现科网络

近年来，我国互联网发展迅猛，网络规模不断扩大，网络应用水平也显著提高，成为推动经济发展和社会进步的一股不可或缺的力量。

与此同时，网络和业务发展过程中也出现了诸多安全问题，尤其是用户数据泄露、黑客攻击、安全观念淡薄等网络安全问题日益突出。然而，企业因安全责任实施不到位，最后被行政处罚的案例并不在少数。

来感受下最近安全圈再度刷屏的一张图↓↓↓

是的，你没有看错！

河南洛阳北控水务集团因违反《网络安全法》第 59 条第 1 款之规定，受到了行政处罚，其中洛阳市北控水务集团被罚款 80000 元，三个部门相关责任人李某、张某、李某分别被罚款 15000 元、10000 元及 10000 元。

无独有偶，此类事件各地频发。

〓 宁夏某集团网络日志存档期短被警告

宁夏吴忠市公安局在日常安全检查中发现某集团吴忠分公司未确定网络安全责任人、信息系统未采取防范计算机病毒和网络侵入等危害网络安全的技术措施，同时发现该公司采取监测、记录网络运行状态、网络安全事件的技术措施留存日志最长仅为 1 个月，低于不少于 6 个月的规定。鉴于该公司违反网络安全法第 21 条规定，给予该公司警告处罚，并责令限期整改。

〓 宜宾某网站安全防护工作落实不当被罚

四川宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位，导致网站存在高危漏洞，造成网站发生被黑客攻击入侵的网络安全事件。该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据网络安全法第 59 条第 1 款规定，给予该平台和直接负责的主管人员法定代表唐某某行政处罚决定，对该平台处 1 万元罚款，对法人代表唐某某处 5 千元罚款。

〓 忻州某事业单位网站发现SQL注入漏洞

山西忻州市某省直事业单位网站存在 SQL 注入漏洞，连续被国家网络与信息安全信息通报中心通报。忻州市、县两级公安机关网安部门对该单位进行了现场执法检查，依法给予

〓 网站从不维护遭黑客攻击，被罚2万元

该网站隶属于哈尔滨方正县政府农业技术推广中心。经查，该网站自开通以来长期无人维护，安全防护工作落实不到位，未按照网络安全等级保护制度的要求落实网络安全主体责任，存在高危安全漏洞并被黑客攻击入侵，在社会上造成恶劣影响。根据网络安全法第 59 条第 1 款之规定，方正县公安局责令其立即整改，并给予 2 万元罚款的处罚。

〓 图书馆网站被黑，直接责任人却获罚

新乡市封丘县图书馆网站未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，遭到黑客攻击，致使网页被篡改。依据网络安全法第 59 条第 1 款规定，对该图书馆罚款 2 万元、对直接责任人海某给予罚款 5 千元及行政警告处分，并建议依法依规追究相关人员责任。

上述事件的发生，基本上反映了管理者和运营者法律意识不高，安全意识淡薄。安全友情提醒：要提前树立安全意识，积极采取行动，加强对自身网站和系统的监控，才能把这些不应成为阻碍企业发展的障碍物提前清除。

所以，在网络安全法实施两周年后，我们来重温一下。

网络安全法第 21 条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

网络安全法第 25 条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

网络安全法第 33 条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

网络安全法第 34 条 除本法第 21 条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

网络安全法第 36 条规定，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

网络安全法第 38 条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

网络安全法第 59 条第 1 款规定，网络运营者不履行本法第 21 条、第 25 条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第 33 条、第 34 条、第 36 条、第 38 条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处 10 万元以上 100 万元以下 罚款，对直接负责的主管人员处 1 万元以上 10 万元以下 罚款。

其实遇到这样的事情很多人是崩溃的：什么？！我网站被黑客攻击了耶，我是受害者耶！没抓到坏人，还要罚我？！我……可能很多人也觉得“在理”……

实际上，安全面前无小事。网页被篡改、系统被入侵等这些网络安全线的失防，代表的不仅是经济处罚，更可能是机密信息的泄露、企业形象受影响等等。

所以，希望广大网络安全管理人员能提前行动，把控全局，把风险提前扼杀在摇篮中……当然，希望各个单位都能做好安全防护，不出问题。

*以上文章来自“骇极安全”。