案件概述 - 山东烟台某机构门户网站遭网络攻击 网站被篡改并植入违法内容 严重扰乱网络空间秩序并造成不良社会影响 [1] 事件原因分析 - 涉事开发运维公司在系统开发调试阶段未落实基本网络安全防护措施 未修复已知漏洞 亦未履行风险告知义务 便将存在安全隐患的系统交付上线 [2] - 涉事机构作为网络运营者 未依法履行网络安全主体责任 既未建立网络安全管理制度 也未按网络安全等级保护制度要求部署必要防护措施 对托管系统的安全状况失察失管 [3] - 此案暴露出信息系统供应链安全管理缺位 使用单位“一托了之”与服务商“交付即走” 双方均忽视法定安全义务 形成责任真空 [4] 法律处理结果 - 依据《网络安全法》 涉事机构因未履行网络安全保护义务及未建立网络安全管理制度等行为被责令限期改正 [5] - 依据《网络安全法》 涉事开发运维公司因未采取安全措施及未按规定告知和报告系统风险等行为被责令限期改正 [6] 相关法律依据 - 《网络安全法》第二十一条规定网络运营者需按等级保护制度履行安全保护义务 保障网络免受干扰破坏或未授权访问 防止数据泄露或被窃取篡改 [7] - 《网络安全法》第二十二条第一款规定网络产品服务需符合国标强制要求 提供者不得设置恶意程序 发现安全缺陷漏洞时应立即补救并告知用户及报告主管部门 [8] 行业启示与建议 - 系统可以外包但责任不能外卸 使用单位须切实履行主体责任 将安全要求写入合同并纳入验收 [9] - 开发运维单位须依法保障所提供产品和服务的安全性 做到“交付即安全、运维即负责” 双方共担责任才能筑牢供应链安全防线 [10]