案情及處罰

9月28日下午，安徽省淮陽市網絡與信息安全信息通報中心（市公安局網安支隊）接到國家網絡與信息安全信息通報中心通報：淮南職業(yè)技術學院系統存在高危漏洞，系統存儲的4000余名學生身份信息已經造成泄露。

市公安局網安支隊經過現場調查和勘驗取證工作，并依法對網絡中心系統管理員和操作維護人員進行詢問。最終確認淮南職業(yè)技術學院招生信息管理系統存在越權漏洞，后臺登錄密碼弱口令，學院未落實網絡安全管理制度，未建立網絡安全防護技術措施、網絡日志留存少于六個月，未采取數據分類、重要數據備份和加密措施，致使系統存儲的4353名學生的身份信息泄露。

市公安局網安支隊依法傳喚學院分管網絡信息安全工作的院長和網絡中心主任及相關工作人員進行調查，確認該學校因未落實網絡安全等級保護制度造成數據泄露，依法對淮南職業(yè)技術學院處以立即整改和行政警告的處罰措施。對泄露的學生身份信息流向，市公安局正在依法調查中。

二、 數據安全解決方案

安全，未雨綢繆與亡羊補牢，以安全事件的發(fā)生來劃分界限。教育行業(yè)在近些年數據泄露事件大盤點時總是榜上有名，這次淮南職業(yè)技術學院作為國內首例高校違法案例，其實在各行各業(yè)同樣需要警示，以銅為鏡可以正衣冠,以人為鏡可以明得失,以“案”為鏡可以知“未來”。案件相關人員隱私權益遭到嚴重損害，甚至危及生命健康，教育相關單位的聲譽受到嚴重挑戰(zhàn)。也正是因此，社會、各類院校、教育機構、學生家長等對于教育行業(yè)的信息安全建設傾注了更多的關注，與此同時，犯罪分子的也開始不斷提升作案手段，通過非法攻擊、違規(guī)操作等一系列手段竊取教育系統數據庫里的敏感數據，頻頻發(fā)生的拖庫、刷庫現象使得教育行業(yè)的數據庫系統遭受嚴重的安全威脅，教育行業(yè)數據安全保障勢在必行。

安華金和多年來專注數據安全，從存儲層、數據庫訪問層、應用訪問層三個層面對數據庫面臨的安全威脅進行分析，以教育行業(yè)核心數據主動預防為目標，對核心數據存儲進行加密，通過數據存儲加密、獨立的權限控制、三權分立、應用安全訪問等核心能力，主動預防來自于內部維護人員、第三方合作人員、內部工作人員的各種數據竊取行為。采用數據庫防火墻技術，防御外部黑客針對數據庫的SQL注入攻擊，為滿足教育行業(yè)等級保護政策要求，部署數據庫審計，對系統操作進行精確追蹤審計，有效彌補數據庫安全“短板”。安華金和在教育行業(yè)具有充分的實踐案例，曾經幫助某教委客戶，針對數據安全防護需求和業(yè)務正常運營需求，提供完整的安全部署方案。

三、 安全法律法規(guī)

《網絡安全法》

第二十一條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務。

第五十九條：網絡運營者不履行本法第二十一條、第二十五條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

《刑法》

第二百八十六條：不履行信息網絡安全管理義務罪。造成違法信息大量傳播、用戶信息泄漏，造成嚴重后果的。處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

《關于印發(fā)教育部網絡安全和信息化領導小組第二次會議會議紀要的通知》

2017年2月20日，教育部網絡安全和信息話領導小組辦公室下發(fā)了該通知，會議強調：加快推進網絡安全等級保護工作。這是教育部今年的第一次強調推進等保工作。

《教育行業(yè)網絡安全綜合治理行動方案》

2017年3月15日，教育部辦公廳關于印發(fā)《教育行業(yè)網絡安全綜合治理行動方案》的通知的工作內容中第三條：（三）補齊等保短板，履行安全保護義務。明確提出加快完成定級備案，有序推進測評整改。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。