医院网络安全管理应急预案.docxVIP

医院网络安全管理应急预案

一、风险评估

1.诱因识别

1.1外部攻击：勒索软件、APT、DDoS、钓鱼邮件、水坑站点、供应链植入、0day利用。

1.2内部威胁：运维人员误操作、DBA越权、第三方驻场工程师私自接入、离职人员账号未回收、保洁人员插入U盘。

1.3物理环境：机房精密空调双路同时故障、UPS电池组热失控、楼宇施工挖断双路由光缆、暴雨倒灌地下配电室。

1.4法规与供应链：卫健委通报漏洞补丁超期、集成商远程维护VPN证书过期、云影像平台API接口暴露。

2.发生等级

2.1Ⅰ级（红色）：核心业务系统（HIS、EMR、LIS、PACS、RIS、手麻、ICU监护）中断≥30分钟；或患者隐私数据泄露≥5万条；或勒索加密≥50%服务器。

2.2Ⅱ级（橙色）：非核心系统中断≥2小时；或数据泄露1–5万条；或勒索加密20–50%服务器。

2.3Ⅲ级（黄色）：局部网络广播风暴、单台核心交换机故障、单数据库实例异常重启；或数据泄露1万条。

2.4Ⅳ级（蓝色）：单终端病毒、单个AP掉线、打印机脱机、非工作时段日志异常。

3.风险矩阵

将“发生概率”与“影响程度”交叉，得出红色区域6个、橙色区域12个、黄色区域25个、蓝色区域40个；红色区域必须7×24小时监控，橙色区域纳入月度演练，黄色区域纳入季度演练，蓝色区域纳入年度演练。

二、职责分工（到人到岗）

1.应急指挥组

组长：主管信息化副院长（A角：院长，B角：党委副书记）

职责：启动/终止应急响应、对外口径、向卫健委和公安网安报告、资源调配签字。

2.技术处置组

2.1网络安全应急队长：信息科主任（手机尾号8888，院内小号6666）

2.2网络攻防工程师：甲（工号N001，CISSP，负责流量镜像、威胁狩猎）

2.3系统安全工程师：乙（工号N002，CISP，负责服务器补丁、基线核查）

2.4数据库安全工程师：丙（工号N003，OCP+DBSec，负责数据备份、应急库切换）

2.5安全运维工程师：丁（工号N004，RHCA，负责虚拟化平台、超融合）

2.6应用安全工程师：戊（工号N005，负责HIS/EMR代码回滚、业务验证）

3.医疗业务保障组

组长：医务部主任

成员：门诊办主任、护理部主任、临床科室主任各1名

职责：手工流程启用、患者解释、手术排程调整、纸质处方模板、检验标本流转。

4.后勤保障组

组长：总务科科长

成员：机房管理员、UPS厂商驻场代表、弱电维保单位、保安队长

职责：机房供电、空调、光缆抢修、门禁、物资搬运。

5.法务与对外协调组

组长：院办主任

成员：法律顾问、宣传科、医保办

职责：患者通知、媒体应答、保险理赔、数据泄露法律函、公安笔录。

6.监督审计组

组长：纪委书记

成员：审计科、纪检办公室、第三方安全测评机构

职责：过程合规性审计、事后取证、责任倒查、改进建议。

三、分阶段处置流程

阶段0：日常防御（T∞至T0）

资源清单：

1.7×24SOC平台（启明星辰VSOC，授权节点1200，日志源≥90类，存储≥180天）

2.全流量探针6台（科来TAP，双向40Gbps，保存72小时原始包）

3.EDR2800点（火绒企业版，病毒库更新间隔≤2小时）

4.堡垒机2台（齐治，双人授权、录像≥180天）

5.备份一体机（鼎甲，每日22:00自动触发，本地保留7天、异地机房30天、蓝光库10年）

6.应急工具箱：离线补丁库（Win/Linux/ESXi/H3C）、Kali2023、Sysinternals、FTK、雷神U盘写保护30个、雷电三硬盘盒2个、4G/5G上网卡5张、对讲机20部、卫星电话1部。

责任人：安全运维工程师丁

操作步骤：

1.每日08:30检查SOC告警，高危告警15分钟内工单派发；

2.每周一凌晨02:00–04:00进行漏洞扫描（Nessus+RSAS），高危漏洞72小时内闭环；

3.每月第一个周五进行备份恢复演练，随机抽取1套业务库，30分钟内RTO验证通过；

4.每季度进行红蓝对抗，外聘攻击队模拟APT，防守队溯源反制，出具报告。

阶段1：发现与初判（T0–T0+10分钟）

触发条件：SOC红色告警、业务科室电话报障、卫健委通报。

责任人：甲

操作步骤：

1.1分钟：电话通知应急队长；

2.3分钟：通过堡垒机登录SOC，确认告警源IP、域名、文件HASH；

3.5分钟：在“应急作战室”微信群发布《初判简报》模板：时间、