首页 > 传媒 > 关键词 > 网络安全法最新资讯 > 正文

网络安全法今起实施,百度安全专家教你如何应对

2017-06-01 11:38 · 稿源:站长之家用户投稿

信息化时代,网络已深刻地融入到社会生活的各个方面,网络安全威胁也随之向各层面渗透,并且已经从线上渗透到线下。为保障网络空间和国家安全,社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展, 6 月 1 日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)将正式施行。

那么问题来了,《网络安全法》对网站运营者提出了哪些要求,网站该如何做好应对措施?哪些新规和网站运营者息息相关?网站运营该做好哪些应对措施呢?为此,小编采访了百度安全专家,从网站安全建设、规范网络运营两大方面进行了解读,希望给网站提供一些操作性强的建议。

第一部分 关于企业自身的安全建设

问题一:定期给网站进行安全体检

   法律规定:《网络安全法》第九条规定,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

    第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

专家解读网站自身的安全是各种网络活动顺利展开的基石,也是保护网民财产和隐私的基础。为此,网站要从以下几个方面做好准备:

一是定期为网站进行体检,及时发现网站的潜在风险并尽快修复。有条件的网站建议每个季度进行一次渗透测试,尤其是金融、电商这些重点行业企业。如果企业本身缺乏专业的能力和人才,可以与专业的第三方安全机构合作开展。

二是网站在产品研发和上线过程中,要始终坚持安全原则。重点产品上线前要经过代码安全审计和渗透测试,确保没有漏洞和后门的可能。

三是过去一些网络服务商出于各种目的习惯性的保留程序的后门,有的是为了后期提升用户体验,有的则是为了测试使用,还有的就是为了收集用户隐私。网络安全法实施之后,这样的行为将被禁止。因为这些后门给黑客打开了方便之门,经常会出现“螳螂捕蝉,黄雀在后”的情况。比如,苹果iOS系统 2014 年被曝出com.apple.pcapd服务存在后门,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据,能够泄漏“大量情报”。


问题二:从四个层面完善网站安全建设

法律规定:《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

专家解读:建立安全防护体系,不仅是符合法律规定,更是为了保护网站和网民的安全。为此,企业应从硬件安全、系统安全、数据安全、应用安全四个方面来部署完善的安全策略,可以自行研发,也可以与符合资质的安全服务商合作。目前安全市场有成熟的解决方案,从私有云部署到SaaS化的安全服务,再到混合云部署都可以支持,企业可以根据自身的业务重要性、资金实力、安全技术实力等,综合考虑选择。举例来说,中国超过77%的网站日访问量低于100,这些网站大多架在云端,并且规模都不大,所以选择面向中小企业的SaaS化综合安全服务即可,比如百度云加速;而传统金融、互联网金融机构,就需要严格执行等级保护的规定,而且要专门针对现在比较流行的DDoS攻击等,部署针对性的防御策略。


问题三:三分靠技术,七分靠管理

法律规定:《网络安全法》第二十一条规定,企业需制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

第三十四条规定,关键信息基础设施的运营者还应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。

专家解读:安全历来是三分靠技术,七分靠管理。最近几年,互联网企业、传统企业在CTO、CIO基础上,很多都设立了专门的CSO(首席安全官),可见企业越来越重视安全。企业应从安全管理制度和架构设计、员工安全意识培训、安全应急响应处理流程等三个方面完善安全管理制度:首先要建立安全管理制度,包括明确网络安全保护的范围、员工行为规范、明确权责;其次对员工进行定期安全意识教育和培训,将安全培训纳入新员工入职培训,并且一年至少进行一次安全演练;三是提前制定安全应急处理流程,例如防范病毒入侵和网络攻击的策略,日志审计和分析,为事后攻击溯源、追究责任保留好证据等。

只有提前指定完善的管理制度,在黑客入侵时才能从容应对。


问题四:日志留存 6 个月 信息追踪更有依据

    法律规定:《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络运营者的安全义务包括采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

专家解读:数据备份一方面防止丢失,另一方面当黑客攻击无法恢复系统时,可以保证业务的正常运行。所以,我们经常说最简单也最便宜的安全措施就是数据备份。

除此之外,日志留存对于网站运营者的意义,不仅在于能够留存历史数据,更是为未来可能发生的安全威胁做保障。此前曾经轰动业界的CSDN核心数据泄漏事件,专案组对网上泄露的CSDN数据在事件方面进行对比时,发现其服务器被入侵事件为 2010 年 7 月前。但是由于设计入侵的服务器日志未留存,数据无法恢复,当时负责的技术人员又大部分离职,现有人员不了解情况,所以通过数据来源找到最初入侵者难度极大。

不过,数据备份意味着存储成本的提高。企业可以根据情况,购买本地服务器或者是云主机服务。另外,有些安全服务商针对中小企业直接提供了网络访问日志存储 6 个月以上的服务,例如百度云加速。


第二部分 关于规范网站运营,保护网民权益

问题一:引导用户实名制 规范用户网络行为

法律规定:《网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

第四十七条规定,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。


专家解读:实名制是一把利剑,一方面会加强网站保护网民隐私责任的重要性,另一方面也促使网民更加珍惜自己的网络信誉,规范自己的网络行为。

今年 5 月起很多网站已经开始了引导用户开启实名制认证,比如绑定手机号码、提交身份认证信息等。在做好实名制引导的同时,企业也要做好这些隐私数据的保护工作,比如杜绝明文传输敏感信息、HTTPS改造加强网络安全性,购买数据加密的解决方案等。

网络安全法还规定了平台对网民发布的信息有管理义务,确保用户发布的内容符合法律规定。对此,企业应该引导用户规范网络行为的合法性,宣传积极合法地使用互联网服务。同时,要加强内容审计,建立专门的制度,通过机器和人工相结合的方式审核内容的合法性。比如映客直播有 1000 名全职员工从事直播内容的审查工作;斗鱼直播的 800 名审查员,在晚上 7 点到 11 点的高峰十七,几乎同时审查 2 万条以上直播。


问题二:确保网站安全 保护网民隐私

法律规定:《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

专家解读:网民在互联网上属于弱势群体,大多数网民的隐私都在互联网上裸奔,成为电信诈骗、网络攻击等的主要根源。这一方面源于网民本身的安全意识薄弱,另一方面更需要网站完善防护措施,确保网民的隐私安全。尤其是《网络安全法》规定了实名制上网之后,网站对网民隐私保护的责任更重了。

因此,网站应该从以下几个方面来保护网民隐私:

第一,加强数据安全防护策略部署,例如DLP数据防泄漏方案,保护网民隐私信息;

第二,制度上明确内部权责,对于用户隐私的调用进行严格管理,坚持最小化利用网民隐私原则和权利范围最小化原则;

第三,为用户保留网络证据,在公安机关对网络侵权行为进行审查时,配合公安机关提供相应电子证据;


问题三:建立应急响应流程,坚守最后一道防线

法律规定:《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

网络运营者不履行本法第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

专家解读:就在不久前,永恒之蓝勒索病毒泛滥,导致全球 99 个国家深受其害,尤其是教育、公安、办公网络。历史事件是最好的镜子。在网络安全法实施之际,企业更应该重视应急响应的重要性,这是一切防护的最后一道防线。建立健全应急预案对未来可能存在的基于系统漏洞的入侵、病毒攻击有着重要防范作用:

一是建立应急响应流程,并且进行安全应急演练。这里的流程包括如何应对黑客攻击,一旦遭受攻击如何进行止损、修复,还应该包括对员工进行培训,在紧急情况下如何确保规范化操作,避免给企业造成损失。

二是定期进行安全应急培训和演练,让企业管理者和员工像进行了解消防演练一样,熟知安全事件爆发时应该如何操作。

三是加强对网络安全的追踪和关注,在大规模网络安全事件,例如永恒之蓝爆发时,企业提前做好应急防范措施,提前进入应急状态,最大程度保护企业免受损害。


免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 《数据安全法(草案)》出台,对企业有何影响?

    2020 年 7 月 2 日,全国人大常委会第二十次会议审议了《数据安全法(草案)》(以下简称《数安法》)并公开征求意见。《数安法》主要围绕着数据安全管理各项基本制度、促进数据安全和发展的措施、解决数据安全领域突出总量、满足电子政务数据合理需求展开。在这之前,国内数据安全建设的指导性文件,是国家互联网信息办公室去年 5 月 28 日发布的《数据安全管理办法(征求意见稿)》(以下简称《办法》)。《数安法》和《办法》之

  • 2020 网民网络安全感满意度调查活动卷

    欢迎您参与本年度网民网络安全感满意度调查活动。调查活动的目的是了解网民上网的安全感和满意度评价,以及对网络安全有关问题的认知和态度。您的回答将作为改善网络安全相关各方面工作的重要参考,您填写的信息将得到充分保护。“安全”才心安,满意才幸福,感射您的支持和参与!

  • 奇安信公告:子公司设合资公司,拓宽健康医疗领域网络安全市场

    奇安信发布公告称,公司全资子公司奇安信网络科技拟与海南信合长盈企业管理有限合伙企业以及关联方中电数据服务有限公司,共同出资设立中电奇安科技有限公司,注册资本 5000 万元,其中奇安信网络科技出资 1750 万元。合资公司以承接卫生与医疗健康领域咨询规划、信息系统安全评估,建设卫生行业网络安全运营中心、医疗健康大数据平台安全为核心业务。

  • LOL明昼法球能开出什么 明昼法球全部奖励一览

    英雄联盟在10.15版本开启了灵魂莲华的活动,玩家们可以在商城购买明昼法球,很多玩家还不清楚明昼法球可以获得什么奖励开出什么,下面就来为大家详细的介绍一下。

  • 准备好了吗?2020中国电信“天翼杯”网络安全攻防大赛,等你来战!

    伴随5G新兴技术发展而催生的网络安全新威胁,网络安全已经成为数字化发展的生命线,网络安全和信息化是事关国家经济社会可持续发展、事关国家长治久安、事关人民群众福祉的重大战略问题。主题为“安全无界·攻防有道”的2020中国电信“天翼杯”网络安全攻防大赛,旨在服务国家网络安全战略和网络强国建设,贯彻落实《网络安全法》,展现网络安全人才水平,提供竞技比拼和交流互动的舞台。本次大赛的报名时间为7月21日至28日。初赛?

  • 迪普科技荣获“2019年中国网络安全产业联盟优秀会员单位”荣誉称号

    2020 年 7 月 2 日, 2019 年度中国网络安全产业联盟会员大会暨换届大会(以下简称“大会”)以线上会议的形式成功召开。本次会议审议并通过了第二届联盟工作总结、联盟章程、 2020 年联盟工作要点等内容。在本次大会的联盟章程上,迪普科技被授予“ 2019 年中国网络安全产业联盟优秀会员单位”的荣誉称号,该荣誉也是对迪普科技作为会员单位在联盟中做出突出贡献的充分肯定。■ 中国网络安全产业联盟中国网络安全产业联盟成立于 201

  • LOL云顶之弈10.15机甲法阵容搭配 机甲法高胜率上分阵容攻略

    英雄联盟10.15版本的云顶之弈中机甲法的胜率一直都是很不错的,在持续的上升中,很多玩家还不清楚这个版本的机甲法到底怎么玩,下面就来为大家详细的介绍一下10.15版本机甲法的阵容攻略。

  • LOL云顶之弈10.14星神盾法流阵容搭配攻略 新阵容星神盾法运营思路

    英雄联盟星神盾法流是在10.14版本中强势崛起的一个流派,很多玩家还不清楚这个星神盾法流怎么玩,下面就来为大家分享一套星神盾法流的阵容搭配攻略。

  • 英国宣布禁用华为后 法国表态:不会禁止华为在法投资5G

    本月中旬,英国政府宣布,将从2020年12月31日起停止购买新的华为设备。此外,英国5G网络中目前所使用的华为设备须在2027年前拆除。针对英国的禁用决定,华为英国发言人Edward Brewster发表声明

  • 还款失败怎么办?稳住别慌,还呗三步排查法帮你搞定

    作为消费信贷产品的还呗来说,自诞生之日起,便致力于为信用良好的都市高成长性年轻人提供消费分期、信用卡账单分期等金融服务,帮助他们渡过资金短缺、青黄不接等时期,可有效避免逾期以及可能造成的高额罚息和征信影响,目前已为超过 4000 万的用户守护了征信。近期,有人反映,还呗app还款失败,不知道是什么原因,很是着急。以客户为中心,从客户的角度需求出发的还呗接收到这条反馈,立马写了一份攻略,其内容中的三步排查法?

  • 还你干净桌面!浏览器输入法弹窗终于要开始治理了

    玩着游戏、做着工作,突然弹出一些莫名其妙的广告。什么游戏类的广告啊,一刀999上线顶级VI或者新闻类的广告弹窗,这也是让大家很头疼的问题。不仅如此,部分较知名的浏览器、输入法自带弹窗,

  • 微软证实:Windows 10五月更新中输入法有问题

    对于那些更新至Windows 10新版本的用户来说,是不是觉得中文输入法有问题?在本月的补丁星期二活动日中,Windows 10 May 2020(20H1/Version 2004)收到了 KB4565503 累积更新。在为诸多系统组

  • 拉勾发布互联网社畜输入法报告 市场人每日打字7300个

    7月31日消息,拉勾联合搜狗输入法发布《互联网社畜研究报告》,数据显示,北京互联网社畜平均每天打字约8000个,稳居城市榜首。从岗位看,市场人每日打字数量7300个,是技术岗的4.3倍。“后浪”们的朝气蓬勃,也体现在打字上。报告显示,年龄越大的社畜,打字越少。工作越久,沟通越言简意赅,当然也可能是越“佛系”,从打字时间上看,市场人喜提“熬夜冠军”。即便是凌晨2点48分,仍有市场人忙着下brief。“好的”是

  • 法国表态不会禁止华为在法投资5G 华为5G最新消息

    法国表态不会禁止华为在法投资5G是什么情况?据路透社 7 月 21 日最新消息,法国财政部长勒梅尔当天表示,法国不会禁止华为在法投资5G。此前英国上周宣布将禁用华为后,其他欧洲国家对待华为的态度也受到关注。

  • 这份输入法行业报告,“方言识别”成各家发力的重点领域

    当科技发展到一定程度,很多生活中熟知的东西就会变了一番样子,跟自己越发的亲和。就拿输入法这种大家早已习以为常的东西来说,以前人们的认知只是拿来打字的,但随着技术不断进化,如今的输入法越来越人性化,功能也丰富了很多,跟我们的日常生活无比贴近。最近,Mob研究院发布了《2020中国第三方输入法行业洞察》,就对今年以来输入法行业的脉络进行了全面梳理。在这份报告中,一个核心关键词就是“由工具走向服务”。简单说来?

  • 网络机顶盒哪个好?网络机顶盒品牌怎么选

    最近真的好多的朋友在网上问,网络机顶盒怎么买,网络机顶盒哪个好?小编看到这些回答后,决定写一篇文章,给大家来盘点一下现在有哪些好用的网络机顶盒,以及买网络机顶盒要注意的地方。首先就是网络机顶盒有哪些,目前电视盒子虽然需求量很大,但是很多厂商并没有把重心放到这上面,比如华为目前的重心就从机顶盒上面撤离,去做电视产品了,所以目前比较热门的也就当贝、小米和天猫了,我这边主要讲这 3 个品牌。当贝盒子当贝在电

  • 镜像网络MW测试网络季度90日数据报告

    2020年7月17日,镜像网络MW测试网络正式上线90天,官方发布了一份数据报告,各项数据超出预期,表现优异。截止至7月16日12:00点(UTC+8),镜像网络MW区块高度达12650、全球节点超过7606个、存储空间75303TB、全网地址数11950、转帐交易数30927、区块平均交易数281、版本更新6次、官网UV25584,节点遍布中国、美国、法国、德国、奥地利、瑞士、波兰、日本、韩国...等地。镜像网络MW作为区块链+分布式存储文件系统,使用IPFS协议、区

  • 夏季白T的N种穿搭法,少不了TCL DD直驱滚筒洗衣机的秘密助攻

    纯白洁净的白T恤,是永远的灵魂单品!一到夏天,不知道穿什么的时候一件小白T成为首选。因为白T如同一碗清粥,没有华丽的外表却是最有包容性的单品,可与很多服装巧妙搭配毫无槽点。今天就来给大家安利白T的花样搭配方式,基础款单品也能带来清新简约的夏日时尚哦! LOOK1.白T+破洞牛仔裤 白T+牛仔裤的蓝白组合光是在色调上就赢得很轻松,清爽的白T和牛仔很适合简约夏日了。给牛仔裤加入破洞设计,整体设计更多了几分俏皮感,卷边

  • 巨人网络《征途》同名电影7月24日网络上映

    【TechWeb】7月13日消息,《征途》电影出品方今日正式宣布,由巨人网络同名经典游戏IP改编的电影《征途》将于7月24日,以单片付费的网络首播模式在爱奇艺独播上线。该电影由阿里影业、巨人影业、星皓影业、中影股份联合出品,总投资近3亿元,耗时四年制作。影片由陈德森执导、郑保瑞监制,刘宪华、何润东、林辰涵、蒋璐霞、罗仲谦、胡明主演。《征途》是中国网游史上具有里程碑意义的一款产品,它开创了全新的免费商业模式,推出?

  • 按遥控器按到到手酸,智能输入太难了!当贝市场分享电脑输入法

    平常我们在看电视时,总是需要大量的时间来搜索资源,“今天看什么好呢?”是一个亘古不变且永恒的话题,再加上智能电视输入法的不便,这使得我们只能对着遥控器一顿猛按,一度按到手抽筋。今天小编就来给大家解决问题了!一、下载智能电视专用输入法现如今,输入法已经不再是手机和电脑的专利,在电视上我们也可以安装相应的输入法,让搜索变得简单。以下 3 款输入法都能在当贝市场上下载得到,大家可以根据自己的需求自行搜索下载?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天