违犯网络安全法的典型案例
《中华人民共和国网络安全法》(下称网络安全法)和《中华人民共和国数据安全法》(下称数据安全法)是我国网络安全领域的基础性法律,是维护网络权利与义务的最重要法律依据!网络安全和数据安全是国家安全的重要组成部分,透过网络安全法、数据安全法等一系列配套的法律法规,营造安全、有序、文明的网络环境,保护国家和人民的根本利益。每一位网民都应学法、知法、守法。下面是一些常见的违反网络安全和数据安全典型案例,让我们一起来学习。
网络安全处罚事件
案例一
罚款5万元!长沙首张违反《数据安全法》罚单
2023年2月24日,岳麓公安分局网络安全保卫大队民警发现辖区一家信息科技公司疑似存在网络数据泄露隐患,经查,公司相关服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。
最终依据《中华人民共和国数据安全法》第四十五条规定,给予该公司行政警告,并处罚款五万元。
案例二
江西某职业技术大学不履行数据安全保护义务案
2023年3月,南昌市公安局工作发现,江西某职业技术大学师生个人信息疑似遭泄露。
经查,该学校未健全全流程数据安全管理制度,未采取数据加密等相应技术措施保障数据安全,导致学校数据库被黑客非法入侵,师生个人敏感信息数据遭泄露。
南昌市公安局依据《数据安全法》第二十七条、第四十五条之规定,对该学校给予行政处罚。
案例三
侵犯公民个人信息犯罪典型案例
上海闵行侵犯公民个人信息案。
2023年3月,上海闵行公安机关在侦办一起网络诈骗案时发现,犯罪嫌疑人准确掌握受害人的网购记录、物流信息等公民个人信息。
经查,彭某等人在境外网站发现有人有偿求购物流信息,随即与该人联系获取木马程序,并应聘为快递公司员工,利用职务工作便利在快递公司业务计算机内植入木马程序,其上线人员通过木马程序获取大量快递信息,并利用上述信息进一步实施电信网络诈骗。
2023年5月,上海公安机关开展集中收网,抓获采取相似手法窃取公民个人信息的犯罪嫌疑人8名。
案例四
侵犯公民个人信息犯罪典型案例
陕西西安侵犯公民个人信息案。
2022年7月,陕西西安公安机关接到电信部门通报,称本地存在违规开展外呼服务的第三方电信公司。经现场检查发现,该公司存有大量宽带装机记录等公民个人信息,立即对信息来源开展调查。
经查,西安某电信公司员工刘某军为牟取不法利益,指使严某开发批量获取电信运营商内部系统数据的程序,部署于电信运营商内网,并将程序使用权限出售至第三方电信公司,第三方电信公司工作人员张某宁使用该程序非法获取公民个人信息后,按照其客户要求通过拨打骚扰电话的方式进行精准营销。
2023年6月,西安公安机关对该案开展集中收网,抓获犯罪嫌疑人6名(其中,电信运营商工作人员1名)
案例五
侵犯公民个人信息犯罪典型案例
陕西西安侵犯公民个人信息案。
2022年7月,陕西西安公安机关接到电信部门通报,称本地存在违规开展外呼服务的第三方电信公司。经现场检查发现,该公司存有大量宽带装机记录等公民个人信息,立即对信息来源开展调查。
经查,西安某电信公司员工刘某军为牟取不法利益,指使严某开发批量获取电信运营商内部系统数据的程序,部署于电信运营商内网,并将程序使用权限出售至第三方电信公司,第三方电信公司工作人员张某宁使用该程序非法获取公民个人信息后,按照其客户要求通过拨打骚扰电话的方式进行精准营销。
2023年6月,西安公安机关对该案开展集中收网,抓获犯罪嫌疑人6名(其中,电信运营商工作人员1名)
案例六
不履行网络安全保护义务
2023年10月,江西省吉安市公安局工作发现,当地某技工学校网站遭黑客攻击控制。
经查,该学校未按规定制定内部网络安全管理制度和操作规程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,未按规定留存相关的网络日志。
江西省吉安市公安局依据《网络安全法》第二十一条、第五十九条之规定,责令该技工学校限期整改,并给予警告。
案例七
不履行网络安全保护义务
2023年6月,江西省抚州市某电子科技公司邮箱被黑客攻击控制并向外发送钓鱼邮件。
经查,该公司因业务需要,搭建了新旧两套邮件服务器,新邮件服务器启用后,旧邮件服务器并未关闭,长期处于失管状态,导致被不法分子入侵利用。此外,该公司还存在未按规定留存网络日志的问题。
江西省抚州市公安局依据《网络安全法》第二十一条、第五十九条之规定,责令该电子科技公司限期整改,并给予警告。
以案示警:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
案例八
不履行网络安全保护义务
2023年11月,江西省九江市公安局八里湖分局工作发现,九江市某职业学院官网被不法分子网络攻击入侵,并植入非法链接。
经查,该学院未履行网络安全保护义务,未落实网络安全保护责任,接到公安机关情况通报后,未启动应急预案,采取相应的补救措施,未按照规定向有关主管部门报告。
江西省九江市公安局八里湖分局依据《网络安全法》第二十一条、第二十五条、第五十九条之规定,责令该职业学院限期整改,并给予警告。
以案示警:《中华人民共和国网络安全法》第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
安全防范那些事
案例九—弱口令防范
小明是某单位安全运维人员,为了方便记忆,将所有办公、私人密码全部设成了简单的同一密码,结果单位电脑不幸被黑客攻击,密码被轻易破解,导致大量的内部信息遭到窃取,连自己私人的信息都有被泄露的风险。
以案示警:只要是很容易被人猜测或者是破解工具很轻易就破解的口令(密码),都是弱口令,例如:123456、1qaz@WSX、admin和root123等等。
做好“弱口令”安全防范应该:尽量将办公使用密码和私人密码分别设置;建议密码长度不少于8位,且密码中至少包含字母、数字和符号;可以采取记忆诀窍,用一句自己能够记忆的句子,使用每个词的首字母加上标点符号来创建密码;避免使用姓名、手机号和生日等信息做密码,远离社工危害。
案例十—邮件安全防范
小明收到一封来自某银行的电子邮件:“本银行推出免费的网银安全防钓鱼工具,您可以下载来保护财产安全”,并在结尾附上了下载链接,小明下载安装了软件,并在新软件中输入了银行的账户及密码。两天后,他的银行账户被盗刷了5万元。到底是谁偷走了他的钱?
以案示警:
邮件常见攻击方式有:
1.钓鱼邮件攻击:攻击者通常冒充学校系统管理员发送邮件,以邮箱升级、邮箱停用等理由诱骗单位用户登录钓鱼网站,进而骗取单位员工的账号、密码、姓名和职务等信息。
2.广告链接攻击:这类邮件中都含有让人心动的虚假广告链接,一旦点击,其中的病毒软件就会植入单位内部局域网,窃取机密内容。
3.恶意代码攻击:邮箱爆满的时候,别着急点开,先确认发件人身份,避免受到恶意代码攻击。
4.黑客入侵攻击:在此类攻击中,黑客会直接黑掉员工电子邮件账户,冒充该账户向处在关键位置的员工发出指令,指示其共享敏感数据、往指定账户转账汇款等等。
做好邮件攻击防范应该:安装杀毒软件和防火墙,及时更新病毒库,定时查杀病毒;对于邮件中要求提供任何关于自己隐私的邮件,要谨慎对待;对于含有虚假广告的链接,请直接删除邮件,不要回复,也不要转发给他人;点开邮件前务必确认发件人,不要开启可疑附件,防止恶意攻击类邮件
案例十一—网站安全防范
小明登录公司网站想找市场分析数据,不料,网站显示无法访问,起初以为是技术部门在维修,之后发现,网页已被篡改,网站主页面上被放了一个海盗骷髅头的图案,小明惊愕之余才意识到,公司的网页可能遭遇黑客入侵被篡改了。
以案示警:
常网站攻击手段有:
1.Web系统数据被篡改:黑客一般通过Web程序的漏洞获得其系统权限,进行网页挂马、网页篡改和修改数据等行为。黑客可以通过网页挂马, 利用被攻击的Web系统作为后续攻击的工具,也可以通过网页篡改,丑化Web系统所有者的声誉甚至造成更大的影响, 还可以通过修改Web系统敏感数据,直接达到获取利益的目的。
2.窃取用户信息:这种攻击方式依然利用应用程序的漏洞,构造特殊网页或链接引诱Web系统管理员、普通用户点击,以达到窃取用户数据的目的。
做好网站安全防范应该:加强对Web开发人员培训,定期开设相关课程,培养安全意识;定期进行代码审查,加强代码安全性;Web网站上线之前要做全面的安全检查,尽量避免上线之前存在Web漏洞;部署相关Web网站安全监控与防护产品对Web网站进行安全保障。
案例十二—办公环境泄密防范
某黑客在A单位门口徘徊,趁管理人员不备,尾随其他员工进入了单位办公区域,将办公室白板上的会议记录、桌面散落的报表报告和垃圾桶中丢弃的涉密文件等偷走卖给媒体,严重泄露了单位机密,给单位带来了巨大的损失。
以案示警:
办公室泄密的可能途径:
1.泄密渠道之涉密载体:我们把文字、数据、符号、图形、图像和声音等记载秘密信息的介质称为涉密载体。这些涉密载体在制作、收发、传递、使用、复制、保存和销毁等环节必须要注意严格的保密,否则,他们将为黑客盗取数据提供最直接的便利
2.泄密渠道之办公电话:虽然手机已经实现了随时随地的互联互通,但办公电话仍然是许多企业内部重要的通联方式。很多单位现在还保留着定期电话会议的习惯,参会人员会在固定的时间通过办公电话输入密码参会。但如果密码长期不变更,离职或转岗人员不被及时移除出会议名单,就很容易造成电话会议的内容被泄露。
做好办公环境泄密安全防范应该:不要让他人尾随进入办公区域,在办公区域内全程陪伴访客;离开位置前锁住电脑屏幕,不将敏感文件随意放置,会议之后注意敏感内容保护;及时取走打印出来的文档,丢弃文档前先彻底粉碎,保持桌面和办公区域清洁;传输和存储敏感数据时注意加密。
案例十三—办公室电脑安全防范
小明带着自己的电脑来单位办公,接入内部网络时,发现怎么也连接不上,而其他设备并没有类似的情况,小明疑惑地找到单位技术人员询问,检查之后才发现,原来他的电脑没有进行准入控制管理,属于不合规终端,必须进行网络准入管理之后才能进行后续的入网操作。
以案示警:
做好办公室电脑安全防范应该:对全网PC、服务器和笔记本等终端设备,实行准入控制管理,接入终端必须通过管理人员授权才能接入网络;采取实名制的入网管理,接入终端前进行身份认证,合规后再进入;单位要明确终端入网的安全规范,通过技术手段,强制终端必须按照规范要求进行合规检查;对终端安全状态实施掌控,使管理人员时刻了解终端设备的动态。
案例十四—信息裸传安全防范
以下是某单位员工与领导的对话:
以案示警:
做好信息裸传安全防范应该:重要信息加密刻盘,传输尽量采取“手传”模式;个别信息要加密改名,通过安全邮件等方式传递,尽量避 免公开通道传递;WEB类应用优先使用HTTPS协议改造;分支机构有长期重要业务互访或移动办公需求的,部署物 理专线或VPN产品,终端安装VPN客户端。
案例十五—身份安全防范
小明是某网络单位员工,因工作中和领导发生矛盾而辞掉了工作。在办理了离职手续后,小明仍心怀怨恨,于是,他又再次登录员工账号,为了报复,便进入了原部门信息系统进行大肆破坏,导致单位系统完全瘫痪,造成了重大损失。
以案示警:
企业内部人员做好安全管理应该:单位应建立以身份为中心,面向业务、面向运维和面向数据的安全体系;建立统一的员工管理体系,对集团内账号集中管理、控制访问;规范员工账号的强身份认证和访问,使得每个员工形成自己的强身份认证手段;针对工作中的敏感数据进行实时脱敏和数字水印,保证数据的安全性。
案例十六—二维码安全防范
小美的汽车窗上被放了广告,上书:“超大优惠!扫描二维码即可获得三大在线商城所有商品折上折”落款是某世界五百强知名公司。小美扫码后没过多久,她就收到朋友的微信,说点了小美发来的链接,现在手机已经中毒了。小美心中疑惑:“自己并没有发送信息给朋友呀?”紧接着, 自己也收到一条短信,显示“银行卡被消费了XXX元”,小美这才发觉,可能是刚才的二维码惹的祸。
以案示警:
二维码背后的“陷阱”:
1.“偷梁换柱”的二维码:骗子会把自己的收款信息、推广链接和钓鱼网站等制作成二维码,将共享单车和自动贩卖机等设备上的正版信息替换掉,只要有人扫码,所付的钱就会自动打入其账户中。
2.“引诱扫描”的二维码:有的骗子会冒充政府机关, 在假停车罚单上印缴费二维码,有的则以免费红包的形式欺骗用户打开注册页面或下载APP。
3.“暗藏病毒”的二维码:不法分子将带有病毒程序的网址链接生成二维码,用户用手机扫描后或手机中毒、或泄露隐私信息、或被强制安装吸费软件。
4.“内含隐私”的二维码:含有个人信息的二维码(实名制票据上的二维码)不能乱扔,很容易被不法分子利用,泄露个人隐私。
做好二维码安全防范应该:扫码之前先确认“二维码”的合法性;天上不会掉馅饼,要时刻警惕“扫码领红包”背后的陷阱;如果不幸被盗刷,可以通过商户相关信息追溯,第一时间报警;在手机等设备中安装监测工具,扫到可疑网址时,会有安全提醒。
案例十七—Wi-Fi安全防范
小明在地铁里搜到一个免费Wi-Fi信号,心里窃喜: “能省流量,何乐而不为?”于是就按照提示输入了手机 号、验证码后登录了网络。在使用了半小时后,手机突然停机了。起初他以为是话费不够了,就充值了一百元,但充值后依然显示停机状态。小明致电客服,才知道手机竟然已被扣除500元上网费。
以案示警:
“Wi-Fi”陷阱大揭秘:
1.“公共”Wi-Fi”:不法分子会架设与公共场所免费Wi-Fi同名的网络,设置空密码或者相同密码吸引公众连接,然后在Wi-Fi路由器上劫持DNS(域名系统),将用户引入钓鱼网 站获取账号密码,或者在路由器上监听手机流量,获取明文密码。
2.盗取数据:黑客利用虚假的Wi-Fi,轻易就能盗取连接者的手机系统、品牌型号、自拍照片、邮箱账号和社交软件账号密码等各类隐私数据。
3.监听用户手机:如果不慎连接了钓鱼Wi-Fi,那么你的手机很有可能被“劫持”成为骗子的“窃听器”。
4.盗取家用无线:如果家里的路由器设置的是管理员密码或者是简单密码,不仅方便别人“蹭网”,还有可能被有心人利用,篡改无线路由器的DNS,甚至控制路由器,偷窥你的隐私。
做好Wi-Fi安全防范应该:家用路由器设置复杂密码,增加“有心人”的“蹭网”难度;关闭网络自动连接,把Wi-Fi连接功能设置为手动,网银、 支付宝等通过专门APP客户端登录;谨慎连接公共Wi-Fi,不要使用公共Wi-Fi进行账号验证、资金转账等操作;尽量不使用蹭网APP软件。
案例十八—APP安全防范
一款名为“社保掌上通”的APP曾被3.15晚会点名批评。在晚会现场,当主持人使用APP查询社保信息时,一旁的网络安全专家通过抓取分析数据包发现,查询时,用户的信息已被发送至一家大数据公司的服务器,并且这种行为并未得到官方授权。
以案示警:
APP的运营商的“流氓操作”:
1.APP隐私签署形同虚设:在下载APP时,所谓“隐私协议” 对用户来说往往形同虚设。大多数APP都是自动默认勾选为同意企业用户协议和隐私政策,如果不同意就不能使用APP,用户没有其他选择。
2.APP过度索要授权:一些APP存在明显地过度索权行为,利 用用户的隐私信息牟取暴利、随意推送广告。
3.APP手机用户生物信息:大部分购物类、银行类APP都可以 使用指纹、刷脸支付,可是,当收集了个人指纹、虹膜等生物信息的内容一旦被泄露,或被用于非法用途,后果将不堪设想。
4.APP下载自带其他程序下载链接:从不正规途径下载的APP,很容易被关联下载来源不明的软件。
做好APP安全防范应该:分级管理APP,设置不同账号密码,防止连环盗号;通过正规渠道下载APP;安装APP前仔细阅读用户协议;关闭应用的敏感权限
案例十九—智能摄像头安全防范
近年来,摄像头泄密事件屡见不鲜。有媒体曾曝光,某些网络贴吧在公开售卖家用摄像头的破解“教程”,不法分子声称,只要下载APP,输入ID和密码登录账号,就能随意查看该摄像头的监控画面。
以案示警:
做好智能摄像头安全防范应该:购买智能摄像头时,谨慎抉择,尽量选择品牌有保障的设备;设置一定强度的密码,随时关注摄像头软件的安全提醒;登录摄像头查看时,如发现拍摄角度与安装时发生变化,及时更新账号信息;关注所用摄像头厂商的安全消息,如发现设备漏洞立即停止使用,等待厂家更新。
案例二十—手机安全防范
一觉醒来,支付宝、微信和银行卡里的钱不翼而飞,只留下一堆莫名其妙的验证短信,这是怎么回事?遇到这种情况,很可能是遭遇了“伪基站”攻击。首先,骗子会先用“伪基站”搜索附近的手机设备,然后将诈骗短信输入设备,伪装成运营商或者银行,直将短信发送给附近用户。当设备运行时,用户手机号会被强制连接在“伪基站”上,让用户在8—12秒内无法正常使用,而不法分子恰好利用这段时间群发短信进行诈骗,一旦有用户点击诈骗短信链接就会中招。
以案示警:
手机信息泄密的可能情况:
1.手机APP泄密:由于APP上线审核和监管不严格,为开发者滥用权限提供了便利,可能在软件中加入某些获取用户信息的功能,窥探用户隐私。
2.旧手机泄密:一些APP存在明显地过度索权行为,利 用用户的隐私信息牟取暴利、随意推送广告。
3.侦听设备“监听”手机:
目前,针对手机的各种侦听设备五花八门。特别是当手机接入Wi-Fi网络时,由于信息在互联网传输过程中需要经过传输路由,一旦不法分子控制了路由设备,很容易造成信息泄露隐患。
做好手机安全防范应该:如果手机在显示“无信号”状态下依然收到了可疑短信,不要点击,直接删除;安装手机安全软件,尽量开启“伪基站”防护功能;提高网络安全意识,在网络链接中谨慎填写身份证号码、手机号和密码等信息;设置手机登录密码,在使用手机网络、APP服务后,应及时注销手机账号登录状态,清除敏感信息
案例二十一—数据安全防范
1.某购物网站用户个人信息遭内部人员泄密,该员工利用职务之便,盗取涉及交通、物流、医疗、社交和银行等个人信息50亿条,通过各种方式在网络黑市贩卖。
2.某全球互联网巨头企业透露,至少有5亿用户的账户信息遭黑客窃取,内容涉及用户名、电子邮箱、电话号码和部分登录密码等数据。
3.某国内快递企业出现严重数据泄露事件,作案手法包括掌握公司机密信息的内部人员将数据出售他人、编写恶意程序批量下载客户信息、研发人员从数据库直接导出客户信息等恶性行为。
4.某高考考生个人信息遭到泄露,其数据被非法出售给电信诈骗者,最终,该考生被骗取学费9900元,导致该考生心脏骤停,不幸离世。
以案示警:
做好数据安全防范应该:在手机、电脑等设备上安装杀毒软件,定期进行杀毒清理,防止设备中毒;网站注册时谨慎填写个人隐私信息,不要随意在非HTTPS 网站上注册信息,不点击弹窗;使用手机支付功能时设定适当的转账额度,开通短信通知,及时了解资金的异常变动;避免使用陌生、免费的Wi-Fi。
