医院网络攻击应急预案

医院网络攻击应急预案1总则1.1编制目的为有效应对医院信息系统遭受网络攻击的突发事件，最大程度降低攻击对医疗服务秩序、患者数据安全、医院正常运营的影响，防范数据泄露、系统瘫痪、诊疗中断等次生风险，保障患者生命安全与合法权益，维护医院公共服务稳定性，特制定本预案。1.2适用范围本预案适用于医院所有信息资产遭受的网络攻击事件处置，包括但不限于勒索病毒攻击、分布式拒绝服务（DDoS）攻击、数据窃取、非法入侵、网页篡改、钓鱼邮件定向攻击、供应链攻击等场景，覆盖HIS（医院信息系统）、EMR（电子病历系统）、LIS（检验信息系统）、PACS（影像归档和通信系统）、收费系统、医保结算系统、患者自助服务系统、办公自动化系统等所有业务系统及配套网络、终端、服务器设备。1.3工作原则坚持“预防为主、快速响应、分级处置、最小影响、依法合规”的工作原则：优先保障急危重症患者救治业务连续性，优先保护敏感医疗数据与患者个人信息安全；明确各岗位职责边界，确保响应流程可落地、可追溯；处置过程严格符合《网络安全法》《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》等法律法规要求。2应急组织架构与职责2.1应急指挥部由医院院长担任总指挥，分管信息、医疗、行政的副院长担任副总指挥，成员包括信息科、医务科、护理部、门诊部、财务科、医保科、宣传科、保卫科、后勤保障科、法务科负责人。主要职责：负责网络攻击事件的全局决策，下达应急响应启动/终止指令，统筹协调跨部门资源调配，审批重大处置方案，对接上级卫生健康、网信、公安、医保等监管部门，审核事件对外通报口径。2.2技术处置组由信息科主任担任组长，成员包括系统运维工程师、网络工程师、数据安全工程师、终端运维工程师，必要时邀请合作的网络安全服务商技术专家支援。主要职责：负责攻击事件的监测、研判、溯源、技术处置，负责受损系统的恢复与加固，负责攻击路径的阻断与漏洞修复，负责备份数据的有效性验证与恢复操作，负责向指挥部提交技术层面的事件分析报告与处置进展。2.3业务保障组由医务科主任担任组长，成员包括各临床科室主任、护士长、收费处、医保办、药房、医技科室负责人。主要职责：负责攻击发生期间的医疗业务秩序维护，落实线下诊疗流程替代方案，保障急危重症患者救治不受影响，协调各科室手工单据的流转、录入与核对，负责向患者做好解释引导工作，避免医患纠纷。2.4综合协调组由行政办公室主任担任组长，成员包括宣传科、保卫科、法务科、后勤保障科工作人员。主要职责：负责对接公安、网信、医保等监管部门的事件上报与沟通，负责患者咨询回应与舆情管控，负责应急处置期间的物资、电力、通讯保障，负责处置过程中的合规性审查，留存相关证据配合执法调查。3事件分级标准根据网络攻击的影响范围、业务中断时长、数据泄露程度、社会影响大小，将事件划分为三级：3.1一级（特别重大）事件符合以下任一情形判定为一级事件：核心业务系统（HIS、EMR、LIS、PACS、收费结算系统）全部瘫痪，预计中断时间超过4小时；患者敏感数据（病历、身份证号、医保信息、就诊记录、生物识别信息）泄露量超过10万条；攻击导致医院常规诊疗业务大面积停滞，引发严重社会舆情或人员伤亡风险；攻击涉及国家二级以上重要信息系统破坏。3.2二级（重大）事件符合以下任一情形判定为二级事件：3个及以上核心业务系统瘫痪，预计中断时间1-4小时；患者敏感数据泄露量在1万-10万条之间；部分区域诊疗业务中断，已经出现局部患者聚集、投诉情况；攻击导致医保结算、财政支付等公共服务对接异常。3.3三级（一般）事件符合以下任一情形判定为三级事件：单个非核心业务系统（如门户网站、办公系统、自助服务终端）瘫痪，预计中断时间不超过1小时；无核心敏感数据泄露，仅涉及非涉密内部文档或公开信息被篡改；攻击已被初步阻断，未扩散至核心业务区。4监测与预警4.1日常监测要求信息科建立7×24小时网络安全监测机制，部署入侵检测系统（IDS）、入侵防御系统（IPS）、下一代防火墙、终端检测与响应系统（EDR）、数据库审计系统、数据泄露防护系统（DLP），明确监测阈值：单IP请求量超过1000次/分钟自动告警、终端出现未知加密文件进程实时告警、核心数据库异常批量查询操作即时预警、外网访问核心业务区的非白名单IP直接拦截。每日生成安全监测报告，每周开展漏洞扫描，每月完成一次渗透测试，每季度开展核心数据备份有效性验证，备份数据需同时保留本地离线备份、异地灾备备份两个副本，备份数据离线存储时长不低于180天。4.2预警分级与发布根据监测到的攻击风险程度，预警分为三级：蓝色预警（三级风险）：针对通用系统的漏洞预警、行业内小规模攻击通报，未发现本院系统存在受攻击痕迹；黄色预警（二级风险）：监测到定向扫描、钓鱼邮件投递等攻击前兆，本院存在漏洞可被利用，尚未造成实际损失；红色预警（一级风险）：已经出现局部系统异常、终端被感染情况，攻击即将扩散至核心区域。蓝色预警由信息科主任审批后向全院发布，指导各科室开展终端自查；黄色预警由分管信息副院长审批后发布，技术处置组进入待命状态；红色预警由应急指挥部总指挥审批后发布，各应急小组立即启动响应准备。5应急响应流程5.1事件上报各岗位人员发现系统卡顿、文件被加密、数据异常、弹窗勒索提示等情况后，第一时间向信息科报警，报警需明确说明异常位置、涉及系统、异常表现、出现时间。信息科接报后10分钟内完成初步研判，判定为三级事件的，1小时内报分管信息副院长；判定为二级及以上事件的，立即报应急指挥部，指挥部需在2小时内按照要求向属地卫生健康行政部门、网信部门、公安机关上报事件情况，上报内容包括事件发生时间、影响范围、初步原因、已采取的措施，不得迟报、瞒报、谎报。5.2先期处置技术处置组接报后立即开展先期操作：第一时间断开受感染终端、服务器的网络连接，避免攻击横向扩散；对未受感染的核心业务区服务器立即执行临时隔离，关闭不必要的端口与服务；留存攻击现场所有日志，包括网络流量日志、系统操作日志、终端进程日志、数据库访问日志，不得随意删除或修改现场数据；对已出现的勒索加密文件，立即提取样本进行病毒分析，匹配病毒家族特征。5.3分级响应5.3.1三级事件响应由信息科主任牵头处置：技术处置组定位攻击来源，修复对应漏洞，清除恶意程序，验证系统功能恢复正常后，12小时内形成处置报告报分管副院长。业务保障组无需调整常规诊疗流程，仅需对涉及的少量业务窗口做好患者解释工作。综合协调组无需对外通报，仅在内部做好风险提示。5.3.2二级事件响应由分管信息副院长牵头处置：技术处置组立即梳理攻击影响范围，判断是否需要关停部分非核心系统保障核心业务运行，同步启动异地备份数据恢复准备；业务保障组立即启动手工诊疗预案：急诊、ICU、手术室等急危重症科室正常开展救治，所有诊疗记录手工填写，收费处暂停实时医保结算，采用手工记账、后期补录的方式办理，药房采用手工处方发药，医技科室检查结果纸质打印后专人送至临床科室，各科室安排专人引导患者，告知系统故障情况，避免人员聚集；综合协调组安排专人关注患者投诉与网络舆情，随时准备对接监管部门说明情况。5.3.3一级事件响应由应急指挥部总指挥牵头处置：技术处置组立即断开核心业务系统与外网的连接，必要时关停非核心服务器，优先保障急诊、重症监护、手术室、血透室等关键科室的设备网络可用，若系统完全瘫痪，立即启动离线备份数据恢复，恢复顺序为：急救相关生命支持系统>收费结算系统>电子病历系统>检验影像系统>其他辅助系统，恢复过程需每30分钟向指挥部汇报一次进展；业务保障组启动全院线下诊疗模式：门诊暂停非急危重症患者接诊，引导患者择期就诊或转诊至周边合作医院，急危重症患者全部走急救绿色通道，所有诊疗、收费、发药、检查全流程手工操作，医务科安排专人到各科室协调资源，护理部增派导诊人员做好患者分流；综合协调组立即向属地公安、网信、医保部门报告，请求技术支援，宣传科统一对外回应口径，避免不实舆情扩散，保卫科加强院区秩序维护，防止出现群体性冲突。5.4溯源与加固攻击被初步阻断后，技术处置组联合公安、网络安全专家开展溯源工作：定位攻击入口（漏洞利用、钓鱼邮件、弱口令、供应链植入等），梳理攻击路径，确认数据泄露范围，形成溯源报告。针对攻击暴露出的问题开展全面加固：修复所有高危漏洞，重置所有系统账号密码，升级病毒库与规则库，补充完善边界防护策略，对核心数据新增加密存储措施，开展全员网络安全培训，针对钓鱼邮件、弱口令等常见攻击入口开展专项考核。5.5系统恢复与验证系统恢复遵循“先核心后外围、先测试后上线”的原则：恢复前对备份数据进行病毒查杀与完整性校验，在测试环境模拟恢复后验证所有业务功能正常，确认无恶意程序残留后再上线生产环境；系统上线后，技术处置组安排72小时专人值守，监测系统运行状态，业务保障组组织各科室核对手工单据与系统数据，确保诊疗记录、收费信息、医保数据零差错，数据核对无误前不得删除手工原始单据。5.6响应终止当所有核心业务系统恢复正常运行、攻击路径已完全阻断、无后续攻击风险、数据核对完成、院区诊疗秩序恢复稳定后，由技术处置组提交响应终止申请，经应急指挥部总指挥审批后，正式终止应急响应，转入常态化运营。6后期处置6.1事件复盘应急响应终止后7个工作日内，由应急指挥部牵头召开复盘会，技术处置组详细说明攻击原因、处置过程、存在的问题，业务保障组梳理业务中断期间的流程漏洞，综合协调组总结舆情处置、部门对接的经验，形成正式的事件复盘报告，针对暴露出的问题制定整改清单，明确整改责任人与完成时限。6.2责任追究对存在以下情形的相关责任人按医院规定追责：未按要求落实网络安全防护措施导致攻击发生的；应急响应期间推诿扯皮、延误处置导致影响扩大的；未经允许擅自对外发布事件信息引发不良舆情的；故意破坏攻击现场、删除日志证据的；情节严重涉嫌违法的，移交司法机关处理。6.3权益保障针对攻击导致的患者信息泄露，由法务科、宣传科联合制定告知方案，依法依规向受影响患者告知情况，提供必要的信息安全保护建议，配合患者做好风险防范；针对医保结算延迟等问题，由医保科主动对接医保部门，完成后期补录结算，避免患者权益受损。7应急保障7.1队伍保障信息科配备不少于5名专职网络安全运维人员，每年组织不少于40学时的专业技能培训，每半年开展一次应急演练，与2家以上具备网络安全应急服务资质的机构签订应急支援协议，确保突发情况时1小时内专家到场支援。7.2物资保障医院配备应急备用服务器2台、离线备份存储设备3套，各临床科室提前印制足量的手工处方、病历单、收费单据、检查申请单，收费处、医保办配备备用计算器、票据打印机，应急物资由后勤保障科统一管理，每月盘点一次，确保随时可用。7.3经费保障每年将网络安全建设、应急演练、防护设备升级、应急服务采购等费用纳