2026年医院行政机密信息泄露演练脚本

2026年医院行政机密信息泄露演练脚本第一章演练背景与总体设定1.12026年行业态势2026年，国家卫健委对“数据出境安全评估”实施年度动态打分，医院若发生二级以上敏感数据泄露，将被直接扣减10%医保结算额度。A市B区中心医院（以下简称“本院”）在2025年12月的内部渗透测试中，被发现“病案首页批量导出接口”存在未鉴权调用漏洞，虽尚未被外部利用，但已触发监管黄色预警。院领导班子决定以“真实漏洞、真实系统、真实人员”为底线，组织一次“行政机密信息泄露”实战演练，检验从泄露发现到舆情降温的全链条闭环能力。1.2演练范围与红线范围：行政楼、信息中心、党办、院办、宣传科、财务科、医保办、社工部、保卫科、第三方运维驻场。红线：不触碰生产数据库主库，不篡改真实患者临床数据；所有演练数据采用“2026演练库”，通过数据库级闪回技术，演练结束后30分钟内恢复至演练前状态；不对外发布任何真实患者姓名、身份证号、联系电话。1.3演练目标量化表序号一级目标二级指标达标阈值评估方法1泄露发现从植入到告警平均时长≤15分钟安全运营平台日志2事件定级完成“初步定级”所需时间≤30分钟蓝队提交《事件定级报告》3通道封堵外发通道全部关闭≤60分钟防火墙策略命中数=04溯源取证定位到具体账号≤120分钟数据库审计日志+AD日志交叉5舆情降温热搜排名跌出前50≤6小时第三方舆情平台截图6监管报告向区卫健委提交首报≤2小时邮件时间戳7业务恢复行政系统可用性≥99%7×24监控大屏第二章角色与职责2.1指挥层总指挥：院长副总指挥：分管信息副院长、纪委书记职责：决定是否启动“红色指令”（全院网络物理隔离）；授权对嫌疑人进行临时权限冻结；对外口径一票否决权。2.2蓝队（攻击方）由第三方安全公司“墨盾实验室”6名研究员组成，其中2人负责社工，2人负责Web，2人负责内网横向。仅向总指挥提交攻击方案，不向其他任何人员透露细节。2.3白队（防守方）信息中心12人、党办2人、院办2人、宣传科3人、财务科2人、医保办2人、社工部1人、保卫科4人、法务1人、临床科室联络员10人。2.4紫队（复盘方）由卫健委信息中心+医院纪检+外部律师事务所共5人组成，全程旁观，记录违规操作，演练结束后48小时内出具《独立复盘报告》。2.5群众演员行政楼保洁员1人、电梯维保驻点1人、病患家属志愿者2人，负责制造“现场围观”“手机拍摄”等突发变量，检验宣传科应对能力。第三章演练时间与节奏3.1总体时间轴阶段时间关键动作T008:30蓝队通过“鱼叉邮件”植入第一个WebshellT0+30min09:00白队SOC发现异常外联，启动“黄色预警”T0+2h10:30完成事件定级，确认为“重要数据泄露”T0+4h12:30外发通道全部关闭，蓝队C2掉线T0+6h14:30舆情出现“某医院200万条行政数据暗网兜售”热搜T0+8h16:30紫队完成独立复盘，召开新闻发布会T0+24h次日08:30生产库闪回，演练正式结束3.2节奏控制暗号“红色指令”：全院网络物理隔离，仅保留急诊收费单机版。“黄色指令”：关闭所有远程运维VPN，保留院内办公网。“蓝色指令”：仅关闭外网出口，内部系统正常运行。总指挥通过“企业微信加密会话群”发布暗号，10分钟内必须回复“收到+姓名+工位号”。第四章攻击剧本（蓝队视角）4.1初始入口：鱼叉邮件主题：《关于2026年行政楼车位重新抽签的通知》发件人：行政后勤科<xingzheng@>（域名拼写把“b”换成“6”，肉眼难辨）附件：车位抽签.exe（实际数字签名冒用某OA升级控件）白队终端安全软件“观镜EDR”已更新到2026-03-31特征库，但蓝队使用“签名伪造+代码加密+内存反射”三合一绕过，成功在财务科预算岗主机植入Beacon。4.2权限提升与横向利用“PrintNightmare”最新变种（CVE-2025-9999）在30秒内拿到SYSTEM，随后通过BloodHound发现“医保办用户组”对“行政机密共享盘”具有WriteDACL权限。蓝队不急于窃取数据，而是先修改ACL，将“DomainUsers”添加为“完全控制”，为后续嫁祸做铺垫。4.3数据窃取与外传目标文件：\\file\admin\2026年绩效奖金测算表（含科室系数、个人系数、年终奖税额）.xlsx大小：8.7MB加密：使用WinRAR+5位数字密码，密码随机生成，压缩包命名为“2026-03-31-考勤异常记录.rar”，通过DNS隧道每64字节分包外发，外联域名：速率控制：每5秒发送1包，预计2小时传完，降低流量侧检测概率。4.4暗网兜售脚本蓝队提前在“Torum”医疗数据专区注册账号“drugdata666”，帖子标题：“ChineseTop3HospitalAdminFullDB2026(UnencryptedBonusSheetInside)”，售价0.05Bitcoin，留下Telegram联系方式。演练当天14:30由紫队人工置顶，制造舆情爆点。第五章防守剧本（白队视角）5.1发现阶段09:00，SOC告警“DNS异常长度解析”，安全分析师小李通过“观镜EDR”检索发现财务科主机外联，立即启动“黄色预警”，同时电话通知信息中心值班长。5.2定级阶段09:15，值班长召集“数据安全应急专班”微信会议，使用《卫生行业数据安全分级指南》V3.2快速打分：数据类型：行政机密（绩效奖金）影响对象：院内职工影响程度：若泄露，将造成群体信访、罢工可能得分：85/100，对应“重要数据泄露（Ⅲ级）”09:30，副总指挥签发《事件定级报告》，同步抄送区卫健委。5.3通道封堵10:00，防火墙组在AC上新增两条策略：```denyudp/8any53domaindenytcpanyany443ip104.233..```10:05，AC策略命中数从每秒37次降至0，C2掉线。5.4溯源取证10:30，数据库审计组发现“file服务器ACL异常”：```时间：08:45:21登录账号：byy\zhangsan（医保办）操作：WriteDACL成功对象：\\file\admin```但zhangsan本人正在开会，怀疑账号被盗。通过AD日志交叉，发现08:45:21同时存在RDP源IP6（财务科），确认zhangsan账号被横向移动利用。11:30，锁定财务科主机，现场拍照、内存dump、硬盘镜像。5.5舆情应对14:30，热搜突现。宣传科启动“舆情3级响应”：14:35，发布第一条官方微博：“发现网络不实信息，已报警，正配合调查。”14:45，联系区网信办申请“关键词降权”：将“医院+200万+暗网”设为组合敏感词。15:30，院长录制30秒竖屏视频，承诺“72小时内公布调查结果”，视频仅在微博发布，避免扩散至抖音。16:00，热搜排名从第7降至第45，达成目标。5.6监管沟通15:00，法务科将《事件首报》加盖公章，加密PDF发送至区卫健委信息中心邮箱，同时寄出纸质版。15:30，区卫健委回执“收到，将派员现场督导”。5.7业务恢复16:00，紫队确认蓝队已停止攻击。信息中心使用“OracleFlashbackDatabase”将演练库回退至08:29状态，耗时18分钟。行政楼所有电脑强制重启，EDR在线率回到98%，系统可用性99.3%，达标。第六章特殊场景注入6.1场景A：保洁员偷拍10:45，保洁员在财务科办公室门口用手机拍摄“警察现场勘查”短视频，上传至个人抖音，配文“听说医院数据被卖了”。宣传科监测到后，10分钟内私信联系保洁员，告知“泄露警务工作视频需承担法律责任”，保洁员删除视频，点赞数仅7个，未形成二次传播。6.2场景B：勒索邮件12:00，医院公共邮箱收到英文勒索信：“已掌握200万条数据，24小时内支付5比特币，否则公开。”经蓝队确认，此邮件为紫队匿名发送，用于检验“勒索场景”应对。保卫科立即报警，网安支队出具《勒索邮件受案回执》，法务科回复邮件：“已报警，不再回复任何信息。”符合“不纵容、不回应、不私了”原则。6.3场景C：职工群体性恐慌13:00，绩效奖金泄露引发职工微信群热议，有人号召“罢工维权”。党办启动“网格化安抚”：13:10，各党支部书记到科室现场解释“数据已追回，奖金方案不变”；13:30，工会发布《告全院职工书》，承诺“若因泄露造成个人损失，医院全额补偿”；14:00，情绪平稳，无聚集。第七章技术细节与工具7.1日志统一时序所有设备强制与NTP服务器（）同步，确保蓝队、白队、紫队日志时间差<1秒，便于交叉比对。7.2演练数据脱敏规则字段脱敏方法示例姓名哈希截断张三→张*身份证号保留出生年+星座1990**射手座银行账号保留后4位****1234手机号保留前三后四138****56787.3工具清单蓝队：CobaltStrike4.9、BloodHound4.2、TorBrowser13.5、DNSCat2白队：观镜EDR、华三SOC、OracleAuditVault、奇安信防火墙、企业微信加密会话紫队：Camtasia录屏、ChainX区块链取证、Excel数据透视、法律法规模板库第八章法律合规与伦理8.1授权链演练前，院长办公会审议通过《2026年医院数据安全实战演练方案》，报区卫健委备案；所有参演人员签署《保密及肖像权使用同意书》，明确“演练视频仅用于内部培训”。8.2个人信息保护演练数据采用“2026演练库”，与生产库物理隔离；演练结束后，紫队出具《个人信息删除确认书》，由第三方审计机构盖章，确保不留残余数据。8.3责任追究若因演练导致真实数据泄露，由第三方安全公司“墨盾实验室”承担全部赔偿责任，最高赔偿限额人民币500万元；若医院职工违反流程造成事件扩大，由纪委依据《员工处分条例》给予记过以上处分。第九章复盘与改进9.1量化得分指标目标值实际值得分泄露发现≤15min12min100事件定级≤30min28min100通道封堵≤60min55min100溯源取证≤120min118min100舆情降温≤6h5h30min100监管报告≤2h1h45min100业务恢复≥99%99.3%100综合得分————1009.2亮点1.首次在医疗行业使用“DNS隧道+分包”模拟真实APT外传，白队通过“DNS长度异常”模型检出，验证有效。2.宣传科采用“竖屏视频+微博限定”策略，避免抖音算法放大，节约40%降热搜费用。3.党办“网格化安抚”将群体事件消灭在萌芽，获得区卫健委通报表扬。9.3待改进1.财务科主机未启用“白名单U盘”，导致蓝队通过USB摆渡植入键盘记录器，后续需部署“USB-Lock”硬件。2.防火墙策略下发依赖人工，55分钟封堵时间仍偏长，2026年Q2前完成“SOAR自动封禁”改造，目标≤10分钟。3.职工微信群缺乏官方入驻，谣言传播速度过快，拟在2026年4月上线“企业微信官方职工群”，实现“1分钟触达”。9.4改进计划表序号改进项责任人完成时限验收标准1USB-Lock硬件部署信息中心主任2026-06-30财务科、医保办覆盖率100%2SOAR自动封禁安全主管2026-09-30封堵时间≤10分钟3官方职工群上线党办主任2026-04-15进群率≥90%，谣言24小时内澄清4绩效奖金系统加密财务科长2026-05-31字段级加密，脱敏后不可还原第十章附录10.1演练通讯录（节选）总指挥：院长666666副总指挥：副院长666667蓝队队长：墨盾实验队队长：卫健委专家1380000000210.2应急物资清单执法记录仪5台、一次性手机信号屏蔽袋20个、WI