网络安全法实施之后正确网站运营的方法解析_

2017年6月1日,《网络安全法》正式实施,百度安全指数平台为站长们公布了如何应对《网络安全法》的实施以及网站应该如何正确运营。今天,肖凯seo博客转载了这些内容,并与朋友分享。也希望朋友们多关注网络安全和网站安全的相关内容。本内容主体标题为《《网络安全法》今日百度安全专家教你正确网站操作如下:

网络安全法实施之后正确网站运营的方法解析_

从《中华人民共和国网络安全法》年6月1日起(以下简称《网络安全法》)正式实施。问题来了。《网络安全法》对网站运营人员有什么要求,网站应该如何应对?哪些新规与网站运营商关系密切?网站运营应该采取什么措施?

百度安全专家解读网站安全建设和规范网络运营,希望能为网站提供一些操作建议。

第一部分是关于企业自身的安全建设

问题1:定期对网站进行安全检查

法律规定:《网络安全法》第九条规定网络经营者在开展经营服务活动时,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实守信,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。根据第38条,关键信息基础设施运营者应自行或委托网络安全服务机构每年至少对其网络的安全性和可能存在的风险进行一次测试和评估,并将测试和评估结果及改进措施提交负责关键信息基础设施安全保护的相关部门。

专家解读:网站本身的安全是各项网络活动顺利开展的基石,也是保护网民财产和隐私的基础。为此,网站要从以下几个方面做好准备:

首先,要对网站进行定期体检,及时发现网站的潜在风险,尽快修复。有条件的网站建议每季度进行一次渗透测试,尤其是金融、电子商务等重点行业的企业。如果企业本身缺乏专业能力和人才,可以与专业的第三方安全机构合作。

二、网站在产品开发和上线过程中要始终坚持安全原则。重点产品上线前要经过代码安全审核和渗透测试,确保没有漏洞和后门。

第三,以前有些互联网服务商习惯性的保留程序后门,出于各种目的,有些是为了以后改善用户体验,有些是为了测试使用,有些是为了收集用户隐私。网络安全法实施后,此类行为将被禁止。因为这些后门为黑客打开了方便之门,所以经常发生“螳螂捕蝉,黄雀在后”的情况。比如苹果的iOS系统在2014年就被曝出在com.apple.pcapd服务中有后门,通过libpcap网络数据包截获流入流出iOS设备的HTTP数据,可以泄露“大量情报”。

问题2:从四个层面完善网站安全建设

法律规定:《网络安全法》第10条规定,应当按照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,确保网络安全和稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

专家解读:建立安全防护体系不仅符合法律,也是为了保护网站和网民的安全。因此,企业应该从硬件安全、系统安全、数据安全和应用安全四个方面部署完善的安全策略,可以自行开发,也可以与有资质的安全服务提供商合作开发。目前,安全市场上已经有成熟的解决方案,从私有云部署到基于SaaS的安全服务,再到混合云部署,都可以提供支持。企业可以根据自身的业务重要性、财务实力、安全技术实力综合考虑选择。例如,超过77%的

第三十四条规定,关键信息基础设施运营者还应当设立专门的安全管理机构和安全管理负责人,并对负责人和关键岗位人员进行安全背景审查;定期对员工进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。

专家解读:安全一直靠技术三分,靠管理七分。近年来,许多互联网企业和传统企业在CTO和CIO的基础上设立了专门的CSO(首席安全官),这表明企业越来越重视安全性。企业应从安全管理体系及架构设计、员工安全意识培训、安全应急处理流程三个方面完善安全管理体系:

一是建立安全管理体系,包括明确网络安全保护范围、员工行为规范、明确权责;其次,定期对员工进行安全意识教育和培训,并将安全培训纳入新员工入职培训,每年至少进行一次安全演练;第三,提前制定安全应急处理程序,如防止病毒入侵和网络攻击的策略、日志审计和分析,为追踪攻击来源和事后调查责任保留良好的证据。

只有提前指定完善的管理制度,才能从容应对黑客。

问题4:保留日志6个月进行信息跟踪更可靠

法律规定:《网络安全法》第21条规定,网络运营者应当按照网络安全等级保护体系的要求履行安全保护义务,保护网络不受干扰、破坏或未经授权的访问,防止网络数据被泄露、窃取或篡改。网络运营商的安全义务包括采取技术措施监控和记录网络运行状态和网络安全事件,并按照规定保存相关网络日志不少于六个月。

专家解读:一方面数据备份可以防止丢失;另一方面,当黑客攻击无法恢复系统时,可以保证业务的正常运行。所以我们常说,最简单最便宜的安全措施就是数据备份。

另外,日志保留对于网站运营者的意义不仅仅在于能够保留历史数据,还在于保证未来可能出现的安全威胁。此前,CSDN核心数据泄露事件在业内引起轰动。当工作小组比较网上泄露的CSDN数据时,发现服务器在2010年7月前被入侵。但由于设计入侵的服务器日志没有保存,数据无法恢复,当时负责的技术人员大多离职,现有人员不了解情况,通过数据源查找最初的入侵者极其困难。

但是,数据备份意味着更高的存储成本。企业可以根据情况购买本地服务器或云托管服务。此外,一些安全服务提供商直接为中小企业提供6个月以上的网络访问日志存储服务,如百度云加速。

第二部分是关于规范网站运营,保护网民权益

问题1:引导用户通过实名制规范用户网络行为

法律规定:《网络安全法》第24条规定,网络运营商应为用户办理网络接入和域名注册服务,办理固定电话和手机的接入手续,或者为用户提供信息发布、即时通讯等服务。与用户签订协议或者确认提供服务时,应当要求用户提供真实的身份信息。用户不提供真实身份信息的,网络运营商不得为其提供相关服务。第四十七条规定,网络经营者应当加强对用户发布信息的管理。发现法律、行政法规禁止发布或者传播的信息,应当立即停止传播,采取消除、阻止等措施

《网络安全法》还规定,平台有义务对网民发布的信息进行管理,确保用户发布的内容符合法律规定。因此,企业应引导用户规范网络行为的合法性,宣传互联网服务的积极合法使用。

同时要加强内容审核,建立专门制度,通过机劳结合的方式审核内容的合法性。比如盈科直播有1000名全职员工从事直播内容的审核;斗鱼直播的800名考官,在晚上7点到11点的高峰期,几乎同时检查了2万多个直播。

问题2:确保网站安全,保护网民隐私

法律规定:《网络安全法》第40条规定,网络运营商应对其收集的用户信息严格保密,建立健全用户信息保护制度。

第四十一条规定,网络经营者在收集和使用个人信息时,应当遵循合法、公正、必要的原则,公开收集和使用信息的规则,明确说明收集和使用信息的目的、方法和范围,并征得被收集人的同意。

网络经营者不得违反法律、行政法规的规定和双方的约定,收集与其提供的服务无关的个人信息,收集和使用个人信息,并应当按照法律、行政法规的规定和与用户的约定处理其存储的个人信息。

第四十二条规定,网络经营者不得泄露、篡改或者损害其收集的个人信息;未经被征集人同意,不得向他人提供个人信息。但是,那些处理后无法识别特定个人且无法恢复的人。

网络经营者应当采取技术措施和其他必要措施,确保其收集的个人信息的安全,防止信息被泄露、损坏或者丢失。当个人信息被泄露、损坏或丢失时,应立即采取补救措施,并及时通知用户,按规定向有关主管部门报告。第四十四条规定,任何个人或者组织不得以其他非法手段窃取、获取个人信息,不得非法出售或者非法向他人提供个人信息。

专家解读:互联网用户是互联网上的弱势群体,大多数互联网用户的隐私在互联网上出现条纹,成为电信诈骗和网络攻击的主要来源。这一方面源于网民自身安全意识薄弱;另一方面,网站更有必要完善保护措施,以确保网民的隐私和安全。特别是《网络安全法》规定实名制上网后,网站保护网民隐私的责任就更重了。

所以网站要从以下几个方面保护网民的隐私:

一是加强数据安全保护策略的部署,比如DLP数据泄露防范方案,保护网民的隐私信息;

二、明确系统内部权责,严格管理用户隐私的调用,坚持尽量减少网民隐私的使用,尽量缩小权利范围的原则;

三、为用户保留网络证据,在公安机关审查网络侵权时配合公安机关提供相应的电子证据;

问题3:建立应急响应流程,坚守最后一道防线

法律规定:《网络安全法》第25条规定,网络运营商应对网络安全事件制定应急预案,及时应对系统漏洞、计算机病毒、网络攻击、网络入侵等安全隐患;一旦发生危及网络安全的事件,立即启动应急预案,采取相应的补救措施,并按规定向相关主管部门报告。

网络经营者未履行本法第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者造成危害网络安全等后果的,处以1万元以上10万元以下罚款,对直接负责的主管人员处以5000元以上5万元以下罚款

二是定期进行安全应急培训和演练,让企业管理者和员工熟悉安全事故发生时如何操作,就像消防演练一样。

三、加强对网络安全的跟踪和关注。当发生大规模网络安全事件时,如永恒之蓝爆发,企业应提前做好应急防范,提前进入应急状态,最大限度地保护企业免受损害。