内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

网络安全法今起实施 网站做好哪些应对

2017-06-01 23:57 出处:网络 人气: 评论(0

信息化时代,网络已深刻地融入到社会生活的各个方面,网络安全威胁也随之向各层面渗透,并且已经从线上渗透到线下。为保障网络空间和国家安全,社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,6月1日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)将正式施行。

那么问题来了,《网络安全法》对网站运营者提出了哪些要求,网站该如何做好应对措施?哪些新规和网站运营者息息相关?网站运营该做好哪些应对措施呢?为此,小编采访了百度安全专家,从网站安全建设、规范网络运营两大方面进行了解读,希望给网站提供一些操作性强的建议。

第一部分 关于企业自身的安全建设

问题一:定期给网站进行安全体检

法律规定:《网络安全法》第九条规定,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

专家解读:网站自身的安全是各种网络活动顺利展开的基石,也是保护网民财产和隐私的基础。为此,网站要从以下几个方面做好准备:

一是定期为网站进行体检,及时发现网站的潜在风险并尽快修复。有条件的网站建议每个季度进行一次渗透测试,尤其是金融、电商这些重点行业企业。如果企业本身缺乏专业的能力和人才,可以与专业的第三方安全机构合作开展。

二是网站在产品研发和上线过程中,要始终坚持安全原则。重点产品上线前要经过代码安全审计和渗透测试,确保没有漏洞和后门的可能。

三是过去一些网络服务商出于各种目的习惯性的保留程序的后门,有的是为了后期提升用户体验,有的则是为了测试使用,还有的就是为了收集用户隐私。网络安全法实施之后,这样的行为将被禁止。因为这些后门给黑客打开了方便之门,经常会出现“螳螂捕蝉,黄雀在后”的情况。比如,苹果iOS系统2014年被曝出com.apple.pcapd服务存在后门,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据,能够泄漏“大量情报”。

问题二:从四个层面完善网站安全建设

法律规定:《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

专家解读:建立安全防护体系,不仅是符合法律规定,更是为了保护网站和网民的安全。为此,企业应从硬件安全、系统安全、数据安全、应用安全四个方面来部署完善的安全策略,可以自行研发,也可以与符合资质的安全服务商合作。目前安全市场有成熟的解决方案,从私有云部署到SaaS化的安全服务,再到混合云部署都可以支持,企业可以根据自身的业务重要性、资金实力、安全技术实力等,综合考虑选择。举例来说,中国超过77%的网站日访问量低于100,这些网站大多架在云端,并且规模都不大,所以选择面向中小企业的SaaS化综合安全服务即可,比如百度云加速;而传统金融、互联网金融机构,就需要严格执行等级保护的规定,而且要专门针对现在比较流行的DDoS攻击等,部署针对性的防御策略。

问题三:三分靠技术,七分靠管理

法律规定:《网络安全法》第二十一条规定,企业需制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

第三十四条规定,关键信息基础设施的运营者还应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。

专家解读:安全历来是三分靠技术,七分靠管理。最近几年,互联网企业、传统企业在CTO、CIO基础上,很多都设立了专门的CSO(首席安全官),可见企业越来越重视安全。企业应从安全管理制度和架构设计、员工安全意识培训、安全应急响应处理流程等三个方面完善安全管理制度:首先要建立安全管理制度,包括明确网络安全保护的范围、员工行为规范、明确权责;其次对员工进行定期安全意识教育和培训,将安全培训纳入新员工入职培训,并且一年至少进行一次安全演练;三是提前制定安全应急处理流程,例如防范病毒入侵和网络攻击的策略,日志审计和分析,为事后攻击溯源、追究责任保留好证据等。

只有提前指定完善的管理制度,在黑客入侵时才能从容应对。

问题四:日志留存6个月 信息追踪更有依据

法律规定:《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络运营者的安全义务包括采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

专家解读:数据备份一方面防止丢失,另一方面当黑客攻击无法恢复系统时,可以保证业务的正常运行。所以,我们经常说最简单也最便宜的安全措施就是数据备份。

除此之外,日志留存对于网站运营者的意义,不仅在于能够留存历史数据,更是为未来可能发生的安全威胁做保障。此前曾经轰动业界的CSDN核心数据泄漏事件,专案组对网上泄露的CSDN数据在事件方面进行对比时,发现其服务器被入侵事件为2010年7月前。但是由于设计入侵的服务器日志未留存,数据无法恢复,当时负责的技术人员又大部分离职,现有人员不了解情况,所以通过数据来源找到最初入侵者难度极大。

不过,数据备份意味着存储成本的提高。企业可以根据情况,购买本地服务器或者是云主机服务。另外,有些安全服务商针对中小企业直接提供了网络访问日志存储6个月以上的服务,例如百度云加速。

第二部分 关于规范网站运营,保护网民权益

问题一:引导用户实名制 规范用户网络行为

法律规定:《网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

分享给小伙伴们:
本文标签: 网络安全法今起实施网站做好哪些应对

相关文章

Copyright (C) 2014-2017 深圳市网商天下科技, All Rights Reserved 版权所有

www.cncloudinfo.com 云资讯网 粤ICP15013091号-2