案情及處罰
9月28日下午�����,安徽省淮陽市網(wǎng)絡與信息安全信息通報中心(市公安局網(wǎng)安支隊)接到國家網(wǎng)絡與信息安全信息通報中心通報:淮南職業(yè)技術學院系統(tǒng)存在高危漏洞�����,系統(tǒng)存儲的4000余名學生身份信息已經造成泄露���。
市公安局網(wǎng)安支隊經過現(xiàn)場調查和勘驗取證工作����,并依法對網(wǎng)絡中心系統(tǒng)管理員和操作維護人員進行詢問�。最終確認淮南職業(yè)技術學院招生信息管理系統(tǒng)存在越權漏洞,后臺登錄密碼弱口令,學院未落實網(wǎng)絡安全管理制度�����,未建立網(wǎng)絡安全防護技術措施�、網(wǎng)絡日志留存少于六個月,未采取數(shù)據(jù)分類���、重要數(shù)據(jù)備份和加密措施���,致使系統(tǒng)存儲的4353名學生的身份信息泄露。
市公安局網(wǎng)安支隊依法傳喚學院分管網(wǎng)絡信息安全工作的院長和網(wǎng)絡中心主任及相關工作人員進行調查�����,確認該學校因未落實網(wǎng)絡安全等級保護制度造成數(shù)據(jù)泄露��,依法對淮南職業(yè)技術學院處以立即整改和行政警告的處罰措施�。對泄露的學生身份信息流向����,市公安局正在依法調查中。
二��、 數(shù)據(jù)安全解決方案
安全���,未雨綢繆與亡羊補牢���,以安全事件的發(fā)生來劃分界限�����。教育行業(yè)在近些年數(shù)據(jù)泄露事件大盤點時總是榜上有名���,這次淮南職業(yè)技術學院作為國內首例高校違法案例,其實在各行各業(yè)同樣需要警示���,以銅為鏡可以正衣冠,以人為鏡可以明得失,以“案”為鏡可以知“未來”�。案件相關人員隱私權益遭到嚴重損害�����,甚至危及生命健康���,教育相關單位的聲譽受到嚴重挑戰(zhàn)��。也正是因此����,社會、各類院校����、教育機構、學生家長等對于教育行業(yè)的信息安全建設傾注了更多的關注��,與此同時���,犯罪分子的也開始不斷提升作案手段��,通過非法攻擊�����、違規(guī)操作等一系列手段竊取教育系統(tǒng)數(shù)據(jù)庫里的敏感數(shù)據(jù)��,頻頻發(fā)生的拖庫��、刷庫現(xiàn)象使得教育行業(yè)的數(shù)據(jù)庫系統(tǒng)遭受嚴重的安全威脅�,教育行業(yè)數(shù)據(jù)安全保障勢在必行�����。
安華金和多年來專注數(shù)據(jù)安全���,從存儲層����、數(shù)據(jù)庫訪問層���、應用訪問層三個層面對數(shù)據(jù)庫面臨的安全威脅進行分析�,以教育行業(yè)核心數(shù)據(jù)主動預防為目標���,對核心數(shù)據(jù)存儲進行加密���,通過數(shù)據(jù)存儲加密、獨立的權限控制�����、三權分立�����、應用安全訪問等核心能力����,主動預防來自于內部維護人員��、第三方合作人員�、內部工作人員的各種數(shù)據(jù)竊取行為�。采用數(shù)據(jù)庫防火墻技術,防御外部黑客針對數(shù)據(jù)庫的SQL注入攻擊�,為滿足教育行業(yè)等級保護政策要求,部署數(shù)據(jù)庫審計���,對系統(tǒng)操作進行準確追蹤審計�,有效彌補數(shù)據(jù)庫安全“短板”����。安華金和在教育行業(yè)具有充分的實踐案例,曾經幫助某教委客戶����,針對數(shù)據(jù)安全防護需求和業(yè)務正常運營需求,提供完整的安全部署方案�。
三、 安全法律法規(guī)
《網(wǎng)絡安全法》
第二十一條:國家實行網(wǎng)絡安全等級保護制度��。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求���,履行下列安全保護義務�,保障網(wǎng)絡免受干擾�����、破壞或者未經授權的訪問�����,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取���、篡改:(一)制定內部安全管理制度和操作規(guī)程���,確定網(wǎng)絡安全負責人,落實網(wǎng)絡安全保護責任���;(二)采取防范計算機病毒和網(wǎng)絡攻擊�、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施���;(三)采取監(jiān)測����、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施��,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月��;(四)采取數(shù)據(jù)分類����、重要數(shù)據(jù)備份和加密等措施;(五)法律�����、行政法規(guī)規(guī)定的其他義務��。
第五十九條:網(wǎng)絡運營者不履行本法第二十一條��、第二十五條規(guī)定的網(wǎng)絡安全保護義務的�,由有關主管部門責令改正,給予警告�;拒不改正或者導致危害網(wǎng)絡安全等后果的,處一萬元以上十萬元以下罰款��,對直接負責的主管人員處五千元以上五萬元以下罰款�����。
《刑法》
第二百八十六條:不履行信息網(wǎng)絡安全管理義務罪。造成違法信息大量傳播��、用戶信息泄漏�����,造成嚴重后果的���。處三年以下有期徒刑、拘役或者管制�����,并處或者單處罰金���。
《關于印發(fā)教育部網(wǎng)絡安全和信息化領導小組第二次會議會議紀要的通知》
2017年2月20日�,教育部網(wǎng)絡安全和信息話領導小組辦公室下發(fā)了該通知����,會議強調:加快推進網(wǎng)絡安全等級保護工作。這是教育部今年的第一次強調推進等保工作���。
《教育行業(yè)網(wǎng)絡安全綜合治理行動方案》
2017年3月15日����,教育部辦公廳關于印發(fā)《教育行業(yè)網(wǎng)絡安全綜合治理行動方案》的通知的工作內容中第三條:(三)補齊等保短板,履行安全保護義務����。明確提出加快完成定級備案,有序推進測評整改�����。
產品咨詢:4000 258 365 
