信息化觀察網(wǎng)

本文來自微信公眾號“安全學(xué)習(xí)那些事兒”。

2024年2月28日，近期，河南新鄉(xiāng)市公安局網(wǎng)安部門加大對網(wǎng)絡(luò)運營者不履行網(wǎng)絡(luò)安全保護義務(wù)違法行為的打擊力度，切實壓緊壓實屬地互聯(lián)網(wǎng)平臺企業(yè)的主體責(zé)任，對不落實網(wǎng)絡(luò)安全等級保護制度，未履行安全保護義務(wù)的多家企業(yè)依法給予了行政處罰。

1、封丘縣某電子衡器有限公司門戶網(wǎng)站存在HTML信息泄露和SourceMap文件泄露安全漏洞。

經(jīng)查，該公司未采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。同時，未定期開展安全自查及網(wǎng)絡(luò)漏洞掃描等工作，漏洞隱患不能及時發(fā)現(xiàn)并消除，極易被黑客攻擊，造成網(wǎng)絡(luò)安全事件。對此，封丘縣公安局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款之規(guī)定，對該公司處以警告并責(zé)令限期整改的行政處罰。

2、長垣市某機械有限公司網(wǎng)站被篡改為賭博網(wǎng)站。

經(jīng)查，該公司未制定內(nèi)部網(wǎng)絡(luò)安全管理制度和操作規(guī)程，未對網(wǎng)站進行日常維護，導(dǎo)致網(wǎng)站被境外不法分子篡改。長垣市公安局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款之規(guī)定，對該公司處以警告并責(zé)令限期整改的行政處罰。

3、長垣市某物業(yè)服務(wù)有限公司網(wǎng)站遭黑客攻擊入侵，網(wǎng)頁被植入境外博彩網(wǎng)站“暗鏈”。

經(jīng)查，該公司未制定內(nèi)部網(wǎng)絡(luò)安全管理制度和操作規(guī)程，未確定網(wǎng)絡(luò)安全負責(zé)人，網(wǎng)絡(luò)安全意識淡薄，網(wǎng)站長期無人維護，導(dǎo)致其網(wǎng)絡(luò)代碼出現(xiàn)漏洞，遭到黑客攻擊劫持并被植入“暗鏈”，對網(wǎng)絡(luò)空間產(chǎn)生了極大威脅。長垣市公安局根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款之規(guī)定，對該公司處以警告并責(zé)令限期整改的行政處罰。

網(wǎng)警小科普

HTML信息泄露漏洞：是指網(wǎng)站由于配置不當(dāng)、安全措施不足等原因，意外地將敏感信息(如用戶數(shù)據(jù)、服務(wù)器信息、業(yè)務(wù)邏輯等)泄露給未授權(quán)的用戶或攻擊者，從而可能導(dǎo)致安全事件和數(shù)據(jù)泄露風(fēng)險。

SourceMap文件泄露漏洞：是指將包含源代碼映射關(guān)系的sourcemap文件在生產(chǎn)環(huán)境中未進行適當(dāng)保護，導(dǎo)致未經(jīng)授權(quán)的用戶能夠訪問并還原源代碼，進而可能引發(fā)安全風(fēng)險的一種漏洞。

“暗鏈”：是一種搜索引擎欺詐手段，用于提高它所指向的網(wǎng)站的搜索引擎排名。其有效性、隱蔽性深受黑灰產(chǎn)組織的喜愛，他們往往會在一些重要網(wǎng)站如政府、教育、醫(yī)療等網(wǎng)站中植入暗鏈，從而竊取更多的流量權(quán)重。竊取的流量多被用于網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，包括網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙、開設(shè)色情網(wǎng)站、售賣違禁藥毒品等犯罪行為。所以暗鏈不僅危害網(wǎng)站的正常業(yè)務(wù)，還危害人民財產(chǎn)安全，影響社會穩(wěn)定。公安機關(guān)網(wǎng)安部門及時發(fā)現(xiàn)和處置該案件，起到了很好的查堵漏洞、清除風(fēng)險隱患的作用。

相關(guān)法律法規(guī)：《中華人民共和國網(wǎng)絡(luò)安全法》

第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

(一)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任;

(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。