使用单位“一托了之”服务商“交付即走” 机构门户网站被入侵篡改

近日，山东烟台公安网安部门在工作中发现，某机构门户网站遭网络攻击，网站被篡改并植入违法内 容，严重扰乱网络空间秩序，造成不良社会影响。 公安网安部门接报后立即开展调查，发现： 提醒 此案暴露出，当前信息系统供应链安全管理缺位的典型缩影：使用单位"一托了之"，服务商"交付即 走"，双方均忽视法定安全义务，形成责任真空，最终酿成安全事件。 依法处理 该机构将门户网站委托给某第三方开发运维公司建设与维护。 该公司在系统开发调试阶段未落实基本网络安全防护措施，未修复已知漏洞，亦未履行风险告知义务， 将存在安全隐患的系统交付上线。 与此同时，该机构作为网络运营者，未依法履行网络安全主体责任。既未建立网络安全管理制度，也未 按网络安全等级保护制度要求部署必要防护措施，对托管系统的安全状况失察失管，导致平台被入侵、 篡改。 案情回顾 《中华人民共和国网络安全法》第二十一条规定：网络运营者应当按照网络安全等级保护制度的要求， 履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡 改。 《中华人民共和国网络安全法》第二十二条之第一款规定：网络产品、服务应当符合国家标准的强制要 求，网络产品 ...