1、2024年9月2024网络安全执法案例集发布机构：安全内参、奇安信行业安全研究中心报告简介本报告由安全内参和奇安信行业安全研究中心联合编写，旨在结合具体执法案例，帮助网络安全工作者、政企机构管理者加强网络安全合规建设水平。报告收录的全部案例，均来自安全内参收集整理的2023年2024年6月底互联网公开信息，每页案例备注部分均提供了相关新闻链接。您可以在安全内参官方网站上检索相关新闻原文：https:/ 主体主体黑产团伙、政企机构违法违法/犯罪犯罪 性质性质数据篡改、建设运维管理疏失所属行业所属行业政府与事业单位影响范围影响范围政企机构利益关键词关键词信息系统数据遭篡改触犯法条触犯法条网络安全法

2、第二十一、五十九条机构责任机构责任未履行安全保护义务涉及领域涉及领域数据安全案例回顾案例回顾2023年9月，天津公安南开分局网络安全保卫支队接到线索：辖区内某单位的重要信息系统数据遭到恶意篡改，严重危害网络安全！南开分局网络安全保卫支队分析发现，该单位运营使用的信息系统存在多重问题：一是防范网络侵入技术措施不完善，物理网络环境内部存在监测漏洞；二是监测、记录网络运行状态的网络日志不足6个月；三是对于安全缺陷、漏洞等风险，该单位未立即采取补救措施亦未向有关部门报告，信息系统持续“带病”运营，给了不法分子可乘之机。依据网络安全法相关规定，南开分局对该单位及相关主管人员分别予以罚款5万元的行政处罚。

3、法律链接法律链接据网络安全法相关要求：网络运营者应当防止网络数据泄露或者被窃取、篡改。采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。某政务系统测试期间泄露公民数据违法违法/犯罪犯罪 主体主体黑产团伙、政企机构违法违法/犯罪犯罪 性质性质数据窃取、建设运维管理疏失所属行业所属行业政府与事业单位影响范围影响范围公众利益关键词关键词数据保护不力触犯法条触犯法条网络安全法第二十一条、第二十二条数据安全法第四十二条个人信息保护法第五十七条机构责任

4、机构责任未履行安全管理义务涉及领域涉及领域数据安全案例回顾案例回顾2023年9月，上海网信部门发布一则案例。某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间，相关存储端存在高危漏洞，导致大量公民数据泄露，以致成为境外不法分子窃取政务数据的“供应链”入口。经查，该公司租用1台私有云服务器，存储了大量公民信息和政务信息，涉及公民个人信息数据1.5万余条。2022年7月，相关公民个人信息在境外黑客论坛被披露兜售。有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查，并对该公司作出行政处罚。法律链接法律链接据网络安全法相关要求：网络运营者应当防止网络数据泄露或

5、者被窃取、篡改。发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施。据数据安全法相关要求：网络运营者不得泄露、篡改、毁损其收集的个人信息。据个人信息保护法相关要求：发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施。行业：能源能源央企行业综述本次报告共收录2023年能源央企行业网络安全行政执法典型案例2起。其中1起案例是由于涉事企业存在建设运维管理疏失而遭到行政处罚，而另外一起案例则是黑产团伙的有组织犯罪，是通过制造作弊加油机，篡改系统数据，从而实现非法敛财的目的。本章节的信息来源为安全内参：https:/ 主体主体企业违法违法/犯罪犯罪 性质性质

6、建设运维管理疏失所属行业所属行业能源影响范围影响范围公众利益关键词关键词存在数据泄露风险触犯法条触犯法条数据安全法第二十七、四十五条网络安全法第二十一条机构责任机构责任未履行安全保护义务涉及领域涉及领域数据安全案例回顾2023年3月，湖南省怀化市沅陵县公安局网安部门在工作中发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。经查，该公司办公电脑未设置开机密码，缴费系统账号密码均为弱口令，并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。怀化沅陵县公安局根据数据安全法第二十七条、第四十五条第一款之规定，给予该企业警告，并责令限期改正。法律链接据数据安全