4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

以“案”为镜| 国内高校数据泄密违法处罚第一案

作者:安华金和 发布时间:2017-10-13

案情及处罚

9月28日下午,安徽省淮阳市网络与信息安全信息通报中心(市公安局网安支队)接到国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4000余名学生身份信息已经造成泄露。

市公安局网安支队经过现场调查和勘验取证工作,并依法对网络中心系统管理员和操作维护人员进行询问。最终确认淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露。

01.jpg

 

市公安局网安支队依法传唤学院分管网络信息安全工作的院长和网络中心主任及相关工作人员进行调查,确认该学校因未落实网络安全等级保护制度造成数据泄露,依法对淮南职业技术学院处以立即整改和行政警告的处罚措施。对泄露的学生身份信息流向,市公安局正在依法调查中。

二、 数据安全解决方案

安全,未雨绸缪与亡羊补牢,以安全事件的发生来划分界限。教育行业在近些年数据泄露事件大盘点时总是榜上有名,这次淮南职业技术学院作为国内首例高校违法案例,其实在各行各业同样需要警示,以铜为镜可以正衣冠,以人为镜可以明得失,以“案”为镜可以知“未来”。案件相关人员隐私权益遭到严重损害,甚至危及生命健康,教育相关单位的声誉受到严重挑战。也正是因此,社会、各类院校、教育机构、学生家长等对于教育行业的信息安全建设倾注了更多的关注,与此同时,犯罪分子的也开始不断提升作案手段,通过非法攻击、违规操作等一系列手段窃取教育系统数据库里的敏感数据,频频发生的拖库、刷库现象使得教育行业的数据库系统遭受严重的安全威胁,教育行业数据安全保障势在必行。

安华金和多年来专注数据安全,从存储层、数据库访问层、应用访问层三个层面对数据库面临的安全威胁进行分析,以教育行业核心数据主动预防为目标,对核心数据存储进行加密,通过数据存储加密、独立的权限控制、三权分立、应用安全访问等核心能力,主动预防来自于内部维护人员、第三方合作人员、内部工作人员的各种数据窃取行为。采用数据库防火墙技术,防御外部黑客针对数据库的SQL注入攻击,为满足教育行业等级保护政策要求,部署数据库审计,对系统操作进行精确追踪审计,有效弥补数据库安全“短板”。安华金和在教育行业具有充分的实践案例,曾经帮助某教委客户,针对数据安全防护需求和业务正常运营需求,提供完整的安全部署方案。

三、 安全法律法规

《网络安全法》

第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。  

第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

《刑法》

第二百八十六条:不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄漏,造成严重后果的。处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

《关于印发教育部网络安全和信息化领导小组第二次会议会议纪要的通知》

2017年2月20日,教育部网络安全和信息话领导小组办公室下发了该通知,会议强调:加快推进网络安全等级保护工作。这是教育部今年的第一次强调推进等保工作。

《教育行业网络安全综合治理行动方案》

2017年3月15日,教育部办公厅关于印发《教育行业网络安全综合治理行动方案》的通知的工作内容中第三条:(三)补齐等保短板,履行安全保护义务。明确提出加快完成定级备案,有序推进测评整改。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号