案情及處罰
9月28日下午����,安徽省淮陽市網(wǎng)絡(luò)與信息安全信息通報中心(市公安局網(wǎng)安支隊)接到國家網(wǎng)絡(luò)與信息安全信息通報中心通報:淮南職業(yè)技術(shù)學(xué)院系統(tǒng)存在高危漏洞����,系統(tǒng)存儲的4000余名學(xué)生身份信息已經(jīng)造成泄露��。
市公安局網(wǎng)安支隊經(jīng)過現(xiàn)場調(diào)查和勘驗取證工作�����,并依法對網(wǎng)絡(luò)中心系統(tǒng)管理員和操作維護人員進行詢問����。最終確認淮南職業(yè)技術(shù)學(xué)院招生信息管理系統(tǒng)存在越權(quán)漏洞,后臺登錄密碼弱口令���,學(xué)院未落實網(wǎng)絡(luò)安全管理制度��,未建立網(wǎng)絡(luò)安全防護技術(shù)措施�����、網(wǎng)絡(luò)日志留存少于六個月����,未采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施����,致使系統(tǒng)存儲的4353名學(xué)生的身份信息泄露。
市公安局網(wǎng)安支隊依法傳喚學(xué)院分管網(wǎng)絡(luò)信息安全工作的院長和網(wǎng)絡(luò)中心主任及相關(guān)工作人員進行調(diào)查����,確認該學(xué)校因未落實網(wǎng)絡(luò)安全等級保護制度造成數(shù)據(jù)泄露,依法對淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施���。對泄露的學(xué)生身份信息流向���,市公安局正在依法調(diào)查中。
二�、 數(shù)據(jù)安全解決方案
安全,未雨綢繆與亡羊補牢��,以安全事件的發(fā)生來劃分界限�����。教育行業(yè)在近些年數(shù)據(jù)泄露事件大盤點時總是榜上有名��,這次淮南職業(yè)技術(shù)學(xué)院作為國內(nèi)首例高校違法案例����,其實在各行各業(yè)同樣需要警示,以銅為鏡可以正衣冠,以人為鏡可以明得失,以“案”為鏡可以知“未來”��。案件相關(guān)人員隱私權(quán)益遭到嚴(yán)重損害����,甚至危及生命健康,教育相關(guān)單位的聲譽受到嚴(yán)重挑戰(zhàn)�。也正是因此,社會��、各類院校�����、教育機構(gòu)���、學(xué)生家長等對于教育行業(yè)的信息安全建設(shè)傾注了更多的關(guān)注�����,與此同時�,犯罪分子的也開始不斷提升作案手段���,通過非法攻擊�、違規(guī)操作等一系列手段竊取教育系統(tǒng)數(shù)據(jù)庫里的敏感數(shù)據(jù),頻頻發(fā)生的拖庫�、刷庫現(xiàn)象使得教育行業(yè)的數(shù)據(jù)庫系統(tǒng)遭受嚴(yán)重的安全威脅,教育行業(yè)數(shù)據(jù)安全保障勢在必行�。
安華金和多年來專注數(shù)據(jù)安全,從存儲層����、數(shù)據(jù)庫訪問層、應(yīng)用訪問層三個層面對數(shù)據(jù)庫面臨的安全威脅進行分析����,以教育行業(yè)核心數(shù)據(jù)主動預(yù)防為目標(biāo),對核心數(shù)據(jù)存儲進行加密����,通過數(shù)據(jù)存儲加密、獨立的權(quán)限控制�����、三權(quán)分立���、應(yīng)用安全訪問等核心能力���,主動預(yù)防來自于內(nèi)部維護人員�、第三方合作人員����、內(nèi)部工作人員的各種數(shù)據(jù)竊取行為�����。采用數(shù)據(jù)庫防火墻技術(shù)��,防御外部黑客針對數(shù)據(jù)庫的SQL注入攻擊���,為滿足教育行業(yè)等級保護政策要求��,部署數(shù)據(jù)庫審計���,對系統(tǒng)操作進行準(zhǔn)確追蹤審計,有效彌補數(shù)據(jù)庫安全“短板”��。安華金和在教育行業(yè)具有充分的實踐案例�����,曾經(jīng)幫助某教委客戶,針對數(shù)據(jù)安全防護需求和業(yè)務(wù)正常運營需求��,提供完整的安全部署方案����。
三、 安全法律法規(guī)
《網(wǎng)絡(luò)安全法》
第二十一條:國家實行網(wǎng)絡(luò)安全等級保護制度��。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求�����,履行下列安全保護義務(wù)��,保障網(wǎng)絡(luò)免受干擾��、破壞或者未經(jīng)授權(quán)的訪問���,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取����、篡改:(一)制定內(nèi)部安全管理制度和操作規(guī)程�����,確定網(wǎng)絡(luò)安全負責(zé)人,落實網(wǎng)絡(luò)安全保護責(zé)任����;(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施�;(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)����、網(wǎng)絡(luò)安全事件的技術(shù)措施�����,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月�;(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施���;(五)法律�����、行政法規(guī)規(guī)定的其他義務(wù)�。
第五十九條:網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的��,由有關(guān)主管部門責(zé)令改正����,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的���,處一萬元以上十萬元以下罰款���,對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。
《刑法》
第二百八十六條:不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪�。造成違法信息大量傳播、用戶信息泄漏����,造成嚴(yán)重后果的。處三年以下有期徒刑�、拘役或者管制,并處或者單處罰金���。
《關(guān)于印發(fā)教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第二次會議會議紀(jì)要的通知》
2017年2月20日�,教育部網(wǎng)絡(luò)安全和信息話領(lǐng)導(dǎo)小組辦公室下發(fā)了該通知��,會議強調(diào):加快推進網(wǎng)絡(luò)安全等級保護工作。這是教育部今年的第一次強調(diào)推進等保工作����。
《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》
2017年3月15日,教育部辦公廳關(guān)于印發(fā)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》的通知的工作內(nèi)容中第三條:(三)補齊等保短板�����,履行安全保護義務(wù)����。明確提出加快完成定級備案,有序推進測評整改�����。
產(chǎn)品咨詢:4000 258 365 
