1. 首页
  2. 新闻中心

处罚案例:某中学视频监控遭黑客入侵,山东枣庄发布网络安全行政执法典型案例

作者:企划组 时间:2020-04-13 阅读:2633

“净网2019”专项行动开展以来,山东省枣庄市公安局网警部门在重拳打击涉网刑事犯罪活动同时,重点围绕整治网络乱象、重要数据和个人信息保护督促网络运营者切实履行安全防护义务等方面,加强网络社会治理工作,不断规范网上秩序,着力净化网络空间,取得明显成效。

2019年枣庄市网络安全行政执法典型案例

一、滕州市某中学不履行网络安全保护义务案

2019年2月,枣庄市公安局网警支队在日常巡查中发现,滕州市某中学视频监控系统遭受黑客入侵,网页被植入恶意信息。经查,事故原因是学校工作人员为方便在互联网访问,私自将内部运行的系统,在路由器设置端口映射接入互联网,未按照相关法律要求履行网络安全保护义务。滕州警方依据《中华人民共和国网络安全法》第21条、第59条规定,对该学校予以警告,责令改正。

二、滕州市某网络科技有限公司不履行网络安全保护义务案

2019年7月,滕州市公安局网警大队在日常巡查中发现,滕州市某网络科技有限公司网站遭受黑客攻击入侵,网站代码被恶意篡改。经查,该网站隶属于某网络科技有限公司,该公司安全防护工作落实不到位,未按照网络安全等级保护制度的要求落实网络安全主体责任,存在高危安全漏洞并被黑客攻击入侵,滕州警方依据《中华人民共和国网络安全法》第21条、第59条规定,对该网络科技有限公司予以警告,责令改正。

三、滕州市某医疗单位不履行网络安全保护义务案

2019年8月,枣庄市公安局网警支队在工作中发现,滕州市某医疗单位协同办公平台存在弱口令的现象,容易导致信息泄露。经查,平台内有大量人员身份信息,由于该医疗单位网络安全意识淡薄,网络安全管理制度不健全,网络安全技术措施落实不到位。滕州警方依据《中华人民共和国网络安全法》第21条、第59条规定,对该医疗单位予以警告,责令改正。

四、薛城区多家宾馆未采取国际联网安全技术保护措施案

2019年下半年,枣庄市公安局薛城分局网安大队在日常检查中陆续发现薛城区有五家宾馆在提供公共无线上网服务时,未按照法律要求采取相关互联网安全技术保护措施,薛城警方依据《计算机信息网络国际联网安全保护管理办法》第21条规定,对五家宾馆予以警告,责令限期改正。

五、市中区某物业管理公司不履行网络安全保护义务案

2019年11月,枣庄市公安局市中分局在对市中区某物业管理有限公司进行网络安全监督检查时发现,该公司使用某视频监控系统连接互联网对小区物业进行管理,但未建立网络安全保护管理制度,未明确网络安全责任人,未落实网络安全保护义务,存在网络安全隐患。市中警方依据《中华人民共和国网络安全法》第21条、第59条规定,对该物业管理有限公司予以警告,责令改正。

六、山亭区某宾馆未采取国际联网安全技术保护措施案

2019年12月,枣庄市公安局山亭分局网安大队在日常巡查中发现,山亭区某宾馆提供公共无线上网服务,但未按照法律要求采取相关互联网安全技术保护措施。山亭警方依据《计算机信息网络国际联网安全保护管理办法》第21条规定,对该宾馆予以警告,责令限期改正。

七、峄城区某酒店未采取国际联网安全技术保护措施案

2019年12月,枣庄市公安局峄城分局网安大队联合榴园派出所对辖区进行日常执法检查中发现,峄城某酒店提供公共无线上网服务,但未按照法律要求采取互联网安全技术保护措施。峄城警方依据《计算机信息网络国际联网安全保护管理办法》第21条规定,对该酒店予以警告,责令限期改正。

2020年枣庄网警将继续加大对网络乱象整治力度,积极回应群众关切,加强网络空间治理,营造风清气正的网络环境。

在此警方也提醒广大网络运营者,切实承担起网络安全保护主体责任,履行好网络安全等级保护、违法有害信息处置、公民个人信息保护等法律义务。

(枣庄市公安局网络警察支队)

分析:

《中华人民共和国网络安全法》中明确规定:

第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

......

近年来,因网络运营者网络安全意识淡薄,未制定内部安全管理制度和操作规程,未确定网络安全负责人,未部署入侵防护系统、防火墙及日志审计系统等问题,构成“不履行网络安全保护义务”的违法行为的案例不胜枚举。

部署网络安全防护措施,开展网络安全等级保护工作是保护信息化发展、维护网络安全的保障,是网络安全防护工作中国家意志的体现,也是不少监管机构指定的备案材料,是监管检查的依据。

葫芦娃集团推出的网络安全一站式解决方案及网络安全等级保护测评服务,帮助工作人员完成网络安全防护工作及等级保护建设工作的同时,能够切实提升平台安全防护能力,使用户信息系统或网络满足国家等级保护基本要求,全方位助力互联网安全发展。

 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。