2026年病历资料被盗应急处置演练脚本

2026年病历资料被盗应急处置演练脚本第一章演练背景与目标1.1背景2026年3月，国家卫生健康委发布《医疗数据安全三年行动计划（2026—2028）》，首次将“病历资料被盗”列为一级风险场景。某三级甲等综合医院（以下简称“本院”）2025年共产生电子病历1.47亿条、纸质病历7.3万份，数据总量2.8PB，日均调阅量4.2万次。随着黑产攻击手段升级，传统防火墙+堡垒机模式已无法应对“内鬼+外盗”联合攻击。为验证新版《医疗数据安全事件应急预案（V5.3）》的可操作性，院党委决定开展一次“无预告、全要素、跨昼夜”的实战演练。1.2演练目标序号目标维度量化指标验收方式责任主体1时间发现泄露≤5分钟；初步遏制≤15分钟；业务恢复≤30分钟系统自动日志+人工抽检网络安全部2范围被盗数据量≤100份；涉及患者≤50人数据库比对+水印追踪病案室3合规72小时内向省级监管上报；24小时内通知患者比例100%上报回执+电话录音法务部4改进演练后7日输出整改清单，闭环率≥90%Jira工单系统质控办第二章演练总体设计2.1演练类型采用“红队渗透+蓝队应急+白队裁判”三元模式。红队模拟“内鬼外盗”复合攻击，蓝队由临床、信息、后勤、宣传、保卫、法务六条线组成，白队由国家医院管理研究所专家、保险公司精算师、患者代表三方独立评分。2.2攻击剧本（红队视角）阶段时间攻击路径利用漏洞预期痕迹①初始入侵T0攻击者A（外）社工拿到运维外包员工B（内）VPN账号弱口令+无二次认证VPN登录日志异常IP②横向移动T0+30min利用病历打印工作站C（内）未打补丁SMB漏洞，植入“病例猎人”木马CVE-2025-1234流量出现tor节点③数据定位T0+50min木马遍历EMR数据库，筛选“肿瘤+VIP”关键字，生成压缩包SQL拼接漏洞数据库CPU瞬时飙高④外泄通道T0+65min利用医院公众号测试服务器做跳板，将压缩包分片上传至境外云盘测试服务器对外开放22端口出口防火墙出现大量POST请求⑤擦除痕迹T0+75min清除数据库审计日志，触发勒索假象，要求0.5比特币日志服务器未做WORM日志缺失连续10分钟2.3演练范围与豁免类别包含豁免业务系统电子病历、影像归档、检验报告、手麻系统财务成本核算系统物理区域主数据中心、灾备机房、病案库房、各病区护士站职工生活区数据类型全部患者诊疗数据、护理记录、知情同意书扫描件已脱敏科研数据人员在岗医护、行政、外包运维、保安、保洁实习生（未签保密协议）2.4演练时间轴阶段真实耗时虚拟加速备注准备期7天0红队预埋后门、白队埋探针触发期1天0随机抽取工作日08:30—09:30应急期2小时0实时直播至应急指挥中心LED复盘期3小时0现场复盘+录像回放整改期30天0建立Jira专项板第三章组织架构与职责3.1应急指挥组（一级）组长：院长；副组长：主管信息副院长；成员：纪委书记、医务部主任、护理部主任。职责：启动Ⅰ级响应、对外信息发布、向卫健委报告。3.2技术响应组（二级）小组角色姓名职责替代人取证小组组长李想内存镜像、磁盘克隆、流量包保存王可遏制小组组长赵卓隔离网段、关停VPN、封禁域名钱途恢复小组组长孙悦启用只读副本、重定向业务、验证完整性李璐3.3业务保障组（二级）负责临床业务连续性：1.启动“纸质病历应急流程”，护士站打印最新医嘱单；2.放射科启用“离线PACS”，手动刻盘；3.手术室切换“单机麻醉记录”，术后补录系统。3.4患者沟通组（二级）由客服中心、病区护士长、法律顾问组成，按“首诉负责制”在30分钟内完成“一对一”电话告知，话术模板经伦理委员会审批，避免使用“泄露”“被盗”敏感词，统一表述为“出现异常访问，正在排查”。3.5监督与评估组（白队）独立打分表共100分，其中：技术遏制30分、业务恢复20分、合规上报15分、患者沟通15分、媒体应对10分、演练纪律10分。低于70分视为演练失败，需重新演练。第四章演练前准备4.1技术环境准备项目具体动作完成标志网络在核心交换创建“演练VLAN4094”，仅对白队可视显示绿色UP终端给红队分配虚拟机“RED-01~05”，快照至T0快照命名“T0-clean”日志开启全流量镜像至白队服务器，采用Kafka+ClickHouse每秒写入≥5万条备份对生产库做“黄金副本”转储至磁带库，只读锁定磁带条码“GOLD-20260328”4.2人员准备1.红队签署《攻击性演练保密承诺书》，演练结束后接受心理评估；2.蓝队开展“2+1”培训：2小时理论（覆盖刑法253条之一、数据安全法、个人信息保护法）+1小时实操（使用X-Ways、Volatility、Suricata）；3.白队建立“演练观察室”，配备120寸大屏、混合录音、一键暂停键，确保出现极端情况可立即切断攻击。4.3风险降级方案风险触发条件降级动作授权人业务中断门诊叫号系统不可用>5分钟立即切回真实生产环境指挥组组长数据损坏数据库表出现坏块>10个启用黄金副本+日志前滚数据库管理员舆情发酵微博话题阅读量>100万启动院级舆情应急预案宣传部部长第五章演练实施流程5.1T0攻击启动08:30:00红队A使用VPN账号“outsourcer_b”从IP<203.0.113.44>登录，符合白队预设“异常IP库”，VPN网关产生“RiskScore=85”告警。08:30:45安全运营平台（SOC）产生一级工单“VPN异常登录”，值班员张晨收到短信。5.2T0+5min发现与定级张晨在3分钟内完成“身份二次确认”失败，依据《医疗数据安全事件分级标准》第4.2条，判定为“Ⅰ级-疑似病历数据泄露”，电话上报网络安全部主任李想，同时一键拉响“数据安全应急”企业微信群。5.3T0+8min应急指挥组激活院长在应急指挥室宣布启动Ⅰ级响应，授权“技术响应组先封后报”，同时纪委书记通知监审部门介入，防止“内鬼”二次破坏。5.4T0+10min遏制与取证动作执行人命令/工具输出隔离VPN赵卓firewallisolateuseroutsourcer_b生成隔离号“ISO-20260328-001”抓内存李想Volatility-f\\RED-01\memory.raw–profile=Win2022镜像文件“mem-083010.raw”保存流量王可tcpdump-iany-s0-w083010.pcap文件大小42GB5.5T0+15min业务连续性检查护理部报告：门诊37个科室中，3个科室出现“EMR加载慢”，已切换离线模板；放射科报告：PACS延迟400ms，尚在阈值内；手术室报告：麻醉记录系统正常。5.6T0+20min数据影响评估取证小组通过“病例猎人”木马回连C2域名，在DNS日志发现外联记录，结合数据库审计缺失时段，初步估算被盗数据“肿瘤病历压缩包”约83份，涉及患者49人，数据大小12.6MB。5.7T0+25min上报与告知法务部通过“卫生健康数据安全上报系统”提交初报，获回执编号“SDR-20260328-001”；患者沟通组完成49通电话，接通率100%，其中2名患者情绪激动，已转心理科干预。5.8T0+30min媒体应对宣传部在官网、App首屏同步发布《关于系统异常访问的情况说明》，关闭评论，微博设置“仅关注30天可评”，避免谣言。5.9T0+60min恢复与加固1.数据库启用“行级加密+动态脱敏”临时策略；2.所有VPN账号强制二次认证（FIDO2+FaceID）；3.测试服务器下线，重装系统；4.门诊流量恢复至90%，等待进一步观察。5.10T0+120min演练结束白队宣布“攻击链已完整呈现，业务指标达标”，指挥组组长宣布解除Ⅰ级响应，转入复盘阶段。第六章监测与记录6.1关键指标监测表指标目标值实际值是否达标备注发现时长≤5min4min35s是SOC告警至电话上报遏制时长≤15min12min10s是VPN隔离完成业务恢复≤30min28min是门诊叫号恢复90%数据被盗≤100份83份是水印追踪确认患者告知24h内100%49/49是电话录音已存档6.2日志归档清单1.网络：防火墙、WAF、VPN、DNS、CDN全流量pcap，保留3年；2.主机：Windows事件、Sysmon、Auditd、Shellhistory，保留3年；3.应用：EMR、PACS、LIS、手麻审计日志，保留5年；4.人员：应急签到表、通话录音、会议纪要，保留5年；5.纸质：封存“纸质病历应急流程”打印件、手工处方、刻录光盘，保存15年。第七章复盘与改进7.1复盘会议流程阶段时长方法输出事实还原30min白队播放攻击录像，红队讲解思路时间轴图问题晾晒45min各组用“5Why”法，至少追问5层问题清单≥20条责任界定15min纪委牵头，依据“谁主管谁负责”责任表签字改进承诺30min各组给出“可度量”整改项纳入Jira7.2主要缺陷与根因序号缺陷描述根因整改措施完成时限1外包账号未做定期复核人力不足引入IAM平台，季度自动失效30天2测试服务器开放22端口配置漂移使用InfrastructureasCode，GitLabCI强制检测20天3日志服务器未WORM预算未列采购蓝光一次性刻录，追加预算80万60天4患者话术未覆盖少数民族语言预案缺失新增藏、维、蒙三语话术15天7.3整改验证1.技术验证：由白队重新运行“病例猎人”样本，确认全部利用路径已封堵；2.业务验证：随机抽取10个临床科室进行“断网演练”，确保30分钟内完成纸质切换；3.合规验证：邀请省卫健委专家现场核查，出具《整改复核意见书》。第八章奖惩与激励8.1奖励类别对象奖励内容团体技术响应组年度绩效+2分，专项奖金5万元个人值班员张晨“安全之星”称号，优先推荐省级评优8.2惩罚类别对象惩罚内容个人外包员工B终止合同，列入行业黑名单团体测试服务器管理组月度绩效-10%，负责人诫勉谈话第九章持续改进机制9.1演练常态化建立“116”机制：每1个月桌面推演、每1季度专项演练、每6年全面更换剧本。演练脚本纳入医院《知识库》，版本号跟随应急预案同步更新。9.2技术迭代引入“医疗数据安全运营平台（MDSOP）”，集成UEBA、EDR、CASB、DSPM四大模块，实现“分钟级”攻击链可视化；使用国密算法对病历进行字段级加密，密钥托管至省级密码管理局。9.3人才培养与高校共建“医疗数据安全联合实验室”，设立“蓝队奖学金”，每年培养30名研究生；院内开设“医师+工程师”双轨晋升通道，数据安全能力纳入职称评审。第十章附录10.1演练通讯录（核心成员）姓名职务手机短号备用联系方式李想网络安全部主任139000011116666卫星电卓网络运维139000022226667对讲机频道5张晨SOC值班139000033336668企业微信音视频10.2应急物资清单物资数量存放点责任人纸质病历打印纸5000张门诊二楼库房王可离线PACS光盘200张放射科机房刘影应急4G路由器10台信息值班室李璐一次性蓝光刻录盘100张灾备机房赵卓10.3参考标准1.GB/T35273-2025《信息安全技术