網路安全法6.1起施行，怎樣讓你的網站更安全？

資訊化時代，網路已深刻地融入到社會生活的各個方面，網路安全威脅也隨之向各層面滲透，並且已經從線上滲透到線下。為保障網路空間和國家安全，社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會資訊化健康發展，6月1日起，《中華人民共和國網路安全法》（以下簡稱《網路安全法》）將正式施行。

那麼問題來了，《網路安全法》對網站運營者提出了哪些要求，網站該如何做好應對措施？哪些新規和網站運營者息息相關？網站運營該做好哪些應對措施呢？為此，小編採訪了百度安全專家，從網站安全建設、規範網路運營兩大方面進行了解讀，希望給網站提供一些操作性強的建議。

第一部分 關於企業自身的安全建設

問題一：定期給網站進行安全體檢

法律規定：《網路安全法》第九條規定，網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。

第三十八條規定，關鍵資訊基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵資訊基礎設施安全保護工作的部門。

專家解讀：網站自身的安全是各種網路活動順利展開的基石，也是保護網民財產和隱私的基礎。為此，網站要從以下幾個方面做好準備：

一是定期為網站進行體檢，及時發現網站的潛在風險並儘快修復。有條件的網站建議每個季度進行一次滲透測試，尤其是金融、電商這些重點行業企業。如果企業本身缺乏專業的能力和人才，可以與專業的第三方安全機構合作開展。

二是網站在產品研發和上線過程中，要始終堅持安全原則。重點產品上線前要經過程式碼安全審計和滲透測試，確保沒有漏洞和後門的可能。

三是過去一些網路服務商出於各種目的習慣性的保留程式的後門，有的是為了後期提升使用者體驗，有的則是為了測試使用，還有的就是為了收集使用者隱私。網路安全法實施之後，這樣的行為將被禁止。因為這些後門給黑客開啟了方便之門，經常會出現“螳螂捕蟬，黃雀在後”的情況。比如，蘋果iOS系統2014年被曝出com.apple.pcapd服務存在後門，通過libpcap網路資料包捕獲流入和流出iOS裝置的HTTP資料，能夠洩漏“大量情報”。

問題二：從四個層面完善網站安全建設

法律規定：《網路安全法》第十條規定，建設、運營網路或者通過網路提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，採取技術措施和其他必要措施，保障網路安全、穩定執行，有效應對網路安全事件，防範網路違法犯罪活動，維護網路資料的完整性、保密性和可用性。

專家解讀：建立安全防護體系，不僅是符合法律規定，更是為了保護網站和網民的安全。為此，企業應從硬體安全、系統安全、資料安全、應用安全四個方面來部署完善的安全策略，可以自行研發，也可以與符合資質的安全服務商合作。目前安全市場有成熟的解決方案，從私有云部署到SaaS化的安全服務，再到混合雲部署都可以支援，企業可以根據自身的業務重要性、資金實力、安全技術實力等，綜合考慮選擇。舉例來說，中國超過77%的網站日訪問量低於100，這些網站大多架在雲端，並且規模都不大，所以選擇面向中小企業的SaaS化綜合安全服務即可，比如百度雲加速；而傳統金融、網際網路金融機構，就需要嚴格執行等級保護的規定，而且要專門針對現在比較流行的DDoS攻擊等，部署針對性的防禦策略。

問題三：三分靠技術，七分靠管理

法律規定：《網路安全法》第二十一條規定，企業需制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任。

第三十四條規定，關鍵資訊基礎設施的運營者還應當設定專門安全管理機構和安全管理負責人，並對該負責人和關鍵崗位的人員進行安全背景審查；定期對從業人員進行網路安全教育、技術培訓和技能考核；對重要系統和資料庫進行容災備份；制定網路安全事件應急預案，並定期進行演練；法律、行政法規規定的其他義務。

專家解讀：安全歷來是三分靠技術，七分靠管理。最近幾年，網際網路企業、傳統企業在CTO、CIO基礎上，很多都設立了專門的CSO（首席安全官），可見企業越來越重視安全。企業應從安全管理制度和架構設計、員工安全意識培訓、安全應急響應處理流程等三個方面完善安全管理制度：首先要建立安全管理制度，包括明確網路安全保護的範圍、員工行為規範、明確權責；其次對員工進行定期安全意識教育和培訓，將安全培訓納入新員工入職培訓，並且一年至少進行一次安全演練；三是提前制定安全應急處理流程，例如防範病毒入侵和網路攻擊的策略，日誌審計和分析，為事後攻擊溯源、追究責任保留好證據等。

只有提前指定完善的管理制度，在黑客入侵時才能從容應對。

問題四：日誌留存6個月 資訊追蹤更有依據

法律規定：《網路安全法》第二十一條規定，網路運營者應當按照網路安全等級保護制度的要求,履行安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料洩露或者被竊取、篡改。網路運營者的安全義務包括採取監測、記錄網路執行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月。

專家解讀：資料備份一方面防止丟失，另一方面當黑客攻擊無法恢復系統時，可以保證業務的正常執行。所以，我們經常說最簡單也最便宜的安全措施就是資料備份。

除此之外，日誌留存對於網站運營者的意義，不僅在於能夠留存歷史資料，更是為未來可能發生的安全威脅做保障。此前曾經轟動業界的CSDN核心資料洩漏事件，專案組對網上洩露的CSDN資料在事件方面進行對比時，發現其伺服器被入侵事件為2010年7月前。但是由於設計入侵的伺服器日誌未留存，資料無法恢復，當時負責的技術人員又大部分離職，現有人員不瞭解情況，所以通過資料來源找到最初入侵者難度極大。

不過，資料備份意味著儲存成本的提高。企業可以根據情況，購買本地伺服器或者是雲主機服務。另外，有些安全服務商針對中小企業直接提供了網路訪問日誌儲存6個月以上的服務，例如百度雲加速。

第二部分 關於規範網站運營，保護網民權益

問題一：引導使用者實名制 規範使用者網路行為

法律規定：《網路安全法》第二十四條規定，網路運營者為使用者辦理網路接入、域名註冊服務，辦理固定電話、行動電話等入網手續，或者為使用者提供資訊釋出、即時通訊等服務，在與使用者簽訂協議或者確認提供服務時，應當要求使用者提供真實身份資訊。使用者不提供真實身份資訊的，網路運營者不得為其提供相關服務。

第四十七條規定，網路運營者應當加強對其使用者釋出的資訊的管理，發現法律、行政法規禁止釋出或者傳輸的資訊的，應當立即停止傳輸該資訊，採取消除等處置措施，防止資訊擴散，儲存有關記錄，並向有關主管部門報告。

專家解讀：實名制是一把利劍，一方面會加強網站保護網民隱私責任的重要性，另一方面也促使網民更加珍惜自己的網路信譽，規範自己的網路行為。

今年5月起很多網站已經開始了引導使用者開啟實名制認證，比如繫結手機號碼、提交身份認證資訊等。在做好實名制引導的同時，企業也要做好這些隱私資料的保護工作，比如杜絕明文傳輸敏感資訊、HTTPS改造加強網路安全性，購買資料加密的解決方案等。

網路安全法還規定了平臺對網民釋出的資訊有管理義務，確保使用者釋出的內容符合法律規定。對此，企業應該引導使用者規範網路行為的合法性，宣傳積極合法地使用網際網路服務。同時，要加強內容審計，建立專門的制度，通過機器和人工相結合的方式稽核內容的合法性。比如映客直播有1000名全職員工從事直播內容的審查工作；鬥魚直播的800名審查員，在晚上7點到11點的高峰十七，幾乎同時審查2萬條以上直播。

問題二：確保網站安全 保護網民隱私

法律規定：《網路安全法》第四十條規定，網路運營者應當對其收集的使用者資訊嚴格保密，並建立健全使用者資訊保護制度。

第四十一條規定，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，並經被收集者同意。

網路運營者不得收集與其提供的服務無關的個人資訊，不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊，並應當依照法律、行政法規的規定和與使用者的約定，處理其儲存的個人資訊。

第四十二條規定，網路運營者不得洩露、篡改、毀損其收集的個人資訊；未經被收集者同意，不得向他人提供個人資訊。但是，經過處理無法識別特定個人且不能復原的除外。

網路運營者應當採取技術措施和其他必要措施，確保其收集的個人資訊保安，防止資訊洩露、毀損、丟失。在發生或者可能發生個人資訊洩露、毀損、丟失的情況時，應當立即採取補救措施，按照規定及時告知使用者並向有關主管部門報告。

第四十四條規定，任何個人和組織不得竊取或者以其他非法方式獲取個人資訊，不得非法出售或者非法向他人提供個人資訊。

專家解讀：網民在網際網路上屬於弱勢群體，大多數網民的隱私都在網際網路上裸奔，成為電信詐騙、網路攻擊等的主要根源。這一方面源於網民本身的安全意識薄弱，另一方面更需要網站完善防護措施，確保網民的隱私安全。尤其是《網路安全法》規定了實名制上網之後，網站對網民隱私保護的責任更重了。

因此，網站應該從以下幾個方面來保護網民隱私：

第一，加強資料安全防護策略部署，例如DLP資料防洩漏方案，保護網民隱私資訊；

第二，制度上明確內部權責，對於使用者隱私的呼叫進行嚴格管理，堅持最小化利用網民隱私原則和權利範圍最小化原則；

第三，為使用者保留網路證據，在公安機關對網路侵權行為進行審查時，配合公安機關提供相應電子證據；

問題三：建立應急響應流程，堅守最後一道防線

法律規定：《網路安全法》第二十五條規定，網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

網路運營者不履行本法第二十五條規定的網路安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

專家解讀：就在不久前，永恆之藍勒索病毒氾濫，導致全球99個國家深受其害，尤其是教育、公安、辦公網路。歷史事件是最好的鏡子。在網路安全法實施之際，企業更應該重視應急響應的重要性，這是一切防護的最後一道防線。建立健全應急預案對未來可能存在的基於系統漏洞的入侵、病毒攻擊有著重要防範作用：

一是建立應急響應流程，並且進行安全應急演練。這裡的流程包括如何應對黑客攻擊，一旦遭受攻擊如何進行止損、修復，還應該包括對員工進行培訓，在緊急情況下如何確保規範化操作，避免給企業造成損失。

二是定期進行安全應急培訓和演練，讓企業管理者和員工像進行了解消防演練一樣，熟知安全事件爆發時應該如何操作。

三是加強對網路安全的追蹤和關注，在大規模網路安全事件，例如永恆之藍爆發時，企業提前做好應急防範措施，提前進入應急狀態，最大程度保護企業免受損害。

原文釋出時間為： 2017年6月1日

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。