關於對淮南職業技術學院未落實網絡安全等級保護制度泄露學生身份信息案件調查處理情況的通報

全市各有關單位：

現將淮南職業技術學院未落實網絡安全等級保護制度導致招生信息系統泄露學生身份信息案件調查及處理情況通報如下：

一、 案件基本情況

9月28日下午，市網絡與信息安全信息通報中心（市公安局網安支隊）接到國家網絡與信息安全信息通報中心通報：淮南職業技術學院系統存在高危漏洞，系統存儲的4000餘名學生身份信息已經造成泄露。

接到通報後，市公安局網安支隊立即組織警力攜帶專業技術工具前往淮南職業技術學院網絡中心機房開展現場調查和勘驗取證工作，並依法對網絡中心繫統管理員和操作維護人員進行詢問。經過現場勘驗和調查，確認淮南職業技術學院招生信息管理系統存在越權漏洞，後臺登錄密碼弱口令，學院未落實網絡安全管理制度，未建立網絡安全防護技術措施、網絡日誌留存少於六個月，未採取數據分類、重要數據備份和加密措施，致使系統存儲的4353名學生的身份信息泄露。

二、 處理情況

根據現場勘驗和調查取證工作情況，市公安局網安支隊依法傳喚學院分管網絡信息安全工作的院長和網絡中心主任及相關工作人員進行調查，確認該學校因未落實網絡安全等級保護制度造成數據泄露，依法對淮南職業技術學院處以立即整改和行政警告的處罰措施。對泄露的學生身份信息流向，市公安局正在依法調查中。

三、 工作要求和相關法律條文

請各單位接到通報後，嚴格按照以下法律要求，認真落實網絡安全等級保護制度，履行網絡安全保護義務，保障網絡安全。

1、《網絡安全法》第二十一條：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行爲的技術措施；（三）採取監測、記錄網絡運行狀態、網絡安全事件的技術措施，並按照規定留存相關的網絡日誌不少於六個月；（四）採取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。

第五十九條：網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

2、《刑法》第二百八十六條：不履行信息網絡安全管理義務罪。造成違法信息大量傳播、用戶信息泄漏，造成嚴重後果的。處三年以下有期徒刑、拘役或者管制，並處或者單處罰金。

以上信息來源於公衆號：淮南網警巡查執法

不得不等：2017年2月20日，教育部網絡安全和信息話領導小組辦公室下發了《關於印發教育部網絡安全和信息化領導小組第二次會議會議紀要的通知》的通知，會議強調：加快推進網絡安全等級保護工作。這是教育部今年的第一次強調推進等保工作。2017年3月15日，教育部辦公廳關於印發《教育行業網絡安全綜合治理行動方案》的通知的工作內容中第三條：（三）補齊等保短板，履行安全保護義務。明確提出加快完成定級備案，有序推進測評整改。此案中淮南職業技術學院明顯是沒有落實，有時一些客戶會問不得不等：不做等保會怎麼樣？一般我是這樣說：不做等保小點說安全工作沒有做好，網絡安全責任沒有履行到位，大點說就是違法行爲，違反網絡安全法。你要是真不做，也不會有什麼大的問題，但是你最好不要出網絡安全問題，一旦出了問題，那麼後果就很嚴重，很難彌補。就像此案中一樣，這些泄露出去的學生信息萬一給學生造成什麼損失，是不是學校得負有一定責任呢？反過來，我們再看看目前我們這些高校等教育類客戶，你們的等保制度落實的如何了，教育部的相關通知可是早就發了，怎麼做也是一二三說的很清楚的，今年沒幾個月了，網絡安全法已經正式實施了，難道你們真準備等到自己單位出事了，再去補齊等保短板嗎？鮮活的案例就在身邊，但可不要把自己變成鮮活的案例啊。其他行業也是，以銅爲鏡可以正衣冠,以人爲鏡可以明得失,以“案”爲鏡可以知“未來”。網絡安全責任是自己的，出了事得自己扛，基礎性工作做紮實了，就不會有那麼多煩惱了。19大即將召開，這期間可千萬不要搞點事。