等保资讯

01.河南新乡网安依法查处3起不履行网络安全保护义务案

近期，新乡市公安局网安部门加大对网络运营者不履行网络安全保护义务违法行为的打击力度，切实压紧压实属地互联网平台企业的主体责任，对不落实网络安全等级保护制度，未履行安全保护义务的多家企业依法给予了行政处罚。

案例1.封丘县某电子衡器有限公司门户网站存在HTML信息泄露和SourceMap文件泄露安全漏洞。

经查，该公司未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。同时，未定期开展安全自查及网络漏洞扫描等工作，漏洞隐患不能及时发现并消除，极易被黑客攻击，造成网络安全事件。

对此，封丘县公安局根据《中华人民共和国网络安全法》第五十九条第一款之规定，对该公司处以警告并责令限期整改的行政处罚。

案例2.长垣市某机械有限公司网站被篡改为赌博网站。

经查，该公司未制定内部网络安全管理制度和操作规程，未对网站进行日常维护，导致网站被境外不法分子篡改。

长垣市公安局根据《中华人民共和国网络安全法》第五十九条第一款之规定，对该公司处以警告并责令限期整改的行政处罚。

案例3.长垣市某物业服务有限公司网站遭黑客攻击入侵，网页被植入境外博彩网站“暗链”。

经查，该公司未制定内部网络安全管理制度和操作规程，未确定网络安全负责人，网络安全意识淡薄，网站长期无人维护，导致其网络代码出现漏洞，遭到黑客攻击劫持并被植入“暗链”，对网络空间产生了极大威胁。

长垣市公安局根据《中华人民共和国网络安全法》第五十九条第一款之规定，对该公司处以警告并责令限期整改的行政处罚。（来源：新乡网警）

网警小科普

HTML信息泄露漏洞：是指网站由于配置不当、安全措施不足等原因，意外地将敏感信息（如用户数据、服务器信息、业务逻辑等）泄露给未授权的用户或攻击者，从而可能导致安全事件和数据泄露风险。

SourceMap文件泄露漏洞：是指将包含源代码映射关系的sourcemap文件在生产环境中未进行适当保护，导致未经授权的用户能够访问并还原源代码，进而可能引发安全风险的一种漏洞。

“暗链”是一种搜索引擎欺诈手段，用于提高它所指向的网站的搜索引擎排名。其有效性、隐蔽性深受黑灰产组织的喜爱，他们往往会在一些重要网站如政府、教育、医疗等网站中植入暗链，从而窃取更多的流量权重。窃取的流量多被用于网络黑色产业链，包括网络赌博、网络诈骗、开设色情网站、售卖违禁药毒品等犯罪行为。暗链不仅危害网站的正常业务，还危害人民财产安全，影响社会稳定。公安机关网安部门及时发现和处置该案件，起到了很好的查堵漏洞、清除风险隐患的作用。

02.不履行网络安全保护义务，湖南永州冷水滩警方依法处罚4家单位

今年以来，永州市公安局冷水滩分局网安部门大力加强网络秩序清理整顿，积极开展网络安全检查，对多家不履行网络安全保护义务的单位依法予以处罚。

案例1.永州市某协会未落实网络安全保护责任，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

1月10日，该协会的网站被他人进入，在网站首页发布涉赌博网站类违法有害信息，属于不履行网络安全保护义务的行为。

2024年1月，永州市公安局冷水滩分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，责令该协会整改并给予警告的行政处罚。

案例2.永州某科技有限公司网站由于长时间无人管理，遭到他人的劫持篡改，成了通往非法网站的“跳板”。

其内部的网站存在被植入不法链接、跳转赌博类网站的漏洞，属于不履行网络安全保护义务的行为。

2024年2月，永州市公安局冷水滩分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，责令该公司整改并给予警告的行政处罚。

案例3.湖南某技术有限公司网站发现存在系统漏洞。

经查，该公司网站没有制定建立管理制度，没有定期开展网络漏洞扫描工作，未依法采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，导致公司网站被植入后台程序，属于不履行网络安全保护义务的行为。

2024年2月，永州市公安局冷水滩分局根据《中华人民共和国网络安全法》第二十一条、第五十九条，责令该公司整改并给予警告的行政处罚。

案例4.湖南某农业有限公司网站未落实网络安全保护责任，无内部网络安全管理制度以及操作规程，导致公司网站被植入后台程序，网站首页存有违法信息，造成不良影响，属于不履行网络信息安全保护义务的行为。

2024年2月，永州市公安局冷水滩分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，责令该公司整改并给予警告的行政处罚。（来源：冷水滩公安）

03.四川攀枝花市公安局依法查处2起不履行网络安全保护义务案

案例1.攀枝花市仁和区某经营部公司网站未落实网络安全保护义责任。

攀枝花市仁和区某经营部自行开发建设名为“科岩 岩板”的网站用于公司产品的宣传。但由于该公司对网站长时间不使用不管理，导致网站被黑客攻击，造成网页被挂载赌博网站链接的严重后果。

2024年2月，攀枝花市公安局仁和区分局按照《网络安全法》第五十九条，依法给予攀枝花市仁和区某经营部警告处罚，并要求其立即整改。

被攻击网页截图

案例2.攀枝花某旅游投资有限公司未落实网络安全保护义责任。

攀枝花某旅游投资有限公司缺乏网络安全保护意识，相关系统日志未按国家要求保存六个月，存在相关风险隐患。

2024年2月，攀枝花市公安局仁和区分局按照《网络安全法》第五十九条，依法给予攀枝花某旅游投资有限公司警告处罚，并要求其立即整改。（来源：攀枝花市公安局仁和区分局 ）

相关法律法规

《中华人民共和国网络安全法》

第二十一条   国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第五十九条   网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

来源：深圳市网络与信息安全行业协会