“没有网络安全,就没有国家安全”,自《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式施行,就备受关注。随着各地不断加强网络空间治理力度,个别违反《网络安全法》的行为也陆续被查处。现收集几个较为典型的执法案例进行解读,希望大家能正视网络安全问题,做好信息安全防护工作。
宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位导致网站存在高危漏洞
四川宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。
根据《网络安全法》第五十九条第一款之规定,决定给予翠屏区教师培训与教育研究中心和直接负责的主管人员法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。
忻州市某省直事业单位网站存在SQL注入漏洞给予行政警告处罚并责令其改正
忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。该单位之行为已违反《网络安全法》相关规定,忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。
《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。
除此之外,《网络安全法》还从网络运行安全、关键信息基础设施运行安全、网络信息安全等做了详细规定。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。
宁夏某集团吴忠分公司安全职责不明确未按规定保留日志给予警告处罚并责令限期整改
吴忠市公安局在宁夏某集团吴忠分公司日常安全检查中发现,该公司未确定网络安全责任人、信息系统未采取防范计算机病毒和网络侵入等危害网络安全的技术措施,同时发现该公司采取监测、记录网络运行状态、网络安全事件的技术措施留存日志最长为1个月,低于不少于6个月的规定。
鉴于该公司情况,依据《网络安全法》第二十一条、第五十九条规定,给予该公司警告处罚,并责令限期整改。
《网络安全法》第21条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《网络安全法》第59条第1款网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
江苏宿迁市华睿科技有限公司服务器内接入违法网站予以停止传输、采取消除等处置措施
江苏宿迁市华睿科技有限公司服务器内接入违法网站被民警发现,该行为违反了《网络安全法》第47、第68条 的相关规定。
《网络安全法》第47条网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
《网络安全法》第68条网络运营者违反本法第47条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
民警经勘验取证后,立即传唤该公司法人代表王某,要求对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息立即予以停止传输、采取消除等处置措施并保存有关记录,并根据《网络安全法》规定,给予上述公司警告处罚并要求其立即整改到位。
腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查
2017年8月11月,国家网信办指导北京市、广东省网信办分别对腾讯微信、新浪微博、百度贴吧立案,并依法展开调查。经北京市、广东省网信办初查,3家网站的微信、微博、贴吧平台分别存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息。
三家网站平台涉嫌违反《网络安全法》第24条、61条、47条、68条法律法规,对其平台用户发布的法律法规禁止发布的信息未尽到管理义务。北京市网信办依法约谈,责令网站切实履行主体责任,加强用户账号管理,积极传播社会主义核心价值观,营造健康向上主流舆论环境。
三家公司都作出了相同的表态,称它们将配合调查并为未能阻挡不良信息对用户带来的困扰“深表歉意”。
重庆市首页科技发展有限公司未依法留存用户登录相关网络日志责令限期十五日内进行整改
重庆市首页科技发展有限公司自2017年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项、第五十九条之规定,决定给予该公司警告处罚,并责令限期十五日内进行整改。
该公司收到《行政处罚通知书》后,立即编制了《整改方案》并着手实施整改,待整改完成后,公安机关将对其整改情况进行验收。
网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证,能够准确、及时查询到不法分子的互联网日志,可为下一步循线追踪,查获不法分子打下坚实基础。正因如此,《网络安全法》严格规范了网络运营者记录并留存网络日志的法定义务。
遵守“日志留存”的相关规定,对网站运营者本身也有极其重要的安全防护作用。网站运营者通过“日志留存”,不仅能够留存历史数据,更为未来可能发生的安全威胁消除了隐患。
李文星之死的直接涉事招聘网站BOSS直聘被网信办责令整改
2017年8月11日,北京市网信办、天津市网信办联合约谈了李文星之死的直接涉事招聘网站BOSS直聘法定代表人,要求该网站整改网站招聘信息。
《网络安全法》第48条规定任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。 电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
据悉,经相关部门调查,BOSS直聘在为用户提供信息发布服务过程中,违规为未提供真实身份信息的用户提供了信息发布服务;未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。北京市网信办相关负责人表示,BOSS直聘的上述问题已违反《中华人民共和国网络安全法》第24条、第48条规定。
《网络安全法》对企业的安全资质、内部技术、安全制度等作了具体规定,对企业的信息安全保障义务提出了更高要求,包括关键信息基础设施建设要求的提高;同时也加大对企业有害信息处置力度,甚至让不具备法律要求的安全技术能力的企业面临包括吊销证照在内的严厉处罚,甚至面临被淘汰的境地。
