成都多家企业未履行网络和数据安全保护义务被罚

四川手机报

近期，成都市互联网信息办公室依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，针对属地多家企业未履行网络和数据安全保护义务的行为，给予行政处罚。现向社会公开通报典型案例如下。

案例一
经查，我市某智慧停车企业所属主机 9200 端口承载的 ElasticSearch 数据库服务端口暴露于互联网，且该数据库存在未授权访问漏洞、留存相关网络日志不足六个月。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取相应的技术措施和其他必要措施保障数据安全，存在数据泄露风险。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，给予该企业警告处罚。

案例二
经查，我市某互联网医疗企业所属主机 3306 端口承载了 MySQL 数据库，因开发人员为工作便利取消访问控制措施，该端口暴露于互联网，且该数据库存在弱口令漏洞。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取相应的技术措施和其他必要措施保障数据安全，存在数据泄露风险。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，给予该企业警告处罚。

案例三
经查，我市某建筑互联网企业所属主机 8123 端口承载的 ClickHouse 数据库服务因默认访问策略未删除、人工配置的端口访问限制策略未生效，该端口暴露于互联网，且该数据库存在未授权访问漏洞、留存相关网络日志不足六个月。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取相应的技术措施和其他必要措施保障数据安全，存在数据泄露风险。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，给予该企业警告处罚。

案例四
经查，我市某医疗机构所属主机 21 端口承载的 FTP 服务因测试系统时未配置端口访问限制及身份认证策略，该端口暴露于互联网，且存在未授权访问漏洞。该机构未依法履行网络安全、数据安全保护义务，涉事系统未采取相应的技术措施和其他必要措施保障数据安全，存在数据泄露风险。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，给予该机构警告处罚。

【安全提示】

网络空间已经成为人们生产生活的新空间，让互联网在法治轨道上健康运行是全社会的共同责任。以上案例表明，网络和数据安全的保障是一个系统工程，制度建设、技术防控、人员管理、事件响应等各个环节缺一不可。企业需多维度、系统性地履行法律义务，防范数据泄露风险。具体来说，需重点做好以下几个方面工作，全面提升网络和数据安全防护能力：

一是深化法律法规学习：持续深化《网络安全法》《数据安全法》《个人信息保护法》等法律法规的学习，牢固树立法律红线和安全底线的意识，将合规经营作为一切业务活动的前提。

二是构建全流程管理制度：根据业务属性和数据处理特点，制定清晰的网络和数据安全管理制度，明确数据收集、存储、使用、传输、共享、销毁等环节的职责分工、权限设置和操作规程，做到 “职责明确到人、管理有章可循”。

三是加强身份核验与权限控制：针对重要数据和敏感个人信息，采取严格的身份认证措施，落实 “最小权限” 原则，防止未经授权的访问与滥用，防范越权访问风险。

四是提升技术防护能力：全面落实加密存储和传输、去标识化处理、日志审计、危险流量阻断与安全监测等技术措施，定期开展系统漏洞扫描与补丁修复，实施安全基线管理，切实提高抵御网络攻击和防止数据泄露的能力。

五是常态化开展安全培训：定期组织员工参与网络和数据安全培训、演练，增强员工网络和数据安全保护意识与能力，避免因人员管理松散导致的安全漏洞，形成企业内部的安全文化氛围。

六是健全应急响应机制：建立网络和数据安全事件快速响应和处置机制，制定完善的应急预案，定期开展应急演练，一旦发现数据泄露等事件，做到迅速阻断、妥善处置，依法及时告知用户并向主管部门报告，最大限度减少损害后果。