信息化時(shí)代,網(wǎng)絡(luò)已深刻地融入到社會(huì)生活的各個(gè)方面,網(wǎng)絡(luò)安全威脅也隨之向各層面滲透,并且已經(jīng)從線上滲透到線下。為保障網(wǎng)絡(luò)空間和國家安全,社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展, 6 月 1 日起,《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)將正式施行。
那么問題來了,《網(wǎng)絡(luò)安全法》對網(wǎng)站運(yùn)營者提出了哪些要求,網(wǎng)站該如何做好應(yīng)對措施?哪些新規(guī)和網(wǎng)站運(yùn)營者息息相關(guān)?網(wǎng)站運(yùn)營該做好哪些應(yīng)對措施呢?為此,小編采訪了百度安全專家,從網(wǎng)站安全建設(shè)、規(guī)范網(wǎng)絡(luò)運(yùn)營兩大方面進(jìn)行了解讀,希望給網(wǎng)站提供一些操作性強(qiáng)的建議。
第一部分 關(guān)于企業(yè)自身的安全建設(shè)
問題一:定期給網(wǎng)站進(jìn)行安全體檢
法律規(guī)定:《網(wǎng)絡(luò)安全法》第九條規(guī)定,網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和服務(wù)活動(dòng),必須遵守法律、行政法規(guī),尊重社會(huì)公德,遵守商業(yè)道德,誠實(shí)信用,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),接受政府和社會(huì)的監(jiān)督,承擔(dān)社會(huì)責(zé)任。
第三十八條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
專家解讀:網(wǎng)站自身的安全是各種網(wǎng)絡(luò)活動(dòng)順利展開的基石,也是保護(hù)網(wǎng)民財(cái)產(chǎn)和隱私的基礎(chǔ)。為此,網(wǎng)站要從以下幾個(gè)方面做好準(zhǔn)備:
一是定期為網(wǎng)站進(jìn)行體檢,及時(shí)發(fā)現(xiàn)網(wǎng)站的潛在風(fēng)險(xiǎn)并盡快修復(fù)。有條件的網(wǎng)站建議每個(gè)季度進(jìn)行一次滲透測試,尤其是金融、電商這些重點(diǎn)行業(yè)企業(yè)。如果企業(yè)本身缺乏專業(yè)的能力和人才,可以與專業(yè)的第三方安全機(jī)構(gòu)合作開展。
二是網(wǎng)站在產(chǎn)品研發(fā)和上線過程中,要始終堅(jiān)持安全原則。重點(diǎn)產(chǎn)品上線前要經(jīng)過代碼安全審計(jì)和滲透測試,確保沒有漏洞和后門的可能。
三是過去一些網(wǎng)絡(luò)服務(wù)商出于各種目的習(xí)慣性的保留程序的后門,有的是為了后期提升用戶體驗(yàn),有的則是為了測試使用,還有的就是為了收集用戶隱私。網(wǎng)絡(luò)安全法實(shí)施之后,這樣的行為將被禁止。因?yàn)檫@些后門給黑客打開了方便之門,經(jīng)常會(huì)出現(xiàn)“螳螂捕蟬,黃雀在后”的情況。比如,蘋果iOS系統(tǒng) 2014 年被曝出com.apple.pcapd服務(wù)存在后門,通過libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲流入和流出iOS設(shè)備的HTTP數(shù)據(jù),能夠泄漏“大量情報(bào)”。
問題二:從四個(gè)層面完善網(wǎng)站安全建設(shè)
法律規(guī)定:《網(wǎng)絡(luò)安全法》第十條規(guī)定,建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù),應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,有效應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。
專家解讀:建立安全防護(hù)體系,不僅是符合法律規(guī)定,更是為了保護(hù)網(wǎng)站和網(wǎng)民的安全。為此,企業(yè)應(yīng)從硬件安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全四個(gè)方面來部署完善的安全策略,可以自行研發(fā),也可以與符合資質(zhì)的安全服務(wù)商合作。目前安全市場有成熟的解決方案,從私有云部署到SaaS化的安全服務(wù),再到混合云部署都可以支持,企業(yè)可以根據(jù)自身的業(yè)務(wù)重要性、資金實(shí)力、安全技術(shù)實(shí)力等,綜合考慮選擇。舉例來說,中國超過77%的網(wǎng)站日訪問量低于100,這些網(wǎng)站大多架在云端,并且規(guī)模都不大,所以選擇面向中小企業(yè)的SaaS化綜合安全服務(wù)即可,比如百度云加速;而傳統(tǒng)金融、互聯(lián)網(wǎng)金融機(jī)構(gòu),就需要嚴(yán)格執(zhí)行等級保護(hù)的規(guī)定,而且要專門針對現(xiàn)在比較流行的DDoS攻擊等,部署針對性的防御策略。
問題三:三分靠技術(shù),七分靠管理
法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,企業(yè)需制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。
第三十四條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;法律、行政法規(guī)規(guī)定的其他義務(wù)。
專家解讀:安全歷來是三分靠技術(shù),七分靠管理。最近幾年,互聯(lián)網(wǎng)企業(yè)、傳統(tǒng)企業(yè)在CTO、CIO基礎(chǔ)上,很多都設(shè)立了專門的CSO(首席安全官),可見企業(yè)越來越重視安全。企業(yè)應(yīng)從安全管理制度和架構(gòu)設(shè)計(jì)、員工安全意識培訓(xùn)、安全應(yīng)急響應(yīng)處理流程等三個(gè)方面完善安全管理制度:首先要建立安全管理制度,包括明確網(wǎng)絡(luò)安全保護(hù)的范圍、員工行為規(guī)范、明確權(quán)責(zé);其次對員工進(jìn)行定期安全意識教育和培訓(xùn),將安全培訓(xùn)納入新員工入職培訓(xùn),并且一年至少進(jìn)行一次安全演練;三是提前制定安全應(yīng)急處理流程,例如防范病毒入侵和網(wǎng)絡(luò)攻擊的策略,日志審計(jì)和分析,為事后攻擊溯源、追究責(zé)任保留好證據(jù)等。
只有提前指定完善的管理制度,在黑客入侵時(shí)才能從容應(yīng)對。
問題四:日志留存 6 個(gè)月 信息追蹤更有依據(jù)
法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)包括采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。
專家解讀:數(shù)據(jù)備份一方面防止丟失,另一方面當(dāng)黑客攻擊無法恢復(fù)系統(tǒng)時(shí),可以保證業(yè)務(wù)的正常運(yùn)行。所以,我們經(jīng)常說最簡單也最便宜的安全措施就是數(shù)據(jù)備份。
除此之外,日志留存對于網(wǎng)站運(yùn)營者的意義,不僅在于能夠留存歷史數(shù)據(jù),更是為未來可能發(fā)生的安全威脅做保障。此前曾經(jīng)轟動(dòng)業(yè)界的CSDN核心數(shù)據(jù)泄漏事件,專案組對網(wǎng)上泄露的CSDN數(shù)據(jù)在事件方面進(jìn)行對比時(shí),發(fā)現(xiàn)其服務(wù)器被入侵事件為 2010 年 7 月前。但是由于設(shè)計(jì)入侵的服務(wù)器日志未留存,數(shù)據(jù)無法恢復(fù),當(dāng)時(shí)負(fù)責(zé)的技術(shù)人員又大部分離職,現(xiàn)有人員不了解情況,所以通過數(shù)據(jù)來源找到最初入侵者難度極大。
不過,數(shù)據(jù)備份意味著存儲成本的提高。企業(yè)可以根據(jù)情況,購買本地服務(wù)器或者是云主機(jī)服務(wù)。另外,有些安全服務(wù)商針對中小企業(yè)直接提供了網(wǎng)絡(luò)訪問日志存儲 6 個(gè)月以上的服務(wù),例如百度云加速。
第二部分 關(guān)于規(guī)范網(wǎng)站運(yùn)營,保護(hù)網(wǎng)民權(quán)益
問題一:引導(dǎo)用戶實(shí)名制 規(guī)范用戶網(wǎng)絡(luò)行為
法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十四條規(guī)定,網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù),辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù),或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。
第四十七條規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)加強(qiáng)對其用戶發(fā)布的信息的管理,發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?,?yīng)當(dāng)立即停止傳輸該信息,采取消除等處置措施,防止信息擴(kuò)散,保存有關(guān)記錄,并向有關(guān)主管部門報(bào)告。
專家解讀:實(shí)名制是一把利劍,一方面會(huì)加強(qiáng)網(wǎng)站保護(hù)網(wǎng)民隱私責(zé)任的重要性,另一方面也促使網(wǎng)民更加珍惜自己的網(wǎng)絡(luò)信譽(yù),規(guī)范自己的網(wǎng)絡(luò)行為。
今年 5 月起很多網(wǎng)站已經(jīng)開始了引導(dǎo)用戶開啟實(shí)名制認(rèn)證,比如綁定手機(jī)號碼、提交身份認(rèn)證信息等。在做好實(shí)名制引導(dǎo)的同時(shí),企業(yè)也要做好這些隱私數(shù)據(jù)的保護(hù)工作,比如杜絕明文傳輸敏感信息、HTTPS改造加強(qiáng)網(wǎng)絡(luò)安全性,購買數(shù)據(jù)加密的解決方案等。
網(wǎng)絡(luò)安全法還規(guī)定了平臺對網(wǎng)民發(fā)布的信息有管理義務(wù),確保用戶發(fā)布的內(nèi)容符合法律規(guī)定。對此,企業(yè)應(yīng)該引導(dǎo)用戶規(guī)范網(wǎng)絡(luò)行為的合法性,宣傳積極合法地使用互聯(lián)網(wǎng)服務(wù)。同時(shí),要加強(qiáng)內(nèi)容審計(jì),建立專門的制度,通過機(jī)器和人工相結(jié)合的方式審核內(nèi)容的合法性。比如映客直播有 1000 名全職員工從事直播內(nèi)容的審查工作;斗魚直播的 800 名審查員,在晚上 7 點(diǎn)到 11 點(diǎn)的高峰十七,幾乎同時(shí)審查 2 萬條以上直播。
問題二:確保網(wǎng)站安全 保護(hù)網(wǎng)民隱私
法律規(guī)定:《網(wǎng)絡(luò)安全法》第四十條規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。
第四十一條規(guī)定,網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。
第四十二條規(guī)定,網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外。
網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。
第四十四條規(guī)定,任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。
專家解讀:網(wǎng)民在互聯(lián)網(wǎng)上屬于弱勢群體,大多數(shù)網(wǎng)民的隱私都在互聯(lián)網(wǎng)上裸奔,成為電信詐騙、網(wǎng)絡(luò)攻擊等的主要根源。這一方面源于網(wǎng)民本身的安全意識薄弱,另一方面更需要網(wǎng)站完善防護(hù)措施,確保網(wǎng)民的隱私安全。尤其是《網(wǎng)絡(luò)安全法》規(guī)定了實(shí)名制上網(wǎng)之后,網(wǎng)站對網(wǎng)民隱私保護(hù)的責(zé)任更重了。
因此,網(wǎng)站應(yīng)該從以下幾個(gè)方面來保護(hù)網(wǎng)民隱私:
第一,加強(qiáng)數(shù)據(jù)安全防護(hù)策略部署,例如DLP數(shù)據(jù)防泄漏方案,保護(hù)網(wǎng)民隱私信息;
第二,制度上明確內(nèi)部權(quán)責(zé),對于用戶隱私的調(diào)用進(jìn)行嚴(yán)格管理,堅(jiān)持最小化利用網(wǎng)民隱私原則和權(quán)利范圍最小化原則;
第三,為用戶保留網(wǎng)絡(luò)證據(jù),在公安機(jī)關(guān)對網(wǎng)絡(luò)侵權(quán)行為進(jìn)行審查時(shí),配合公安機(jī)關(guān)提供相應(yīng)電子證據(jù);
問題三:建立應(yīng)急響應(yīng)流程,堅(jiān)守最后一道防線
法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十五條規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告。
網(wǎng)絡(luò)運(yùn)營者不履行本法第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。
專家解讀:就在不久前,永恒之藍(lán)勒索病毒泛濫,導(dǎo)致全球 99 個(gè)國家深受其害,尤其是教育、公安、辦公網(wǎng)絡(luò)。歷史事件是最好的鏡子。在網(wǎng)絡(luò)安全法實(shí)施之際,企業(yè)更應(yīng)該重視應(yīng)急響應(yīng)的重要性,這是一切防護(hù)的最后一道防線。建立健全應(yīng)急預(yù)案對未來可能存在的基于系統(tǒng)漏洞的入侵、病毒攻擊有著重要防范作用:
一是建立應(yīng)急響應(yīng)流程,并且進(jìn)行安全應(yīng)急演練。這里的流程包括如何應(yīng)對黑客攻擊,一旦遭受攻擊如何進(jìn)行止損、修復(fù),還應(yīng)該包括對員工進(jìn)行培訓(xùn),在緊急情況下如何確保規(guī)范化操作,避免給企業(yè)造成損失。
二是定期進(jìn)行安全應(yīng)急培訓(xùn)和演練,讓企業(yè)管理者和員工像進(jìn)行了解消防演練一樣,熟知安全事件爆發(fā)時(shí)應(yīng)該如何操作。
三是加強(qiáng)對網(wǎng)絡(luò)安全的追蹤和關(guān)注,在大規(guī)模網(wǎng)絡(luò)安全事件,例如永恒之藍(lán)爆發(fā)時(shí),企業(yè)提前做好應(yīng)急防范措施,提前進(jìn)入應(yīng)急狀態(tài),最大程度保護(hù)企業(yè)免受損害。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!