域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

信息化時(shí)代，網(wǎng)絡(luò)已深刻地融入到社會(huì)生活的各個(gè)方面，網(wǎng)絡(luò)安全威脅也隨之向各層面滲透，并且已經(jīng)從線上滲透到線下。為保障網(wǎng)絡(luò)空間和國家安全，社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展， 6 月 1 日起，《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)將正式施行。

那么問題來了，《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)站運(yùn)營者提出了哪些要求，網(wǎng)站該如何做好應(yīng)對(duì)措施?哪些新規(guī)和網(wǎng)站運(yùn)營者息息相關(guān)?網(wǎng)站運(yùn)營該做好哪些應(yīng)對(duì)措施呢?為此，小編采訪了百度安全專家，從網(wǎng)站安全建設(shè)、規(guī)范網(wǎng)絡(luò)運(yùn)營兩大方面進(jìn)行了解讀，希望給網(wǎng)站提供一些操作性強(qiáng)的建議。

第一部分 關(guān)于企業(yè)自身的安全建設(shè)

問題一：定期給網(wǎng)站進(jìn)行安全體檢

法律規(guī)定：《網(wǎng)絡(luò)安全法》第九條規(guī)定，網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和服務(wù)活動(dòng)，必須遵守法律、行政法規(guī)，尊重社會(huì)公德，遵守商業(yè)道德，誠實(shí)信用，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，接受政府和社會(huì)的監(jiān)督，承擔(dān)社會(huì)責(zé)任。

第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評(píng)估,并將檢測評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

專家解讀：網(wǎng)站自身的安全是各種網(wǎng)絡(luò)活動(dòng)順利展開的基石，也是保護(hù)網(wǎng)民財(cái)產(chǎn)和隱私的基礎(chǔ)。為此，網(wǎng)站要從以下幾個(gè)方面做好準(zhǔn)備：

一是定期為網(wǎng)站進(jìn)行體檢，及時(shí)發(fā)現(xiàn)網(wǎng)站的潛在風(fēng)險(xiǎn)并盡快修復(fù)。有條件的網(wǎng)站建議每個(gè)季度進(jìn)行一次滲透測試，尤其是金融、電商這些重點(diǎn)行業(yè)企業(yè)。如果企業(yè)本身缺乏專業(yè)的能力和人才，可以與專業(yè)的第三方安全機(jī)構(gòu)合作開展。

二是網(wǎng)站在產(chǎn)品研發(fā)和上線過程中，要始終堅(jiān)持安全原則。重點(diǎn)產(chǎn)品上線前要經(jīng)過代碼安全審計(jì)和滲透測試，確保沒有漏洞和后門的可能。

三是過去一些網(wǎng)絡(luò)服務(wù)商出于各種目的習(xí)慣性的保留程序的后門，有的是為了后期提升用戶體驗(yàn)，有的則是為了測試使用，還有的就是為了收集用戶隱私。網(wǎng)絡(luò)安全法實(shí)施之后，這樣的行為將被禁止。因?yàn)檫@些后門給黑客打開了方便之門，經(jīng)常會(huì)出現(xiàn)“螳螂捕蟬，黃雀在后”的情況。比如，蘋果iOS系統(tǒng) 2014 年被曝出com.apple.pcapd服務(wù)存在后門，通過libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲流入和流出iOS設(shè)備的HTTP數(shù)據(jù)，能夠泄漏“大量情報(bào)”。

問題二：從四個(gè)層面完善網(wǎng)站安全建設(shè)

法律規(guī)定：《網(wǎng)絡(luò)安全法》第十條規(guī)定，建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

專家解讀：建立安全防護(hù)體系，不僅是符合法律規(guī)定，更是為了保護(hù)網(wǎng)站和網(wǎng)民的安全。為此，企業(yè)應(yīng)從硬件安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全四個(gè)方面來部署完善的安全策略，可以自行研發(fā)，也可以與符合資質(zhì)的安全服務(wù)商合作。目前安全市場有成熟的解決方案，從私有云部署到SaaS化的安全服務(wù)，再到混合云部署都可以支持，企業(yè)可以根據(jù)自身的業(yè)務(wù)重要性、資金實(shí)力、安全技術(shù)實(shí)力等，綜合考慮選擇。舉例來說，中國超過77%的網(wǎng)站日訪問量低于100，這些網(wǎng)站大多架在云端，并且規(guī)模都不大，所以選擇面向中小企業(yè)的SaaS化綜合安全服務(wù)即可，比如百度云加速;而傳統(tǒng)金融、互聯(lián)網(wǎng)金融機(jī)構(gòu)，就需要嚴(yán)格執(zhí)行等級(jí)保護(hù)的規(guī)定，而且要專門針對(duì)現(xiàn)在比較流行的DDoS攻擊等，部署針對(duì)性的防御策略。

問題三：三分靠技術(shù)，七分靠管理

法律規(guī)定：《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，企業(yè)需制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

第三十四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練;法律、行政法規(guī)規(guī)定的其他義務(wù)。

專家解讀：安全歷來是三分靠技術(shù)，七分靠管理。最近幾年，互聯(lián)網(wǎng)企業(yè)、傳統(tǒng)企業(yè)在CTO、CIO基礎(chǔ)上，很多都設(shè)立了專門的CSO(首席安全官)，可見企業(yè)越來越重視安全。企業(yè)應(yīng)從安全管理制度和架構(gòu)設(shè)計(jì)、員工安全意識(shí)培訓(xùn)、安全應(yīng)急響應(yīng)處理流程等三個(gè)方面完善安全管理制度：首先要建立安全管理制度，包括明確網(wǎng)絡(luò)安全保護(hù)的范圍、員工行為規(guī)范、明確權(quán)責(zé);其次對(duì)員工進(jìn)行定期安全意識(shí)教育和培訓(xùn)，將安全培訓(xùn)納入新員工入職培訓(xùn)，并且一年至少進(jìn)行一次安全演練;三是提前制定安全應(yīng)急處理流程，例如防范病毒入侵和網(wǎng)絡(luò)攻擊的策略，日志審計(jì)和分析，為事后攻擊溯源、追究責(zé)任保留好證據(jù)等。

只有提前指定完善的管理制度，在黑客入侵時(shí)才能從容應(yīng)對(duì)。

問題四：日志留存 6 個(gè)月 信息追蹤更有依據(jù)

法律規(guī)定：《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)包括采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

專家解讀：數(shù)據(jù)備份一方面防止丟失，另一方面當(dāng)黑客攻擊無法恢復(fù)系統(tǒng)時(shí)，可以保證業(yè)務(wù)的正常運(yùn)行。所以，我們經(jīng)常說最簡單也最便宜的安全措施就是數(shù)據(jù)備份。

除此之外，日志留存對(duì)于網(wǎng)站運(yùn)營者的意義，不僅在于能夠留存歷史數(shù)據(jù)，更是為未來可能發(fā)生的安全威脅做保障。此前曾經(jīng)轟動(dòng)業(yè)界的CSDN核心數(shù)據(jù)泄漏事件，專案組對(duì)網(wǎng)上泄露的CSDN數(shù)據(jù)在事件方面進(jìn)行對(duì)比時(shí)，發(fā)現(xiàn)其服務(wù)器被入侵事件為 2010 年 7 月前。但是由于設(shè)計(jì)入侵的服務(wù)器日志未留存，數(shù)據(jù)無法恢復(fù)，當(dāng)時(shí)負(fù)責(zé)的技術(shù)人員又大部分離職，現(xiàn)有人員不了解情況，所以通過數(shù)據(jù)來源找到最初入侵者難度極大。

不過，數(shù)據(jù)備份意味著存儲(chǔ)成本的提高。企業(yè)可以根據(jù)情況，購買本地服務(wù)器或者是云主機(jī)服務(wù)。另外，有些安全服務(wù)商針對(duì)中小企業(yè)直接提供了網(wǎng)絡(luò)訪問日志存儲(chǔ) 6 個(gè)月以上的服務(wù)，例如百度云加速。

第二部分 關(guān)于規(guī)范網(wǎng)站運(yùn)營，保護(hù)網(wǎng)民權(quán)益

問題一：引導(dǎo)用戶實(shí)名制 規(guī)范用戶網(wǎng)絡(luò)行為

法律規(guī)定：《網(wǎng)絡(luò)安全法》第二十四條規(guī)定，網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù)，辦理固定電話、移動(dòng)電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù)，在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。

第四十七條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)加強(qiáng)對(duì)其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當(dāng)立即停止傳輸該信息，采取消除等處置措施，防止信息擴(kuò)散，保存有關(guān)記錄，并向有關(guān)主管部門報(bào)告。

專家解讀：實(shí)名制是一把利劍，一方面會(huì)加強(qiáng)網(wǎng)站保護(hù)網(wǎng)民隱私責(zé)任的重要性，另一方面也促使網(wǎng)民更加珍惜自己的網(wǎng)絡(luò)信譽(yù)，規(guī)范自己的網(wǎng)絡(luò)行為。

今年 5 月起很多網(wǎng)站已經(jīng)開始了引導(dǎo)用戶開啟實(shí)名制認(rèn)證，比如綁定手機(jī)號(hào)碼、提交身份認(rèn)證信息等。在做好實(shí)名制引導(dǎo)的同時(shí)，企業(yè)也要做好這些隱私數(shù)據(jù)的保護(hù)工作，比如杜絕明文傳輸敏感信息、HTTPS改造加強(qiáng)網(wǎng)絡(luò)安全性，購買數(shù)據(jù)加密的解決方案等。

網(wǎng)絡(luò)安全法還規(guī)定了平臺(tái)對(duì)網(wǎng)民發(fā)布的信息有管理義務(wù)，確保用戶發(fā)布的內(nèi)容符合法律規(guī)定。對(duì)此，企業(yè)應(yīng)該引導(dǎo)用戶規(guī)范網(wǎng)絡(luò)行為的合法性，宣傳積極合法地使用互聯(lián)網(wǎng)服務(wù)。同時(shí)，要加強(qiáng)內(nèi)容審計(jì)，建立專門的制度，通過機(jī)器和人工相結(jié)合的方式審核內(nèi)容的合法性。比如映客直播有 1000 名全職員工從事直播內(nèi)容的審查工作;斗魚直播的 800 名審查員，在晚上 7 點(diǎn)到 11 點(diǎn)的高峰十七，幾乎同時(shí)審查 2 萬條以上直播。

問題二：確保網(wǎng)站安全 保護(hù)網(wǎng)民隱私

法律規(guī)定：《網(wǎng)絡(luò)安全法》第四十條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。

第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。

第四十二條規(guī)定，網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。

網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

第四十四條規(guī)定，任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

專家解讀：網(wǎng)民在互聯(lián)網(wǎng)上屬于弱勢群體，大多數(shù)網(wǎng)民的隱私都在互聯(lián)網(wǎng)上裸奔，成為電信詐騙、網(wǎng)絡(luò)攻擊等的主要根源。這一方面源于網(wǎng)民本身的安全意識(shí)薄弱，另一方面更需要網(wǎng)站完善防護(hù)措施，確保網(wǎng)民的隱私安全。尤其是《網(wǎng)絡(luò)安全法》規(guī)定了實(shí)名制上網(wǎng)之后，網(wǎng)站對(duì)網(wǎng)民隱私保護(hù)的責(zé)任更重了。

因此，網(wǎng)站應(yīng)該從以下幾個(gè)方面來保護(hù)網(wǎng)民隱私：

第一，加強(qiáng)數(shù)據(jù)安全防護(hù)策略部署，例如DLP數(shù)據(jù)防泄漏方案，保護(hù)網(wǎng)民隱私信息;

第二，制度上明確內(nèi)部權(quán)責(zé)，對(duì)于用戶隱私的調(diào)用進(jìn)行嚴(yán)格管理，堅(jiān)持最小化利用網(wǎng)民隱私原則和權(quán)利范圍最小化原則;

第三，為用戶保留網(wǎng)絡(luò)證據(jù)，在公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)侵權(quán)行為進(jìn)行審查時(shí)，配合公安機(jī)關(guān)提供相應(yīng)電子證據(jù);

問題三：建立應(yīng)急響應(yīng)流程，堅(jiān)守最后一道防線

法律規(guī)定：《網(wǎng)絡(luò)安全法》第二十五條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

網(wǎng)絡(luò)運(yùn)營者不履行本法第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

專家解讀：就在不久前，永恒之藍(lán)勒索病毒泛濫，導(dǎo)致全球 99 個(gè)國家深受其害，尤其是教育、公安、辦公網(wǎng)絡(luò)。歷史事件是最好的鏡子。在網(wǎng)絡(luò)安全法實(shí)施之際，企業(yè)更應(yīng)該重視應(yīng)急響應(yīng)的重要性，這是一切防護(hù)的最后一道防線。建立健全應(yīng)急預(yù)案對(duì)未來可能存在的基于系統(tǒng)漏洞的入侵、病毒攻擊有著重要防范作用：

一是建立應(yīng)急響應(yīng)流程，并且進(jìn)行安全應(yīng)急演練。這里的流程包括如何應(yīng)對(duì)黑客攻擊，一旦遭受攻擊如何進(jìn)行止損、修復(fù)，還應(yīng)該包括對(duì)員工進(jìn)行培訓(xùn)，在緊急情況下如何確保規(guī)范化操作，避免給企業(yè)造成損失。

二是定期進(jìn)行安全應(yīng)急培訓(xùn)和演練，讓企業(yè)管理者和員工像進(jìn)行了解消防演練一樣，熟知安全事件爆發(fā)時(shí)應(yīng)該如何操作。

三是加強(qiáng)對(duì)網(wǎng)絡(luò)安全的追蹤和關(guān)注，在大規(guī)模網(wǎng)絡(luò)安全事件，例如永恒之藍(lán)爆發(fā)時(shí)，企業(yè)提前做好應(yīng)急防范措施，提前進(jìn)入應(yīng)急狀態(tài)，最大程度保護(hù)企業(yè)免受損害。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！