網(wǎng)站被黑客攻擊后，這家企業(yè)被罰錢了

時間：2023-04-26 14:30:02 | 來源：網(wǎng)站運營

時間：2023-04-26 14:30:02 來源：網(wǎng)站運營

網(wǎng)站被黑客攻擊后，這家企業(yè)被罰錢了：近年來，我國互聯(lián)網(wǎng)發(fā)展迅猛，網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)應(yīng)用水平也顯著提高，成為推動經(jīng)濟發(fā)展和社會進步的一股不可或缺的力量。

與此同時，網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過程中也出現(xiàn)了諸多安全問題，尤其是用戶數(shù)據(jù)泄露、黑客攻擊、安全觀念淡薄等網(wǎng)絡(luò)安全問題日益突出。然而，企業(yè)因安全責任實施不到位，最后被行政處罰的案例并不在少數(shù)。

來感受下最近安全圈再度刷屏的一張圖↓↓↓







是的，你沒有看錯！

河南洛陽北控水務(wù)集團因違反《網(wǎng)絡(luò)安全法》第 59 條第 1 款之規(guī)定，受到了行政處罰，其中洛陽市北控水務(wù)集團被罰款 80000 元，三個部門相關(guān)責任人李某、張某、李某分別被罰款 15000 元、10000 元及 10000 元。




無獨有偶，此類事件各地頻發(fā)。

寧夏某集團網(wǎng)絡(luò)日志存檔期短被警告

寧夏吳忠市公安局在日常安全檢查中發(fā)現(xiàn)某集團吳忠分公司未確定網(wǎng)絡(luò)安全責任人、信息系統(tǒng)未采取防范計算機病毒和網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全的技術(shù)措施，同時發(fā)現(xiàn)該公司采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施留存日志最長僅為 1 個月，低于不少于 6 個月的規(guī)定。鑒于該公司違反網(wǎng)絡(luò)安全法第 21 條規(guī)定，給予該公司警告處罰，并責令限期整改。




宜賓某網(wǎng)站安全防護工作落實不當被罰

四川宜賓市翠屏區(qū)“教師發(fā)展平臺”網(wǎng)站因網(wǎng)絡(luò)安全防護工作落實不到位，導(dǎo)致網(wǎng)站存在高危漏洞，造成網(wǎng)站發(fā)生被黑客攻擊入侵的網(wǎng)絡(luò)安全事件。該網(wǎng)站自上線運行以來，始終未進行網(wǎng)絡(luò)安全等級保護的定級備案、等級測評等工作，未落實網(wǎng)絡(luò)安全等級保護制度，未履行網(wǎng)絡(luò)安全保護義務(wù)。根據(jù)網(wǎng)絡(luò)安全法第 59 條第 1 款規(guī)定，給予該平臺和直接負責的主管人員法定代表唐某某行政處罰決定，對該平臺處 1 萬元罰款，對法人代表唐某某處 5 千元罰款。




忻州某事業(yè)單位網(wǎng)站發(fā)現(xiàn)SQL注入漏洞

山西忻州市某省直事業(yè)單位網(wǎng)站存在 SQL 注入漏洞，連續(xù)被國家網(wǎng)絡(luò)與信息安全信息通報中心通報。忻州市、縣兩級公安機關(guān)網(wǎng)安部門對該單位進行了現(xiàn)場執(zhí)法檢查，依法給予行政警告處罰并責令其改正。




網(wǎng)站從不維護遭黑客攻擊，被罰2萬元

該網(wǎng)站隸屬于杭州方正縣政府農(nóng)業(yè)技術(shù)推廣中心。經(jīng)查，該網(wǎng)站自開通以來長期無人維護，安全防護工作落實不到位，未按照網(wǎng)絡(luò)安全等級保護制度的要求落實網(wǎng)絡(luò)安全主體責任，存在高危安全漏洞并被黑客攻擊入侵，在社會上造成惡劣影響。根據(jù)網(wǎng)絡(luò)安全法第 59 條第 1 款之規(guī)定，方正縣公安局責令其立即整改，并給予 2 萬元罰款的處罰。




圖書館網(wǎng)站被黑，直接責任人卻獲罰

新鄉(xiāng)市封丘縣圖書館網(wǎng)站未采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，遭到黑客攻擊，致使網(wǎng)頁被篡改。依據(jù)網(wǎng)絡(luò)安全法第 59 條第 1 款規(guī)定，對該圖書館罰款 2 萬元、對直接責任人海某給予罰款 5 千元及行政警告處分，并建議依法依規(guī)追究相關(guān)人員責任。

上述事件的發(fā)生，基本上反映了管理者和運營者法律意識不高，安全意識淡薄。駭極安全友情提醒：要提前樹立安全意識，積極采取行動，加強對自身網(wǎng)站和系統(tǒng)的監(jiān)控，才能把這些不應(yīng)成為阻礙企業(yè)發(fā)展的障礙物提前清除。




所以，在網(wǎng)絡(luò)安全法實施兩周年后，我們來重溫一下。




網(wǎng)絡(luò)安全法第 21 條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：


（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任；

（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。




網(wǎng)絡(luò)安全法第 25 條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

網(wǎng)絡(luò)安全法第 33 條規(guī)定，建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

網(wǎng)絡(luò)安全法第 34 條 除本法第 21 條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當履行下列安全保護義務(wù)：

（一）設(shè)置專門安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查；

（二）定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

（三）對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份；

（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

網(wǎng)絡(luò)安全法第 36 條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。

網(wǎng)絡(luò)安全法第 38 條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。

網(wǎng)絡(luò)安全法第 59 條第 1 款規(guī)定，網(wǎng)絡(luò)運營者不履行本法第 21 條、第 25 條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。







關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第 33 條、第 34 條、第 36 條、第 38 條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處 10 萬元以上 100 萬元以下罰款，對直接負責的主管人員處 1 萬元以上 10 萬元以下罰款。

其實遇到這樣的事情很多人是崩潰的：什么？！我網(wǎng)站被黑客攻擊了耶，我是受害者耶！沒抓到壞人，還要罰我？！我……可能很多人也覺得“在理”……


實際上，安全面前無小事。網(wǎng)頁被篡改、系統(tǒng)被入侵等這些網(wǎng)絡(luò)安全線的失防，代表的不僅是經(jīng)濟處罰，更可能是機密信息的泄露、企業(yè)形象受影響等等。

駭極安全貼心TIPS

我們把常見的網(wǎng)站防護內(nèi)容作了概括：


Web應(yīng)用安全掃描器，不是平時說的“漏掃”，是“Web漏掃”。

網(wǎng)絡(luò)防火墻，包含網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)防病毒。

Web應(yīng)用防火墻，和上面的有本質(zhì)區(qū)別！縮寫是“WAF”。

網(wǎng)站安全監(jiān)測平臺，帶Web漏掃、網(wǎng)頁木馬監(jiān)測、關(guān)鍵詞監(jiān)測、可用性檢測等。

運維審計，對服務(wù)器的維護行為做日志審計，上面的網(wǎng)絡(luò)安全法提到了，日志要保存 180 天！

數(shù)據(jù)庫審計，對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作進行記錄高級可持續(xù)性威脅監(jiān)測平臺。如果是省市級政務(wù)中心，當然可以上“安全大數(shù)據(jù)智能分析平臺”或“網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)”了，土豪級單位必備。

另外：安全服務(wù)、風(fēng)險評估，等保 2.0 也明確了，是重點?。?！

網(wǎng)站運營者、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，因為保存了大量敏感數(shù)據(jù)，是有責任、有義務(wù)做好安全防護的，否則一旦被黑客攻擊，輕則丟數(shù)據(jù)、被篡改，重則有政治風(fēng)險。


所以，希望廣大網(wǎng)絡(luò)安全管理人員能提前行動，把控全局，把風(fēng)險提前寫在給上級的報告上，這樣一旦出了問題，也能有一道護身符……當然，希望各個單位都能做好安全防護，不出問題。

駭極安全搜集整理，以上信息均來自互聯(lián)網(wǎng)。