政法系统护网行动应急预案范文

政法系统护网行动应急预案范文1工作目标与适用范围1.1工作目标规范全市政法系统护网行动中网络安全事件的应急处置流程，最大程度降低网络攻击、数据泄露、系统瘫痪等事件对政法业务开展、社会稳定造成的危害，保障政法网络与信息系统安全，保护国家秘密、工作秘密和公民个人信息安全，维护政法机关公信力，筑牢政法领域网络安全防线。1.2适用范围本预案适用于本市政法系统（含市委政法委、市中级人民法院、市人民检察院、市公安局、市司法局及下属县区政法单位、派出机构、直属事业单位）在护网行动期间，应对针对政法网络、信息系统、数据资源、官方新媒体平台发起的各类网络攻击、破坏、窃密、篡改等安全事件的应急处置工作，涵盖事前预警、事中处置、事后整改全流程管理。2组织指挥体系与职责2.1应急指挥部成立XX市政法系统护网行动应急处置指挥部（以下简称指挥部），作为护网行动应急处置的统一指挥机构：总指挥由市委政法委常务副书记担任，副总指挥由市公安局分管网络安全工作的副局长、市中级法院分管信息化副院长、市检察院分管信息化副检察长、市司法局分管信息化副局长共同担任，成员由各单位网络安全管理部门、信息化部门、宣传部门、保密部门主要负责人组成。指挥部核心职责：贯彻落实中央、省委关于网络安全工作的部署要求，统筹指挥全市政法系统护网行动网络安全事件处置，决定启动和终止应急响应，协调跨部门、跨区域应急资源调度，决定是否向上级申请技术、警力支援，统一对外发布事件信息，事后组织总结评估和整改工作。2.2下设工作组及具体职责2.2.1综合协调组：组长由市委政法委信息化处处长担任，负责对接上级党委政法委、省公安厅网安总队、市网信办等单位，传达落实指挥部指令，协调各工作组、各政法单位开展处置工作，负责事件信息汇总、整理、上报，归档应急处置相关文件资料，承担日常事务协调工作。2.2.2监测预警组：组长由市公安局网安支队支队长担任，负责护网行动期间全市政法系统12大类共147项核心网络资产的724小时不间断监测，开展漏洞扫描、异常流量分析、异常登录行为审计，要求核心网络日均流量监测覆盖率不低于99.8%，开放互联网端口全量扫描覆盖率100%，高危漏洞发现后1小时内推送至责任单位整改，及时发布预警信息，配合开展攻击溯源。2.2.3攻击处置组：由各政法单位网络安全技术骨干组成，负责开展事件先期处置和现场处置，对被攻击失陷的节点、系统进行隔离，修补安全漏洞，清除攻击后门，恢复系统正常运行，配合开展溯源和证据固定工作。2.2.4数据溯源与执法组：组长由市公安局网安支队案件侦查大队大队长担任，负责对攻击行为开展溯源分析，固定符合司法鉴定标准的电子证据，对涉嫌违法犯罪的攻击主体依法开展侦查打击，协调上级网安部门对境外攻击、跨区域攻击开展协查，配合检察机关做好后续司法公诉工作，要求重大攻击事件溯源成功率不低于95%。2.2.5舆情管控组：组长由市委政法委宣传处处长担任，负责监测涉政法网络安全事件的相关舆情，及时发现不实信息和谣言，协调第三方网络平台删除违法违规内容，依法处置违规账号，配合做好权威信息发布，防止舆情发酵引发影响社会稳定的问题。2.2.6后勤与保密保障组：负责应急处置期间的硬件、物资、资金保障，配合保密部门处置涉及国家秘密、工作秘密泄露的事件，落实保密管理要求，控制知密范围，防止失密范围扩大。3风险分级与预警管理3.1风险分级分类根据《中华人民共和国网络安全法》《国家网络安全事件应急预案》《新时代政法工作条例》相关要求，结合本市政法系统网络资产实际，将护网行动中网络安全事件分为四个等级：3.1.1特别重大事件（Ⅰ级）：符合下列情形之一的，认定为特别重大事件：①政法涉密内网发生大范围瘫痪，影响范围覆盖全市50%以上政法单位，持续中断时间超过4小时；②发生核心涉密信息泄露，或10件以上秘密级、5件以上机密级国家秘密泄露；③全市核心政法业务系统（含办案系统、执行系统、监所管理系统、人口信息管理系统）全面中断，持续时间超过12小时；④事件引发全网性负面舆情，严重影响政法机关公信力，威胁社会稳定；⑤遭受有组织境外APT攻击，造成核心工作数据被窃取。3.1.2重大事件（Ⅱ级）：符合下列情形之一的，认定为重大事件：①非涉密核心业务系统中断，影响范围覆盖全市30%以上政法单位，持续中断时间超过8小时；②1000条以上公民敏感信息（含案件当事人、服刑人员、信访群众信息）发生泄露，或1件以上机密级、5件以上秘密级国家秘密泄露；③事件引发省级及以上范围负面舆情，造成较大社会影响；④发生大规模DDoS攻击，攻击流量超过50Gbps，导致政法互联网出入口拥塞超过8小时。3.1.3较大事件（Ⅲ级）：符合下列情形之一的，认定为较大事件：①单个政法单位核心业务系统中断，持续时间在4-8小时之间；②100-1000条公民敏感信息发生泄露，未造成大范围不良影响；③事件引发本地区域性负面舆情，影响范围可控。3.1.4一般事件（Ⅳ级）：符合下列情形之一的，认定为一般事件：①单个非核心业务子系统或节点发生故障，中断时间小于4小时，不影响核心业务开展；②泄露敏感信息少于100条，未造成不良影响；③发现未得逞的攻击尝试，未对系统造成实际损害。3.2预警分级与发布对应事件等级，预警从高到低分为四级：红色预警（Ⅰ级）、橙色预警（Ⅱ级）、黄色预警（Ⅲ级）、蓝色预警（Ⅳ级）。红色、橙色预警由总指挥审核签发后，15分钟内上报省委政法委、省公安厅网安总队，同时推送至全市所有政法单位落实防范措施；黄色、蓝色预警由副总指挥审核签发，30分钟内上报指挥部，推送至相关责任单位。预警信息需明确预警类型、风险等级、影响范围、防范要求、联系方式等核心内容。3.3预警响应收到红色预警后，全市政法系统技术人员全员在岗待命，断开非必要互联网外联接口，对核心数据进行全量备份，关闭不必要的开放端口，开展全系统漏洞排查；收到橙色预警后，事发地及相关责任单位技术人员全员在岗，开展针对性漏洞排查，落实针对性防护措施；黄色、蓝色预警由责任单位在规定时限内完成排查整改，将整改结果上报指挥部。4应急响应处置流程4.1分级响应启动根据事件等级启动对应等级的应急响应：①Ⅰ级特别重大事件：启动Ⅰ级响应，由总指挥统一指挥，调动全市所有政法应急处置力量，第一时间向上级申请技术、警力支援，协调网信、保密、电信运营商等部门协同处置；②Ⅱ级重大事件：启动Ⅱ级响应，由副总指挥牵头指挥，调动市级应急力量开展处置，按要求定期上报处置进展；③Ⅲ级较大事件：启动Ⅲ级响应，由事发单位主要负责人指挥，市级工作组提供技术支持，处置进展每日上报指挥部；④Ⅳ级一般事件：启动Ⅳ级响应，由事发单位自行处置，处置结果3个工作日内报指挥部备案。4.2事件报告要求严格落实报告时限要求：Ⅰ级、Ⅱ级事件必须在15分钟内通过电话、加密即时通讯向指挥部口头报告，30分钟内提交正式书面报告，严禁迟报、瞒报、漏报；Ⅲ级、Ⅳ级事件必须在1小时内上报指挥部。书面报告需包含：事件发生时间地点、涉事系统名称、事件初步类型、影响范围、危害程度、已采取措施、报告单位联系人及联系方式等核心内容，处置过程中出现新情况的，及时续报。4.3先期处置事发单位发现异常后，第一时间开展先期处置：①立刻断开失陷节点与核心网络的连接，阻断攻击横向渗透路径，防止损害扩大；②完整保留攻击现场，不得擅自删除日志、重启系统，留存原始流量日志、攻击样本，为后续溯源提供支撑；③涉及数据泄露的，立刻冻结异常账号、修改核心权限密码，关闭泄露路径，初步排查泄露范围；④系统中断的，立刻切换到备用线路或备用系统，优先保障核心业务不中断。4.4分类处置针对不同类型安全事件，采取针对性处置措施：4.4.1DDoS攻击处置：监测到异常流量后，立刻启动本地流量清洗设备对攻击流量进行清洗；若攻击流量超过本地清洗能力（超过100Gbps），立刻协调电信运营商启动骨干网层面流量清洗，封堵攻击源IP段，开放临时备用带宽；攻击平息后，留存完整证据，对涉嫌违法犯罪的立案侦查。4.4.2APT攻击与入侵渗透处置：发现失陷设备后立刻隔离出核心网络；溯源攻击路径，全量排查所有接入节点，清除后门木马，修补被利用的漏洞；核查被窃取数据范围，确认是否发生泄露，按照数据泄露流程处置；所有攻击样本、日志移交公安机关开展溯源，对有组织攻击开展全链条打击。4.4.3数据泄露事件处置：确认数据泄露范围和敏感级别，涉及国家秘密的立刻启动保密应急预案，配合保密部门控制知密范围、开展溯源；涉及公民个人敏感信息的，立刻删除公开渠道泄露内容，关闭泄露路径，通知涉及人员防范精准诈骗等次生危害，上报网信部门备案；排查泄露原因，完善数据访问权限控制机制，防止再次发生泄露。4.4.4核心系统瘫痪事件处置：立刻启动灾备切换机制，严格落实核心业务系统恢复时间目标（RTO）不超过4小时、恢复点目标（RPO）不超过1小时的要求，优先保障案件办理、群众办事等核心业务正常运行；排查瘫痪原因，完成安全检测后将业务切回主系统；记录处置过程，排查灾备体系存在的漏洞并及时完善。4.4.5官方新媒体账号被篡改事件处置：立刻收回账号权限，修改核心密码，下架违规内容，恢复账号正常运营；排查权限泄露路径，收回所有异常授权，修补第三方接入漏洞；监测舆情，及时发布澄清声明，消除不良影响，对涉案行为人依法查处。4.5响应终止事件得到完全控制、系统恢复正常运行、所有影响完全消除后，由启动响应的指挥机构宣布终止响应：Ⅰ级事件响应终止由总指挥批准，Ⅱ级及以下事件由对应指挥负责人批准。5应急保障体系5.1队伍保障建立“市级攻坚队-县区应急分队-单位联络员”三级应急队伍体系：①市级护网应急攻坚队由公安网安技术骨干、各政法单位高级网络安全工程师组成，总人数不少于15人，所有队员均持有网络安全相关资质证书，每年开展不少于2次专项技能培训；②每个县区组建不少于8人的应急分队，负责本地区一般事件处置，配合市级开展重大事件处置；③所有政法单位设立1-2名专职网络安全联络员，负责日常监测、信息上报，联络员信息每季度更新报指挥部备案。5.2技术保障严格落实网络安全等级保护2.0标准要求，三级以上信息系统每年开展1次等级测评，二级信息系统每2年开展1次测评，测评发现的高危漏洞10个工作日内完成整改，整改合格率100%；核心网络边界100%部署下一代防火墙、入侵防御系统、流量清洗设备，核心服务器实现全量日志审计，日志留存时间不少于6个月，符合法律法规要求；建立零日漏洞应急响应机制，国家漏洞共享平台发布预警后，24小时内完成全市相关资产排查，及时更新防护规则；建立异地灾备中心，核心数据实行“每周全量备份、每日增量备份”，每年开展不少于1次灾备切换演练，保障灾备数据可用。5.3物资资金保障市级建立应急物资储备库，储备备用核心交换机、服务器、防火墙等硬件设备，所有备用设备每月检测1次，设备完好率保持100%，可随时调用；将护网应急保障资金纳入年度政法专项经费预算，年度应急保障资金不低于上年度政法专项经费的1.5%，保障应急处置、设备采购、演练培训工作开展，资金专款专用，接受审计监督。5.4演练保障建立常态化应急演练机制，每年度开展不少于1次全流程护网应急综合演练，每半年开展不少于1次专项场景演练，演练覆盖所有核心业务系统，参与演练技术人员不低于全市政法系统技术人员总数的80%，演练后10个工作日内形成评估报告，梳理问题短板逐一整改，持续优化应急预案。6后期处置与监督问责6.1总结评估应急响应终止后10个工作日内，指挥部组织开展总结评估，分析事件发生原因、处置过程的经验与不足，提出改进措施，形成总结报告上报市委和上级政法部门。6.2整改落实针对事件暴露的安全漏洞、制度短板、技术缺陷，责任单位制定整改方案，明确整改时限和责任人，15个工作日内完成所有问题整改，整改完成后向指挥部申请验收，实行问题销号管理，整改完成率100%。6.3监督问责严格落实网络安全主体责任，各政法单位主要负责人是本单位网络安全第一责任人，有下列情形之一的，依法依规追究相关单位和人员责任：①未落实安全防护要求，存在高危漏洞逾期不整改，引发网络安全事件的；②发生事件后迟报、瞒报、漏报，导致损害扩大的；③应急处置不力，导致事件升级造成重大损失的；④不服从指挥部调度，拒不配合处置的。根据事件等级和责任大小，给予通报批评、党纪政务处分，涉嫌犯罪的移送司法机关追究刑事责任。6.4信息发布事件相关信息统一由指挥部舆情管控组审核后对外发布，任何单位和个人不得擅自发布未经核实的信息