安全資訊

最近在和一些客戶(hù)交流，很驚訝地發(fā)現，都2020年了 ，還有人不知道《中華人民共和國網(wǎng)絡(luò )安全法》第21條明確規定：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。換句話(huà)說(shuō)，不做等保就等于在違法。

不可能所有人都知道這個(gè)事，這是對所有人來(lái)說(shuō)是這樣。但是對于我們這些從事網(wǎng)絡(luò )安全工作，從事IT工作，負責信息化的同志來(lái)說(shuō)這是思想上認識嚴重不足，對網(wǎng)絡(luò )安全工作對等保這項工作重視不夠，長(cháng)此以往，早晚要出事。上周一哥與一個(gè)縣級客戶(hù)交流，還是一個(gè)縣級比較權威的信息化管理部門(mén)，他說(shuō)他們幾年前做過(guò)三級等保，后來(lái)就沒(méi)做了，覺(jué)得沒(méi)什么用，不知道是不是隨口說(shuō)說(shuō)的，還是給自己沒(méi)做等保找臺階下。但是這種想法真的很危險，三級等保根據要求是每年都要進(jìn)行測評，沒(méi)有及時(shí)開(kāi)展等保測評這項工作，理論上你已經(jīng)在違法了，可能你還不以為然，那只是你還差一個(gè)導火索。

至于為什么覺(jué)得沒(méi)用，可能當時(shí)給你們做等保測評的公司比較水，隨便做了做，完了你們做等保的時(shí)候也沒(méi)用心，整個(gè)就是走了一個(gè)過(guò)場(chǎng)，所以有可能你覺(jué)得沒(méi)用。一哥在此鄭重說(shuō)明下：如果你能按照等級保護的要求把信息系統好好捋一捋，最終得分在90分以上，結論優(yōu)，那么你的信息系統相對來(lái)說(shuō)是很安全的。你們捫心自問(wèn)下，自己的等保做了多少分，結論是啥？所以不是等保沒(méi)用，而是你沒(méi)用心去做，去落實(shí)。

另外該客戶(hù)還說(shuō)了一件事，云平臺安全了，花了很多錢(qián)去做安全建設該有的安全措施也都有，放在云上面的應用不會(huì )有什么問(wèn)題，也是安全的。補充一句他說(shuō)的云是政府建的私有政務(wù)云。一哥想說(shuō)的是這可能就代表著(zhù)目前當下不少客戶(hù)的真實(shí)想法，就是這種認知，網(wǎng)絡(luò )安全工作能做好嗎？因為你就是這種認知水平，所以你認為不用做等保，或者等保不重要。難道你不知道這個(gè)應用是你自己開(kāi)發(fā)的？應用上有漏洞，可能會(huì )導致各種各樣的問(wèn)題嗎？網(wǎng)頁(yè)篡改，數據泄露，暗鏈，SQL注入等等都有可能發(fā)生。安全技術(shù)措施有了，管理跟不上，一樣也是不安全的，這個(gè)你也不了解嗎？身為主管部門(mén)的人我不認為你能把你們當地的網(wǎng)絡(luò )安全工作管好，這個(gè)社會(huì )需要有能力有想法的人上，不行就讓位，不要誤了事，耽誤了自己，害了自己，拖累了別人。

給你們看幾個(gè)近期的案例，話(huà)不多說(shuō)了，自己去悟。如果這個(gè)都悟不明白，還是換崗吧。

2020年3月，工作中發(fā)現，山西省原平市第一人民醫院門(mén)戶(hù)網(wǎng)站存在安全風(fēng)險漏洞，原平市公安局網(wǎng)安大隊立即前往該醫院調查取證。經(jīng)調查發(fā)現，原平市第一人民醫院未履行網(wǎng)絡(luò )安全等級保護制度，網(wǎng)絡(luò )安全意識淡薄，未確定網(wǎng)絡(luò )安全責任人，未制定網(wǎng)絡(luò )安全應急事件預案，未采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施，嚴重影響網(wǎng)站信息安全，同時(shí)該網(wǎng)站未辦理等級保護備案手續。

2020年4月，原平市公安局網(wǎng)安大隊根據《網(wǎng)絡(luò )安全法》第二十一條、五十九條之規定，決定對原平市第一人民醫院處以行政警告處罰，并責令其限期整改。

2020年4月，廣州警方在工作中發(fā)現，廣州某學(xué)校對其所屬兩個(gè)辦公系統進(jìn)行網(wǎng)絡(luò )安全等級保護備案之后，并未依法完成等級保護測評工作，未完成法定網(wǎng)絡(luò )安全等級保護義務(wù)。同時(shí)該校作為此二系統的網(wǎng)絡(luò )安全主責單位，卻對系統的安全情況不知悉，也未對系統安全風(fēng)險及時(shí)排查整改。針對該校的違法行為，廣州警方對其作出行政處罰，并責令其限時(shí)完成等級保護測評。

近日，瀘水市公安局網(wǎng)絡(luò )安全大隊依法查處一起網(wǎng)絡(luò )運營(yíng)者不按規定履行網(wǎng)絡(luò )安全義務(wù)案，開(kāi)出首張違反《網(wǎng)絡(luò )安全法》罰單

公司系統遭黑客攻擊

2020年4月14日，瀘水市某公司系統被黑客攻擊，本地數據庫所有數據丟失。該公司在發(fā)現系統被攻擊后，未及時(shí)向公安機關(guān)網(wǎng)安部門(mén)報告，擅自聯(lián)系第三方公司技術(shù)員對信息系統進(jìn)行處理，并于當天新建了一個(gè)數據庫。

未履行網(wǎng)絡(luò )安全保護義務(wù)而違法

獲取線(xiàn)索后，瀘水市網(wǎng)安部門(mén)立即聯(lián)合轄區派出所到現場(chǎng)對線(xiàn)索進(jìn)行核實(shí)，對該公司開(kāi)展網(wǎng)絡(luò )安全檢查，并簽訂了《網(wǎng)絡(luò )安全責任書(shū)》。經(jīng)檢查，該公司網(wǎng)絡(luò )安全意識淡薄，網(wǎng)絡(luò )安全管理制度不健全，未落實(shí)網(wǎng)絡(luò )安全保護技術(shù)措施，未采取數據備份和加密等措施，未按照網(wǎng)絡(luò )安全等級保護制度的要求履行定級、備案、等級測評、安全建設整改、安全自查等安全保護義務(wù)。瀘水市公安局向該公司下發(fā)了《網(wǎng)絡(luò )安全等級保護限期整改通知書(shū)》，但該公司未在規定期限內整改。

該公司的行為違反了《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條、第二十五條的規定，不按規定履行網(wǎng)絡(luò )安全保護義務(wù)導致危害網(wǎng)絡(luò )安全的不良后果，且不及時(shí)整改。按照《中華人民共和國網(wǎng)絡(luò )安全法》第五十九條第一款的規定，5月18日，瀘水市公安局依法給予該公司罰款15000元，公司主要負責人罰款5000元的行政處罰，并責令該公司立即整改到位。

網(wǎng)絡(luò )安全等級保護制度是由《中華人民共和國網(wǎng)絡(luò )安全法》規定的法定職責，目的是通過(guò)按國家標準進(jìn)行安全整改，開(kāi)展等級測評驗證，定期檢查動(dòng)態(tài)更新防護能力等各項工作措施來(lái)達到網(wǎng)絡(luò )安全法定要求，從而保障信息系統的安全穩定運行。

等級保護備案工作是整個(gè)網(wǎng)絡(luò )安全等級保護工作的起點(diǎn)，而不是等級保護工作的終點(diǎn)，等級保護的各網(wǎng)絡(luò )運營(yíng)者應依法完成等級保護全部流程，切實(shí)履行安全網(wǎng)絡(luò )安全主體責任。

好了，案例也看了，話(huà)也說(shuō)了，真心希望對你們有所幫助，有所觸動(dòng)。等級保護制度是國家網(wǎng)絡(luò )安全基本國策，是國家網(wǎng)絡(luò )安全的基石，屬于各網(wǎng)絡(luò )運營(yíng)者的基礎功和必修課。如果這一點(diǎn)你都不能很好地認識與認真貫徹，建議你早點(diǎn)去干點(diǎn)其他的，你太危險了，你危險你單位也很危險，特別是那些自以為是的，打開(kāi)窗戶(hù)或者出去走走，世界早已變了，只是你還沒(méi)變，都2020年了，你還不知道不做等保就是在違法？