2017年9月28日下午,市网络与信息安全信息通报中心(市公安局网安支队)接到国家网络与信息安全信息通报中心通报:某职业技术学院系统存在高危漏洞,系统存储的4000余名学生身份信息已经造成泄露。
接到通报后,市公安局网安支队立即组织警力携带专业技术工具前往职业技术学院网络中心机房开展现场调查和勘验取证工作,并依法对网络中心系统管理员和操作维护人员进行询问。经过现场勘验和调查,确认业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露。
要是做了等保测评可能减少此类事情的发生
网络安全等级保护制度(简称等保)是中国为了加强网络信息安全管理,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益而制定的一项制度。等保制度要求不同的网络和信息系统根据其承载的业务重要性和信息敏感程度,划分为不同的安全保护等级,并采取相应的安全保护措施。
如果某职业学院未能落实网络安全等级保护制度,导致数据泄露,可能会产生以下几个方面的问题:
法律责任:根据中国相关法律法规,如《中华人民共和国网络安全法》和《信息安全技术 信息系统安全等级保护基本要求》等,未落实等保制度的单位可能会面临行政处罚,包括但不限于罚款、责令整改、停业整顿、吊销相关业务许可证等。
数据安全风险:数据泄露可能导致学生、教职工的个人信息、学术研究数据、财务信息等敏感信息被非法获取,造成隐私泄露和财产损失。
信誉损失:数据泄露事件可能会损害学校的声誉,影响学校在公众和潜在学生中的形象,进而影响学校的招生和发展。
法律诉讼:受影响的个人或组织可能会对学校提起法律诉讼,要求赔偿因数据泄露造成的损失。
教育影响:学校作为教育机构,有责任保护学生的信息安全,数据泄露可能导致学生和家长对学校的信任度下降。
对于等保测评,是指对网络和信息系统进行安全等级保护的评估工作,以确定其是否符合国家关于网络安全等级保护的要求。等保测评通常包括以下几个步骤:
系统定级:根据系统存储、处理和传输的信息的性质以及对国家安全、社会秩序、公共利益的重要程度,确定系统的等级保护级别。
安全建设:按照确定的保护级别,采取相应的安全技术和管理措施,建立和完善信息系统的安全防护体系。
安全检查:对信息系统的安全措施进行全面检查,确保安全措施得到有效实施。
整改提升:根据安全检查的结果,对存在的安全问题进行整改,提升系统的安全性能。
对于未落实等保制度的职业学院,应尽快进行等保测评,找出存在的安全隐患,采取必要的安全措施,防止数据泄露和其他安全事件的发生。同时,应加强网络安全意识教育,提高全校师生对网络安全的认识和自我保护能力。