HIS系统网络攻击应急演练脚本.docxVIP

HIS系统网络攻击应急演练脚本

演练执行细节

一、演练前准备（T-1天至T-0日14:00）

1.参演人员分组与职责确认

-攻击组（3人）：由信息安全工程师2名、渗透测试工程师1名组成，提前3天完成对医院HIS系统拓扑图、核心业务模块（门诊挂号、住院收费、电子病历、药房发药）、网络边界设备配置的模拟环境复刻，基于医院近3年漏洞扫描报告梳理出3类高风险攻击路径：一是通过门诊自助挂号机未修补的ApacheStruts2漏洞获取服务器权限；二是利用离职医师未注销的VPN账号突破内网边界；三是通过钓鱼邮件诱导HIS系统运维人员下载植入远控木马。攻击组需提前准备模拟攻击工具（均为授权合法的测试工具，已在公安部门备案），包括BurpSuite漏洞扫描工具、Metasploit渗透测试框架、自定义钓鱼邮件模板，且所有攻击操作仅针对隔离的演练环境，不影响生产系统。

-应急响应组（8人）：分为指挥协调组（2人，由医院信息科主任、医务科副主任担任）、技术处置组（3人，HIS系统运维工程师2名、网络管理员1名）、业务保障组（2人，门诊护士长、住院部医务干事各1名）、对外联络组（1人，医院办公室宣传干事）。应急响应组需提前完成《HIS系统网络攻击应急预案》全员培训，明确各岗位处置流程、权限边界与汇报路径，同时准备好应急处置物资：备用核心服务器（已预部署HIS系统镜像，数据同步至演练前24小时）、网络流量采集设备、纸质挂号单/收费票据、应急联络手册。

-评估组（3人）：邀请第三方信息安全测评机构专家1名、医院质控科主任1名、医保办专员1名，负责全程记录演练各环节时间节点、操作规范性、业务恢复效果，演练结束后出具评估报告与改进建议。评估组需提前设计《应急演练评估表》，包含攻击识别及时性、处置操作准确性、业务中断时长、数据完整性等12项评估指标，每项指标设置量化评分标准。

2.演练环境搭建

-采用“生产环境镜像+隔离演练区域”模式，将医院HIS系统生产环境的虚拟机镜像（脱敏处理后，剔除患者隐私信息）部署在专用演练服务器集群，通过虚拟网络设备搭建与生产环境一致的网络拓扑，包括互联网边界防火墙、核心交换机、HIS应用服务器、数据库服务器、门诊自助终端、医师工作站等节点。演练环境与生产环境通过物理隔离设备完全断开，确保攻击操作不会渗透至生产系统。同时在演练环境中部署流量监控系统、日志审计系统，实时采集网络流量与系统操作日志，为攻击识别与后续分析提供数据支撑。

3.预警信号预置与通知

-演练前1小时，由评估组向应急响应组指挥协调发送“预警提示”：“信息科监测到门诊区域网络流量异常，疑似存在外部攻击，请注意排查”，但未明确攻击类型与路径，模拟真实攻击场景下的模糊预警状态。参演人员需关闭个人通讯设备的对外联网功能，仅使用演练专用对讲机沟通，避免外部信息干扰演练真实性。

二、演练实施阶段（T-0日14:00至17:30）

1.攻击触发与初始预警（14:00-14:20）

-14:00，攻击组启动第一阶段攻击：通过模拟互联网出口向门诊自助挂号机所在网段发送漏洞扫描包，利用ApacheStruts2漏洞获取一台自助挂号机服务器的权限，随后通过横向移动渗透至HIS系统应用服务器，修改门诊挂号模块的数据库查询语句，导致部分医师工作站显示“挂号信息加载失败”。

-14:08，门诊护士发现3台医师工作站无法正常调取患者挂号信息，立即通过内部通讯系统向业务保障组汇报。业务保障组第一时间联系技术处置组，技术处置组运维工程师登录HIS系统后台，发现应用服务器CPU使用率骤升至95%，系统日志显示存在大量异常数据库查询请求，遂初步判断为网络攻击，立即向指挥协调组汇报，指挥协调组启动《HIS系统网络攻击应急预案》Ⅰ级响应，通知所有应急响应组人员到岗。

2.攻击识别与定位（14:20-14:50）

-技术处置组通过流量监控系统分析发现，异常流量来自互联网IP段（为攻击组模拟的境外测试IP），且包含大量Struts2漏洞利用特征码；同时通过日志审计系统查询到，应用服务器在14:02收到来自自助挂号机服务器的异常远程连接请求，而该自助挂号机服务器的系统日志显示，13:58存在未授权的漏洞扫描记录。技术处置组随即对异常流量进行捕获与分析，定位攻击入口为门诊自助挂号机的未修补漏洞，攻击已渗透至HIS应用服务器，但尚未触及核心数据库服务器（核心数据库服务器部署了数据库审计系统，对异常访问请求进行了拦截）。

-在此过程中，攻击组启动第二阶段攻击：向HIS系统运维人员邮箱发送模拟钓鱼邮件，主题为“HIS系统版本更新通知”，附件为植入远控木马的压缩包。运维人员在演练中需按照真实场景判断，最终因附件未通过邮件网关查杀（