當(dāng)前位置:首頁(yè) >  科技 >  IT業(yè)界 >  正文

網(wǎng)絡(luò)安全法今起實(shí)施,百度安全專(zhuān)家教你如何應(yīng)對(duì)

 2017-06-01 14:52  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

信息化時(shí)代,網(wǎng)絡(luò)已深刻地融入到社會(huì)生活的各個(gè)方面,網(wǎng)絡(luò)安全威脅也隨之向各層面滲透,并且已經(jīng)從線上滲透到線下。為保障網(wǎng)絡(luò)空間和國(guó)家安全,社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展, 6 月 1 日起,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》)將正式施行。

那么問(wèn)題來(lái)了,《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)站運(yùn)營(yíng)者提出了哪些要求,網(wǎng)站該如何做好應(yīng)對(duì)措施?哪些新規(guī)和網(wǎng)站運(yùn)營(yíng)者息息相關(guān)?網(wǎng)站運(yùn)營(yíng)該做好哪些應(yīng)對(duì)措施呢?為此,小編采訪了百度安全專(zhuān)家,從網(wǎng)站安全建設(shè)、規(guī)范網(wǎng)絡(luò)運(yùn)營(yíng)兩大方面進(jìn)行了解讀,希望給網(wǎng)站提供一些操作性強(qiáng)的建議。

第一部分 關(guān)于企業(yè)自身的安全建設(shè)

問(wèn)題一:定期給網(wǎng)站進(jìn)行安全體檢

法律規(guī)定:《網(wǎng)絡(luò)安全法》第九條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展經(jīng)營(yíng)和服務(wù)活動(dòng),必須遵守法律、行政法規(guī),尊重社會(huì)公德,遵守商業(yè)道德,誠(chéng)實(shí)信用,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),接受政府和社會(huì)的監(jiān)督,承擔(dān)社會(huì)責(zé)任。

第三十八條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)。

專(zhuān)家解讀:網(wǎng)站自身的安全是各種網(wǎng)絡(luò)活動(dòng)順利展開(kāi)的基石,也是保護(hù)網(wǎng)民財(cái)產(chǎn)和隱私的基礎(chǔ)。為此,網(wǎng)站要從以下幾個(gè)方面做好準(zhǔn)備:

一是定期為網(wǎng)站進(jìn)行體檢,及時(shí)發(fā)現(xiàn)網(wǎng)站的潛在風(fēng)險(xiǎn)并盡快修復(fù)。有條件的網(wǎng)站建議每個(gè)季度進(jìn)行一次滲透測(cè)試,尤其是金融、電商這些重點(diǎn)行業(yè)企業(yè)。如果企業(yè)本身缺乏專(zhuān)業(yè)的能力和人才,可以與專(zhuān)業(yè)的第三方安全機(jī)構(gòu)合作開(kāi)展。

二是網(wǎng)站在產(chǎn)品研發(fā)和上線過(guò)程中,要始終堅(jiān)持安全原則。重點(diǎn)產(chǎn)品上線前要經(jīng)過(guò)代碼安全審計(jì)和滲透測(cè)試,確保沒(méi)有漏洞和后門(mén)的可能。

三是過(guò)去一些網(wǎng)絡(luò)服務(wù)商出于各種目的習(xí)慣性的保留程序的后門(mén),有的是為了后期提升用戶體驗(yàn),有的則是為了測(cè)試使用,還有的就是為了收集用戶隱私。網(wǎng)絡(luò)安全法實(shí)施之后,這樣的行為將被禁止。因?yàn)檫@些后門(mén)給黑客打開(kāi)了方便之門(mén),經(jīng)常會(huì)出現(xiàn)“螳螂捕蟬,黃雀在后”的情況。比如,蘋(píng)果iOS系統(tǒng) 2014 年被曝出com.apple.pcapd服務(wù)存在后門(mén),通過(guò)libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲流入和流出iOS設(shè)備的HTTP數(shù)據(jù),能夠泄漏“大量情報(bào)”。

問(wèn)題二:從四個(gè)層面完善網(wǎng)站安全建設(shè)

法律規(guī)定:《網(wǎng)絡(luò)安全法》第十條規(guī)定,建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù),應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

專(zhuān)家解讀:建立安全防護(hù)體系,不僅是符合法律規(guī)定,更是為了保護(hù)網(wǎng)站和網(wǎng)民的安全。為此,企業(yè)應(yīng)從硬件安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全四個(gè)方面來(lái)部署完善的安全策略,可以自行研發(fā),也可以與符合資質(zhì)的安全服務(wù)商合作。目前安全市場(chǎng)有成熟的解決方案,從私有云部署到SaaS化的安全服務(wù),再到混合云部署都可以支持,企業(yè)可以根據(jù)自身的業(yè)務(wù)重要性、資金實(shí)力、安全技術(shù)實(shí)力等,綜合考慮選擇。舉例來(lái)說(shuō),中國(guó)超過(guò)77%的網(wǎng)站日訪問(wèn)量低于100,這些網(wǎng)站大多架在云端,并且規(guī)模都不大,所以選擇面向中小企業(yè)的SaaS化綜合安全服務(wù)即可,比如百度云加速;而傳統(tǒng)金融、互聯(lián)網(wǎng)金融機(jī)構(gòu),就需要嚴(yán)格執(zhí)行等級(jí)保護(hù)的規(guī)定,而且要專(zhuān)門(mén)針對(duì)現(xiàn)在比較流行的DDoS攻擊等,部署針對(duì)性的防御策略。

問(wèn)題三:三分靠技術(shù),七分靠管理

法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,企業(yè)需制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

第三十四條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)設(shè)置專(zhuān)門(mén)安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人,并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份;制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練;法律、行政法規(guī)規(guī)定的其他義務(wù)。

專(zhuān)家解讀:安全歷來(lái)是三分靠技術(shù),七分靠管理。最近幾年,互聯(lián)網(wǎng)企業(yè)、傳統(tǒng)企業(yè)在CTO、CIO基礎(chǔ)上,很多都設(shè)立了專(zhuān)門(mén)的CSO(首席安全官),可見(jiàn)企業(yè)越來(lái)越重視安全。企業(yè)應(yīng)從安全管理制度和架構(gòu)設(shè)計(jì)、員工安全意識(shí)培訓(xùn)、安全應(yīng)急響應(yīng)處理流程等三個(gè)方面完善安全管理制度:首先要建立安全管理制度,包括明確網(wǎng)絡(luò)安全保護(hù)的范圍、員工行為規(guī)范、明確權(quán)責(zé);其次對(duì)員工進(jìn)行定期安全意識(shí)教育和培訓(xùn),將安全培訓(xùn)納入新員工入職培訓(xùn),并且一年至少進(jìn)行一次安全演練;三是提前制定安全應(yīng)急處理流程,例如防范病毒入侵和網(wǎng)絡(luò)攻擊的策略,日志審計(jì)和分析,為事后攻擊溯源、追究責(zé)任保留好證據(jù)等。

只有提前指定完善的管理制度,在黑客入侵時(shí)才能從容應(yīng)對(duì)。

問(wèn)題四:日志留存 6 個(gè)月 信息追蹤更有依據(jù)

法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十一條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)包括采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

專(zhuān)家解讀:數(shù)據(jù)備份一方面防止丟失,另一方面當(dāng)黑客攻擊無(wú)法恢復(fù)系統(tǒng)時(shí),可以保證業(yè)務(wù)的正常運(yùn)行。所以,我們經(jīng)常說(shuō)最簡(jiǎn)單也最便宜的安全措施就是數(shù)據(jù)備份。

除此之外,日志留存對(duì)于網(wǎng)站運(yùn)營(yíng)者的意義,不僅在于能夠留存歷史數(shù)據(jù),更是為未來(lái)可能發(fā)生的安全威脅做保障。此前曾經(jīng)轟動(dòng)業(yè)界的CSDN核心數(shù)據(jù)泄漏事件,專(zhuān)案組對(duì)網(wǎng)上泄露的CSDN數(shù)據(jù)在事件方面進(jìn)行對(duì)比時(shí),發(fā)現(xiàn)其服務(wù)器被入侵事件為 2010 年 7 月前。但是由于設(shè)計(jì)入侵的服務(wù)器日志未留存,數(shù)據(jù)無(wú)法恢復(fù),當(dāng)時(shí)負(fù)責(zé)的技術(shù)人員又大部分離職,現(xiàn)有人員不了解情況,所以通過(guò)數(shù)據(jù)來(lái)源找到最初入侵者難度極大。

不過(guò),數(shù)據(jù)備份意味著存儲(chǔ)成本的提高。企業(yè)可以根據(jù)情況,購(gòu)買(mǎi)本地服務(wù)器或者是云主機(jī)服務(wù)。另外,有些安全服務(wù)商針對(duì)中小企業(yè)直接提供了網(wǎng)絡(luò)訪問(wèn)日志存儲(chǔ) 6 個(gè)月以上的服務(wù),例如百度云加速。

第二部分 關(guān)于規(guī)范網(wǎng)站運(yùn)營(yíng),保護(hù)網(wǎng)民權(quán)益

問(wèn)題一:引導(dǎo)用戶實(shí)名制 規(guī)范用戶網(wǎng)絡(luò)行為

法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十四條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù),辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù),或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)。

第四十七條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶發(fā)布的信息的管理,發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧?yīng)當(dāng)立即停止傳輸該信息,采取消除等處置措施,防止信息擴(kuò)散,保存有關(guān)記錄,并向有關(guān)主管部門(mén)報(bào)告。

專(zhuān)家解讀:實(shí)名制是一把利劍,一方面會(huì)加強(qiáng)網(wǎng)站保護(hù)網(wǎng)民隱私責(zé)任的重要性,另一方面也促使網(wǎng)民更加珍惜自己的網(wǎng)絡(luò)信譽(yù),規(guī)范自己的網(wǎng)絡(luò)行為。

今年 5 月起很多網(wǎng)站已經(jīng)開(kāi)始了引導(dǎo)用戶開(kāi)啟實(shí)名制認(rèn)證,比如綁定手機(jī)號(hào)碼、提交身份認(rèn)證信息等。在做好實(shí)名制引導(dǎo)的同時(shí),企業(yè)也要做好這些隱私數(shù)據(jù)的保護(hù)工作,比如杜絕明文傳輸敏感信息、HTTPS改造加強(qiáng)網(wǎng)絡(luò)安全性,購(gòu)買(mǎi)數(shù)據(jù)加密的解決方案等。

網(wǎng)絡(luò)安全法還規(guī)定了平臺(tái)對(duì)網(wǎng)民發(fā)布的信息有管理義務(wù),確保用戶發(fā)布的內(nèi)容符合法律規(guī)定。對(duì)此,企業(yè)應(yīng)該引導(dǎo)用戶規(guī)范網(wǎng)絡(luò)行為的合法性,宣傳積極合法地使用互聯(lián)網(wǎng)服務(wù)。同時(shí),要加強(qiáng)內(nèi)容審計(jì),建立專(zhuān)門(mén)的制度,通過(guò)機(jī)器和人工相結(jié)合的方式審核內(nèi)容的合法性。比如映客直播有 1000 名全職員工從事直播內(nèi)容的審查工作;斗魚(yú)直播的 800 名審查員,在晚上 7 點(diǎn)到 11 點(diǎn)的高峰十七,幾乎同時(shí)審查 2 萬(wàn)條以上直播。

問(wèn)題二:確保網(wǎng)站安全 保護(hù)網(wǎng)民隱私

法律規(guī)定:《網(wǎng)絡(luò)安全法》第四十條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。

第四十一條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開(kāi)收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個(gè)人信息。

第四十二條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。

第四十四條規(guī)定,任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息。

專(zhuān)家解讀:網(wǎng)民在互聯(lián)網(wǎng)上屬于弱勢(shì)群體,大多數(shù)網(wǎng)民的隱私都在互聯(lián)網(wǎng)上裸奔,成為電信詐騙、網(wǎng)絡(luò)攻擊等的主要根源。這一方面源于網(wǎng)民本身的安全意識(shí)薄弱,另一方面更需要網(wǎng)站完善防護(hù)措施,確保網(wǎng)民的隱私安全。尤其是《網(wǎng)絡(luò)安全法》規(guī)定了實(shí)名制上網(wǎng)之后,網(wǎng)站對(duì)網(wǎng)民隱私保護(hù)的責(zé)任更重了。

因此,網(wǎng)站應(yīng)該從以下幾個(gè)方面來(lái)保護(hù)網(wǎng)民隱私:

第一,加強(qiáng)數(shù)據(jù)安全防護(hù)策略部署,例如DLP數(shù)據(jù)防泄漏方案,保護(hù)網(wǎng)民隱私信息;

第二,制度上明確內(nèi)部權(quán)責(zé),對(duì)于用戶隱私的調(diào)用進(jìn)行嚴(yán)格管理,堅(jiān)持最小化利用網(wǎng)民隱私原則和權(quán)利范圍最小化原則;

第三,為用戶保留網(wǎng)絡(luò)證據(jù),在公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)侵權(quán)行為進(jìn)行審查時(shí),配合公安機(jī)關(guān)提供相應(yīng)電子證據(jù);

問(wèn)題三:建立應(yīng)急響應(yīng)流程,堅(jiān)守最后一道防線

法律規(guī)定:《網(wǎng)絡(luò)安全法》第二十五條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。

網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門(mén)責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。

專(zhuān)家解讀:就在不久前,永恒之藍(lán)勒索病毒泛濫,導(dǎo)致全球 99 個(gè)國(guó)家深受其害,尤其是教育、公安、辦公網(wǎng)絡(luò)。歷史事件是最好的鏡子。在網(wǎng)絡(luò)安全法實(shí)施之際,企業(yè)更應(yīng)該重視應(yīng)急響應(yīng)的重要性,這是一切防護(hù)的最后一道防線。建立健全應(yīng)急預(yù)案對(duì)未來(lái)可能存在的基于系統(tǒng)漏洞的入侵、病毒攻擊有著重要防范作用:

一是建立應(yīng)急響應(yīng)流程,并且進(jìn)行安全應(yīng)急演練。這里的流程包括如何應(yīng)對(duì)黑客攻擊,一旦遭受攻擊如何進(jìn)行止損、修復(fù),還應(yīng)該包括對(duì)員工進(jìn)行培訓(xùn),在緊急情況下如何確保規(guī)范化操作,避免給企業(yè)造成損失。

二是定期進(jìn)行安全應(yīng)急培訓(xùn)和演練,讓企業(yè)管理者和員工像進(jìn)行了解消防演練一樣,熟知安全事件爆發(fā)時(shí)應(yīng)該如何操作。

三是加強(qiáng)對(duì)網(wǎng)絡(luò)安全的追蹤和關(guān)注,在大規(guī)模網(wǎng)絡(luò)安全事件,例如永恒之藍(lán)爆發(fā)時(shí),企業(yè)提前做好應(yīng)急防范措施,提前進(jìn)入應(yīng)急狀態(tài),最大程度保護(hù)企業(yè)免受損害。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全法

相關(guān)文章

熱門(mén)排行

信息推薦