医院核心医疗数据被黑客窃取并威胁泄露应急演练脚本.docxVIP

医院核心医疗数据被黑客窃取并威胁泄露应急演练脚本

【应急演练脚本内容】

模拟时间：202X年X月X日9:00-17:30

模拟场景：三甲医院核心医疗数据被黑客窃取，黑客通过加密邮件向医院信息科发送勒索信，要求支付加密货币，否则将分批次在暗网泄露患者病历、诊疗记录、医保信息等核心数据

第一阶段：预警与初判（9:00-9:40）

9:00，医院信息科监控岗值班员李磊通过运维管理平台发现异常：数据中心核心服务器的出网流量在15分钟内激增300%，且流量指向多个境外未知IP地址。同时，服务器日志显示有多个未授权的数据库访问记录，访问账号为已离职3个月的前信息科工程师账号。

李磊第一时间启动《信息系统异常流量处置指引》，先通过防火墙临时阻断境外未知IP的访问权限，同时提取异常时段的全量服务器日志，同步向信息科主任张伟汇报。张伟接到汇报后，立即登录远程监控系统查看实时数据：电子病历系统、医保结算系统、患者健康管理平台的数据库均出现异常读取操作，其中电子病历系统的2018-2023年门诊病历表被多次批量导出，涉及患者数量初步估算超12万。

9:20，张伟的办公邮箱收到一封加密邮件，发件人为一串随机字符组成的匿名地址。解密后发现是勒索信，内容显示：“我们已获取贵院12.7万份患者完整病历、医保缴费记录及医护人员执业信息，若48小时内未在指定钱包地址支付50枚某加密货币（当前市值约120万元），我们将在暗网分三次泄露数据：第一次泄露1万份普通患者病历，第二次泄露3万份重症患者及公职人员病历，第三次泄露全部数据。我们已在暗网发布100份样本数据作为证明，你可通过指定暗网链接验证。”

张伟立即点击暗网链接（演练场景预设链接，实际操作中禁止访问），页面显示100份患者病历截图，包含患者姓名、身份证号、诊疗记录、过敏史、医保卡号等完整信息，与医院数据库数据完全一致。他随即向医院分管副院长刘梅汇报，同时通知信息科启动应急响应小组，要求所有成员10分钟内到达信息中心会议室集结，并严禁向无关人员泄露任何信息，避免引发患者恐慌。

9:35，刘梅接到汇报后，立即上报医院院长办公会。院长王建国在5分钟内召集医务科、宣传科、医务社工部、法务部、保卫科等科室负责人召开紧急碰头会，初步判定为核心医疗数据遭黑客窃取并勒索的重大信息安全事件，决定启动《医院网络与信息安全突发事件应急预案》Ⅰ级响应，成立应急处置指挥部，由王建国任总指挥，刘梅任副总指挥，下设技术处置组、舆情应对组、医疗保障组、法务合规组、后勤保障组五个专项小组，明确各小组职责：技术处置组由信息科牵头，负责溯源、止损、数据恢复；舆情应对组由宣传科牵头，负责监测舆情、起草声明；医疗保障组由医务科牵头，负责保障临床诊疗不受影响；法务合规组由法务部牵头，负责对接公安、监管部门；后勤保障组由保卫科牵头，负责信息中心的物理安全及人员管控。

第二阶段：技术溯源与止损（9:40-12:00）

技术处置组共8名成员，分为溯源、止损、恢复三个小组同步开展工作。溯源小组由信息科资深工程师刘强带领，负责分析黑客攻击路径：通过对比服务器日志和网络流量记录，发现黑客先是利用已离职工程师的账号（该账号未及时删除权限）登录内部运维系统，随后通过漏洞提升至服务器管理员权限，植入远程控制木马，再通过木马获取数据库访问权限，批量导出核心数据后，将数据压缩打包传输至境外服务器。同时，黑客在数据库中植入了逻辑炸弹，若48小时内未收到勒索款，炸弹将自动删除医院2015-2018年的备份数据。

止损小组由工程师赵晓负责，第一时间采取三项措施：一是断开电子病历系统、医保结算系统与互联网的物理连接，改用本地局域网运行，确保当前诊疗数据不再被窃取；二是对所有数据库账号进行全量排查，删除所有离职人员账号，对在职人员账号进行密码重置，强制开启双重认证；三是对所有服务器进行木马查杀，共发现3种不同类型的远程控制木马，均已通过专业杀毒软件清除，同时对服务器系统进行漏洞修复，安装最新安全补丁。

恢复小组由工程师陈雨负责，调取最近的离线备份数据：医院数据备份策略为“每日增量备份+每周全量离线备份”，最近的全量离线备份为3天前，增量备份至事发前1小时。但恢复小组发现，3天前的全量备份中，2022-2023年的门诊病历表存在部分数据损坏，初步判断是黑客在攻击前已通过木马篡改了备份数据。陈雨立即联系第三方数据恢复公司，将损坏的备份数据送抵对方实验室进行专业恢复，同时启动“多副本交叉验证”机制，对比不同时间点的增量备份数据，逐步补全损坏部分。

11:30，溯源小组通过对接运营商获取的网络IP轨迹发现，黑客的攻击源位于境外某国家的匿名服务器，但该服务器为跳板机，真实攻击源无法直接定位。技术处置组组长张伟将溯源进展、当前数据受损情况及止损措施形成《技术处置阶段性报告》，提交给应急处