

4治安保障

（1）信息科机房区域设置为一级保密区域，安装双鉴红外报警系统，与保卫科联动。

（2）攻击期间，暂停所有外来人员访问，通过人脸识别门禁系统进行身份验证。

（3）配合公安机关进行网络攻击现场取证时，由保卫科全程陪同，确保证据链完整性。

5技术保障

（1）建立网络安全实验室，配备HOL（硬件在环）测试平台，用于新设备部署前的压力测试。

（2）与CNCERT、华为云安全实验室建立技术协作关系，获取威胁情报支持。

（3）定期对技术人员进行渗透测试、应急响应演练培训，每年不少于4次。

6医疗保障

（1）确保急诊区域配备5套独立于主网络的手写病历系统，由医务科管理。

（2）与邻近医院签订《医疗应急协作协议》，明确危重患者转诊流程。

（3）储备应急药品（如硝酸甘油、肾上腺素）及医疗耗材，存放于急诊药房。

7后勤保障

（1）为信息科人员配备防静电手环、护目镜、防割手套等防护用品。

（2）设立应急休息室，配备床铺、饮水机、应急食品。

（3）与食堂协调，在应急期间提供免费餐食。

十、应急预案培训

1培训内容

培训内容覆盖应急预案全流程，重点包含DDoS攻击特征识别（如SYNFlood、UDPFlood波型分析）、安全设备操作（清洗设备策略配置、防火墙规则调优）、应急通信协议（BGP优先级调整）、业务切换流程（HIS系统冷/热备切换）、以及法律