新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

案例评析||未落实网络安全等级保护制度,被黑客攻击入侵
2019-07-08 15:22:34

此案是黑龙江省第一期违反网络安全法案件。


2017年8月30日,哈尔滨市公安局网安支队在工作中发现,方正县农业技术推广中心设立的“方正农业社会化服务平台”遭受黑客攻击入侵,在社会上造成恶劣影响。


timg (2).jpg


经查,该网站隶属方正县政府农业技术推广中心,自开通以来长期无人维护,安全防护工作落实不到位,未按照网络安全等级保护制度的要求落实网络安全主体责任,存在高危安全漏洞并被黑客攻击入侵,造成严重后果。


根据《网络安全法》第59条第1款之规定,方正县公安局责令方正县政府农业技术推广中心立即整改,并给予2万元罚款的处罚。


本案的根本在于方正农业社会化服务平台运营者未能有效落实网络安全等级保护制度,设置安全责任人对网站进行维护,致使存在高危漏洞,并最后遭遇网络攻击。可见,网络安全等级保护制度作为我国维护网络安全的一项基本制度,需要各个网络运营者的贯彻落实。


网络安全等级保护制度进化之路


网络安全等级保护制度本质在于根据计算机信息系统对国家、社会和公民个人的影响程度,赋予不同层级的安全保护要求。


  • 1994年,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号)首次明确提出计算机信息系统实行安全等级保护,开启我国等级保护之路。


  • 2003年,国家信息化领导小组发布《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]77号),将信息安全等级保护作为国家信息安全保障工作的重中之重。


  • 2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对信息安全等级保护的基本制度框架进行了规划。


  • 2007年,公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布《信息安全等级保护管理办法》(公通字[2007]43号),对信息安全等级保护制度作了较为具体的规定。


  • 2007年,公安部发布《信息安全等级保护备案实施细则》(工信安[2007]1360号)对等级保护的工作做出了具体的规定,上述规定构建起我国早期等级保护制度基础,为网络安全维护作出贡献。


  • 2018年6月27日,公安部公布《网络安全等级保护条例(征求意见稿)》(以下简称《条例》),从支持保障、安全保护、涉密网络、密码管理、监督管理等方面对网络安全法的等级保护制度加以细化。


上述要求标志着等级保护制度进入2.0时代,构筑起新时代下的等级保护制度体系。


网络安全等级保护制度义务内容


等级保护制度主要体现在《网络安全法》第21条中( 具体条例内容请自行搜索 ),要求国家实行网络安全等级保护制度。


义务主体方面,等级保护制度的义务主体是“网络运营者”,包括网络的所有者、管理者和网络服务提供者,大型互联网企业、大数据中心、云计算平台、公共服务平台、基础网络、重要信息系统、工业控制系统、物联网、重要网站等都包含在内。具体而言,既包括传统的基础电信网络运营者,也包含随着信息技术发展不断更新的各种网络服务提供者;既包括经营性的网络运营者,也包括不向公众提供服务的局域网或者工业控制系统的网络运营者。


本案中隶属方正县政府农业技术推广中心的“方正农业社会化服务平台”作为面向公众提供服务的网站,其运营者也须承担相应的等级保护义务。


义务内容方面,网络安全法从管理和技术措施两个层面,在人员配置、日志留存、数据安全等方面规定了网络运营者的等级保护义务。《条例》明确网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。


具体来说,网络运营者在义务履行方面应注意以下几点:


1.适时适当进行定级备案工作


如前文所述,等级保护制度的核心在于赋予不同重要程度的信息系统以不同层级的保护义务。因此,定级是等级保护工作的首要和关键环节,是开展系统备案、建设整改、等级测评和监督检查等工作的重要基础。系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作将失去基础。


2.建立内部安全管理制度及操作规程,确定网络安全负责人


根据等级保护制度的要求,网络运营者须制订内部安全管理制度和操作规程。安全管理制度应通过正式、有效的方式发布,并进行版本控制,应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。


制度落实的核心在于人员。本案中,“方正农业社会化服务平台”长期无人维护,网络安全防护工作落实不到位,从而能为网络攻击留下隐患。因此,网络运营者应根据不同保护等级设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并明确各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并明确各个工作岗位的职责;应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。


3.采取防范网络安全行为的技术措施,建立网络监测与日志留存制度


为落实等级保护制度,网络运营者须采取技术防范措施,防范计算机病毒、网络攻击、网络侵入等网络安全风险。网络运营者应当采取的技术措施包括安装防病毒软件、防范计算机病毒,安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等,防范网络攻击、侵入等。


数据留存旨在为维护国家安全、社会公共利益等目的,要求网络运营者留存网络日志一定时间,以协助执法部门打击恐怖活动、侦查犯罪等。网络安全法要求网络运营者监测、记录网络运行状态、网络安全事件,并留存相关的网络日志不少于6个月。


4.数据安全


等级保护制度要求网络运营者对数据进行分类,重要数据采取备份加密等措施,防止网络数据被窃取或者篡改。


依据网络安全法第21条的规定,除了制定内部安全管理制度及操作规程、确定网络安全负责人、采取防范危害网络安全行为的技术措施、网络监测与日志留存、数据分类、重要数据备份和加密等明确规定的义务,法律、行政法规规定的其他义务也是网络运营者需要履行的安全保护义务,如依据《中华人民共和国信息系统安全保护条例》第9条和《信息安全等级保护管理办法》第14条的规定等。


5.法律责任


违反等级保护制度的法律责任主要体现为网络安全法第59条第1款,即网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000员以上5万元以下罚款。本案中,方正县公安局也是依据该条,对方正县政府农业技术推广中心进行的处罚。


通过条文内容可以看出,违反等级保护制度的责任主体不仅包括网络运营者,还包括直接负责的主管人员,处罚方式包括责令改正后警告和罚款。其中责令改正警告属于未造成危害后果的前置条件,拒不改正后进一步作出罚款处罚;在网络运营者不履行安全保护义务导致危害网络安全后果的情形下,可直接作出罚款处罚。本案中,方正县政府农业技术推广中心未按照等级保护制度的要求落实网络安全主体责任,导致网站存在高危安全漏洞并被黑客入侵,造成严重后果。因此,方正县公安局直接作出罚款决定。


总而言之,网络安全法将我国一直以来的网络安全等级保护制度上升到法律层面,开启了我国等级保护制度的新阶段。网络安全法正式施行之后,各地公安机关的执法行动趋于常态,在推动等级保护制度落地的同时,也对我国现有网络安全法律体系提出更高的要求。


  • 网络安全
  • 等级保护
  • 等保测评
  • 网络安全
  • 等级保护
  • 等保测评