机关单位网络与信息安全应急预案.docxVIP

机关单位网络与信息安全应急预案

适用主体：××市人力资源和社会保障局（以下简称“市人社局”）

应对事件类型：勒索软件攻击导致核心业务系统（金保工程专网、社保一体化平台、公共就业服务系统、OA及电子档案库）全面加密、数据泄露、服务中断的复合型网络与信息安全突发事件

一、风险评估

1.诱因梳理

1.1外部威胁

a.境外勒索组织利用0day漏洞或Nday补丁滞后实施横向移动；

b.钓鱼邮件携带恶意宏或ISO附件，诱导工作人员点击；

c.伪造“电子社保卡”小程序页面，诱导参保人员输入账号密码后撞库；

d.第三方维保U盘携带病毒接入生产网。

1.2内部隐患

a.核心数据库未做分区隔离，域控与生产网同一VLAN；

b.运维人员共用超级管理员账号，未启用双因子；

c.备份系统仅保留7天，未离线封存；

d.敏感字段（身份证、银行卡号）未加密落库；

e.外包驻场人员离职24小时内账号未冻结。

2.发生等级划分

采用“影响范围×业务中断时长×数据敏感程度”三维矩阵：

Ⅰ级（特别重大）：三系统（社保、就业、OA）同时停摆4小时，或10万条以上含身份证、银行账号的个人信息明文泄露；

Ⅱ级（重大）：任一核心系统停摆2–4小时，或1–10万条个人信息泄露；

Ⅲ级（较大）：非核心系统停摆30分钟–2小时，或1万条个人信息泄露；

Ⅳ级（一般）：单机感染，未横向蔓延，30分钟内处置完毕。

3.风险值量化

采用FAIR模型：

威胁事件频率（TEF）=钓鱼邮件每周2次×历史点击率4%=0.08次/周；

接触概率（C）=0.9；

控制失效概率（PL）=0.25；

损失幅度（LM）=平均480万元/次；

年度预期损失ALE=0.08×52×0.9×0.25×480≈449万元。

结论：勒索软件为“不可接受风险”，必须制定专项应急预案并每年投入预算≥年度ALE的15%用于加固与演练。

二、职责分工（到人到岗）

1.应急指挥部

总指挥：局党组书记、局长张××（24h值班电话139××××0001）

副总指挥：分管信息化副局长李××（138××××0002）

成员：办公室主任、基金监督处长、信息中心主任、社保中心主任、就业中心主任、法规处处长、机关党委专职副书记、财务处长、后勤服务中心主任。

2.工作组与岗位清单

2.1监测预警组（A组）

组长：信息中心安全科科长王××（137××××0003）

值班员：安全科7×24小时SOC坐席（4人轮班，每班8小时）

职责：日志集中审计、EDR告警初筛、威胁情报比对、Ⅳ级事件直接闭环。

2.2研判溯源组（B组）

组长：信息中心副主任陈××（136××××0004）

成员：数据库管理员2人、网络工程师2人、安全服务商驻场工程师2人、公安网安支队联络员1人

职责：样本逆向、流量取证、攻击路径还原、确定加密算法与家族、输出《溯源报告》。

2.3遏制处置组（C组）

组长：信息中心运维科科长赵××（135××××0005）

成员：系统管理员4人、网络管理员2人、云资源管理员2人、UPS及动环工程师1人

职责：核心网闸断电、VLAN隔离、DNS黑洞、账号冻结、补丁推送、临时WAF规则上线。

2.4数据恢复组（D组）

组长：社保中心数据管理科科长孙××（139××××0006）

成员：备份厂商技术经理1人、数据库工程师3人、业务骨干4人

职责：离线洁净备份校验、异机恢复、数据一致性核对、增量补录、出具《恢复确认单》。

2.5业务接续组（E组）

组长：就业中心副主任周××（137××××0007）

成员：各业务处室窗口首席代表8人、合作银行接口人2人、12333热线班长1人

职责：启动“应急受理—线下登记—事后补录”三道流程，确保待遇发放、社保转移、失业金申领不中断。

2.6信息发布组（F组）

组长：办公室主任吴××（138××××0008）

成员：新闻办2人、政务新媒体编辑2人、法规处1人

职责：起草《告参保人员书》，报市委宣传部、市委网信办审核后30分钟内统一口径发布。

2.7法务与合规组（G组）

组长：法规处处长郑××（139××××0009）

成员：外聘律师事务所数据合规律师2人、基金监督处1人

职责