网络安全法6.1起施行,百度安全专家解读网站安全建设

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

信息化时代,网络已深刻地融入到社会生活的各个方面,网络安全威胁也随之向各层面渗透,并且已经从线上渗透到线下。为保障网络空间和国家安全,社会公共利益,保护公民、法人和其他组织的合法权益,促进 经济 社会信息化健康发展,6月1日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)将正式施行。

那么问题来了,《网络安全法》对网站运营者提出了哪些要求,网站该如何做好应对措施?哪些新规和网站运营者息息相关?网站运营该做好哪些应对措施呢?为此,小编采访了百度安全专家,从网站安全建设、规范网络运营两大方面进行了解读,希望给网站提供一些操作性强的建议。

关于企业自身的安全建设

一、  定期给网站进行安全体检

根据《网络安全法》的规定,网络运营者需要定期给网站进行安全体检。网站自身的安全是各种网络活动顺利展开的基石,也是保护网民财产和隐私的基础。为此,网站要从以下几个方面做好准备:

  一是定期为网站进行体检,及时发现网站的潜在风险并尽快修复。有条件的网站建议每个季度进行一次渗透测试,尤其是 金融 、电商这些重点行业企业。

二是网站在产品研发和上线过程中,要始终坚持安全原则。重点产品上线前要经过代码安全审计和渗透测试,确保没有漏洞和后门的可能。

三是关闭后门。过去一些网络服务商出于各种目的习惯性的保留程序的后门,有的是为了后期提升用户体验,有的则是为了测试使用,还有的就是为了收集用户隐私。网络安全法实施之后,这样的行为将被禁止。

二、  从四个层面完善网站安全建设

建立安全防护体系,不仅是符合法律规定,更是为了保护网站和网民的安全。为此,企业应从硬件安全、系统安全、数据安全、应用安全四个方面来部署完善的安全策略,可以自行研发,也可以与符合资质的安全服务商合作。目前安全市场有成熟的解决方案,从私有云部署到SaaS化的安全服务,再到混合云部署都可以支持,企业可以根据自身的业务重要性、资金实力、安全技术实力等,综合考虑选择。

三、  三分靠技术,七分靠管理

  安全历来是三分靠技术,七分靠管理。最近几年, 互联网 企业、传统企业在CTO、CIO基础上,很多都设立了专门的CSO(首席安全官),可见企业越来越重视安全。企业应从安全管理制度和架构设计、员工安全意识培训、安全应急响应处理流程等三个方面完善安全管理制度:首先要建立安全管理制度,包括明确网络安全保护的范围、员工行为规范、明确权责;其次对员工进行定期安全意识教育和培训,将安全培训纳入新员工入职培训,并且一年至少进行一次安全演练;三是提前制定安全应急处理流程,例如防范病毒入侵和网络攻击的策略,日志审计和分析,为事后攻击溯源、追究责任保留好证据等。

四、  日志留存6个月 信息追踪更有依据

数据备份一方面防止丢失,另一方面当黑客攻击无法恢复系统时,可以保证业务的正常运行。百度安全专家表示,数据备份是最简单也最便宜的安全措施,更是能为未来可能发生的安全威胁做保障。

不过,数据备份意味着存储成本的提高。企业可以根据情况,购买本地服务器或者是云主机服务。另外,有些安全服务商针对中小企业直接提供了网络访问日志存储6个月以上的服务,例如百度云加速。

关于规范网站运营,保护网民权益

一、  引导用户实名制 规范用户网络行为

实名制是一把利剑,一方面会加强网站保护网民隐私责任的重要性,另一方面也促使网民更加珍惜自己的网络信誉,规范自己的网络行为。

今年5月起很多网站已经开始了引导用户开启实名制认证,在做好实名制引导的同时,企业也要做好这些隐私数据的保护工作,比如杜绝明文传输敏感信息、HTTPS改造加强网络安全性,购买数据加密的解决方案等。

网络安全法还明确了平台对网民发布信息的管理义务,确保用户发布的内容符合法律规定。对此,企业应该引导用户规范网络行为的合法性,宣传积极合法地使用互联网服务。同时,要加强内容审计,建立专门的制度,通过机器和人工相结合的方式审核内容的合法性。

二、  确保网站安全 保护网民隐私

网民在互联网上属于弱势群体,大多数网民的隐私都在互联网上裸奔,成为电信诈骗、网络攻击等的主要根源。这一方面源于网民本身的安全意识薄弱,另一方面更需要网站完善防护措施,确保网民的隐私安全。尤其是《网络安全法》规定了实名制上网之后,网站对网民隐私保护的责任更重了。

因此,网站应该从以下几个方面来保护网民隐私:

第一,加强数据安全防护策略部署,例如DLP数据防泄漏方案,保护网民隐私信息;

第二,制度上明确内部权责,对于用户隐私的调用进行严格管理,坚持最小化利用网民隐私原则和权利范围最小化原则;

第三,为用户保留网络证据,在公安机关对网络侵权行为进行审查时,配合公安机关提供相应电子证据;

  • 建立应急响应流程,坚守最后一道防线

就在不久前,永恒之蓝勒索病毒泛滥,导致全球99个国家深受其害,尤其是教育、公安、办公网络。历史事件是最好的镜子。在网络安全法实施之际,企业更应该重视应急响应的重要性,这是一切防护的最后一道防线。建立健全应急预案对未来可能存在的基于系统漏洞的入侵、病毒攻击有着重要防范作用:

一是建立应急响应流程,并且进行安全应急演练。这里的流程包括如何应对黑客攻击,一旦遭受攻击如何进行止损、修复,还应该包括对员工进行培训,在紧急情况下如何确保规范化操作,避免给企业造成损失。

二是定期进行安全应急培训和演练,让企业管理者和员工像进行了解消防演练一样,熟知安全事件爆发时应该如何操作。

三是加强对网络安全的追踪和关注,在大规模网络安全事件,例如永恒之蓝爆发时,企业提前做好应急防范措施,提前进入应急状态,最大程度保护企业免受损害。

随意打赏

网络安全法 百度网络安全法施行网络安全法
提交建议
微信扫一扫,分享给好友吧。