国内首例高校网络安全违法案例诞生 落实等保制度需要这样做!
责任编辑:盈高科技 时间:2017-10-13 浏览次数:7133
近日,淮南市网信部门对淮南职业技术学院未落实网络安全等级保护制度泄露学生身份信息的案件调查处理情况的发出通报。
通报指出,淮南市公安局网安支队经过现场勘验和调查确认淮南职业技术学院招生信息管理系统因存在越权漏洞,后台登陆密码弱口令,学校未落实网络安全管理制度等问题致使系统存储的4353名学生的身份信息泄露。
事件处理情况:
市公安局网安支队依法传唤学院分管网络信息安全工作的院长和网络中心主任及相关工作人员进行调查,确认该学校因未落实网络安全等级保护制度造成数据泄露,依法对淮南职业技术学院处以立即整改和行政警告的处罚措施。
相关法律条文与工作要求
《网络安全法》
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
《刑法》
第二百八十六条:不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄露,造成严重后果的。处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
《关于印发教育部网络安全和信息化领导小组第二次会议会议纪要的通知》
2017年2月20日,教育部网络安全和信息话领导小组办公室下发了《关于印发教育部网络安全和信息化领导小组第二次会议会议纪要的通知》的通知,会议强调:加快推进网络安全等级保护工作。这是教育部今年的第一次强调推进等保工作。
《教育行业网络安全综合治理行动方案》
2017年3月15日,教育部办公厅关于印发《教育行业网络安全综合治理行动方案》的通知的工作内容中第三条:(三)补齐等保短板,履行安全保护义务。明确提出加快完成定级备案,有序推进测评整改。
落实等保制度的技术措施
盈高科技网络准入控制解决方案可帮助各单位建立完善的终端安全规范化管理工作,保障信息系统网络安全,满足国家政策和法律要求。方案特点如下:
1、可对入网终端进行安全检查,对终端未安装杀毒软件、存在弱口令等情况进行提醒,对存在安全隐患的终端提供“一键式”智能化修复。
2、入网前进行身份认证,保证了入网人员身份的合法性。
3、可记录终端历史使用IP,出现安全事件时可根据IP历史记录查询到使用人。
4、通过软件维护功能对终端的软件和补丁进行自动安装,并禁止安装不合规软件,落实相关网络安全管理制度。
目前,盈高科技已经成功服务于上百家教育科研单位,帮助教育科研单位落实国家网络安全法律法规及政策要求,提高网络安全管理效率。在未来,盈高科技还将加大投入,为各单位提供更加优质的安全产品与服务,与各单位共同建设安全、和谐的网络世界。