网络安全法6.1起施行,怎样让你的网站更安全?

信息化时代,网络已深刻地融入到社会生活的各个方面,网络安全威胁也随之向各层面渗透,并且已经从线上渗透到线下。为保障网络空间和国家安全,社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,6月1日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)将正式施行。

那么问题来了,《网络安全法》对网站运营者提出了哪些要求,网站该如何做好应对措施?哪些新规和网站运营者息息相关?网站运营该做好哪些应对措施呢?为此,小编采访了百度安全专家,从网站安全建设、规范网络运营两大方面进行了解读,希望给网站提供一些操作性强的建议。

第一部分 关于企业自身的安全建设

问题一:定期给网站进行安全体检

法律规定:《网络安全法》第九条规定,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

专家解读:网站自身的安全是各种网络活动顺利展开的基石,也是保护网民财产和隐私的基础。为此,网站要从以下几个方面做好准备:

一是定期为网站进行体检,及时发现网站的潜在风险并尽快修复。有条件的网站建议每个季度进行一次渗透测试,尤其是金融、电商这些重点行业企业。如果企业本身缺乏专业的能力和人才,可以与专业的第三方安全机构合作开展。

二是网站在产品研发和上线过程中,要始终坚持安全原则。重点产品上线前要经过代码安全审计和渗透测试,确保没有漏洞和后门的可能。

三是过去一些网络服务商出于各种目的习惯性的保留程序的后门,有的是为了后期提升用户体验,有的则是为了测试使用,还有的就是为了收集用户隐私。网络安全法实施之后,这样的行为将被禁止。因为这些后门给黑客打开了方便之门,经常会出现“螳螂捕蝉,黄雀在后”的情况。比如,苹果iOS系统2014年被曝出com.apple.pcapd服务存在后门,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据,能够泄漏“大量情报”。

问题二:从四个层面完善网站安全建设

法律规定:《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

专家解读:建立安全防护体系,不仅是符合法律规定,更是为了保护网站和网民的安全。为此,企业应从硬件安全、系统安全、数据安全、应用安全四个方面来部署完善的安全策略,可以自行研发,也可以与符合资质的安全服务商合作。目前安全市场有成熟的解决方案,从私有云部署到SaaS化的安全服务,再到混合云部署都可以支持,企业可以根据自身的业务重要性、资金实力、安全技术实力等,综合考虑选择。举例来说,中国超过77%的网站日访问量低于100,这些网站大多架在云端,并且规模都不大,所以选择面向中小企业的SaaS化综合安全服务即可,比如百度云加速;而传统金融、互联网金融机构,就需要严格执行等级保护的规定,而且要专门针对现在比较流行的DDoS攻击等,部署针对性的防御策略。

问题三:三分靠技术,七分靠管理

法律规定:《网络安全法》第二十一条规定,企业需制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

第三十四条规定,关键信息基础设施的运营者还应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。

专家解读:安全历来是三分靠技术,七分靠管理。最近几年,互联网企业、传统企业在CTO、CIO基础上,很多都设立了专门的CSO(首席安全官),可见企业越来越重视安全。企业应从安全管理制度和架构设计、员工安全意识培训、安全应急响应处理流程等三个方面完善安全管理制度:首先要建立安全管理制度,包括明确网络安全保护的范围、员工行为规范、明确权责;其次对员工进行定期安全意识教育和培训,将安全培训纳入新员工入职培训,并且一年至少进行一次安全演练;三是提前制定安全应急处理流程,例如防范病毒入侵和网络攻击的策略,日志审计和分析,为事后攻击溯源、追究责任保留好证据等。

只有提前指定完善的管理制度,在黑客入侵时才能从容应对。

问题四:日志留存6个月 信息追踪更有依据

法律规定:《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络运营者的安全义务包括采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

专家解读:数据备份一方面防止丢失,另一方面当黑客攻击无法恢复系统时,可以保证业务的正常运行。所以,我们经常说最简单也最便宜的安全措施就是数据备份。

除此之外,日志留存对于网站运营者的意义,不仅在于能够留存历史数据,更是为未来可能发生的安全威胁做保障。此前曾经轰动业界的CSDN核心数据泄漏事件,专案组对网上泄露的CSDN数据在事件方面进行对比时,发现其服务器被入侵事件为2010年7月前。但是由于设计入侵的服务器日志未留存,数据无法恢复,当时负责的技术人员又大部分离职,现有人员不了解情况,所以通过数据来源找到最初入侵者难度极大。

不过,数据备份意味着存储成本的提高。企业可以根据情况,购买本地服务器或者是云主机服务。另外,有些安全服务商针对中小企业直接提供了网络访问日志存储6个月以上的服务,例如百度云加速。

第二部分 关于规范网站运营,保护网民权益

问题一:引导用户实名制 规范用户网络行为

法律规定:《网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

第四十七条规定,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

专家解读:实名制是一把利剑,一方面会加强网站保护网民隐私责任的重要性,另一方面也促使网民更加珍惜自己的网络信誉,规范自己的网络行为。

今年5月起很多网站已经开始了引导用户开启实名制认证,比如绑定手机号码、提交身份认证信息等。在做好实名制引导的同时,企业也要做好这些隐私数据的保护工作,比如杜绝明文传输敏感信息、HTTPS改造加强网络安全性,购买数据加密的解决方案等。

网络安全法还规定了平台对网民发布的信息有管理义务,确保用户发布的内容符合法律规定。对此,企业应该引导用户规范网络行为的合法性,宣传积极合法地使用互联网服务。同时,要加强内容审计,建立专门的制度,通过机器和人工相结合的方式审核内容的合法性。比如映客直播有1000名全职员工从事直播内容的审查工作;斗鱼直播的800名审查员,在晚上7点到11点的高峰十七,几乎同时审查2万条以上直播。

问题二:确保网站安全 保护网民隐私

法律规定:《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

专家解读:网民在互联网上属于弱势群体,大多数网民的隐私都在互联网上裸奔,成为电信诈骗、网络攻击等的主要根源。这一方面源于网民本身的安全意识薄弱,另一方面更需要网站完善防护措施,确保网民的隐私安全。尤其是《网络安全法》规定了实名制上网之后,网站对网民隐私保护的责任更重了。

因此,网站应该从以下几个方面来保护网民隐私:

第一,加强数据安全防护策略部署,例如DLP数据防泄漏方案,保护网民隐私信息;

第二,制度上明确内部权责,对于用户隐私的调用进行严格管理,坚持最小化利用网民隐私原则和权利范围最小化原则;

第三,为用户保留网络证据,在公安机关对网络侵权行为进行审查时,配合公安机关提供相应电子证据;

问题三:建立应急响应流程,坚守最后一道防线

法律规定:《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

网络运营者不履行本法第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

专家解读:就在不久前,永恒之蓝勒索病毒泛滥,导致全球99个国家深受其害,尤其是教育、公安、办公网络。历史事件是最好的镜子。在网络安全法实施之际,企业更应该重视应急响应的重要性,这是一切防护的最后一道防线。建立健全应急预案对未来可能存在的基于系统漏洞的入侵、病毒攻击有着重要防范作用:

一是建立应急响应流程,并且进行安全应急演练。这里的流程包括如何应对黑客攻击,一旦遭受攻击如何进行止损、修复,还应该包括对员工进行培训,在紧急情况下如何确保规范化操作,避免给企业造成损失。

二是定期进行安全应急培训和演练,让企业管理者和员工像进行了解消防演练一样,熟知安全事件爆发时应该如何操作。

三是加强对网络安全的追踪和关注,在大规模网络安全事件,例如永恒之蓝爆发时,企业提前做好应急防范措施,提前进入应急状态,最大程度保护企业免受损害。

原文发布时间为: 2017年6月1日

时间: 2024-10-03 12:29:57

网络安全法6.1起施行,怎样让你的网站更安全?的相关文章

《中华人民共和国网络安全法》今起施行 维护网络安全 不会损害个人隐私

<中华人民共和国网络安全法>今天正式施行,个人信息出境新规也随之施行.国家互联网信息办公室网络安全协调局负责人介绍说,<网络安全法>是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求:也不是所有的数据,只限于个人信息和重要数据:这里的重要数据是对国家而言,而不是针对企业和个人. <个人信息安全规范>国标正在制定 <网络安全法>公布后,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法.个人信息和重要数据出境安全评估

我国首部网络安全法今起正式施行 新政如何保护公民信息安全

据中国之声<新闻纵横>报道,怀孕挺着大肚子每天就有月嫂公司频繁来电:小孩刚刚上学补课班.培训班就能准确说出你的住址:新房钥匙刚刚到手装修公司像轰炸机一样疯狂骚扰,想必很多市民都曾遭受过类似信息泄露所带来的困扰. 从今天起<中华人民共和国网络安全法>正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,其中重要的一方面就是要打击防止公民个人信息数据被非法获取.泄露或者非法使用.新政将如何撑起公民信息安全的保护伞?新政会否妨碍网上言论自由? 截至去年12月,我国网民规模

《网络安全法》今日起施行 网民有了这三张“护身符”

6月1日消息,<中华人民共和国网络安全法>(简称"网络安全法")今日起正式施行,是适应我国网络安全工作新形势.新任务,保障网络安全和发展利益的重大举措. <网络安全法>全文共7章79条,包括总则.网络安全支持与促进.网络运行安全.网络信息安全.监测预警与应急处置.法律责任以及附则.除法律责任及附则外,根据不同的对象,可将各条款分为六大类: 国家责任与义务,有关部门和各级政府职责划分,网络运营者责任与义务,网络产品和服务提供者责任与义务,关键信息基础设施网络安全相

《网络安全法》施行行业的责任与机遇

在中国互联网发展的历程中,2017年6月1日是一个值得铭记的节点,因为<中华人民共和国网络安全法>(以下简称<网络安全法>)在这一天正式施行.作为我国第一部全面规范网络空间安全管理的基础性法律,<网络安全法>的生效标志着中国的网络安全事业步入有法可依的新时代,具有里程碑的意义. 不可否认,互联网是人类文明最重要的成果之一,但同时它也是一把双刃剑,在深刻改变人们的生产生活方式.推动社会进步的同时,也面临着网络病毒.黑客攻击等诸多安全挑战.就在前不久,勒索病毒WannaCr

5个问题快速读懂今起实施的《网络安全法》

我们所知的<中华人民共和国网络安全法>是去年11月7日通过,并从今年6月1日也就是今天开始施行的.就该法律的获准通过及其解读,FreeBuf还曾专访过段和段律师事务所创始人刘春泉律师,主要就其对企业安全可能产生的影响做了相对深入的解读. 路透社先前发表的评论文章中援引了美国商会主席James Zimmerman的话,他认为中国的这项法律"模糊,暧昧,监管机构完全可以对其进行各种解读":不过我们知道,<网络安全法>是中国第一部有关网络安全的基础性."大纲

《网络安全法》实施倒计时:将公民信息安全放首位

前不久,一场由"蠕虫"式勒索病毒软件蔓延带来的"网络瘟疫"让全世界互联网用户担忧不已,网络安全问题再次引发普遍关注. 与此同时,从下月一日起,<网络安全法>也将正式施行,提出了应对网络安全挑战这一全球性问题的中国方案.这一法规会对中国互联网发展带来哪些影响?又将如何保障公民个人信息安全?北京师范大学刑事法律科学研究院博士后孙道萃.中科院微系统与信息技术研究所通信工程师王斌对此进行了解答. <网络安全法>为刑法提供专门的.积极性的强力保障 当前

网络安全法实施刺激市场需求 人工智能时代安全需与时俱进

信息安全春天到来.6月1日起,<中华人民共和国网络安全法>(以下简称<网络安全法>)正式施行,明确了加强对个人信息的保护,打击网络诈骗.这是我国首部网络安全法,在网络安全历史上具有里程碑意义.当前网络安全正成为干扰政治经济发展和人民生活安全的热点话题,随着大数据.物联网.人工智能等技术飞速的发展,全面加强网络安全尤显迫切. <网络安全法>剑指信息保护痛点 正式施行的<网络安全法>共七章七十九条,内容涵盖了网络空间主权.关键信息个人信息保护规则.关键信息基础设

网络安全法即将实施 产业链或迎发展契机

今年6月1日起,<中华人民共和国网络安全法>将正式施行,网络安全已经成为上升到国家发展层面上的战略方向.据了解,这是我国第一部有关网络安全方面的法律.对广大市民朋友来讲,这部网络领域的基础性法律与生活最息息相关的地方,莫过于<网络安全法>加强了对个人信息保护,多方位建立起保护个人信息的安全体系.为打击网络犯罪,提供了重要的法律保障. 对此,分析人士指出,互联网大数据时代,"网络安全"第五疆域逐渐成为国家及部门的重要战场,对于数据的保护将成为未来网络安全发展的重点

6月1日起,《网络安全法》等新规开始实施个人信息安全有了“防护网”

核心提示丨要装修房子,才在建材家居商家留了一个电话号码,没过几天,各种广告推销电话便开始接连"轰炸":街头遇到健身俱乐部的推销人员,简简单单填了一个表,游泳馆的推销短信便发到了手机上:给孩子报了一个英语班,过几天数学班.兴趣班等广告推销电话就不停--这些遭遇,很多人都经历过,让人不厌其烦的同时,也让很多人心生疑虑:我的个人信息是怎么泄露的? 从今年6月1日起,一批新的法律法规正式实施.其中包括,不得非法出售个人信息:贩卖50条公民个人信息可入罪等.它们的正式实施,将为公民个人信息安全筑