案情及處罰
9月28日下午,安徽省淮陽(yáng)市網(wǎng)絡(luò)與信息安全信息通報(bào)中心(市公安局網(wǎng)安支隊(duì))接到國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào):淮南職業(yè)技術(shù)學(xué)院系統(tǒng)存在高危漏洞����,系統(tǒng)存儲(chǔ)的4000余名學(xué)生身份信息已經(jīng)造成泄露。
市公安局網(wǎng)安支隊(duì)經(jīng)過(guò)現(xiàn)場(chǎng)調(diào)查和勘驗(yàn)取證工作����,并依法對(duì)網(wǎng)絡(luò)中心系統(tǒng)管理員和操作維護(hù)人員進(jìn)行詢(xún)問(wèn)。最終確認(rèn)淮南職業(yè)技術(shù)學(xué)院招生信息管理系統(tǒng)存在越權(quán)漏洞�����,后臺(tái)登錄密碼弱口令,學(xué)院未落實(shí)網(wǎng)絡(luò)安全管理制度���,未建立網(wǎng)絡(luò)安全防護(hù)技術(shù)措施�����、網(wǎng)絡(luò)日志留存少于六個(gè)月���,未采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密措施�����,致使系統(tǒng)存儲(chǔ)的4353名學(xué)生的身份信息泄露�。
市公安局網(wǎng)安支隊(duì)依法傳喚學(xué)院分管網(wǎng)絡(luò)信息安全工作的院長(zhǎng)和網(wǎng)絡(luò)中心主任及相關(guān)工作人員進(jìn)行調(diào)查,確認(rèn)該學(xué)校因未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度造成數(shù)據(jù)泄露��,依法對(duì)淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施���。對(duì)泄露的學(xué)生身份信息流向��,市公安局正在依法調(diào)查中�。
二�����、 數(shù)據(jù)安全解決方案
安全����,未雨綢繆與亡羊補(bǔ)牢,以安全事件的發(fā)生來(lái)劃分界限��。教育行業(yè)在近些年數(shù)據(jù)泄露事件大盤(pán)點(diǎn)時(shí)總是榜上有名�,這次淮南職業(yè)技術(shù)學(xué)院作為國(guó)內(nèi)首例高校違法案例,其實(shí)在各行各業(yè)同樣需要警示����,以銅為鏡可以正衣冠,以人為鏡可以明得失,以“案”為鏡可以知“未來(lái)”。案件相關(guān)人員隱私權(quán)益遭到嚴(yán)重?fù)p害��,甚至危及生命健康����,教育相關(guān)單位的聲譽(yù)受到嚴(yán)重挑戰(zhàn)。也正是因此�,社會(huì)、各類(lèi)院校��、教育機(jī)構(gòu)�����、學(xué)生家長(zhǎng)等對(duì)于教育行業(yè)的信息安全建設(shè)傾注了更多的關(guān)注,與此同時(shí)����,犯罪分子的也開(kāi)始不斷提升作案手段,通過(guò)非法攻擊�、違規(guī)操作等一系列手段竊取教育系統(tǒng)數(shù)據(jù)庫(kù)里的敏感數(shù)據(jù),頻頻發(fā)生的拖庫(kù)���、刷庫(kù)現(xiàn)象使得教育行業(yè)的數(shù)據(jù)庫(kù)系統(tǒng)遭受?chē)?yán)重的安全威脅�����,教育行業(yè)數(shù)據(jù)安全保障勢(shì)在必行�����。
安華金和多年來(lái)專(zhuān)注數(shù)據(jù)安全����,從存儲(chǔ)層����、數(shù)據(jù)庫(kù)訪問(wèn)層�����、應(yīng)用訪問(wèn)層三個(gè)層面對(duì)數(shù)據(jù)庫(kù)面臨的安全威脅進(jìn)行分析���,以教育行業(yè)核心數(shù)據(jù)主動(dòng)預(yù)防為目標(biāo)���,對(duì)核心數(shù)據(jù)存儲(chǔ)進(jìn)行加密��,通過(guò)數(shù)據(jù)存儲(chǔ)加密�、獨(dú)立的權(quán)限控制��、三權(quán)分立���、應(yīng)用安全訪問(wèn)等核心能力���,主動(dòng)預(yù)防來(lái)自于內(nèi)部維護(hù)人員、第三方合作人員���、內(nèi)部工作人員的各種數(shù)據(jù)竊取行為�����。采用數(shù)據(jù)庫(kù)防火墻技術(shù)��,防御外部黑客針對(duì)數(shù)據(jù)庫(kù)的SQL注入攻擊�,為滿足教育行業(yè)等級(jí)保護(hù)政策要求,部署數(shù)據(jù)庫(kù)審計(jì)���,對(duì)系統(tǒng)操作進(jìn)行準(zhǔn)確追蹤審計(jì)��,有效彌補(bǔ)數(shù)據(jù)庫(kù)安全“短板”�。安華金和在教育行業(yè)具有充分的實(shí)踐案例��,曾經(jīng)幫助某教委客戶(hù)�����,針對(duì)數(shù)據(jù)安全防護(hù)需求和業(yè)務(wù)正常運(yùn)營(yíng)需求�,提供完整的安全部署方案。
三����、 安全法律法規(guī)
《網(wǎng)絡(luò)安全法》
第二十一條:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求�,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾�、破壞或者未經(jīng)授權(quán)的訪問(wèn)��,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取����、篡改:(一)制定內(nèi)部安全管理制度和操作規(guī)程�����,確定網(wǎng)絡(luò)安全負(fù)責(zé)人��,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任���;(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施����;(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)���、網(wǎng)絡(luò)安全事件的技術(shù)措施��,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月���;(四)采取數(shù)據(jù)分類(lèi)��、重要數(shù)據(jù)備份和加密等措施���;(五)法律、行政法規(guī)規(guī)定的其他義務(wù)����。
第五十九條:網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的�,由有關(guān)主管部門(mén)責(zé)令改正,給予警告��;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的����,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款�。
《刑法》
第二百八十六條:不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。造成違法信息大量傳播�����、用戶(hù)信息泄漏�,造成嚴(yán)重后果的。處三年以下有期徒刑、拘役或者管制�,并處或者單處罰金。
《關(guān)于印發(fā)教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第二次會(huì)議會(huì)議紀(jì)要的通知》
2017年2月20日���,教育部網(wǎng)絡(luò)安全和信息話領(lǐng)導(dǎo)小組辦公室下發(fā)了該通知�,會(huì)議強(qiáng)調(diào):加快推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作����。這是教育部今年的第一次強(qiáng)調(diào)推進(jìn)等保工作。
《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》
2017年3月15日�����,教育部辦公廳關(guān)于印發(fā)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》的通知的工作內(nèi)容中第三條:(三)補(bǔ)齊等保短板�,履行安全保護(hù)義務(wù)����。明確提出加快完成定級(jí)備案,有序推進(jìn)測(cè)評(píng)整改�。
產(chǎn)品咨詢(xún):4000 258 365 
