近年來，我國互聯(lián)網(wǎng)發(fā)展迅猛，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用水平也顯著提高，成為推動經(jīng)濟(jì)發(fā)展和社會進(jìn)步的一股不可或缺的力量。

與此同時(shí)，網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過程中也出現(xiàn)了諸多安全問題，尤其是用戶數(shù)據(jù)泄露、黑客攻擊、安全觀念淡薄等網(wǎng)絡(luò)安全問題日益突出。然而，企業(yè)因安全責(zé)任實(shí)施不到位，最后被行政處罰的案例并不在少數(shù)。

來感受下最近安全圈再度刷屏的一張圖↓↓↓

是的，你沒有看錯(cuò)！

河南洛陽北控水務(wù)集團(tuán)因違反《網(wǎng)絡(luò)安全法》第 59 條第 1 款之規(guī)定，受到了行政處罰，其中洛陽市北控水務(wù)集團(tuán)被罰款 80000 元，三個(gè)部門相關(guān)責(zé)任人李某、張某、李某分別被罰款 15000 元、10000 元及 10000 元。

無獨(dú)有偶，此類事件各地頻發(fā)。

〓 寧夏某集團(tuán)網(wǎng)絡(luò)日志存檔期短被警告

寧夏吳忠市公安局在日常安全檢查中發(fā)現(xiàn)某集團(tuán)吳忠分公司未確定網(wǎng)絡(luò)安全責(zé)任人、信息系統(tǒng)未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全的技術(shù)措施，同時(shí)發(fā)現(xiàn)該公司采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施留存日志最長僅為 1 個(gè)月，低于不少于 6 個(gè)月的規(guī)定。鑒于該公司違反網(wǎng)絡(luò)安全法第 21 條規(guī)定，給予該公司警告處罰，并責(zé)令限期整改。

〓 宜賓某網(wǎng)站安全防護(hù)工作落實(shí)不當(dāng)被罰

四川宜賓市翠屏區(qū)“教師發(fā)展平臺”網(wǎng)站因網(wǎng)絡(luò)安全防護(hù)工作落實(shí)不到位，導(dǎo)致網(wǎng)站存在高危漏洞，造成網(wǎng)站發(fā)生被黑客攻擊入侵的網(wǎng)絡(luò)安全事件。該網(wǎng)站自上線運(yùn)行以來，始終未進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)的定級備案、等級測評等工作，未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度，未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)。根據(jù)網(wǎng)絡(luò)安全法第 59 條第 1 款規(guī)定，給予該平臺和直接負(fù)責(zé)的主管人員法定代表唐某某行政處罰決定，對該平臺處 1 萬元罰款，對法人代表唐某某處 5 千元罰款。

〓 忻州某事業(yè)單位網(wǎng)站發(fā)現(xiàn)SQL注入漏洞

山西忻州市某省直事業(yè)單位網(wǎng)站存在 SQL 注入漏洞，連續(xù)被國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)。忻州市、縣兩級公安機(jī)關(guān)網(wǎng)安部門對該單位進(jìn)行了現(xiàn)場執(zhí)法檢查，依法給予

〓 網(wǎng)站從不維護(hù)遭黑客攻擊，被罰2萬元

該網(wǎng)站隸屬于哈爾濱方正縣政府農(nóng)業(yè)技術(shù)推廣中心。經(jīng)查，該網(wǎng)站自開通以來長期無人維護(hù)，安全防護(hù)工作落實(shí)不到位，未按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，存在高危安全漏洞并被黑客攻擊入侵，在社會上造成惡劣影響。根據(jù)網(wǎng)絡(luò)安全法第 59 條第 1 款之規(guī)定，方正縣公安局責(zé)令其立即整改，并給予 2 萬元罰款的處罰。

〓 圖書館網(wǎng)站被黑，直接責(zé)任人卻獲罰

新鄉(xiāng)市封丘縣圖書館網(wǎng)站未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，遭到黑客攻擊，致使網(wǎng)頁被篡改。依據(jù)網(wǎng)絡(luò)安全法第 59 條第 1 款規(guī)定，對該圖書館罰款 2 萬元、對直接責(zé)任人海某給予罰款 5 千元及行政警告處分，并建議依法依規(guī)追究相關(guān)人員責(zé)任。

上述事件的發(fā)生，基本上反映了管理者和運(yùn)營者法律意識不高，安全意識淡薄。安全友情提醒：要提前樹立安全意識，積極采取行動，加強(qiáng)對自身網(wǎng)站和系統(tǒng)的監(jiān)控，才能把這些不應(yīng)成為阻礙企業(yè)發(fā)展的障礙物提前清除。

所以，在網(wǎng)絡(luò)安全法實(shí)施兩周年后，我們來重溫一下。

網(wǎng)絡(luò)安全法第 21 條規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

網(wǎng)絡(luò)安全法第 25 條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

網(wǎng)絡(luò)安全法第 33 條規(guī)定，建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

網(wǎng)絡(luò)安全法第 34 條 除本法第 21 條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

（一）設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；

（二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

（三）對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；

（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

網(wǎng)絡(luò)安全法第 36 條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。

網(wǎng)絡(luò)安全法第 38 條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

網(wǎng)絡(luò)安全法第 59 條第 1 款規(guī)定，網(wǎng)絡(luò)運(yùn)營者不履行本法第 21 條、第 25 條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第 33 條、第 34 條、第 36 條、第 38 條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告； 拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處 10 萬元以上 100 萬元以下 罰款，對直接負(fù)責(zé)的主管人員處 1 萬元以上 10 萬元以下 罰款。

其實(shí)遇到這樣的事情很多人是崩潰的：什么？！我網(wǎng)站被黑客攻擊了耶，我是受害者耶！沒抓到壞人，還要罰我？！我……可能很多人也覺得“在理”……

實(shí)際上，安全面前無小事。網(wǎng)頁被篡改、系統(tǒng)被入侵等這些網(wǎng)絡(luò)安全線的失防，代表的不僅是經(jīng)濟(jì)處罰，更可能是機(jī)密信息的泄露、企業(yè)形象受影響等等。

所以，希望廣大網(wǎng)絡(luò)安全管理人員能提前行動，把控全局，把風(fēng)險(xiǎn)提前扼殺在搖籃中……當(dāng)然，希望各個(gè)單位都能做好安全防護(hù)，不出問題。

*以上文章來自“駭極安全”。