## 事件概述
包头土右旗某乡镇卫生院早上8点,收费处电脑弹窗提示"所有文件已被加密",后缀变为.phobos。HIS(医院信息系统)数据库文件、患者病历、处方记录全部被锁。
经排查,病毒通过护士站一台未安装杀毒软件的电脑,经U盘传播后横向感染至HIS服务器。
## 应急处置
### 第一阶段:隔离与止损(2小时内完成)
- 立即断开所有受感染电脑的网络连接
- HIS服务器从网络中物理隔离,关闭远程访问端口
- 收费处临时切换为纸质挂号+手工处方流程
- 拍摄勒索信息截图,记录加密文件后缀和勒索邮箱
### 第二阶段:数据恢复(当天完成)
- 检查HIS服务器的离线备份策略(每周一次全量+每日增量,存储在独立的NAS上)
- NAS未被感染(因与HIS服务器不在同一网段)
- 从最近的全量备份(3天前)恢复数据库
- 手工补录3天内的挂号和处方数据,4名工作人员加班至晚上11点完成
### 第三阶段:安全加固(3天完成)
**端点防护:**
- 全院12台电脑统一安装360企业卫士(终端版),配置集中管控
- 禁用USB存储设备写入权限(注册表组策略下发)
- 设置软件白名单,仅允许HIS客户端和Office套件运行
**网络改造:**
- HIS服务器放入独立VLAN,仅允许HIS客户端IP段访问数据库端口3306
- 部署深信服NGAF下一代防火墙,开启IPS/AV/URL过滤
- 配置内外网访问控制策略,禁止HIS服务器直接访问互联网
**备份升级:**
- 备份频率从"每周全量+每日增量"提升为"每日全量+每4小时增量"
- 增加异地备份(通过VPN同步至旗卫健委机房)
- 备份存储增加加密+防篡改保护
## 事后总结
| 项目 | 改造前 | 改造后 |
|------|--------|--------|
| 杀毒覆盖率 | 约30% | 100% |
| 备份频率 | 每周全量 | 每日全量+4小时增量 |
| 恢复时间目标(RTO) | 不确定 | <4小时 |
| 网络隔离 | 无VLAN | HIS独立VLAN+防火墙 |
## 给医疗机构的建议
基层医疗机构往往是网络安全的薄弱环节,建议每年至少做一次安全评估,部署终端防护和网络隔离是最基础的防线。不舍昼夜技术可为包头地区医疗机构提供定制化安全加固方案。
---
【不舍昼夜技术 · 包头IT一站式服务】
- 电脑/服务器:重装系统、硬件升级、服务器Linux/Windows环境部署
- 数据安全:硬盘/U盘/数据库数据恢复、网络安全加固、病毒清理
- 弱电安防:监控安装、机房建设、综合布线、门禁人脸识别
- 办公耗材:打印机维修、硒鼓墨盒配送、复印机租赁
- 软件开发:企业官网、小程序开发、APP定制、ERP系统
服务单位:内蒙古不舍昼夜技术有限公司
业务涵盖:电脑维修/系统重装/数据恢复/监控安防/弱电布线/打印耗材
技术热线:17704868686(包头本地团队,随叫随到!)