近期,北京市公安局網(wǎng)安部門加大對(duì)不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)違法行為的打擊力度,切實(shí)壓緊壓實(shí)網(wǎng)絡(luò)運(yùn)營者的主體責(zé)任,對(duì)未建立管理制度、不履行網(wǎng)絡(luò)信息安全管理義務(wù)的多家違法企業(yè)依法給予行政處罰。
01
北京某科技信息服務(wù)有限責(zé)任公司所屬網(wǎng)站內(nèi)出現(xiàn)涉賭違法信息。該公司官網(wǎng)為靜態(tài)頁面,涉事服務(wù)器為虛擬服務(wù)器,用戶訪問靜態(tài)文件不需要任何權(quán)限。2023年11月12日被人進(jìn)入公司服務(wù)器內(nèi)將文件改寫成賭博網(wǎng)站信息。
經(jīng)查,該網(wǎng)站聯(lián)網(wǎng)使用后,系統(tǒng)沒有在公安機(jī)關(guān)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)備案,對(duì)系統(tǒng)的漏洞掃描已是半年前。該公司網(wǎng)站系統(tǒng)未落實(shí)網(wǎng)絡(luò)安全保護(hù)義務(wù),未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)侵入等技術(shù)措施。
北京市公安局東城分局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條、第五十九條之規(guī)定,責(zé)令該公司整改并給予警告的行政處罰。
02
北京某科技有限責(zé)任公司未落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任,無內(nèi)部網(wǎng)絡(luò)安全管理制度以及操作規(guī)程,其內(nèi)部的網(wǎng)站存在被植入不法鏈接、跳轉(zhuǎn)賭博網(wǎng)站的漏洞,屬于不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的行為。
北京市公安局門頭溝分局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條第一項(xiàng)、第二項(xiàng)、第五十九條第一款之規(guī)定,責(zé)令該公司整改并給予警告的行政處罰
03
北京某科貿(mào)有限公司網(wǎng)站發(fā)現(xiàn)存在SQL注入漏洞。經(jīng)查,該公司網(wǎng)站沒有制定建立管理制度,沒有定期開展網(wǎng)絡(luò)漏洞掃描工作,未依法采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。
北京市公安局密云分局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條、第五十九條第一款,責(zé)令該公司整改并給予警告的行政處罰。
04
北京某裝飾工程有限公司網(wǎng)站存有違法信息,該網(wǎng)站未對(duì)其發(fā)布的信息進(jìn)行有效審核及管理,導(dǎo)致該違法信息在網(wǎng)絡(luò)上發(fā)布,造成不良影響,屬于不履行網(wǎng)絡(luò)信息安全管理義務(wù)的行為。
北京市公安局大興分局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條、第六十八條第一款之規(guī)定,責(zé)令該公司整改并給予警告的行政處罰。
05
北京某科技有限公司所使用的一款寄快遞微信小程序存在安全隱患,經(jīng)對(duì)小程序進(jìn)行檢測(cè),發(fā)現(xiàn)該款小程序存在高風(fēng)險(xiǎn)漏洞5個(gè),容易造成數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。
北京市公安局通州分局依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條第二項(xiàng)、第五十九條第一款的規(guī)定,責(zé)令該公司整改并給予警告的行政處罰。
01. “SQL漏洞注入”小科普
SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一,被廣泛用于非法獲取網(wǎng)站控制權(quán)。這是在應(yīng)用程序的數(shù)據(jù)庫層中發(fā)生的安全漏洞,導(dǎo)致數(shù)據(jù)庫受到攻擊,從而可能導(dǎo)致盜竊,修改和刪除數(shù)據(jù),并進(jìn)一步導(dǎo)致網(wǎng)站嵌入惡意代碼,植入后門程序的危害等。
02. 法律法規(guī)
《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條:國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
來源:公安部網(wǎng)安局