从2019年开始全国范围内的公安机关在处理网络违法案件的时候实行了“一案双查”的制度。“一案双查”制度就是在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者,公安机关将依法对其进行严厉查处。
“一案双查”典型案例一,某市网安支队发现某小学的ip地址持续的对外发动网络攻击,很可能是被攻击后受控成为了僵尸机,持续进行APT攻击。网安支队立即展开调查,警方到达该小学现场后发现,该小学正处于假期,学校内师生都已放假,仅有值班领导和保安在学校值守,学校的电脑从放假开始后就无人使用。经对学校接入的互联网电脑进行全面排查后,发现该校一教师用于日常教学的一台电脑仍然处于开机状态,并且电脑内没有安装基本的防护软件。前一段时间内该电脑被频繁远程登录操作,同时Windows系统中的相关工作日志被恶意删除,在接下来的一段时间里攻击者以此台机器为跳板在学校的校园网中进行横向的攻击,经检查发现该校的服务器及未关机的客户端电脑皆遭受到了不同程度的入侵,形成了僵尸网络对外部发动网络攻击。
警方针对调查的情况决定对该案件采取一案双查,在对电脑被入侵情况开展侦查调查的同时,同步启动对该学校网络安全义务履行情况的监督检查。监督检查发现,该小学客户端电脑都是windows7操作系统,服务器都是windows 2008server系统,没有部署统一的安全防护系统及漏洞补丁更新检查系统,同时因为windows7和windows2008server已经过在2020年1月14日到了生命周期,微软官方已经停止了漏洞补丁的发布,高危漏洞很多,属于非常容易被攻击得手的操作系统,万幸的是攻击者只是利用僵尸机进行攻击,并未对该小学电脑实施勒索病毒的攻击。
最终该校的“一案双查”的结果为:该校没有定期对网络用户进行安全教育和培训,该小学没有建立安全保护管理制度,没有严格履行网络安全义务,导致了学校电脑被入侵,造成了网络安全隐患。鉴于该小学未建立安全保护管理制度、未采取安全技术保护措施、未对网络用户进行安全教育和培训,警方根据《计算机信息网络国际联网安全保护管理办法》第二十一条第一款第(一)项、第(三)项的规定,依法给予该小学“警告”处罚,并要求其立即整改。
“一案双查”典型案件二,广西某科技公司遭受勒索病毒攻击导致系统瘫痪。由于急于恢复系统运作以开展业务,该司在未留存涉案相关日志线索且未及时告知公安机关的情况下,直接进行系统清理和数据恢复工作,导致案发现场遭到破坏,案件线索无法进一步追踪。针对该司未依法留存网络日志达法定时长的违法行为,警方对其作出行政处罚,并责令其限期改正。
落实网络安全技术措施,存留日志信息是网络运营者应尽的法律义务,相关举措不仅可以保障自身网络免受干扰、破坏或未经授权的访问,同时也为公安机关依法侦查犯罪提供支持和帮助。
《公安机关互联网安全监督检查规定》,也称“151号令”该规定对《网络安全法》的相关检查内容和处罚措辞给出进一步的解释和说明,例如,“151号令”的第二十一条对上网日志记录有明确的说明”未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚,《网络安全法》在第二十一条中,明确规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,因此,相关日志留存需要满足180天的规定。
在侦办网络安全案件中,公安机关启动“一案双查”网络安全执法工作制,同步检查相关运营者网络安全义务履行情况,督促运营者做好网络安全防范措施,避免出现由于运营者未尽网络安全主体责任义务,导致信息系统存有网络安全风险漏洞,进而给滋生不法活动留下空间。网络安全与每个单位、每个个人息息相关,履行网络安全义务、做好网络安全工作是每个单位和个人的责任。对网络安全法的落地和解读有不清楚的方面,请联系蓝盟IT外包提供网络安全咨询。
中文
电话咨询
微信咨询
公众号
