【网络安全资讯】网站被黑客攻击后,这家企业被罚钱了
普洱IT网,您身边的IT小顾问!
近年来,我国互联网发展迅猛,网络规模不断扩大,网络应用水平也显著提高,成为推动经济发展和社会进步的一股不可或缺的力量。
与此同时,网络和业务发展过程中也出现了诸多安全问题,尤其是用户数据泄露、黑客攻击、安全观念淡薄等网络安全问题日益突出。然而,企业因安全责任实施不到位,最后被行政处罚的案例并不在少数。
来感受下最近安全圈再度刷屏的一张图↓↓↓
是的,你没有看错!
河南洛阳北控水务集团因违反《网络安全法》第 59 条第 1 款之规定,受到了行政处罚,其中洛阳市北控水务集团被罚款 80000 元,三个部门相关责任人李某、张某、李某分别被罚款 15000 元、10000 元及 10000 元。
无独有偶,此类事件各地频发。
宁夏吴忠市公安局在日常安全检查中发现某集团吴忠分公司未确定网络安全责任人、信息系统未采取防范计算机病毒和网络侵入等危害网络安全的技术措施,同时发现该公司采取监测、记录网络运行状态、网络安全事件的技术措施留存日志最长仅为 1 个月,低于不少于 6 个月的规定。鉴于该公司违反网络安全法第 21 条规定,给予该公司警告处罚,并责令限期整改。
四川宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。根据网络安全法第 59 条第 1 款规定,给予该平台和直接负责的主管人员法定代表唐某某行政处罚决定,对该平台处 1 万元罚款,对法人代表唐某某处 5 千元罚款。
山西忻州市某省直事业单位网站存在 SQL 注入漏洞,连续被国家网络与信息安全信息通报中心通报。忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。
该网站隶属于哈尔滨方正县政府农业技术推广中心。经查,该网站自开通以来长期无人维护,安全防护工作落实不到位,未按照网络安全等级保护制度的要求落实网络安全主体责任,存在高危安全漏洞并被黑客攻击入侵,在社会上造成恶劣影响。根据网络安全法第 59 条第 1 款之规定,方正县公安局责令其立即整改,并给予 2 万元罚款的处罚。
新乡市封丘县图书馆网站未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,遭到黑客攻击,致使网页被篡改。依据网络安全法第 59 条第 1 款规定,对该图书馆罚款 2 万元、对直接责任人海某给予罚款 5 千元及行政警告处分,并建议依法依规追究相关人员责任。
上述事件的发生,基本上反映了管理者和运营者法律意识不高,安全意识淡薄。骇极安全友情提醒:要提前树立安全意识,积极采取行动,加强对自身网站和系统的监控,才能把这些不应成为阻碍企业发展的障碍物提前清除。
所以,在网络安全法实施两周年后,我们来重温一下。
网络安全法第 21 条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
网络安全法第 25 条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
网络安全法第 33 条规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
网络安全法第 34 条 除本法第 21 条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
网络安全法第 36 条规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
网络安全法第 38 条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
网络安全法第 59 条第 1 款规定,网络运营者不履行本法第 21 条、第 25 条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第 33 条、第 34 条、第 36 条、第 38 条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处 10 万元以上 100 万元以下罚款,对直接负责的主管人员处 1 万元以上 10 万元以下罚款。
其实遇到这样的事情很多人是崩溃的:什么?!我网站被黑客攻击了耶,我是受害者耶!没抓到坏人,还要罚我?!我……可能很多人也觉得“在理”……
实际上,安全面前无小事。网页被篡改、系统被入侵等这些网络安全线的失防,代表的不仅是经济处罚,更可能是机密信息的泄露、企业形象受影响等等。
安全贴心TIPS
我们把常见的网站防护内容作了概括:
Web应用安全扫描器,不是平时说的“漏扫”,是“Web漏扫”。
网络防火墙,包含网络入侵防御、网络防病毒。
Web应用防火墙,和上面的有本质区别!缩写是“WAF”。
网站安全监测平台,带Web漏扫、网页木马监测、关键词监测、可用性检测等。
运维审计,对服务器的维护行为做日志审计,上面的网络安全法提到了,日志要保存 180 天!
数据库审计,对业务系统的数据库操作进行记录高级可持续性威胁监测平台。如果是省市级政务中心,当然可以上“安全大数据智能分析平台”或“网络安全态势感知系统”了,土豪级单位必备。
另外:安全服务、风险评估,等保 2.0 也明确了,是重点!!!
网站运营者、关键信息基础设施的运营者,因为保存了大量敏感数据,是有责任、有义务做好安全防护的,否则一旦被黑客攻击,轻则丢数据、被篡改,重则有政治风险。
所以,希望广大网络安全管理人员能提前行动,把控全局,把风险提前写在给上级的报告上,这样一旦出了问题,也能有一道护身符……当然,希望各个单位都能做好安全防护,不出问题。
【互-动】
你对‘网站被黑还被罚’有什么看法?
↓↓↓
在评论区写下你的留言吧!
推荐
-
-
QQ空间
-
新浪微博
-
人人网
-
豆瓣