|
近期,公安机关在工作中发现部分使用IDS广告发布软件早期版本软件的产品,如用户未修改用户名和密码,存在较高的弱口令风险。针对此风险,软件开发公司已发布了新版本的软件,并强制登录用户使用强口令。请你公司接到此告知后立即排查本单位产品是否使用了IDS广告发布软件,并对相关软件立即升级为最新版本。
现将联网电子显示屏发布系统研发运营单位及使用客户履行网络安全义务工作指引告知如下:
一、联网电子显示屏发布系统研发运营者责任
联网电子显示屏发布系统研发运营单位包括硬件研发和软件研发两方面,其中如相关企业仅负责硬件、软件研发(合贴牌转售) 其产品属于网络产品,需履行《网络安全法》第二十二条的相关义务;如相关企业除软硬件研发外,还负责软件的日常维护、提供网络运维服务等则属于网络服务提供者,还需参照本指引第二部分履行相关网络安全义务。
(一)对于联网电子显示屏发布系统研发运营企业开展上门检查执法应告知以下网络安全义务。(《网络安全法》第二十二条)
一是网络产品、服务应当符合相关国家标准的强制性要求; 二是网络产品、服务的提供者不得设置恶意程序; 三是现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告; 四是网络产品、服务的提供者应当为其产品、服务持续提供安全维护; 五是网络产品、服务的提供者,在规定或者当事人约定的期限内,不得终止提供安全维护。
(二)针对上述网络安全义务,相关企业应履行至少履行以下安全措施。
一是联网电子显示屏发布系统研发运营企业在应按照国家强制标准对相关服务、产品进行检测; 二是严格遵守法律法规的规定,不得设置恶意程序; 三是针对网络安全缺陷、漏洞等风险的时效性特点,建立常态化检测机制,及时发现并弥补漏洞;建议应急响应机制,对于企业自我发现或被明确告知的安全缺陷、漏洞等风险,或已造成严重网络安全后果的,应立即组织人员开展弥补工作,告知用户采取升级、断网等措施,并及时向属地公安机关的网络安全监管部门报告。 四是要建立客户销售清单,详细梳理产品或服务客户的信息,包括法人、高级管理人员、使用运维人员等联系信息,以及产品销售数量、去向等清单,方便在发现安全缺陷、漏洞后,及时有效的告知用户。 五是网络产品、服务在规定或者当事人约定的期限内,不得停止安全维护,安全维护措施包括缺陷、漏洞弥补升级、风险告知、更新客户紧急联系方式等。
(三)明确不履行网络安全义务的法律责任。
根据《网络安全法》第六十条,违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给子警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(1)设置恶意程序的; (2)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (3)擅自终止为其产品、服务提供安全维护的。
应明确告知如相关网络安全缺陷、漏洞等风险导致产生严重危害国家安全、政治安全后果的,居于危害网络安全后果严重范時,公安机关将对相关责任单位或个人从严、从重开展执法。
二、联网电子显示屏发布系统管理、使用者责任
联网电子显示屏发布系统管理、使用者,包括购买了联网电子显示屏发布系统硬件以及软件系统的个人或法人。
(一)对于联网电子显示屏发布系统管理、使用者责任开展上门检查执法应告知以下网络安全义务。(《网络安全法》第二十一、四十七、四十八条)
(1)联网电子显示屏发布系统管理、使用者应履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: 一是制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 二是采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; 三是采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 四是采取数据分类、重要数据备份和加密等措施; 五是法律、行政法规规定的其他义务
(2)联网电子显示屏发布系统管理、使用者以及联网电子显示屏系统管理服务的提供者,应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
(3)联网电子显示屏发布系统管理、使用者以及联网电子显示屏系统管理服务的提供者,应当履行安全管理义务,知道其用户有设置恶意程序,发布含有法律、行政法规禁止发布或者传输的信息行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
(二)针对上述网络安全义务,相关企业应履行至少履行以下安全措施
一是制定内部安全管理制度和操作流程,明确安全负责人,管理、使用者如购买使用第三方产品或服务的,应及时告知产品服务提供方本单位的联系方式。 二是对于联网电子显示屏的管理软件和安装操作系统需及时升级,并落实防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。 三是对于联网电子显示屏发布系统允许用户自行发布信息的,要依法采取“先审后发”“有害信息屏蔽过滤” 等信息发布安全管理措施。 四是在国家重大网络安全保卫任务期间,联网电子显示屏发布系统的管理、使用者,应落实专人值守,依法配合公安机关开展的专项安全监督检查,并落实风险评估、应急演练以及应急情况下的断网、断连接等网络安全措施。 五是联网电子显示屏发市系统要留存硬件网络地址及分配使用情况,并对可以登录相关系统的用户,进行实名登记;同时对于用户登录系统的账户严格落实强口令认证,避免弱口令漏洞被利用。
(三)明确不履行网络安全义务的法律责任。
根据《网络安全法》 第五十九条 网络运营者不履行本法第二十条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令晢停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。应明确告知如相关因网络安全责任不落实,导致产生严重危害国家安全、政治安全后果的,属于危害网络安全后果严重范畴,公安机关将对相关责任单位或个人从严、从重开展执法。 |
