网络安全重防护,企业责任要落实
习近平总书记指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。
关键信息基础设施
关键信息基础设施是指,面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务、公用事业等重要行业或领域运行的信息系统或工业控制系统。这些系统一旦发生网络安全事件,遭到破坏、丧失功能或者数据泄漏,将会严重影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施可以分为三类:公众服务类:如党政机关网站、企事业单位网站、新闻网站等;民生服务类:如金融、电子政务、公共服务等;基础生产类:如能源、水利、交通、数据中心、电视广播等。随着网络信息技术的应用普及程度和覆盖范围不断扩大,特别是城市电力、天然气、化学提炼、水处理等基础设施运用计算机自动化控制后,重要网络与信息系统已成为保障城市运转和人们正常生产生活的关键基础设施。如果黑客或敌对分子利用木马、病毒等恶意程序对关系国计民生的“水电气热”等关键基础设施网络开展攻击渗透,通过篡改、删除系统指令,对信息系统造成毁灭式破坏,将造成动车出轨、飞机坠毁、地铁对撞追尾、交通信号灯失灵、供电瘫痪等恐怖性灾难。近年来,针对关键信息基础设施的攻击和破坏活动不断发生,2010年伊朗布什尔核电站遭“震网”病毒攻击,导致核电站数千部离心机被烧毁,放射性物质泄漏。2013年棱镜事件,曝露出各国国家核心数据安全均遭严重威胁。2014年俄乌网络战,导致整个克里米亚地区陆上通讯、移动通信和网络服务被中断。2015年圣诞节前夕,乌克兰伊万诺.弗兰科夫斯克州大规模停电,数万“灾民”不得不在严寒中煎熬。2019年委内瑞拉停电事件,导致社会严重动荡。这些事件一次次证明关键信息基础设施一旦遭到攻击破坏或数据泄漏,将严重危害国家安全、国计民生、经济发展。这些鲜活的事例也在警示我们,关键信息基础设施安全问题不可一日不防。
【案例回顾】
案例一 未落实网络安全保护义务被罚款8万元
警方发现某市水务集团远程数据监测平台遭到黑客攻击,致使网页被篡改。事件发生后,警方第一时间派出网络安全应急处置小组到该中心网站所在地进行处置和调查。经查,某市水务集团网络安全意识淡薄,网络安全管理制度不健全,网络安全技术措施落实不到位,未留存6个月以上的网络日志。
处罚:针对此案,警方依据《网络安全法》第五十九条第一款之规定,给予该水务集团80000元罚款的行政处罚,同时分别对三个部门相关责任人李某、张某、李某给予15000元、10000元、10000元罚款的行政处罚。
相关法条:《网安法》第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。《网安法》第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
网警提示:落实网络安全等级保护制度是每个企业应尽的义务,筑牢自身的安全屏障即是保护自已也是为构建社会网络安全秩序添砖加瓦。
案例二 未履行网络信息安全审核义务被罚款10万元
警方检查中发现,某网站身为从事国际联网业务的单位,未按照相关法律规定对其用户发布的信息进行管理,对法律、行政法规禁止发布或者传输的信息未立即停止传输、采取消除等处置措施,造成网站出现大量网络招嫖类违法信息的严重后果。
处罚:依据《网络安全法》第47条、第68条规定,对该公司予以罚款10万元。
相关法条 :《网安法》第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。《网安法》第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。
网警提示:网络运营者在日常经营过程中,不但要承担网络安全义务,更要承担网络信息安全审核义务,要对在本平台发布的信息承担相应的责任后果。
案例三:未履行公民个人信息保护义务被行政警告
警方工作中发现,某炒股APP存在超范围采集用户个人信息及手机权限的情况,立即前往该公司进行现场检查。经检查,该APP采集用户个人信息和手机权限时,在获取读取手机状态和身份、发现已知帐户、拦截外拨电话、开机时自动启动四项权限中存在超范围采集用户个人信息的情况。
处罚:依据《网络安全法》第41条、第64条规定,对该软件公司予以警告的行政处罚,责令限期整改。
相关法条:《网安法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第六十四条:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
网警提示:公民个人信息保护已经成为我国当前重要的立法保护要点,网络运营者千万不可忽视,只有在日常工作中加强保护意识,才能防止公民信息外泄。
来源:首都网警