2026年医院内部网络中断应急演练脚本

2026年医院内部网络中断应急演练脚本第一章演练定位与总体设计1.1背景与必要性2026年医院信息化进入"全场景互联"阶段，HIS、EMR、LIS、PACS、RIS、手麻、ICU监护、智能输液、AGV物流、人脸识别支付等全部跑在院内骨干环网之上。任何单点故障若不能在5分钟内隔离，将在15分钟内触发业务雪崩。2025年12月真实事件：某院汇聚交换机异常重启，导致门诊叫号、药房发药、移动支付同时中断107分钟，直接经济损失超420万元，患者投诉率上升340%。演练目的不是"证明网络多可靠"，而是"验证医院在不可靠网络下仍能持续提供安全医疗服务"。1.2演练范围物理范围：主院区全部建筑（含地下一层机房、裙楼、医技楼、住院A/B栋、行政楼、后勤楼、发热门诊）；灾备机房位于30km外健康产业园。系统范围：核心交换、汇聚、接入、无线控制器、SDN控制器、防火墙、VPN、IPS、堡垒机、NTP、AD、DNS、DHCP、网管平台、IoT物联平台。业务范围：门急诊挂号、收费、叫号、药房、检验、影像、超声、内镜、手术、麻醉、输血、ICU、住院医嘱、护理文书、病历归档、医保结算、移动支付、互联网医院、远程会诊、120急救绿色通道。人员范围：当日在岗全部职工（含规培、进修、实习、外包保洁、保安、护工）及200名志愿者患者（签署模拟知情同意）。1.3演练原则1.业务连续性优先：先救命、再救网，允许网络"带伤"运行，不允许医疗流程中断。2.真实流量+可控损伤：采用"灰度注入"方式，只对演练流量打标签，真实患者数据零污染。3.双盲+单盲结合：一线医护双盲（不提前告知具体时间），指挥层单盲（仅告知月份，不告知日期和故障脚本）。4.最小特权：演练账号仅具备"只读+可控隔离"权限，禁止真实写入生产库。5.回溯审计：全部键盘、屏幕、语音、摄像头、IoT日志统一时标，演练后24小时内完成取证固化。1.4演练目标量化表指标类别目标值允许上限测量方法达标判定RTO（业务恢复时间）≤15min30min业务探针+人工抽检超15min即不达标RPO（数据丢失量）≤30s5min数据库SCN对比超30s即不达标门诊患者平均滞留≤20min45min门禁+视频计数超20min即不达标急诊分级下降0例00质控科事后核查出现即不达标网络排障定位时间≤5min10min网管平台告警时标超5min即不达标重大舆情事件00舆情监测平台出现即不达标第二章组织架构与角色分工2.1三级指挥体系总指挥：分管信息化副院长（A角），医疗副院长（B角）。现场指挥：信息科主任（A角），网络主管（B角）。应急组长：医疗、护理、医技、后勤、安保、宣传、财务、医保、法务、伦理、120分站、志愿者管理共12组。2.2核心角色清单角色姓名（演练用代号）职责关键词手持终端备用通信总指挥A1全局决策、对外发声5G双模对讲卫星电话医疗组长B1患者安全、分级诊疗4G应急PAD800M集群网络组长C1故障定位、隔离、恢复运维笔记本+Console线光纤电话护理组长D1护理文书手工过渡纸质护理记录单对讲机药房组长E1发药双签字、手工统方单机版POS座机影像组长F1检查改人工拍片移动DR本地存储蓝牙打印财务组长G1手工收费、对账单机EXECL现金保险箱120分站H1急救车绕行方案车载GPS北斗短报文宣传组长I1舆情监测、安抚企微群院广播伦理秘书J1志愿者知情、隐私纸质知情书面对面第三章故障场景设计3.1场景命名：BlackSwan-26触发点：主院区核心交换机VSS链路出现"脑裂"，双主控同时宣称Active，瞬时MAC表震荡，广播风暴淹没全院。并发症：SDN控制器误判链路质量，自动下发流表清空指令，导致防火墙HA切换失败；IPS策略被冲掉，VPN隧道抖动；NTP失步，AD证书开始倒计时；IoT物联平台心跳丢失，智能输液泵集体报警。故障窗口：T0（0min）至T3（180min），分三阶段升级。3.2时间线脚本阶段时间注入动作预期症状观测点P1T0+0~5min核心VSS链路丢包率>15%门诊叫号延迟>30s护士站屏幕P2T0+5~15min触发广播风暴>5000pps移动支付失败率>80%收费窗口P3T0+15~180min切断灾备机房主光纤远程会诊掉线远程医疗终端第四章监测与告警4.1监测矩阵网络层：SNMP、Telemetry、INT、NetFlow、sFlow、gRPC。应用层：HIS探针每30s写入测试订单；LIS探针每60s推送"虚拟钾离子"；PACS探针每120s回写1KBDICOM。业务层：人脸识别闸机统计患者滞留；AGV物流车统计配送超时；输液泵统计报警次数。环境层：机房温湿度、UPS电池剩余、柴油发电机负载率。4.2告警分级级别颜色通知路径升级规则L1-提示绿企业微信连续3次L2-异常黄短信+钉钉持续2minL3-故障橙电话+对讲持续5minL4-灾难红电话+卫星+广播立即第五章应急响应流程5.1发现与初判（T0~T0+5min）1.门诊护士发现叫号卡死→拍照→企业微信"应急群"上传。2.网管值班员C2收到ZabbixL3告警→电话C1→C1携Console线奔机房。3.C1在2分钟内完成"看灯、闻味、摸温"三步，初步判断为VSS链路异常。4.C1启动"网络应急作战图"投屏至指挥室大屏，标记红色故障域。5.2快速止血（T0+5~15min）1.C1通过Console登录核心SW1，手动关闭VSLPort-Channel12，强制单主控。2.网络瞬间恢复50%，但广播风暴仍在。3.C1启用预写ACL199，匹配风暴源MAC，批量shutdown边缘端口。4.医疗组长B1宣布启动"门诊手工模式"：挂号→纸质挂号券；药房→双签字发药；检验→条码双贴；影像→人工登记。5.护理组长D1下达"护理文书纸质过渡"SOP：体温单、医嘱单、护理记录单三连打印。5.3业务降级与分流（T0+15~30min）1.宣传组长I1通过广播+LED字幕："系统升级，暂时手工，预计30分钟，请谅解"。2.财务组长G1打开"手工收费绿色通道"，预收现金、支付宝离线码、微信刷掌支付。3.120分站H1启动"绕行急救通道"：救护车直接停靠急诊门口，绕行智能道闸。4.影像科F1把移动DR切换成本地工作站，拍片后手工刻录光盘，交予患者。5.4根因定位（T0+30~60min）1.C1收集"故障黑匣子"：核心SW1、SW2的tech-support、flash日志、SSDtrace。2.采用"二分法"回退：先回退昨晚的补丁，再回退上周的OS升级。3.发现2026-03-15发布的IOS-XE18.12.1存在VSS双主控竞态bug。4.通过卫星链路向厂商TAC开Case，获取EmergencyFieldNotice20260315001。5.5彻底恢复（T0+60~180min）1.厂商提供临时镜像ios-xe-18.12.1a-EST，C1通过TFTP加载到SW2，手动升级。2.升级后VSS重新协商，链路恢复。3.逐步开放边缘端口，医疗业务切回电子流程。4.网管平台做全网MAC漂移检测，确认无残留风暴。5.总指挥A1宣布演练结束，进入复盘阶段。第六章手工医疗流程SOP6.1门诊挂号1.预检分诊台发放"应急号条"，四联复写：患者、挂号员、医生、药房各一。2.挂号员手工填写姓名、性别、年龄、身份证号、手机号、科室、号别。3.财务收现金后盖章"收讫"，患者持号条就诊。4.医生看完病后在号条背面书写诊断、药品、检验、检查。5.药房见医生签字+盖章后发药，留存第三联。6.2住院医嘱1.医生使用"纸质长期医嘱单+临时医嘱单"，一式两份。2.护士核对后签字，一份贴病历，一份送药房。3.药房手工汇总摆药，塑料药杯贴标签。4.护理执行后打钩，24小时内补录电子系统。6.3检验标本1.护士打印双条码，一贴试管，一贴"应急检验申请单"。2.标本送至检验科，检验科扫描双条码，手工录入LIS离线版。3.结果出来后，检验科盖章，人工送至科室。4.后期批量导入，申请单与电子报告做关联。第七章通信与舆情7.1内部通信主通道：5G双模对讲，频道1为"指挥"，频道2为"医疗"，频道3为"后勤"。备用通道：800M集群、卫星电话、光纤电话、院内广播。演练期间禁止使用微信语音，避免占用公网带宽。7.2对外舆情统一口径："系统升级，流程临时调整，医疗安全可控"。30分钟内完成微博、抖音、公众号、官网同步推送。设置"网络演练"关键词监测，出现负面评论>50条/小时，立即启动"1小时正面回帖"机制。第八章数据安全与隐私8.1数据最小化演练流量打VLAN4094，ACL隔离，禁止跨VLAN访问生产库。全部志愿者数据使用"虚拟身份"，姓名采用"张演练+编号"规则，手机号用198号段空号。8.2日志留存网络设备日志：本地FLASH+远程Syslog双写，保存3年。摄像头录像：NTP校时后统一刻录蓝光光盘，封存5年。纸质单据：扫描成PDF，水印"演练"，加密存储，保存2年。第九章后勤与物资9.1物资清单物资数量存放点责任人校验周期纸质挂号券5000份门诊库房库管K1季度复写医嘱单2000份病区护士站护士长D2月度现金零钞5万元财务保险柜出纳G2日结卫星电话2部机房+120车C1/H1月度柴油2000L地下油库后勤L1月度移动DR胶片100张影像科F1季度9.2应急供电UPS满载30min，柴油发电机15s内自启动，支持TierIII标准。演练期间模拟"UPS半载"，验证发电机带载能力。手术室、ICU、急诊科、血库、信息机房为一级负荷，永不掉电。第十章演练评估与复盘10.1评估模型采用"三维十二类"模型：时间维（发现、止血、恢复）、业务维（门诊、住院、医技、后勤）、能力维（技术、流程、人员、文化）。每类0~5分，满分60分，≥45分达标。10.2评分表（节选）维度指标权重得分备注时间发现10%4初判用时3min，略超时间止血15%510min内切单主控业务门诊10%3滞留25min，略超业务住院10%5零延误能力人员10%490%通过考核文化沟通5%5舆情零负面总分：46/60，达标。10.3复盘流程1.演练结束后30分钟内，所有组长到指挥室参加"热复盘"，每人3分钟说"最痛一点"。2.24小时内召开"冷复盘"，输出《BlackSwan-26复盘报告》，包含：时间线、问题清单、整改Owner、Deadline。3.7天内完成整改验证，未闭环问题升级至院长办公会。4.30天内组织"桌面推演+红蓝对抗"复测，确保整改有效。第十一章持续改进11.1网络架构优化2026年Q2完成"去VSS"改造，采用BGP-EVPN+VXLAN，任何单点故障收敛<3min。引入AI-Fabric，基于意图的网络，自动下发补偿策略。核心、汇聚、接入三层全部替换为白盒+SONiC，统一API，降低厂商锁定。11.2业务韧性提升门诊药房上线"区块链发药"，断网后仍可离线核验药品流向。检验科上线"边缘LIS"，本地SQLite可独立运行72小时。住院部上线"移动护理本地缓存"，护士PDA离线仍可执行医嘱，联网后自动合并。11.3人员能力每季度举办"网络故障48小时黑客松"，鼓励医护+信息+后勤混编组队。建立"红蓝紫"三色战队：红队攻击、蓝队防守、紫队裁判，全年滚动演练。新员工入职必须完成"手工医疗流程"打卡，考核通过方可授予HIS账号。第十二章附录12.1关键命令```bash强制VSS单主core-sw1#redundancy