事件概述 - 山东烟台某机构门户网站遭网络攻击，网站被篡改并植入违法内容，严重扰乱网络空间秩序[1] 事件原因分析 - 涉事机构将门户网站委托给第三方开发运维公司建设与维护[2] - 第三方公司在系统开发调试阶段未落实基本网络安全防护措施，未修复已知漏洞，亦未履行风险告知义务，将存在安全隐患的系统交付上线[2] - 涉事机构作为网络运营者，未依法履行网络安全主体责任，未建立网络安全管理制度，也未按网络安全等级保护制度要求部署必要防护措施，对托管系统安全状况失察失管[2] 暴露出的行业问题 - 案件暴露出信息系统供应链安全管理缺位的典型缩影：使用单位"一托了之"，服务商"交付即走"，双方均忽视法定安全义务，形成责任真空[4] 法律处理结果 - 依据《网络安全法》第二十一条、第五十九条第一款，责令涉事机构限期改正，因其未履行网络安全保护义务、未建立网络安全管理制度[5] - 依据《网络安全法》第二十二条第一款、第六十条，责令涉事开发运维公司限期改正，因其未采取安全措施、未按规定告知和报告系统风险[8] 相关法律依据 - 《网络安全法》第二十一条规定网络运营者应履行安全保护义务，保障网络免受干扰、破坏或未经授权的访问，防止网络数据泄露或被窃取、篡改[9] - 《网络安全法》第二十二条第一款规定网络产品、服务提供者应保障产品服务安全，发现安全缺陷漏洞时应立即采取补救措施并告知用户和报告主管部门[9] 行业提示 - 系统可以外包但责任不能外卸，使用单位须切实履行主体责任，将安全要求写入合同并纳入验收[10] - 开发运维单位须依法保障所提供产品和服务的安全性，做到"交付即安全、运维即负责"[10] - 双方共担责任才能筑牢供应链安全防线[11]