就网传江西某教育数据库被格式化无备份谈等级保护责任

文摘 2025-01-17 08:09 河南

很多人对等级保护的理解是等级测评！有时，我就想问一句：你做等保了吗？你做的是等保吗？

今天就顺着《回顾《网络安全法》第一个处罚案例看等级保护》结合某教育网站数据库被格式化，也没有备份这事情，再来谈谈等级保护。去年，广东省教育厅就网络安全的内容安全给全国上了一课。

今年，江西这件事情若是属实，则是从运维安全事故视角给我们上了一课。本文是根据网络上聊天截图，做一些关于等级保护合规的探讨。关于事件本身具体责任如何划分，以官方最终权威公示为准。

首先，我们说《网络安全法》第二十一条明确了国家实行网络安全等级保护制度。然后，在此基础上进一步诠释需要履行的义务，最后分解为五项内容。而这些都是等级保护制度之下的更详细的内容要求。

其中第二十一条第（四）项明确网络运营者需要“采取数据分类、重要数据备份和加密等措施”，也就是从法律文件中已经描述到“重要数据备份”的要求，也就是“重要数据备份”已经成为法定要求、强制性要求。

我们再结合2015年7月15日教育部、公安部联合发布的《关于全面推进教育行业信息安全等级保护工作的通知》（教技[2015]2号）及2014年教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知（教技厅函[2014]74 号）等文件，看一下网传的“江西教育系统的江教在线（www.know.edu.cn），也是江西高考成绩查询的网站”应该归到哪一类，安全保护等级为第几级？

该系统为“政务管理类”，涉及到高考成绩查询与招生，省级平台。从定级指南视角，应该为第三级网络。如果仅仅是作为宣传的网站和入口，不涉及背后的其他平台。划到综合服务类，作为省级的网站，那么定级参考也是网络安全等级保护的第三级。

那么，我们再结合等级保护国家标准《网络安全等级保护基本要求》GB/T 22239-2019来看看，作为第三级的网络应该在备份方面做哪些工作？

上图，为第一级到第四级，关于数据备份恢复的技术层面的基本要求项。第三级，则需要考虑细节：

数据备份恢复技术要求项

数据备份恢复技术要求项

a)应提供重要数据的本地数据备份与恢复功能；

b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

c)应提供重要数据处理系统的热冗余，保证系统的高可用性。

上图图，为第一级到第四级，关于备份与恢复管理的管理层面的基本要求项。第三级，则需要考虑细节：

备份与恢复管理要求项

备份与恢复管理要求项

a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；

b)应规定备份信息的备份方式、备份频度、存储介质、保存期等；

c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

由此，我们可能看到了关于备份的问题，如果发生这种情况时，这类单位其实已经基本上是放弃了事件处置与应急处理，或者可以推测该等级保护对象的事件处置和应急处理应该是一塌糊涂。所谓的应急组织、应急预案等同虚设。

那么，我们回到等级保护工作的实质。如果，像这类单位在等级保护测评中，拿到的分数就算是100分，结论是优。其实，按照《网络安全法》一样会被处罚。从法理上说，监管部门指导应急过程中，会发现应急形同虚设，那么对应的《网络安全法》第二十五条处罚，而未对重要数据备份，则对应的《网络安全法》第二十一条，第（四）项。

所以，落实等级保护工作，不是拿到一纸备案，也不是测评报告上的得分。从来，也没有任何一条法律说做了有关工作就可以不处罚，这不是一个充要条件，只能证明一点，不做会被处罚，不按要求做一样被处罚。

合规需要的是要脚踏实地，落实到位又环环相扣，中途偷工减料或者应付，最终得的虚分再高，也是一场忽悠！如果报告与实际情况差距过大，那么涉嫌造假，引发更大的责任。同样，也不用找理由逃避责任，因为不明确责任人，单位一样是在违反《网络安全法》第二十一条。

这次网传事件的责任究竟该谁来承担，无论落在谁身上或许每个人都感觉自己是个背锅侠。那么，设计之处的“三同步”是如何落实的，方案是否考虑了数据备份与恢复，那么方案又是哪个专家评审的，有没有提出异议等等，出了这么低级的问题，肯定某个环节出问题了。那么，一个不能满足要求的方案又是如何付出实施的，实施过程中又有多少问题？一大堆问号应该得到解答！

谁来担责任，具体事件咱也不敢说，咱也不敢问。至少对于网络所有者是主体责任、直接责任，其次建设、运维等都有间接法律责任在里面。每次网络安全事件背后，都有一堆网络安全企业。

最后，我最想知道的是，这个网站最终定级是几级？是否开展了备案？有没有开展测评或风险评估？测评报告得分是多少？结论是什么？

那么，你的报告虚的分数再高，做的是等保吗？做的是《网络安全法》要求的等保吗？

以下图片，来自网络！

祺印说信安

学习网络安全、说网络安全；共同致力于网络安全、网络安全等级保护。

最新文章

第一观察丨中央纪委全会，总书记讲话振聋发聩

国外：一周网络安全态势回顾之第83期

ICS/OT安全的高风险脱节

一图读懂中央经济工作会议→

中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）

保持数据清洁对于网络安全至关重要

美国土安全部解散网络安全审查委员会

国家数据局郑重声明！

关于向社会公开征求《数据领域常用名词解释（第二批）》意见的公告

美国前中情局分析师承认泄露国防信息

如何计算人工智能网络安全的投资回报率

如何限制资源访问以提高网络安全

依法严打网络违法犯罪 “净网2024”取得显著成效

防火墙的四大缺点与局限性

ISC2网络安全劳动力研究：人工智能技术工人短缺

什么是零信任：安全性、原则和架构

OWASP 2025年十大漏洞–被利用/发现的最严重漏洞

126个Linux内核漏洞可让攻击者利用78个 Linux子系统

国外：一周网络安全态势回顾之第82期

思科、惠普、奔驰三大巨头发生数据泄露事件，HPE已开始调查违规索赔

CISA、FBI 更新软件安全建议

就一宁波网络数据行政处罚案例谈“在建中交付前”的等级保护责任问题

美国总统发布行政命令要求所有机构加强国家网络安全

ICS/OT安全的高风险脱节

App个人信息收集情况测试报告合集（10个）下载

宁波一化工企业存在多项网络违法，且被境外势力多次获取危险源监控视频数据

“守护平安·2024”年终成效盘点系列报道——公安机关依法打击网络黑客犯罪取得显著成效

谷歌发布软件组成分析开源库

美国宣布对朝鲜假IT工作者网络实施制裁

涉案2000万！网警成功侦破一起特大“造谣引流”网络水军案

2024年美国医疗保健数据泄露：585 起事件，1.8 亿条用户记录遭泄露

如何遵循欧盟威胁主导渗透测试的要求

App违法违规收集个人信息？通报！

支付宝紧急声明，支付宝不会向用户追款

就网传江西某教育数据库被格式化无备份谈等级保护责任

全国网络安全等级测评机构最新目录

回顾《网络安全法》第一行政处罚案例看等级保护

支付宝出现重大事故：整整5分钟，所有订单打8折

如何消除软件开发中的“影子人工智能”

网传江西教育厅高考查分网站数据库被格式化，没有备份！

《2025年全球网络安全展望》显示部门之间的网络弹性差距正在扩大

如何通过三个阶段阻止DDoS 攻击

英国考虑禁止支付勒索软件费用

国家发展改革委等部门印发《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》的通知

公安部公布8起打击网络黑客犯罪典型案例

拜登在任期尾巴，签署发展美国人工智能基础设施的行政令

微软2025年1月份于周二补丁日针对161漏洞发布安全补丁

欧洲网络安全技能框架之首席信息安全官（CISO）

警惕！发现一批境外恶意网址和恶意IP

顽疾：86％路由器的默认密码从未更改过，弱口令是国际难题

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉