首页 / 公告

隐私信息泄露频发!企业如何开展网络安全保护工作?

更新时间:2020-07-29 07:13:50

 随着信息化进程不断推进,网络和信息系统的安全问题愈加重要。互联网时代,企业和机构掌握着大量公民隐私信息,一旦遭到网络攻击,便会造成十分严重的后果。 


美国200多个公检法部门泄露296GB数据文件

2020年6月,激进组织(DDoSecrets)声称从美国执法机构和融合中心窃取了296GB被称作BlueLeaks的数据文件,这些数据包含了美国200多个警察部门和执法融合中心(Fusion Centers)的报告、安全公告、执法指南等。据推测,某些文件还包含敏感的个人信息,例如姓名、银行账号和电话号码。

 

英国政府泄露2800万未成年人数据2020年1月,英国教育部数据库的信息访问权被一家博彩公司非法获取,该数据库包含2800万儿童的记录,包括学生姓名、年龄及详细地址等信息,是英国政府发生的最大的数据泄露事件之一。根据《泰晤士报》的报道,泄露的数据是由一家第三方培训机构Trustopia向数据情报公司 GB Group提供的,而GB Group会将数据提供给一些赌博公司,这些公司会将这些数据用于其网站上的年龄和ID验证。事件发生后,教育部已禁用对该数据库的访问,并将事件上报了ICO隐私保护机构。


重庆涉外黑客入侵700余个政府机关网站挂黑链

2018年5月,重庆警方破获一起涉外黑客非法获取我国境内网站服务器权限并出售获利的案件。该黑客团伙主要攻击入侵国内的新闻、学校、政府机关网站,通过寻找此类网站漏洞,植入木马病毒,控制网站服务器,加挂黑链自动链接博彩网站,或把境外博彩公司链接地址保存在搜索引擎内,以加大博彩公司访问量。经审讯,该网络黑客团伙组织分工严密,非法侵入、控制境内网站数量巨大,该黑客犯罪团伙入侵的国家事务的网站达到200余个,非法控制网站500余个,涉案金额高达2千余万元。


类似于以上事件,我们能够发现更多的网络安全问题大多因为内部对于安全建设和管理有疏漏,导致黑客乘虚而入。加强网络安全,提高内部管理人员的安全培训,成为当下维护网络安全的重中之重。  


网络安全等级保护:在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统(APP)安全等级保护。  

对此,党中央、国务院高度重视信息安全保障工作,要求建立国家信息安全保障体系。公安部会同有关部委出台了一系列的文件以及对有些具体工作的指导意见和规范,并在全国范围内组织完成了信息系统安全等级保护基础调研(2005年)、信息安全等级保护试点(2006年)、全国重要信息系统安全等级保护定级(2007年)、信息安全等级保护测评体系试点(2009年)等工作。


公安部印发的《关于开展信息安全等级保护安全整改工作的指导意见》(公信安[2009]1429),明确提出:依据网络安全等级保护有关政策和标准,通过组织开展等级保护安全管理制度、技术措施和等级测评,落实等级保护制度的各项要求


如:2020年,成都市新都区行政审批局设立了“新都区人民政府门户网站系统等级保护测评项目”,对系统实施等级测评。通过等级测评,测评机构可以帮助新都区人民政府门户网站找出系统中存在的安全隐患,明确系统当前的安全保护水平与国家网络安全等级保护要求之间的差距,并通过提出有针对性的整改建议为后续的系统达标和可靠稳定运行奠定良好的技术基础。


为什么要做等级保护?
01、法律法规要求 《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。


02、行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。


03、企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。简单来说,《网络安全法》一直对网站、信息系统、APP有等级保护要求,中小型企业通常是行业要求才意识到问题。

 信息安全等级保护测评的依据:
依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统


安全等级状况开展等级测评。 
第一级:用户自主保护级,目前1.0版本不需要去备案(提交材料公安部也会给备案证明),等保2.0是需要备案的; 第二级:系统审计保护级,二级信息系统为自主检查或上级主管部门进行检查,建议时间为每两年检查一次; 第三级:安全标记保护级,三级信息系统应当每年至少进行一次等级测评; 第四级:结构化保护级,四级信息系统应当每半年至少进行一次等级测评; 第五级:访问验证保护级,五级信息系统应当依据特殊安全需求进行等级测评。


公司宝温馨提醒:如果您的企业,还没有进行等保备案和测评,那可要抓紧啦!网络信息安全不仅仅关乎企业安全,更关乎国家利益!如果您有任何关于等级保护方面的疑点和难点,欢迎私信公司宝小编。希望能够给您带来有益的帮助!(文章图片来源于互联网)