分会场2-6-1-CPX CHINA 2024 浅谈网络安全合规实务.pdf

《分会场2-6-1-CPX CHINA 2024 浅谈网络安全合规实务.pdf》由会员分享，可在线阅读，更多相关《分会场2-6-1-CPX CHINA 2024 浅谈网络安全合规实务.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、12023 Check Point Software Technologies Ltd.杜文琦 安信检测CTO浅谈网络安全合规实务22023 Check Point Software Technologies Ltd.22023 Check Point Software Technologies Ltd.网络安全事件0132023 Check Point Software Technologies Ltd.近日，广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现，北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。经查，涉案公司主要提供网上咨询服务，建设有一网站，在

2、日常工作中收集了个人和企业等大量公民信息，但未能按照中华人民共和国数据安全法中华人民共和国网络安全法以及有关等级保护工作要求落实网络安全保护主体责任。公司网站服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，网站存在被多个境外IP攻击入侵的情况。此外，公司未采取数据加密等有效的技术保护措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。该公司还存在网站日志只存储30日，网络日志留存不足六个月及相关安全管理制度缺失等问题。对此，广西北海公安机关根据中华人民共和国网络安全法第四十

3、二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。网络安全法执法案例分析未落实网络安全保护责任未做等保备案未做等保测评未明确网络安全责任人网站安全防护措施不足未部署入侵检测设备未部署防病毒设备弱口令或口令泄露未采取数据加密数据明文传输数据明文存储个人信息存储未去标识化发现个人信息泄露后，未主动向公安机关报告安全事件处置制度不完善缺少应急预案网站日志只存30日未部署日志审计系统日志留存时间违法日志留存时间过短，不利于破案42023 Check Point Software Technologies Ltd.浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中

4、，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。外包运维权限过大。公有云服务器存在弱口令或口令泄露。敏感业务数据明文存储云租户未部署防入侵、防病毒等安全技术措施对公司及项目主管、直接责任人分别罚款100万元、8万元、6万元。未限制云控制台管理地址。依据数据安全法数据安全法执法案例分析52023 Check Point Software Technologies Ltd.52023 Check Point Software Technologies Ltd.网络安全政策法规0262023 Check Point

5、 Software Technologies Ltd.中华人民共和国网络安全法中华人民共和国网络安全法由第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。这部法律是网络安全领域的基础性法律，也是国家安全领域的一部重要法律。72023 Check Point Software Technologies Ltd.适用范围在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。责任部门国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各

6、自职责范围内负责网络安全保护和监督管理工作。中华人民共和国网络安全法第2&8条82023 Check Point Software Technologies Ltd.国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：(四)采取数据分类、重要数据备份和加密等措施；(二)采 取 防 范 计 算 机 病 毒 和网 络 攻击、网络侵入等危害网络安全行为的技术措施；(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；(三)采取监测、记录网络运行状态、网络