近日，山东省烟台市公安局在工作中发现某机构门户网站遭到网络攻击。网站被黑客攻击，植入非法内容，严重扰乱网络空间秩序，造成社会不良影响。 01 案例回顾 公安网安部门接到举报后立即展开调查，发现： 该组织将门户的建设和维护委托给第三方开发和运维公司。 公司在系统开发调试阶段未落实基本的网络安全防护措施，未修复已知漏洞，未履行风险告知义务，未将存在安全风险的系统上线。 该机构作为网络运营者，未依法履行网络安全主体责任。它是一个lso未建立网络安全管理制度或未按照网络安全等级保护制度的要求部署必要的保护措施，忽视对托管系统安全状态的管理，导致平台遭受攻击而崩溃。 温馨提示 该案例暴露了当前信息系统供应链安全管理缺失的典型缩影： 用户单位“转动它”，服务提供商“交付它并离开”。双方无视法律规定的安全义务，造成责任真空，最终导致安全事故的发生。 02 依法处理 根据《中华人民共和国网络安全法》有关规定，网络安全部门将依法处理： 机构参与 涉事机构未履行网络安全保护义务、未建立有网络安全管理制度的，应当依照第二十一条、第五十九条第一款的规定责令限期改正。 参与公司的发展和运营 涉事开发运营公司未采取安全措施，未按要求通报、报告系统风险的，依照第二十二条第一款、第六十条的规定责令限期改正。 03 法律依据 《中华人民共和国网络安全法》第二十一条 网络运营者必须按照网络安全等级保护制度的要求履行安全保护义务，保护网络免遭中断、破坏或者未经授权的访问，防止网络数据泄露、被盗用、篡改。 《中华人民共和国网络安全法》第二十二条第一款 网络产品和服务必须符合指令国家标准的相关要求。网络产品和服务提供者不得设置恶意程序。发现其网络产品和服务存在安全缺陷或者漏洞风险时，必须立即采取补救措施，按照规定及时通知用户，并向有关主管部门报告。 系统可以外包，但责任不能推卸。 使用单位必须忠实履行主体责任，将安全要求写入合同，并纳入验收； 开发和运维单位必须依法保证所提供的产品和服务的安全，做到“交付就是安全，运维就是责任”。 只有双方共担责任，才能筑牢供应链安全的坚固防线。