雷鋒網編者按:6月1日起,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)将正式施行。問題來了,《網絡安全法》對網站營運者提出了哪些要求,網站該如何做好應對措施?哪些新規和網站營運者息息相關?網站營運該做好哪些應對措施?
百度安全專家從網站安全建設、規範網絡營運兩大方面進行了解讀,希望給網站提供一些操作性強的建議。
以下内容為百度安全投稿,雷鋒網(公衆号:雷鋒網)配圖,授權雷鋒網首發。
法律規定:《網絡安全法》第九條規定,網絡營運者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。
第三十八條規定,關鍵資訊基礎設施的營運者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并将檢測評估情況和改進措施報送相關負責關鍵資訊基礎設施安全保護工作的部門。
【長那麼多肉,體檢了才發現不太對】
專家解讀:網站自身的安全是各種網絡活動順利展開的基石,也是保護網民财産和隐私的基礎。為此,網站要從以下幾個方面做好準備:
一是定期為網站進行體檢,及時發現網站的潛在風險并盡快修複。有條件的網站建議每個季度進行一次滲透測試,尤其是金融、電商這些重點行業企業。如果企業本身缺乏專業的能力和人才,可以與專業的第三方安全機構合作開展。
二是網站在産品研發和上線過程中,要始終堅持安全原則。重點産品上線前要經過代碼安全審計和滲透測試,確定沒有漏洞和後門的可能。
三是過去一些網絡服務商出于各種目的習慣性的保留程式的後門,有的是為了後期提升使用者體驗,有的則是為了測試使用,還有的就是為了收集使用者隐私。網絡安全法實施之後,這樣的行為将被禁止。因為這些後門給黑客打開了友善之門,經常會出現“螳螂捕蟬,黃雀在後”的情況。比如,蘋果ios系統2014年被曝出com.apple.pcapd服務存在後門,通過libpcap網絡資料包捕獲流入和流出ios裝置的http資料,能夠洩漏“大量情報”。
法律規定:《網絡安全法》第十條規定,建設、營運網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家标準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運作,有效應對網絡安全事件,防範網絡違法犯罪活動,維護網絡資料的完整性、保密性和可用性。
【不要過來,誰來搞站打誰】
專家解讀:建立安全防護體系,不僅是符合法律規定,更是為了保護網站和網民的安全。為此,企業應從硬體安全、系統安全、資料安全、應用安全四個方面來部署完善的安全政策,可以自行研發,也可以與符合資質的安全服務商合作。目前安全市場有成熟的解決方案,從私有雲部署到 saas 化的安全服務,再到混合雲部署都可以支援,企業可以根據自身的業務重要性、資金實力、安全技術實力等,綜合考慮選擇。舉例來說,中國超過 77 %的網站日通路量低于 100 ,這些網站大多架在雲端,并且規模都不大,是以選擇面向中小企業的saas化綜合安全服務即可,比如百度雲加速;而傳統金融、網際網路金融機構,就需要嚴格執行等級保護的規定,而且要專門針對現在比較流行的 ddos 攻擊等,部署針對性的防禦政策。
法律規定:《網絡安全法》第二十一條規定,企業需制定内部安全管理制度和操作規程,确定網絡安全負責人,落實網絡安全保護責任。
第三十四條規定,關鍵資訊基礎設施的營運者還應當設定專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;定期對從業人員進行網絡安全教育、技術教育訓練和技能考核;對重要系統和資料庫進行容災備份;制定網絡安全事件應急預案,并定期進行演練;法律、行政法規規定的其他義務。
【字都這麼大了,好意思不看我?】
專家解讀:安全曆來是三分靠技術,七分靠管理。最近幾年,網際網路企業、傳統企業在cto、cio基礎上,很多都設立了專門的cso(首席安全官),可見企業越來越重視安全。企業應從安全管理制度和架構設計、員工安全意識教育訓練、安全應急響應處理流程等三個方面完善安全管理制度:首先要建立安全管理制度,包括明确網絡安全保護的範圍、員工行為規範、明确權責;其次對員工進行定期安全意識教育和教育訓練,将安全教育訓練納入新員工入職教育訓練,并且一年至少進行一次安全演練;三是提前制定安全應急處理流程,例如防範病毒入侵和網絡攻擊的政策,日志審計和分析,為事後攻擊溯源、追究責任保留好證據等。
隻有提前指定完善的管理制度,在黑客入侵時才能從容應對。
法律規定:《網絡安全法》第二十一條規定,網絡營運者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受幹擾、破壞或者未經授權的通路,防止網絡資料洩露或者被竊取、篡改。網絡營運者的安全義務包括采取監測、記錄網絡運作狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。
【施主,我都有三個,你要多備份】
專家解讀:資料備份一方面防止丢失,另一方面當黑客攻擊無法恢複系統時,可以保證業務的正常運作。是以,我們經常說最簡單也最便宜的安全措施就是資料備份。
除此之外,日志留存對于網站營運者的意義,不僅在于能夠留存曆史資料,更是為未來可能發生的安全威脅做保障。此前曾經轟動業界的 csdn 核心資料洩漏事件,專案組對網上洩露的 csdn 資料在事件方面進行對比時,發現其伺服器被入侵事件為 2010 年 7 月前。但是由于設計入侵的伺服器日志未留存,資料無法恢複,當時負責的技術人員又大部分離職,現有人員不了解情況,是以通過資料來源找到最初入侵者難度極大。
不過,資料備份意味着存儲成本的提高。企業可以根據情況,購買本地伺服器或者是雲主機服務。另外,有些安全服務商針對中小企業直接提供了網絡通路日志存儲 6 個月以上的服務,例如百度雲加速。
法律規定:《網絡安全法》第二十四條規定,網絡營運者為使用者辦理網絡接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為使用者提供資訊釋出、即時通訊等服務,在與使用者簽訂協定或者确認提供服務時,應當要求使用者提供真實身份資訊。使用者不提供真實身份資訊的,網絡營運者不得為其提供相關服務。
第四十七條規定,網絡營運者應當加強對其使用者釋出的資訊的管理,發現法律、行政法規禁止釋出或者傳輸的資訊的,應當立即停止傳輸該資訊,采取消除等處置措施,防止資訊擴散,儲存有關記錄,并向有關主管部門報告。
【這種,不知道行不行】
專家解讀:實名制是一把利劍,一方面會加強網站保護網民隐私責任的重要性,另一方面也促使網民更加珍惜自己的網絡信譽,規範自己的網絡行為。
今年5月起很多網站已經開始了引導使用者開啟實名制認證,比如綁定手機号碼、送出身份認證資訊等。在做好實名制引導的同時,企業也要做好這些隐私資料的保護工作,比如杜絕明文傳輸敏感資訊、https改造加強網絡安全性,購買資料加密的解決方案等。
網絡安全法還規定了平台對網民釋出的資訊有管理義務,確定使用者釋出的内容符合法律規定。對此,企業應該引導使用者規範網絡行為的合法性,宣傳積極合法地使用網際網路服務。同時,要加強内容審計,建立專門的制度,通過機器和人工相結合的方式稽核内容的合法性。比如映客直播有1000名全職員工從事直播内容的審查工作;鬥魚直播的800名審查員,在晚上7點到11點的高峰十七,幾乎同時審查2萬條以上直播。
法律規定:《網絡安全法》第四十條規定,網絡營運者應當對其收集的使用者資訊嚴格保密,并建立健全使用者資訊保護制度。
第四十一條規定,網絡營運者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,并經被收集者同意。
網絡營運者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,并應當依照法律、行政法規的規定和與使用者的約定,處理其儲存的個人資訊。
第四十二條規定,網絡營運者不得洩露、篡改、毀損其收集的個人資訊;未經被收集者同意,不得向他人提供個人資訊。但是,經過處理無法識别特定個人且不能複原的除外。
網絡營運者應當采取技術措施和其他必要措施,確定其收集的個人資訊安全,防止資訊洩露、毀損、丢失。在發生或者可能發生個人資訊洩露、毀損、丢失的情況時,應當立即采取補救措施,按照規定及時告知使用者并向有關主管部門報告。
第四十四條規定,任何個人群組織不得竊取或者以其他非法方式擷取個人資訊,不得非法出售或者非法向他人提供個人資訊。
【不要洩露,不該知道的不要知道】
專家解讀:網民在網際網路上屬于弱勢群體,大多數網民的隐私都在網際網路上裸奔,成為電信詐騙、網絡攻擊等的主要根源。這一方面源于網民本身的安全意識薄弱,另一方面更需要網站完善防護措施,確定網民的隐私安全。尤其是《網絡安全法》規定了實名制上網之後,網站對網民隐私保護的責任更重了。
是以,網站應該從以下幾個方面來保護網民隐私:
第一,加強資料安全防護政策部署,例如 dlp 資料防洩漏方案,保護網民隐私資訊;
第二,制度上明确内部權責,對于使用者隐私的調用進行嚴格管理,堅持最小化利用網民隐私原則和權利範圍最小化原則;
第三,為使用者保留網絡證據,在公安機關對網絡侵權行為進行審查時,配合公安機關提供相應電子證據;
法律規定:《網絡安全法》第二十五條規定,網絡營運者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
網絡營運者不履行本法第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
【堅守最後一道防線,有底線】
專家解讀:就在不久前,永恒之藍勒索病毒泛濫,導緻全球 99 個國家深受其害,尤其是教育、公安、辦公網絡。曆史事件是最好的鏡子。在網絡安全法實施之際,企業更應該重視應急響應的重要性,這是一切防護的最後一道防線。建立健全應急預案對未來可能存在的基于系統漏洞的入侵、病毒攻擊有着重要防範作用:
一是建立應急響應流程,并且進行安全應急演練。這裡的流程包括如何應對黑客攻擊,一旦遭受攻擊如何進行止損、修複,還應該包括對員工進行教育訓練,在緊急情況下如何確定規範化操作,避免給企業造成損失。
二是定期進行安全應急教育訓練和演練,讓企業管理者和員工像進行了解消防演練一樣,熟知安全事件爆發時應該如何操作。
三是加強對網絡安全的追蹤和關注,在大規模網絡安全事件,例如永恒之藍爆發時,企業提前做好應急防範措施,提前進入應急狀态,最大程度保護企業免受損害。