網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

:網站被黑客攻擊,公安機關罰單位錢,還要罰我錢?!網安法:是的

2018-11-13 17:32 推薦: 瀏覽: 18,357 views 字號:

博彩彩票计划 www.nandk.icu 摘要: 下午游俠從朋友圈看到一張圖: 恩,讓我們放大了看看: 其實此前“游俠安全網”也發過幾個這樣的例子,見: 河南一圖書館網站被黑 因未履行網絡安全?;せ穹?//www.nandk.icu/2018/02/36591.html 建網站不維護遭黑客攻擊...

下午游俠從朋友圈看到一張圖:

恩,讓我們放大了看看:

其實此前“游俠安全網”也發過幾個這樣的例子,見:

河南一圖書館網站被黑 因未履行網絡安全?;せ穹?/span>

//www.nandk.icu/2018/02/36591.html

建網站不維護遭黑客攻擊 哈爾濱某開辦單位被罰20000元

//www.nandk.icu/2017/09/32764.html

宜賓某單位未落實等級?;ぶ貧齲浩笠當環?0000,法人被罰5000

//www.nandk.icu/2017/08/31924.html

其實遇到這樣的事情很多人是崩潰的:什么?!我網站被黑客攻擊了耶,我是受害者耶!沒抓到壞人,還要罰我?!我……

可能很多人也覺得“在理”,然而實際上《網絡安全法》有明確規定:

第六章? 法律責任

第五十九條? 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全?;ひ邐竦?,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下???,對直接負責的主管人員處五千元以上五萬元以下???/span>。

關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全?;ひ邐竦?,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下???,對直接負責的主管人員處一萬元以上十萬元以下???。

我們看看第21條、25條、33條、34條、36條、38條是什么(鑒于《網絡安全法》全文比較長,有感興趣的可以點這里看 //www.nandk.icu/2017/03/27301.html):

第二十一條? 國家實行網絡安全等級?;ぶ貧?。網絡運營者應當按照網絡安全等級?;ぶ貧鵲囊?,履行下列安全?;ひ邐?,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:

(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全?;ぴ鶉?;

(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;

(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;

(四)采取數據分類、重要數據備份和加密等措施;

(五)法律、行政法規規定的其他義務。

第二十五條? 網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。

第三十三條? 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。

第三十四條? 除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全?;ひ邐瘢?/p>

(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;

(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;

(三)對重要系統和數據庫進行容災備份;

(四)制定網絡安全事件應急預案,并定期進行演練;

(五)法律、行政法規規定的其他義務。

第三十六條? 關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。

第三十八條? 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全?;すぷ韉牟棵?。

我們算一下賬:

單位沒有履行網絡安全?;ひ邐?,被罰80000元

直接負責的主管人員被罰15000、10000、10000元

共計被罰:80000+15000+10000+10000=115000元

這些錢可以做什么呢?

買臺下一代防火墻夠用了,流量不大的話,再配上1臺Web應用防火墻也夠用了

或者:買個網站云防護,再加上1套網頁防篡改,也夠用了……

然而……實際上,網絡安全沒有“然而”,出事了就是出事了,希望廣大網絡安全管理員能提前行動,把控全局,“把風險提前寫在寫給上級的報告上”,這樣一旦出了問題,也能有一道護身符……當然,游俠也希望各個單位都能做好安全防護,不出問題。

網站安全需要什么?其實也簡單,游俠把常見的網站防護產品寫下:

  • Web應用安全掃描器(不是平時說的“漏掃”,是“Web漏掃”)
  • 網絡防火墻(下一代防火墻的話更好,包含網絡入侵防御、網絡防病毒的那種)
  • Web應用防火墻(和上面的有本質區別!縮寫是“WAF”)
  • 網頁防篡改(或終端安全防護、服務器加固等,需安裝客戶端)
  • 網站安全監測平臺(帶Web漏掃、網頁木馬監測、關鍵詞監測、可用性檢測等)
  • 運維審計,可以對管理員對服務器的維護行為做審計
  • 日志審計,上面的網絡安全法提到了,日志要保存180天!
  • 數據庫審計,對業務系統的數據庫操作進行記錄
  • 高級可持續性威脅監測平臺(等保0明確的“應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析;”)
  • 如果是省市級政務中心,當然可以上“安全大數據智能分析平臺”或“網絡安全態勢感知系統”了,土豪級單位必備。

游俠再說幾句:

網站運營者、關鍵信息基礎設施的運營者,因為保存了大量敏感數據,是有責任、有義務做好安全防護的,否則一旦被黑客攻擊,輕則丟數據、被篡改,重則有政治風險,這個大家相信都懂的。

另外:安全服務、風險評估,大家似乎都認為“送的,不要錢”?以后可就不是咯。等保2.0明確了,這塊以后也是重點。

為何國家的一把手是中央網絡安全和信息化領導小組組長?就是因為網絡安全現在已經關系到了國家安全,到了一把手不得不親自抓的地步!

國家都這么重視,更何況我們?

聯系站長租廣告位!
?
中國首席信息安全官


關閉


博彩彩票计划
關閉
快速时时计算方法 七乐彩规则 欢乐炸金花手机版下载 七乐彩最精准专家计划 重庆时时开奖结果 国家正规的买彩票app pk10的位置走势怎么看 时时彩包胆怎么选号 怎样用数学方法赌pk10北 最新pt游戏平台 3分快3稳赚技巧 重庆时时彩稳赚技巧 好运来幸运飞艇计划 5分赛车平台 金库游戏官网 pk10公式计划软件安卓