網安法適用時

每年9月的第三周是「國家網路安全宣傳周」,今年6月1日《網路安全法》正式施行,所以,今年的重頭戲就是網安法的適用,我嘗試匯總了截至到目前為止適用網路安全法的案例及適用的條文,難免掛一漏萬。

一、網站被黑

哈爾濱市公安局網安支隊發現,方正縣農業技術推廣中心設立的「方正農業社會化服務平台」遭到黑客入侵,在社會上造成惡劣影響。公安機關責令方正縣政府農業技術推廣中心立即整改,並給予兩萬元罰款的處罰,此案是黑龍江省第一起違反《網路安全法》案件。

宜賓市翠屏區「教師發展平台」網站網站自上線運行以來,始終未進行網路安全等級保護的定級備案、等級測評等工作,未落實網路安全等級保護制度,未履行網路安全保護義務,導致網站存在高危漏洞,造成網站發生被黑客攻擊入侵的網路安全事件。宜賓公安機關網安部門依據《網路安全法》對翠屏區教師培訓與教育研究中心處一萬元罰款,對法人代表唐某某處五千元罰款。

8月12日,蚌埠懷遠縣教師進修學校網站因網路安全防等級保護制度落實不到位,遭黑客攻擊入侵。蚌埠市公安局網安支隊調查案件時發現,該網站自上線運行以來,始終未進行網路安全等級保護的定級備案、等級測評等工作,未落實網路安全等級保護制度,未履行網路安全保護義務。根據《網路安全法》第五十六條之規定,省公安廳網路安全保衛總隊約談懷遠縣教師進修學校法定代表人、懷遠縣人民政府分管副縣長,這是自《網路安全法》實施以來,首次由省級人民政府公安部門履行網路安全監督管理職責,約談網路運營者的法定代表人及相關責任人。蚌埠市局網安支隊依法對網路運營單位懷遠縣教師進修學校處以一萬五千元罰款,對負有直接責任的副校長處以五千元罰款

第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:

(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;

(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;

(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;

(四)採取數據分類、重要數據備份和加密等措施;

(五)法律、行政法規規定的其他義務。

第二十五條 網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。

二、內容管理

湖南省網信辦組織長沙、常德、岳陽、張家界、湘西等市州網信部門,依法約談樓盤網、易讀天涯網、協眾圖片網、牛遊戲網、鳳舞愛讀網、搜白度盤網、他鄉家鄉人網等7家網站,會同省通管局責令關停土蛋網。根據網民舉報線索,經湖南省網信辦核查,土蛋網、樓盤網、易讀天涯網、協眾圖片網、牛遊戲網、鳳舞愛讀網、搜白度盤網、他鄉家鄉人網等8家網站違反《網路安全法》、《互聯網信息服務管理辦法》等法律法規,普遍存在對信息發布審核把關不嚴、日常管理不到位等問題。湖南省網信辦聯合省通管局對違規嚴重的土蛋網責令予以關停;組織相關市州網信部門依法約談樓盤網、易讀天涯網、協眾圖片網、牛遊戲網、鳳舞愛讀網、搜白度盤網、他鄉家鄉人網等7家網站負責人。通過約談,網站負責人均作出深刻檢討,簽訂了網站自律承諾書,承諾將嚴格按照網信部門約談要求積極整改問題,健全內部管理制度,以依法辦網的實際行動承擔起網站的主體責任和社會責任。

8月17日上午,海南省互聯網信息辦公室約談天涯社區、凱迪網路網站負責人。2家網站存在用戶傳播淫穢色情、低俗媚俗等違法和不良信息情況,網站未能切實履行網上信息內容管理主體責任,未能對用戶發布的禁止性信息盡到監管義務,其行為違反了《網路安全法》《互聯網新聞信息服務管理規定》等法律法規。海南省互聯網信息辦公室向2家網站提出嚴厲批評,並提出具體整改措施,責令網站限期整改。

2017年8月17日,北京市網信辦、市規劃委約談違法發布「大棚房」租售信息網站。「大棚房」是利用大棚結構將農業生產用地改造成居住生活用地的違反土地管理、城鄉規劃法律的行為,屬於違法用地違法建設,對耕地及基本農田造成嚴重破壞。按照要求,嚴禁建設「大棚房」,現有的「大棚房」也要堅決予以拆除。相關網站發布的「大棚房」租售信息,給不了解情況的網民造成錯誤引導,極易造成經濟損失,並引發後續不良社會影響。

2017年8月17日,浙江省網信辦發布消息稱,該辦近期聯合杭州市網信辦約談淘寶網、同花順金融網、蘑菇街互動網、蝦米音樂網、配音秀網等網站相關負責人,就5家網站存在違法和不良信息提出嚴厲批評,責令網站限期整改。經浙江省網信辦核查,淘寶網部分店鋪存在售賣破壞計算機信息系統工具、售賣違禁管制物品、販賣非法VPN工具、販賣網路賬號等突出問題;同花順金融網、配音秀網存在導向不正、低俗惡搞等有害信息;蘑菇街互動網、蝦米音樂網存在違法違規賬號註冊等問題。浙江省網信辦責令5家網站立即開展自查自糾,全面清理有害信息,關閉相應違規賬號,要求網站儘快健全信息審核、應急處置、技術支撐等方面的制度機制並限期提交整改報告。同時,對淘寶網提出警告,責令其舉一反三,全面整改,下架違法違規商品,對違法違規店鋪進行嚴肅處理;責令同花順金融網全面開展專項檢查,暫停有關係統運行,嚴肅追究有關人員責任;責令蘑菇街互動網、蝦米音樂網暫停新用戶註冊7天。

宿城公安分局網安大隊成功查處了一起網路運營者在提供網路服務過程中,違法接入違規網站的案件。華睿科技有限公司伺服器內接入一違法網站,民警在經過細緻勘驗取證後,立即傳喚該公司法人王某,要求其公司對提供互聯網接入服務的伺服器內涉及法律、行政法規禁止傳輸的信息,立即予以停止傳輸、採取消除等處置措施並保存有關記錄。

2017年8月9日,北京市網信辦、天津市網信辦開展聯合執法專項行動,就BOSS直聘發布違法違規信息、用戶管理出現重大疏漏等問題,依法聯合約談BOSS直聘(京ICP備14013441號)法人,並下達行政執法檢查記錄,責令網站立即整改。

第二十四條 網路運營者為用戶辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。

國家實施網路可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。

第四十七條 網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。

第四十八條 任何個人和組織發送的電子信息、提供的應用軟體,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。

電子信息發送服務提供者和應用軟體下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。

三、等級保護

廣東汕頭網警支隊辦理了首宗適用《中華人民共和國網路安全法》(下稱網路安全法)的行政案件,2017年7月20日,廣東汕頭網警支隊在對該市網路安全等級保護重點單位進行執法檢查時發現,汕頭市某信息科技有限公司於2015年11月向公安機關報備的信息系統安全等級為第三級,經測評合格後投入使用,但2016年至今未按規定定期開展等級測評。廣東汕頭網警支隊依法對該單位給予警告處罰並責令其改正。

重慶市公安局網安總隊在日常檢查中發現,重慶市某科技發展有限公司自今年6月1日《網路安全法》正式實施以來,在提供互聯網數據中心服務時,存在未依法留存用戶登錄相關網路日誌的違法行為。決定給予該公司警告處罰,並責令限期十五日內進行整改。該公司收到《行政處罰通知書》後,立即編製了《整改方案》並著手實施整改,待整改完成後,公安機關將對其整改情況進行驗收。

2017年6月至7月間,忻州市某省直事業單位(忻州師範學院)網站存在SQL注入漏洞,嚴重威脅網站信息安全,連續被國家網路與信息安全信息通報中心通報。忻州市、縣兩級公安機關網安部門對該單位進行了現場執法檢查,依法對該單位給予了行政警告處罰並責令其改正。

第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:

(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;

(五)法律、行政法規規定的其他義務。

四、破壞網路

南京浦口警方近日破獲全市首例銷售網路「翻牆」工具案,抓獲嫌疑人趙某。趙某因為在網路上販賣起「翻牆」服務。2017年6月份以來,趙某未經國家相關部門批准,向他人出售「翻牆」服務。截止被公安部門查獲,趙某從中非法獲利1080元。根據《網路安全法》的有關規定,已對趙某處以行政拘留3天、沒收違法所得的處罰。

第二十七條 任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。

推薦閱讀:

人人都在用社交媒體的時代,我們該如何應對攻擊者的威脅?
勒索軟體武器庫「再添新軍」,Windows Server Web伺服器安全成災
小米IoT開發者大會 | 開發者和安全從業者同台交流,能碰出怎樣的火花呢?
5500個 WordPress站點感染Keylogger,可竊取用戶名密碼和信用卡數據
Metasploit域滲透測試全程實錄(終結篇)

TAG:信息安全 | 法律 | 案例 |