体检中心信息系统安全措施及应急预案.docxVIP

体检中心信息系统安全措施及应急预案

一、风险评估

1.诱因识别

（1）外部攻击：黑客利用钓鱼邮件、远程桌面爆破、0day漏洞、供应链污染等方式植入勒索软件。

（2）内部威胁：运维人员私接外网、U盘交叉使用、离职人员账号未及时回收。

（3）系统脆弱性：Windows7/2008老旧终端占比18%，数据库补丁滞后3个月以上，堡垒机日志留存不足6个月。

（4）业务耦合：PACS影像系统与HIS共用同一存储池，一旦被加密将同时影响体检报告打印与影像调阅。

（5）第三方接口：医保结算、电子证照、短信平台共7个外部接口，其中2个接口未做API限速与签名验证。

2.发生等级

Ⅰ级（灾难）：核心数据库被加密，全业务中断≥4小时，预计直接经济损失≥100万元，负面舆情登上热搜。

Ⅱ级（重大）：部分业务中断1–4小时，加密终端≥10台，数据恢复点目标（RPO）15分钟。

Ⅲ级（一般）：孤立终端感染10台，业务未中断，可在1小时内隔离并完成样本溯源。

3.风险矩阵

将可能性（高/中/低）与损失（高/中/低）交叉，勒索软件整体风险值=可能性高×损失高=红色区域，必须立即处置。

二、职责分工（到人到岗）

1.应急指挥组

总指挥：中心主任刘XX（手机139xxxx1111，短号666）

副总指挥：信息分管副主任王XX（139xxxx2222）

职责：启动/终止Ⅰ级响应、对外口径签发、向区卫健委网安办报告。

2.技术处置组

组长：信息科长李XX（139xxxx3333）

主机安全岗：张XX（139xxxx4444）——负责补丁、EDR策略、漏洞扫描

网络安全岗：赵XX（139xxxx5555）——负责防火墙、IPS、VPN、流量镜像

数据库岗：陈XX（139xxxx6666）——负责Oracle、MySQL、MongoDB备份与恢复

存储岗：孙XX（139xxxx7777）——负责SAN、NAS、磁带库、云备份

第三方接口岗：周XX（139xxxx8888）——负责医保、短信、电子证照接口关停与重开

3.业务保障组

组长：医务部主任吴XX（139xxxx9999）

体检前台岗：郑XX——手工登记、纸质导检单发放

影像阅片岗：何XX——启用本地离线影像缓存

检验岗：徐XX——启用LIS单机版，手工条码回录

报告岗：曹XX——启用Word模板打印，骑缝章防伪

4.后勤保障组

组长：行政办主任马XX（139xxxx0000）

物资：对讲机20部、移动热点5个、应急照明10套、纸质体检单1万份、公章2枚

车辆：应急商务车1辆（京A12345）

餐饮：3小时送餐一次，保证24小时值守

5.法律与舆情组

组长：法务田XX（139xxxx1234）

24小时内起草《告客户书》，2小时内完成区网信办报备，监控微博、抖音、小红书关键词“XX体检+勒索”。

三、分阶段处置流程

阶段0：日常加固（T–∞至T0）

资源清单：

EDR授权300点、防火墙2台、IPS1台、堡垒机1套、日志审计1套、备份存储120TB、磁带库LTO82台、云备份50TB。

责任人：李XX

操作步骤：

1.每月第二周周二02:00–04:00进行漏洞扫描，高危漏洞48小时内闭环。

2.每季度更换一次域控管理员口令，长度≥16位，含三种字符。

3.每年一次红蓝对抗，邀请外部攻防团队进行钓鱼邮件演练。

阶段1：发现与初判（T0）

触发条件：EDR弹窗“发现勒索行为”、数据库大量rename异常、文件扩展名被改为.locked。

责任人：当日值班员（张XX/赵XX轮值）

操作步骤：

1.0–5分钟：立即拔掉网线并拍照截屏，通过对讲机呼叫“蓝色代码”——中心内部勒索代号。

2.5–10分钟：登录防火墙（地址）将受害终端IP加入“Quarantine”组，同步关闭该IP所有445/3389/135端口。

3.10–15分钟：在堡垒机创建“IncidentYYYYMMDD序号”工单，上传截屏、内存dump、样本哈希。

阶段2：定级与上报（T0+15分钟）

责任人：李XX

操作步骤：

1.依据加密终端数量、业务中断范围，对照“发生等级”判定Ⅰ/Ⅱ/Ⅲ级。

2.若≥Ⅱ级，电话+短信同时通知总指挥刘XX；若Ⅰ级，同步向区卫健委网安办、市公安局网警支