原创力文档- 0
- 0
- 约4.51千字
- 约 10页
- 2026-03-06 发布于四川
- 举报
2026年医院移动存储介质泄密演练脚本
第一章演练定位与泄密场景设计
1.1演练目标
2026年医院移动存储介质泄密演练的核心目标不是“演”,而是“练”:让信息科、医务科、护理部、总务科、保卫科、第三方运维公司、外包保洁与护工公司在同一时空内,用真实数据、真实流程、真实网络、真实终端,完成一次“可溯源、可定责、可改进”的闭环压力测试。演练结束后,医院应在24小时内拿到三份可落地交付物:
①泄密事件完整时间线(精确到秒)
②各岗位责任清单与扣分表
③可立即落地的技术加固清单(含预算区间)
1.2泄密场景选择原则
场景必须同时满足“高频、高危、高隐蔽”三要素。2026年医院最危险的移动介质不再是U盘,而是“带Type-C接口的便携式超声固态盘”“AI语音转写胸牌”“血糖仪蓝牙记忆棒”“护士腕表充电仓”。本次演练锁定“AI语音转写胸牌”作为泄密载体,原因:
胸牌每日随护士进出ICU、手术室、谈话间,物理接触面最大
胸牌内置64GBeMMC,默认开启“离线上传”模式,可在非工作时段自动连接任何名字带“Guest”的Wi-Fi
胸牌由外包公司采购,固件升级权限在厂商云端,医院侧无SHA-256校验
1.3红队与蓝队角色定义
角色
组成
权限边界
演练KPI
红队
外请攻防团队3人+信息科1人+护士“内应”1人
可物理接触、可社工、可0day,但不可破坏生产数据
12小时内把“敏感谈话录音”带出医院内网
蓝队
信息科2人+保卫科2人+医务科1人+第三方审计1人
可封端口、可拉闸、可调取监控,但需保留证据链
6小时内定位泄露源、12小时内给出溯源报告
第二章演练前48小时准备清单
2.1法律与伦理审批
向市卫健委提交《实战演练备案表》,明确录音数据为“合成脱敏数据”,采用“语音克隆+关键词替换”技术,确保患者姓名、身份证号、疾病诊断已被替换为虚拟角色
伦理委员会出具《豁免知情同意书》,豁免范围仅限“已脱敏语音”,不涉及真实患者
保卫科向辖区派出所报备,避免演练期间出现“真警假警”冲突
2.2技术环境预埋
在核心交换机上预置SPAN口,镜像流量到隐蔽VLAN106,仅供蓝队审计
给红队预留一个“看似正常”的IP:8,归属域为“MedicalIoT”,提前在防火墙策略里放行443端口,但暗藏DPI规则,一旦命中“multipart/form-data;filename=utf-8”即触发静默告警给红队预留一个“看似正常”的IP:8,归属域为“MedicalIoT”,提前在防火墙策略里放行443端口,但暗藏DPI规则,一旦命中“multipart/form-data;filename=utf-8”即触发静默告警
在护士胸牌固件里刷入“演练版”固件,版本号与生产版完全一致,但增加一条隐藏指令:长按电源键5次后,开启“ADBoverWi-Fi”并关闭日志
2.3人员“内应”招募与培训
信息科在护理部微信群发布“语音标注志愿者”招募,名义上是帮助训练AI语音识别,实际选中一名已离职但仍在系统内保留账号的规培护士“林XX”
对林XX进行30分钟“社工话术”速训:如何在交接班时把胸牌借给“设备科同事”3分钟而不引起怀疑
给林XX配发一张“演练期间临时工牌”,工牌芯片ID已写入门禁系统,可刷开手术更衣室,但日志会打上隐形标记“DRILL”
第三章演练日T-0时间轴(精确到秒)
3.108:00:00红队启动
红队领队“R1”在医院地下二层停车场上线,通过医院“访客Wi-Fi:Guest_Surg”接入,先进行TCP443端口心跳保活,防止被防火墙踢出
R1使用预置的0day(CVE-2026-1203,某国产防火墙SSL-VPN未公开栈溢出)拿到“MedicalIoT”网段shell,权限为nobody
3.208:15:33胸牌借出
林XX在ICU护士站交接班,以“胸牌电量低”为由,向搭班护士借到“AI语音转写胸牌”一枚,随即进入更衣室
红队成员“R2”穿设备科工装,手持“设备返厂标签”,在更衣室门口与林XX完成胸牌交接,全程被监控拍下,但R2佩戴“防CCTV贴片帽”,人脸出现20%遮挡,用于测试蓝队AI人脸识别冗余度
3.2.1胸牌数据提取(更衣室)
时间
动作
数据量
技术细节
08:16:10
R2用Type-COTG线连接胸牌
0GB
胸牌默认MTP关闭,需ADB
08:16:30
长按电源键5次,进入暗门
0GB
ADBoverWi-Fi01:5555
08:17:00
adbpull/sdcard/AIRec/
2.3GB
共487条wav,含“术前谈话脱敏版”
08:17:40
计算SHA-256并写入RFID贴纸
2.3GB
贴纸贴在胸牌背面,用于后续校验
3.308:
文档评论(0)