【安全圈】因缺乏网络安全监管，北京一公司网站被黑客改成赌博网站！

近期，北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度，切实压紧压实网络运营者的主体责任，对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。

01

北京某科技信息服务有限责任公司所属网站内出现涉赌违法信息。该公司官网为静态页面，涉事服务器为虚拟服务器，用户访问静态文件不需要任何权限。2023年11月12日被人进入公司服务器内将文件改写成赌博网站信息。

经查，该网站联网使用后，系统没有在公安机关进行网络安全等级保护备案，对系统的漏洞扫描已是半年前。该公司网站系统未落实网络安全保护义务，未采取防范计算机病毒和网络侵入等技术措施。

北京市公安局东城分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，责令该公司整改并给予警告的行政处罚。

02

北京某科技有限责任公司未落实网络安全保护责任，无内部网络安全管理制度以及操作规程，其内部的网站存在被植入不法链接、跳转赌博网站的漏洞，属于不履行网络安全保护义务的行为。

北京市公安局门头沟分局根据《中华人民共和国网络安全法》第二十一条第一项、第二项、第五十九条第一款之规定，责令该公司整改并给予警告的行政处罚。

03

北京某科贸有限公司网站发现存在SQL注入漏洞。经查，该公司网站没有制定建立管理制度，没有定期开展网络漏洞扫描工作，未依法采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

北京市公安局密云分局根据《中华人民共和国网络安全法》第二十一条、第五十九条第一款，责令该公司整改并给予警告的行政处罚。

04

北京某装饰工程有限公司网站存有违法信息，该网站未对其发布的信息进行有效审核及管理，导致该违法信息在网络上发布，造成不良影响，属于不履行网络信息安全管理义务的行为。

北京市公安局大兴分局根据《中华人民共和国网络安全法》第二十一条、第六十八条第一款之规定，责令该公司整改并给予警告的行政处罚。

05

北京某科技有限公司所使用的一款寄快递微信小程序存在安全隐患，经对小程序进行检测，发现该款小程序存在高风险漏洞5个，容易造成数据泄漏的风险。

北京市公安局通州分局依据《中华人民共和国网络安全法》第二十一条第二项、第五十九条第一款的规定，责令该公司整改并给予警告的行政处罚。

“SQL漏洞注入”小科普

SQL注入攻击是黑客对数据库进行攻击的常用手段之一，被广泛用于非法获取网站控制权。这是在应用程序的数据库层中发生的安全漏洞，导致数据库受到攻击，从而可能导致盗窃，修改和删除数据，并进一步导致网站嵌入恶意代码，植入后门程序的危害等。

法律法规

《中华人民共和国网络安全法》第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。