事件概述 - 河南三门峡某公司网站因存在SQL注入漏洞，遭黑客攻击导致首页被篡改为博彩页面 [2] - 公司在收到公安机关整改通知后，仅清除被篡改页面，未彻底修复漏洞，导致网站再次被同一漏洞攻击 [2] - 属地公安机关依据《中华人民共和国网络安全法》，依法追究该公司及直接负责主管人员的法律责任 [2] 法律义务与合规要求 - 根据《中华人民共和国网络安全法(2025修正)》第二十七条，网络运营者需制定网络安全事件应急预案，及时处置系统漏洞、网络攻击等安全风险，并在事件发生时启动预案、采取补救措施并报告 [3] - 根据《中华人民共和国网络安全法(2025修正)》第六十一条第一款，不履行相关网络安全保护义务的，可被责令改正、警告，并处一万元以上五万元以下罚款；拒不改正或导致后果的，罚款可升至五万元以上五十万元以下，并对直接负责人员处一万元以上十万元以下罚款 [3] 事件应对的正确流程 - 网络运营者在遭受攻击后，应立即报告情况并主动配合侦查 [4] - 需准确溯源问题，查摆事件成因 [4] - 必须彻底修复漏洞，并及时进行安全加固，而非仅做表面清除 [4] - 应开展常态监测，定期排查风险，形成管理闭环 [4] 行业与公司启示 - 网络安全保护不能只做“表面功夫”，否则将危害自身系统安全并面临法律惩处 [1] - 发生网络攻击事件后，必须高度重视公安机关的预警提示，严格落实整改要求 [1] - 整改需举一反三，做到全面修补，不能仅亡羊补牢 [1] - 公司需将安全红线视为实线，严肃对待监管提示 [1]