医院信息系统遭受国家级黑客攻击全面瘫痪应急演练脚本（2篇）.docxVIP

医院信息系统遭受国家级黑客攻击全面瘫痪应急演练脚本（2篇）

第一篇演练脚本

7:58信息科早交班刚结束，值班工程师李默正逐一核对核心服务器的运行状态，屏幕上的系统监测曲线平稳跳动。突然，服务器告警系统发出尖锐蜂鸣，他下意识切换到数据库监控界面，发现核心业务数据库的CPU占用率瞬间飙升至99%，并发连接数突破历史峰值——这绝非普通的系统过载。他立刻尝试远程登录数据库服务器，却接连三次输入密码后显示“身份验证失败”，而他确认自己并未修改过密码。

8:02李默迅速启动应急响应第一步，拔下核心数据库服务器与外部网络的物理连接网线，同时用内部电话通知信息科科长张明。此时，门诊收费处的护士已经开始呼叫信息科：“收费系统登不上了，患者都堵在窗口了！”紧接着，住院部护士站、药房、放射科的报修电话此起彼伏，所有依赖HIS系统的业务端口全部显示“连接超时”。

8:05张明抵达信息科后，第一时间查看入侵检测系统（IDS）日志，发现凌晨6:12有一组境外IP通过医院门户网站的SQL注入漏洞突破边界防护，随后横向移动至核心服务器集群，并在7:50左右执行了批量账户篡改指令，同时植入了加密型勒索病毒。他立即拨通医院应急办主任的电话：“应急办，我是信息科张明，核心HIS系统遭受境外有组织攻击，全系统瘫痪，符合Ⅰ级应急响应条件，请启动应急预案！”

8:07医院应急办主任接到报告后，立刻通过院内应急广播发布Ⅰ级响应启动指令，同时向院领导班子汇报情况。院党委书记、院长迅速赶到应急指挥中心，成立由医疗业务组、信息技术组、后勤保障组、对外沟通组、患者安抚组组成的临时指挥小组，各组负责人5分钟内到岗。

8:10医疗业务组组长、业务副院长立刻召集临床科室主任召开临时会议：“门诊暂停电子挂号，全部启用人工挂号本，收费处改用手工收费票据，所有检查检验申请单由医生手写，结果先口头告知患者，待系统恢复后补录；住院部暂停新患者入院办理，已住院患者的用药、治疗由护士手工核对医嘱，药房启用纸质领药单，凭医生签字发药；急诊科开辟临时抢救区域，确保急危重症患者不受影响，所有抢救记录先手写，后续统一整理。”同时，他要求各科室每15分钟向应急指挥中心汇报一次运行情况，重点关注急危重症患者的救治衔接。

8:15信息技术组除李默留守信息科外，其余成员分为两个小组：一组负责排查所有服务器的感染情况，对未被感染的备份服务器进行物理隔离，准备恢复系统；另一组负责联系上级主管部门的网络安全应急响应中心，提交入侵日志、病毒样本，请求技术支援。此时，李默发现备份服务器中，上周六的全量备份未被感染，但近三天的增量备份已经被加密。他立刻将全量备份数据转移至隔离的备用服务器，开始系统恢复前的环境消杀工作。

8:20患者安抚组组长带领10名经过培训的志愿者，前往门诊大厅、住院部走廊安抚患者：“各位患者朋友，由于系统临时故障，我们正在紧急修复，请大家稍安勿躁，门诊已经开启人工挂号通道，住院患者的治疗不会受到影响，有任何问题可以找身边的工作人员咨询。”同时，在各楼层设置临时咨询台，发放手写的《系统故障告知书》，避免不实信息传播。

8:30对外沟通组组长联系本地卫生健康委，汇报事件情况，同时准备向公众发布第一份官方声明：“今日上午8时左右，我院信息系统出现临时故障，目前正在全力抢修，门诊、住院服务已启动人工应急流程，不会影响患者正常救治，请广大患者合理安排就诊时间，带来的不便敬请谅解。”声明通过医院官方微信公众号、本地媒体同步发布，避免网络上出现“医院倒闭”“数据泄露”等谣言。

8:40信息技术组完成备用服务器的环境消杀，开始恢复上周六的全量备份数据。此时，上级网安部门的技术支援人员抵达信息科，对病毒样本进行分析后发现，该病毒为最新变种，采用非对称加密算法，目前尚无通用解密工具，唯一的恢复途径是通过干净备份重建系统。技术支援人员协助信息技术组对核心服务器进行格式化重装，同时加固边界防护，封堵门户网站的SQL注入漏洞，新增境外IP拦截规则。

9:10医疗业务组汇报：门诊人工挂号、手工收费流程已经顺畅，患者拥堵情况得到缓解；住院部32名急危重症患者的治疗全部按计划进行，未出现延误；药房共发放手工领药单127份，无发药错误。后勤保障组已经为各科室补充了手写病历本、收费票据、检查申请单等纸质耗材，同时在门诊大厅增设了3个临时咨询窗口，引导患者分流。

9:30备用服务器上的HIS系统核心模块恢复完成，信息技术组开始测试门诊挂号、收费、药房发药等基础功能，确认无误后，先在急诊科小范围上线试运行。10:10，急诊科系统运行正常，随后逐步向门诊、住院部、药房等科室扩展。11:30，所有主要业务模块全部恢复上线，信息技术组开始补录近三天的手工业务数据，同时对所有用户账户进行重置，要求员工立即修改复杂密码。

12:0