1、2022.12教育行业网络安全行政执法案例集奇安信行业安全研究中心总体情况概述综述每一起重大的网络安全事故的发生,都与政企机构的网络安全建设运维管理疏失密切相关,有的是安全责任意识淡薄导致,有的是等保落实不到位,有的是机构内鬼等,导致的������信息泄露、网页被篡改、传播违法信息等。作为网络安全执法部门,公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身������问题,找到自己在安全建设运维管理中的疏失,进而促进自身实战化安全运营能力的提升。综述奇安信行业安全研究中心联合安全内参,针对2020年6月至2022年6月,媒体公开披露的与政企机
2、构相关的各行业千余起网络安全行政执法案例进行整理和分析,筛选出不同行业典型网络安全行政执法案件进行重点分析形成此份报告。报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业,事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法����使用企业资源等多种不同情况,对公众利益和政企机构利益都产生了极大的影响。教育行业综述从公安机关披露的涉及教育培训行业的网络安全行政执法典型案例信息来看,教育培训行业违反网络安全相关法律法规主要表现在以下几个方面:首先是机构或内部员工非法购买或贩卖个人信息,包括普通公民信息,也包括学生信息,造成巨大社会危害甚至构成犯罪。第二是没有应急预案,
3、网站被通报存在安全漏洞后,长期不修复,导致网站信息被犯罪分子窃取、����篡改和恶意利用。第三是没有按照等保要求进行信息系统的备案和������测评,或是没有按照网络安全法保存网络安全日志,导致违规被要求整改。此外,还有个别机构,滥用教育相关资源,构成“帮信罪。教育培训行业典型案例某教育机构非法购买学生个人信息案案件回顾:2021年10月,某市公安分局披露了一起非法获取、贩卖学生个人信息案。网安大队在侦办“刘某等人侵犯公民个人信息案”过程中,发现犯罪嫌疑人将非法获取的学生个人信息贩卖给某些教育培训机构,谋取非法利益。该市网安大队根据中华人民共和国网络安全法第四十四条公民个人信息保护的相关规定,对该培训学校有限公司
4、处以罚款30万元的行政处罚。法律链接:根据中华人民共和国网络安全法第四十四条,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。而根据第六十四条,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。违法/犯罪 主体内部人员违法/犯罪 性质������机构违法所属行业教育培训影响范围公众利益关键词个人信息、非法获取触犯法条中华人民共和国网络安全法第四十四条、第六十四条机构责任非法获取个人信息涉及领域个人信息某培训机构非法购买个人信息被罚30万案
5、件回顾:2021年5月,自贡公安机关工作发现,辖区某培训机构负责人经公司同意后,以7000元的价格非法购买公民个人信息14000余条,后分发给公�����司工作人员,使用非法获取的公民个人信息开展招生工作,涉嫌非法获取个人信息。自贡公安机关根据中华人民共和国网络安全法第四十四条、六十四条之规定,������对该公司作出罚款三十万元的行政处罚。法律链接:根据中华人民共和国网络安全法第四十四条,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。而根据第六十四条,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得
6、一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。违法/犯罪 主体政企机构违法/犯罪 性质机构违法所属行业教育培训影�����响范围公众利益关键词个人信息、非法获取触犯法条中华人民共和国网络安全法第四十四条、六十四条机构责任非法获取个人信息涉及领域个人信息某电教仪器站未履行网络安全保护义务案案件回顾:2021年3月,某地公安机关接到报案,受害者遭遇刷单诈骗被骗30999元。调查发现,某教育电教仪器网站因未及时处置系统漏洞,致网站长期被非法挂载大量诈骗、赌博、色情广告黑链,������致使受害人点击造成现实危害。因该电教仪器网站存在不履行网络安全保护义务的行为,公安机关对该网站处以罚款1万元,并对该网站法人代
7、表董某某处以5000元的行政处罚。法律链接:根据中华人民共和国网络安全法第二十五规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照������规定向有关主管部门报告。违反第二十五条������,将按照第五十九条进行处罚。违法/犯罪 主体政企机构、黑产团伙违法/犯罪 性质建设运维管理疏失所属行业教育培训影响范围政企机构利益、公众利益关键词系统漏洞、诈骗、赌博、色情、黑链、广告触犯法条网络安全法第二十五条、第五十九条机构责任不履行安全保护义务涉及领域违规整改某学校拒不整改网络安全隐患被依法处罚案
8、件回顾:2020年8月,广州某技工学校在收到广州警方网络安全整改通知书并已明确知悉自身管辖网站存在高危网络安全隐患的情况下,仍在长达1月的时间内不进行隐患整改,无视应尽的网络安全义务,不履行网络安全主体责任,相关行为违反了中华人民共和国网络安全法第二十五条之规定。据此,广州警方对其作出行政处罚,并责令其限期改正。法律链接:根据中华人民共和国网络安全法第二十五规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。违�����反第二十五条,将按照第五十九条进行处
9、罚。违法/犯罪 主体政企机构违法/犯罪 性质建设运维管理疏失所属行业教育培训影响范围公众利益、机构利益关键词拒不整改、行政处罚触犯法条中华人民共和国网络安全法第二十五条、第五十九条机构责任建设运维管理疏失涉及领域违规整改某学院网络日志留存不足六个月被处以警告处罚案件回顾:2020年9月,某市公安局网安大队在某学院例行检查,现场对其网络防火墙、网络路由器进行检查时发现,该学院网络安全日志留存不足六个月。根据调查结果,该分局网安大队依据中华人民共和国网络安全法第二十一条、第五十九条之规定,对广西�������某学院处以警告行政处罚。法律链接:根据中华人民共和国网络安全法第二十一条,网络运营者应当采取监测、记录网
10、络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不�����少于六个月。根据第五十九条,网络运营者不履行本法第二十一条,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直������接负责的主管人员处五千元以上五万元以下罚款。违法/犯罪 主体政企机构违法/犯罪 性质建设运维管理疏失所属行业教育培训影响范围机构利益关键词日志留存触犯法条中华人民共和国网络安全法第二十一条、第五十九条机构责任建设运维管理疏失涉及领域日志留存某高校信息系统仅备案未测评被处罚案件回顾:2020年4月,广州警方在工作中发现,广州某学校对其所属两个办公系统进行网络安全等级保护
11、备案之后,并未依法完成等级保护测评工作,未完成法定网络安全等级保护义务。同时该校作为此二系统的网络安全主责单�����位,却对系统的安全情况不知悉,也未对系统安全风险及时排查整改。针对该校的违法行为,广州警方对其作出行政处罚,并责令其限时完成等级保护测评。法律链接:根据中华人民共和国网络安全法第二十一条,国家实行网络安全等级保护制度。根据信息安全等级保护管理办法第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展������等级测评。违法/犯罪 主体政企机构违法/犯罪 性质建设运维管理疏失所属行业教
12、育培训影响范围机构利益关键词等保触犯法条中华人民共和国网络安全法第二十一条信息安全等级保护管理办法机构责任建设运维管理疏失涉及领域违规整改某学校60名学生中考志愿被恶意篡改案件回顾:2021年,凉山公安机关接到报案称,辖区某学校60余名学生中考志愿被他人篡改。经连夜侦查发现,系因某单位网站密码安全等级低,存在网络漏洞,被一升学无望心生报复的不法分子恶意攻击篡改。凉山公安机关根据中华人民共和国网络安全法第六十四条之规定,对该单位作出行政警告处罚,并责令限期整改。法律链接:根据中华������人民共和国网络安全法第十条,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采
13、取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防������范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。违法/犯罪 主体政企机构、个人黑������客违法/犯罪 性质建设运维管理疏失所属行业教育培训影响范围公众利益关键词网页篡改、弱密码、网站漏洞、恶意攻击触犯法条中华人民共和国网络安全法第十条、第二十七条机构责任不履行安全管理义务涉及领域管理问题、数据安全冒用他人信息实名注册出售校园宽带账号案案件回顾:2021年6月,电信行业从业人员利用负责面向在校学生的“办理手机卡加1元
14、即可办理校园宽带”服务的工作便利,在学生申请手机卡后,私自出资1元利用申请手机卡的学生信息办理��������校园宽带并出售。同时,为帮助他人逃避监管����或规避调查,违规帮助上游买家架设服务器,改变宽带账号的真实IP地址,并对服务器进行日常维护。经查,校园宽带账号被他人用于电信网络诈骗,致一被害人被骗人民币158万余元。法律链接:根据中华人民共和国刑法第二百八十七条规定:明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。触犯刑法第二百八十七条,即构成帮助信息网络犯罪活动罪,简称“帮信罪”。违法/犯罪 主体内部人员违法/犯罪 性质未履行安全管理义务、帮信罪所属行业教育培训、运营商影响范围公众利益关键词手机卡、宽带、诈骗、帮信罪触犯法条中华人民共和国刑法第二百八十七条机构责任帮信罪涉及领域管理问题、个人信息附录法条链接法条链接中华人民共和国网络安全法http:/
sgpjbg002
工作日 8:30 - 17:30
报告分类
