教育行业网络安全行政执法案例集

2022.12教育行业网络安全行政执法案例集奇安信行业安全研究中心 总体情况概述 综述每一起重大的网络安全事故的发生，都与政企机构的网络安全建设运维管理疏失密切相关，有的是安全责任意识淡薄导致，有的是等保落实不到位，有的是机构内鬼等，导致的信息泄露、网页被篡改、传播违法信息等。作为网络安全执法部门，公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身问题，找到自己在安全建设运维管理中的疏失，进而促进自身实战化安全运营能力的提升。 综述奇安信行业安全研究中心联合《安全内参》，针对2020年6月至2022年6月，媒体公开披露的与政企机构相关的各行业千余起网络安全行政执法案例进行整理和分析，筛选出不同行业典型网络安全行政执法案件进行重点分析形成此份报告。报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业，事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法使用企业资源等多种不同情况，对公众利益和政企机构利益都产生了极大的影响。 教育行业综述从公安机关披露的涉及教育培训行业的网络安全行政执法典型案例信息来看，教育培训行业违反网络安全相关法律法规主要表现在以下几个方面：首先是机构或内部员工非法购买或贩卖个人信息，包括普通公民信息，也包括学生信息，造成巨大社会危害甚至构成犯罪。第二是没有应急预案，网站被通报存在安全漏洞后，长期不修复，导致网站信息被犯罪分子窃取、篡改和恶意利用。第三是没有按照等保要求进行信息系统的备案和测评，或是没有按照网络安全法保存网络安全日志，导致违规被要求整改。此外，还有个别机构，滥用教育相关资源，构成“帮信罪。 教育培训行业典型案例 某教育机构非法购买学生个人信息案案件回顾：2021年10月，某市公安分局披露了一起非法获取、贩卖学生个人信息案。网安大队在侦办“刘某等人侵犯公民个人信息案”过程中，发现犯罪嫌疑人将非法获取的学生个人信息贩卖给某些教育培训机构，谋取非法利益。该市网安大队根据《中华人民共和国网络安全法》第四十四条公民个人信息保护的相关规定，对该培训学校有限公司处以罚款30万元的行政处罚。法律链接：根据《中华人民共和国网络安全法》第四十四条，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。而根据第六十四条，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。违法/犯罪主体内部人员违法/犯罪性质机构违法所属行业教育培训影响范围公众利益关键词个人信息、非法获取触犯法条《中华人民共和国网络安全法》第四十四条、第六十四条机构责任非法获取个人信息涉及领域个人信息 某培训机构非法购买个人信息被罚30万案件回顾：2021年5月，自贡公安机关工作发现，辖区某培训机构负责人经公司同意后，以7000元的价格非法购买公民个人信息14000余条，后分发给公司工作人员，使用非法获取的公民个人信息开展招生工作，涉嫌非法获取个人信息。自贡公安机关根据《中华人民共和国网络安全法》第四十四条、六十四条之规定，对该公司作出罚款三十万元的行政处罚。法律链接：根据《中华人民共和国网络安全法》第四十四条，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。而根据第六十四条，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。违法/犯罪主体政企机构违法/犯罪性质机构违法所属行业教育培训影响范围公众利益关键词个人信息、非法获取触犯法条《中华人民共和国网络安全法》第四十四条、六十四条机构责任非法获取个人信息涉及领域个人信息 某电教仪器站未履行网络安全保护义务案案件回顾：2021年3月，某地公安机关接到报案，受害者遭遇刷单诈骗被骗30999元。调查发现，某教育电教仪器网站因未及时处置系统漏洞，致网站长期被非法挂载大量诈骗、赌博、色情广告黑链，致使受害人点击造成现实危害。因该电教仪器网站存在不履行网络安全保护义务的行为，公安机关对该网站处以罚款1万元，并对该网站法人代表董某某处以5000元的行政处罚。法律链接：根据《中华人民共和国网络安全法》第二十五规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。违反第二十五条，将按照第五十九条进行处罚。违法/犯罪主体政企机构、黑产团伙违法/犯罪性质建设运维管理疏失所属行业教育培训影响范围政企机构利益、公众利益关键词系统漏洞、诈骗、赌博、色情、黑链、广告触犯法条《网络安全法》第二十五条、第五十九条机构责任不履行安全保护义务涉及领域违规整改 某学校拒不整改网络安全隐患被依法处罚案件回顾：2020年8月，广州某技工学校在收到广州警方网络安全整改通知书并已明确知悉自身管辖网站存在高危网络安全隐患的情况下，仍在长达1月的时间内不进行隐患整改，无视应尽的网络安全义务，不履行网络安全主体责任，相关行为违反了《中华人民共和国网络安全法》第二十五条之规定。据此，广州警方对其作出行政处罚，并责令其限期改正。法律链接：根据《中华人民共和国网络安全法》第二十五规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。违反第二十五条，将按照第五十九条进行处罚。违法/犯罪主体政企机构违法/犯罪性质建设运维管理疏失所属行业教育培训影响范围公众利益、机构利益关键词拒不整改、行政处罚触犯法条《中华人民共和国网络安全法》第二十五条、第五十九条机构责任建设运维管理疏失涉及领域违规整改 某学院网络日志留存不足六个月被处以警告处罚案件回顾：2020年9月，某市公安局网安大队在某学院例行检查，现场对其网络防火墙、网络路由器进行检查时发现，该学院网络安全日志留存不足六个月。根据调查结果，该分局网安大队依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，对广西某学院处以警告行政处罚。法律链接：根据《中华人民共和国网络安全法》第二十一条，网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。根据第五十九条，网络运营者不履行本法第二十一条，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。违法/犯罪主体政企机构违法/犯罪性质建设运维管理疏失所属行业教育培训影响范围机构利益关键词日志留存触犯法条《中华人民共和国网络安全法》第二十一条、第五十九条机构责任建设运维管理疏失涉及领域日志留存 某高校信息系统仅备案未测评被处罚案件回顾：2020年4月，广州警方在工作中发现，广州某学校对其所属两个办公系统进行网络安全等级保护备案之后，并未依法完成等级保护测评工作，未完成法定网络安全等级保护义务。同时该校作为此二系统的网络安全主责单位，却对系统的安全情况不知悉，也未对系统安全风险及时排查整改。针对该校的违法行为，广州警方对其作出行政处罚，并责令其限时完成等级保护测评。法律链接：根据《中华人民共和国网络安全法》第二十一条，国家实行网络安全等级保护制度。根据《信息安全等级保护管理办法》第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。违法/犯罪主体政企机构违法/犯罪性质建设运维管理疏失所属行业教育培训影响范围机构利益关键词等保触犯法条《中华人民共和国网络安全法》第二十一条《信息安全等级保护管理办法》机构责任建设运维管理疏失涉及领域违规整改 某学校60名学生中考志愿被恶意篡改案件回顾：2021年，凉山公安机关接到报案称，辖区某学校60余名学生中考志愿被他人篡改。经连夜侦查发现，系因某单位网站密码安全等级低，存在网络漏洞，被一升学无望心生报复的不法分子恶意攻击篡改。凉山公安机关根据《中华人民共和国网络安全法》第六十四条之规定，对该单位作出行政警告处罚，并责令限期整改。法律链接：根据《中华人民共和国网络安全法》第十条，建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。违法/犯罪主体政企机构、个人黑客违法/犯罪性质建设运维管理疏失所属行业教育培训影响范围公众利益关键词网页篡改、弱密码、网站漏洞、恶意攻击触犯法条《中华人民共和国网络安全法》第十条、第二十七条机构责任不履行安全管理义务涉及领域管理问题、数据安全 冒用他人信息实名注册出售校园宽带账号案案件回顾：2021年6月，电信行业从业人员利用负责面向在校学生的“办理手机卡加1元即可办理校园宽带”服务的工作便利，在学生申请手机卡后，私自出资1元利用申请手机卡的学生信息办理校园宽带并出售。同时，为帮助他人逃避监管或规避调查，违规帮助上游买家架设服务器，改变宽带账号的真实IP地址，并对服务器进行日常维护。经查，校园宽带账号被他人用于电信网络诈骗，致一被害人被骗人民币158万余元。法律链接：根据《中华人民共和国刑法》第二百八十七条规定：明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。触犯《刑法》第二百八十七条，即构成帮助信息网络犯罪活动罪，简称“帮信罪”。违法/犯罪主体内部人员违法/犯罪性质未履行安全管理义务、帮信罪所属行业教育培训、运营商影响范围公众利益关键词手机卡、宽带、诈骗、帮信罪触犯法条《中华人民共和国刑法》第二百八十七条机构责任帮信罪涉及领域管理问题、个人信息 附录——法条链接 法条链接《中华人民共和国网络安全法》http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml《中华人民共和国刑法》https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3OTZhNjM2YTAxNzk4MjJhMTk2NDBjOTI%3D 附录——名词解释 名词解释——违法/犯罪主体本文违法/犯罪主体主要指对发生的事件负有直接责任的主体。本文包括政企机构、内部人员、个人黑客、黑产团伙与APT组织。政企机构：本文中指公司、企业、事业单位、机关、团体。内部人员：指在政企机构任职或曾经任职能获取到“内部信息”的人员。个人黑客：本文中指利用IT技术入侵或攻击他人电脑/系统的个人。黑产团伙：指两至三任以上，为实施违法犯罪行为组织起来的一中犯罪组织形式。APT组织：具备高级、长期、持久而有效针对特定主体，进行网络威胁（APT攻击）的团伙/组织 名词解释——违法/犯罪性质网络运营者应当按照法律法规和相关要求履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问。针对不同案件的性质不同，本文对违法/犯罪性质做了分类，包括建设运维管理疏失、机构犯罪、外部入侵等。建设运维管理疏失：网络运营者未能履行网络建设和运维、管理、监测、记录等安全保护义务，导致网络受到干扰、破坏或未经授权的访问。机构犯罪：指公司、企业、事