《網路安全法》今日實施，百度安全專家教你網站運營的正確姿勢

導語：6月1日起，《網路安全法》正式施行。《網路安全法》對網站運營者提出了哪些要求，網站該如何做好應對措施？哪些新規和網站運營者息息相關？網站運營該做好哪些應對措施？

本文作者：李勤

雷鋒網編者按：6月1日起，《中華人民共和國網路安全法》（以下簡稱《網路安全法》）將正式施行。問題來了，《網路安全法》對網站運營者提出了哪些要求，網站該如何做好應對措施？哪些新規和網站運營者息息相關？網站運營該做好哪些應對措施？

百度安全專家從網站安全建設、規範網路運營兩大方面進行了解讀，希望給網站提供一些操作性強的建議。

以下內容為百度安全投稿，雷鋒網(公眾號：雷鋒網)配圖，授權雷鋒網首發。

第一部分 關於企業自身的安全建設

問題一：定期給網站進行安全體檢

法律規定：《網路安全法》第九條規定，網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。

第三十八條規定，關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

GIF/580K

【長那麼多肉，體檢了才發現不太對】

專家解讀：網站自身的安全是各種網路活動順利展開的基石，也是保護網民財產和隱私的基礎。為此，網站要從以下幾個方面做好準備：

一是定期為網站進行體檢，及時發現網站的潛在風險並儘快修復。有條件的網站建議每個季度進行一次滲透測試，尤其是金融、電商這些重點行業企業。如果企業本身缺乏專業的能力和人才，可以與專業的第三方安全機構合作開展。

二是網站在產品研發和上線過程中，要始終堅持安全原則。重點產品上線前要經過代碼安全審計和滲透測試，確保沒有漏洞和後門的可能。

三是過去一些網路服務商出於各種目的習慣性的保留程序的後門，有的是為了後期提升用戶體驗，有的則是為了測試使用，還有的就是為了收集用戶隱私。網路安全法實施之後，這樣的行為將被禁止。因為這些後門給黑客打開了方便之門，經常會出現「螳螂捕蟬，黃雀在後」的情況。比如，蘋果iOS系統2014年被曝出com.apple.pcapd服務存在後門，通過libpcap網路數據包捕獲流入和流出iOS設備的HTTP數據，能夠泄漏「大量情報」。

問題二：從四個層面完善網站安全建設

法律規定：《網路安全法》第十條規定，建設、運營網路或者通過網路提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，採取技術措施和其他必要措施，保障網路安全、穩定運行，有效應對網路安全事件，防範網路違法犯罪活動，維護網路數據的完整性、保密性和可用性。

【不要過來，誰來搞站打誰】

專家解讀：建立安全防護體系，不僅是符合法律規定，更是為了保護網站和網民的安全。為此，企業應從硬體安全、系統安全、數據安全、應用安全四個方面來部署完善的安全策略，可以自行研發，也可以與符合資質的安全服務商合作。目前安全市場有成熟的解決方案，從私有雲部署到 SaaS 化的安全服務，再到混合雲部署都可以支持，企業可以根據自身的業務重要性、資金實力、安全技術實力等，綜合考慮選擇。舉例來說，中國超過 77 %的網站日訪問量低於 100 ，這些網站大多架在雲端，並且規模都不大，所以選擇面向中小企業的SaaS化綜合安全服務即可，比如百度雲加速；而傳統金融、互聯網金融機構，就需要嚴格執行等級保護的規定，而且要專門針對現在比較流行的 DDoS 攻擊等，部署針對性的防禦策略。

問題三：三分靠技術，七分靠管理

法律規定：《網路安全法》第二十一條規定，企業需制定內部安全管理制度和操作規程，確定網路安全負責人,落實網路安全保護責任。

第三十四條規定，關鍵信息基礎設施的運營者還應當設置專門安全管理機構和安全管理負責人，並對該負責人和關鍵崗位的人員進行安全背景審查；定期對從業人員進行網路安全教育、技術培訓和技能考核；對重要系統和資料庫進行容災備份；制定網路安全事件應急預案，並定期進行演練；法律、行政法規規定的其他義務。

GIF/288K

【字都這麼大了，好意思不看我？】

專家解讀：安全歷來是三分靠技術，七分靠管理。最近幾年，互聯網企業、傳統企業在CTO、CIO基礎上，很多都設立了專門的CSO（首席安全官），可見企業越來越重視安全。企業應從安全管理制度和架構設計、員工安全意識培訓、安全應急響應處理流程等三個方面完善安全管理制度：首先要建立安全管理制度，包括明確網路安全保護的範圍、員工行為規範、明確權責；其次對員工進行定期安全意識教育和培訓，將安全培訓納入新員工入職培訓，並且一年至少進行一次安全演練；三是提前制定安全應急處理流程，例如防範病毒入侵和網路攻擊的策略，日誌審計和分析，為事後攻擊溯源、追究責任保留好證據等。

只有提前指定完善的管理制度，在黑客入侵時才能從容應對。

問題四：日誌留存6個月 信息追蹤更有依據

法律規定：《網路安全法》第二十一條規定，網路運營者應當按照網路安全等級保護制度的要求,履行安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。網路運營者的安全義務包括採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月。

【施主，我都有三個，你要多備份】

專家解讀：數據備份一方面防止丟失，另一方面當黑客攻擊無法恢復系統時，可以保證業務的正常運行。所以，我們經常說最簡單也最便宜的安全措施就是數據備份。

除此之外，日誌留存對於網站運營者的意義，不僅在於能夠留存歷史數據，更是為未來可能發生的安全威脅做保障。此前曾經轟動業界的 CSDN 核心數據泄漏事件，專案組對網上泄露的 CSDN 數據在事件方面進行對比時，發現其伺服器被入侵事件為 2010 年 7 月前。但是由於設計入侵的伺服器日誌未留存，數據無法恢復，當時負責的技術人員又大部分離職，現有人員不了解情況，所以通過數據來源找到最初入侵者難度極大。

不過，數據備份意味著存儲成本的提高。企業可以根據情況，購買本地伺服器或者是雲主機服務。另外，有些安全服務商針對中小企業直接提供了網路訪問日誌存儲 6 個月以上的服務，例如百度雲加速。

第二部分 關於規範網站運營，保護網民權益

問題一：引導用戶實名制 規範用戶網路行為

法律規定：《網路安全法》第二十四條規定，網路運營者為用戶辦理網路接入、域名註冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網路運營者不得為其提供相關服務。

第四十七條規定，網路運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，採取消除等處置措施，防止信息擴散，保存有關記錄，並向有關主管部門報告。

【這種，不知道行不行】

專家解讀：實名制是一把利劍，一方面會加強網站保護網民隱私責任的重要性，另一方面也促使網民更加珍惜自己的網路信譽，規範自己的網路行為。

今年5月起很多網站已經開始了引導用戶開啟實名制認證，比如綁定手機號碼、提交身份認證信息等。在做好實名制引導的同時，企業也要做好這些隱私數據的保護工作，比如杜絕明文傳輸敏感信息、HTTPS改造加強網路安全性，購買數據加密的解決方案等。

網路安全法還規定了平台對網民發布的信息有管理義務，確保用戶發布的內容符合法律規定。對此，企業應該引導用戶規範網路行為的合法性，宣傳積極合法地使用互聯網服務。同時，要加強內容審計，建立專門的制度，通過機器和人工相結合的方式審核內容的合法性。比如映客直播有1000名全職員工從事直播內容的審查工作；鬥魚直播的800名審查員，在晚上7點到11點的高峰十七，幾乎同時審查2萬條以上直播。

問題二：確保網站安全 保護網民隱私

法律規定：《網路安全法》第四十條規定，網路運營者應當對其收集的用戶信息嚴格保密，並建立健全用戶信息保護制度。

第四十一條規定，網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。

網路運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第四十二條規定，網路運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。

第四十四條規定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

【不要泄露，不該知道的不要知道】

專家解讀：網民在互聯網上屬於弱勢群體，大多數網民的隱私都在互聯網上裸奔，成為電信詐騙、網路攻擊等的主要根源。這一方面源於網民本身的安全意識薄弱，另一方面更需要網站完善防護措施，確保網民的隱私安全。尤其是《網路安全法》規定了實名制上網之後，網站對網民隱私保護的責任更重了。

因此，網站應該從以下幾個方面來保護網民隱私：

第一，加強數據安全防護策略部署，例如 DLP 數據防泄漏方案，保護網民隱私信息；

第二，制度上明確內部權責，對於用戶隱私的調用進行嚴格管理，堅持最小化利用網民隱私原則和權利範圍最小化原則；

第三，為用戶保留網路證據，在公安機關對網路侵權行為進行審查時，配合公安機關提供相應電子證據；

問題三：建立應急響應流程，堅守最後一道防線

法律規定：《網路安全法》第二十五條規定，網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

網路運營者不履行本法第二十五條規定的網路安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

【堅守最後一道防線，有底線】

專家解讀：就在不久前，永恆之藍勒索病毒泛濫，導致全球 99 個國家深受其害，尤其是教育、公安、辦公網路。歷史事件是最好的鏡子。在網路安全法實施之際，企業更應該重視應急響應的重要性，這是一切防護的最後一道防線。建立健全應急預案對未來可能存在的基於系統漏洞的入侵、病毒攻擊有著重要防範作用：

一是建立應急響應流程，並且進行安全應急演練。這裡的流程包括如何應對黑客攻擊，一旦遭受攻擊如何進行止損、修復，還應該包括對員工進行培訓，在緊急情況下如何確保規範化操作，避免給企業造成損失。

二是定期進行安全應急培訓和演練，讓企業管理者和員工像進行了解消防演練一樣，熟知安全事件爆發時應該如何操作。

三是加強對網路安全的追蹤和關注，在大規模網路安全事件，例如永恆之藍爆發時，企業提前做好應急防範措施，提前進入應急狀態，最大程度保護企業免受損害。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。歡迎熱情討論，轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！