安全資訊

安徽省淮南市網(wǎng)警巡查執法官方微博發(fā)布通報稱(chēng)，關(guān)于淮南職業(yè)技術(shù)學(xué)院未落實(shí)網(wǎng)絡(luò )安全等級保護制度，導致4000余名學(xué)生身份信息泄露一事，依法對該學(xué)院處以立即整改和行政警告的處罰措施。對泄露的學(xué)生身份信息流向，淮南市公安局正在依法調查中。

  通報稱(chēng)，9月28日下午，淮南市網(wǎng)絡(luò )與信息安全信息通報中心(市公安局網(wǎng)安支隊)接到國家網(wǎng)絡(luò )與信息安全信息通報中心通報：淮南職業(yè)技術(shù)學(xué)院系統存在高危漏洞，系統存儲的4000余名學(xué)生身份信息已經(jīng)造成泄露。

  經(jīng)查，確認淮南職業(yè)技術(shù)學(xué)院招生信息管理系統存在越權漏洞，后臺登錄密碼弱口令，學(xué)院未落實(shí)網(wǎng)絡(luò )安全管理制度，未建立網(wǎng)絡(luò )安全防護技術(shù)措施、網(wǎng)絡(luò )日志留存少于六個(gè)月，未采取數據分類(lèi)、重要數據備份和加密措施，致使系統存儲的4353名學(xué)生的身份信息泄露。

  通報表示，根據現場(chǎng)勘驗和調查取證工作情況，淮南市公安局網(wǎng)安支隊依法傳喚學(xué)院分管網(wǎng)絡(luò )信息安全工作的院長(cháng)和網(wǎng)絡(luò )中心主任及相關(guān)工作人員進(jìn)行調查，確認該學(xué)校因未落實(shí)網(wǎng)絡(luò )安全等級保護制度造成數據泄露，依法對淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施。對泄露的學(xué)生身份信息流向，淮南市公安局正在依法調查中。

全市各有關(guān)單位：

現將淮南職業(yè)技術(shù)學(xué)院未落實(shí)網(wǎng)絡(luò )安全等級保護制度導致招生信息系統泄露學(xué)生身份信息案件調查及處理情況通報如下：

一、案件基本情況

9月28日下午，市網(wǎng)絡(luò )與信息安全信息通報中心（市公安局網(wǎng)安支隊）接到國家網(wǎng)絡(luò )與信息安全信息通報中心通報：淮南職業(yè)技術(shù)學(xué)院系統存在高危漏洞，系統存儲的4000余名學(xué)生身份信息已經(jīng)造成泄露。

接到通報后，市公安局網(wǎng)安支隊立即組織警力攜帶專(zhuān)業(yè)技術(shù)工具前往淮南職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò )中心機房開(kāi)展現場(chǎng)調查和勘驗取證工作，并依法對網(wǎng)絡(luò )中心系統管理員和操作維護人員進(jìn)行詢(xún)問(wèn)。經(jīng)過(guò)現場(chǎng)勘驗和調查，確認淮南職業(yè)技術(shù)學(xué)院招生信息管理系統存在越權漏洞，后臺登錄密碼弱口令，學(xué)院未落實(shí)網(wǎng)絡(luò )安全管理制度，未建立網(wǎng)絡(luò )安全防護技術(shù)措施、網(wǎng)絡(luò )日志留存少于六個(gè)月，未采取數據分類(lèi)、重要數據備份和加密措施，致使系統存儲的4353名學(xué)生的身份信息泄露。

二、處理情況

根據現場(chǎng)勘驗和調查取證工作情況，市公安局網(wǎng)安支隊依法傳喚學(xué)院分管網(wǎng)絡(luò )信息安全工作的院長(cháng)和網(wǎng)絡(luò )中心主任及相關(guān)工作人員進(jìn)行調查，確認該學(xué)校因未落實(shí)網(wǎng)絡(luò )安全等級保護制度造成數據泄露，依法對淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施。對泄露的學(xué)生身份信息流向，市公安局正在依法調查中。

三、工作要求和相關(guān)法律條文

請各單位接到通報后，嚴格按照以下法律要求，認真落實(shí)網(wǎng)絡(luò )安全等級保護制度，履行網(wǎng)絡(luò )安全保護義務(wù)，保障網(wǎng)絡(luò )安全。

1、《網(wǎng)絡(luò )安全法》第二十一條：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網(wǎng)絡(luò )安全負責人，落實(shí)網(wǎng)絡(luò )安全保護責任；（二）采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施；（三）采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月；（四）采取數據分類(lèi)、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務(wù)。

第五十九條：網(wǎng)絡(luò )運營(yíng)者不履行本法第二十一條、第二十五條規定的網(wǎng)絡(luò )安全保護義務(wù)的，由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。

2、《刑法》第二百八十六條：不履行信息網(wǎng)絡(luò )安全管理義務(wù)罪。造成違法信息大量傳播、用戶(hù)信息泄漏，造成嚴重后果的。處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

不得不等：2017年2月20日，教育部網(wǎng)絡(luò )安全和信息話(huà)領(lǐng)導小組辦公室下發(fā)了《關(guān)于印發(fā)教育部網(wǎng)絡(luò )安全和信息化領(lǐng)導小組第二次會(huì )議會(huì )議紀要的通知》的通知，會(huì )議強調：加快推進(jìn)網(wǎng)絡(luò )安全等級保護工作。這是教育部今年的第一次強調推進(jìn)等保工作。2017年3月15日，教育部辦公廳關(guān)于印發(fā)《教育行業(yè)網(wǎng)絡(luò )安全綜合治理行動(dòng)方案》的通知的工作內容中第三條：（三）補齊等保短板，履行安全保護義務(wù)。明確提出加快完成定級備案，有序推進(jìn)測評整改。此案中淮南職業(yè)技術(shù)學(xué)院明顯是沒(méi)有落實(shí)，有時(shí)一些客戶(hù)會(huì )問(wèn)不得不等：不做等保會(huì )怎么樣？一般我是這樣說(shuō)：不做等保小點(diǎn)說(shuō)安全工作沒(méi)有做好，網(wǎng)絡(luò )安全責任沒(méi)有履行到位，大點(diǎn)說(shuō)就是違法行為，違反網(wǎng)絡(luò )安全法。你要是真不做，也不會(huì )有什么大的問(wèn)題，但是你最好不要出網(wǎng)絡(luò )安全問(wèn)題，一旦出了問(wèn)題，那么后果就很?chē)乐?，很難彌補。就像此案中一樣，這些泄露出去的學(xué)生信息萬(wàn)一給學(xué)生造成什么損失，是不是學(xué)校得負有一定責任呢？反過(guò)來(lái)，我們再看看目前我們這些高校等教育類(lèi)客戶(hù)，你們的等保制度落實(shí)的如何了，教育部的相關(guān)通知可是早就發(fā)了，怎么做也是一二三說(shuō)的很清楚的，今年沒(méi)幾個(gè)月了，網(wǎng)絡(luò )安全法已經(jīng)正式實(shí)施了，難道你們真準備等到自己?jiǎn)挝怀鍪铝?，再去補齊等保短板嗎？鮮活的案例就在身邊，但可不要把自己變成鮮活的案例啊。其他行業(yè)也是，以銅為鏡可以正衣冠,以人為鏡可以明得失,以“案”為鏡可以知“未來(lái)”。網(wǎng)絡(luò )安全責任是自己的，出了事得自己扛，基礎性工作做扎實(shí)了，就不會(huì )有那么多煩惱了。