医护人员信息泄露应急演练脚本.docxVIP

医护人员信息泄露应急演练脚本

场景设置：XX医院信息科监控中心

时间：202X年X月X日14:30

参演人员：信息科监控岗人员小李，信息科科长老王，网络安全工程师小张，医务科科长刘姐，护理部主任赵姐，医院法律顾问陈律师，行政后勤专员小周，患者代表（模拟）张阿姨，第三方数据安全应急服务商技术人员老郑

14:29，小李正盯着医院信息系统的实时监控大屏，屏幕上跳动着各科室服务器的运行数据、用户访问日志以及数据流向预警指标。按照医院规定，每15分钟他需要完成一次全系统巡查，重点关注核心业务系统的异常访问、批量数据导出以及敏感字段的高频查询记录。

14:30，大屏右上角的“数据安全预警模块”突然弹出红色闪烁警报，警报等级标注为“一级（最高）”，触发规则显示：“门诊医生工作站IP段（192.168.0.XX-192.168.0.XX）于14:28-14:30期间，累计发起120次患者医护人员信息批量查询请求，涉及字段包括医护人员姓名、执业证书编号、职称、联系方式、家庭住址及薪资信息，单次查询覆盖人数达80人，远超该IP段日均查询量（日均不足20次，单次最大覆盖10人）。”

小李立刻点击警报详情，调出访问日志溯源：发起请求的终端为门诊内科诊室3的医生办公电脑，登录账号为门诊医生王某，但根据王某的日常工作习惯，其账号通常仅在工作日8:00-12:00、14:30-17:30访问患者病历系统，且从未进行过批量医护人员信息查询操作。更异常的是，该终端在发起查询请求的同时，还向一个陌生的境外IP地址发送了3个加密数据包，数据包大小与查询到的信息容量匹配。

“不好，可能是医护人员信息泄露事件！”小李第一时间拿起内线电话拨打信息科科长老王的办公室：“王科长，监控中心触发一级数据安全警报，门诊内科3的医生账号疑似被盗用，正在批量导出医护人员敏感信息，还向境外IP传输数据，请求立即启动应急响应！”

第一阶段：应急响应启动与事件初判（14:30-14:45）

14:30，老王接到电话后，立刻放下手中的文件，一边快步赶往监控中心，一边通过医院应急指挥群发送指令：“全体应急响应小组成员请注意，监控中心发现疑似医护人员敏感信息泄露事件，请立即到信息科监控中心集合，启动《医院数据安全应急预案》一级响应！”

14:32，老王到达监控中心，首先查看小李调出的预警详情和访问日志，随后拨通网络安全工程师小张的电话：“小张，立刻对门诊内科3的医生终端进行远程断网操作，同时锁定该终端的硬盘读写权限，防止数据被进一步删除或传输；另外，马上对王某的医生账号进行临时冻结，排查该账号的登录记录，看是否有异地登录、异常设备登录的情况。”

14:35，小张通过远程运维平台完成终端断网和账号冻结操作，随后在群内反馈：“已完成门诊内科3终端断网及王某账号冻结，初步排查发现，该终端于14:15被植入远控木马，木马通过钓鱼邮件附件传播——王某今早打开了一封标题为‘关于202X年度医护人员职称评审补充通知’的邮件，附件包含恶意宏代码，触发后获取了终端管理员权限，并自动记录了王某的账号密码。目前境外IP已停止接收数据包，推测攻击者在察觉到断网后中断了传输，初步判断已泄露的医护人员信息约为240条（按120次请求、单次2人估算，实际需进一步核实）。”

14:38，医务科科长刘姐、护理部主任赵姐、法律顾问陈律师、行政后勤专员小周陆续到达监控中心。刘姐立刻提出：“需要马上联系门诊医生王某，核实他今早的邮件操作情况，同时排查其他医护人员是否收到类似钓鱼邮件，防止更多终端被感染。”赵姐补充道：“我现在通知各科室护士长，逐一确认科室电脑的异常情况，尤其是经常接收外部邮件的行政、医务、护理岗位人员。”

14:40，老王组织临时会议，明确初判结论：“目前可以确认是一起针对医护人员敏感信息的定向攻击事件，攻击者通过钓鱼邮件获取终端权限，盗用医生账号批量导出并尝试传输医护人员敏感信息，已泄露信息数量暂估240条，涉及核心敏感字段。接下来按照应急预案，成立专项应急处置小组，我任组长，小张负责技术溯源与阻断，刘姐负责医护人员沟通与内部排查，赵姐负责科室终端排查，陈律师负责法律评估与合规上报，小周负责后勤保障与外部对接。”

14:42，小周按照预案联系第三方数据安全应急服务商技术人员老郑，告知事件基本情况，请求其提供技术支持，包括木马样本分析、数据泄露范围精准核查、系统漏洞修补等。老郑回复：“我们已组建专项支持团队，预计30分钟内到达医院，将携带流量分析设备、数据恢复工具及漏洞扫描系统。”

14:45，老王通过医院OA系统发布《关于启动一级数据安全应急响应的通知》，要求各科室暂停非必要的外部数据传输操作，所有终端不得接收陌生邮件附件，同时提醒医护人员注意保护个人账号密码，发现异常及时上报。

第二阶段：事件精准核查与风