百度安全专家从网站安全建设、规范网络运营两大方面进行了解读,希望给网站提供一些操作性强的建议。
以下内容为百度安全投稿,雷锋网(公众号:雷锋网)配图,授权雷锋网首发。
第一部分 关于企业自身的安全建设
问题一:定期给网站进行安全体检
法律规定:《网络安全法》第九条规定,网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
【长那么多肉,体检了才发现不太对】
专家解读:网站自身的安全是各种网络活动顺利展开的基石,也是保护网民财产和隐私的基础。为此,网站要从以下几个方面做好准备:
一是定期为网站进行体检,及时发现网站的潜在风险并尽快修复。有条件的网站建议每个季度进行一次渗透测试,尤其是金融、电商这些重点行业企业。如果企业本身缺乏专业的能力和人才,可以与专业的第三方安全机构合作开展。
二是网站在产品研发和上线过程中,要始终坚持安全原则。重点产品上线前要经过代码安全审计和渗透测试,确保没有漏洞和后门的可能。
三是过去一些网络服务商出于各种目的习惯性的保留程序的后门,有的是为了后期提升用户体验,有的则是为了测试使用,还有的就是为了收集用户隐私。网络安全法实施之后,这样的行为将被禁止。因为这些后门给黑客打开了方便之门,经常会出现“螳螂捕蝉,黄雀在后”的情况。比如,苹果iOS系统2014年被曝出com.apple.pcapd服务存在后门,通过libpcap网络数据包捕获流入和流出iOS设备的HTTP数据,能够泄漏“大量情报”。
问题二:从四个层面完善网站安全建设
法律规定:《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
【不要过来,谁来搞站打谁】
专家解读:建立安全防护体系,不仅是符合法律规定,更是为了保护网站和网民的安全。为此,企业应从硬件安全、系统安全、数据安全、应用安全四个方面来部署完善的安全策略,可以自行研发,也可以与符合资质的安全服务商合作。目前安全市场有成熟的解决方案,从私有云部署到 SaaS 化的安全服务,再到混合云部署都可以支持,企业可以根据自身的业务重要性、资金实力、安全技术实力等,综合考虑选择。举例来说,中国超过 77 %的网站日访问量低于 100 ,这些网站大多架在云端,并且规模都不大,所以选择面向中小企业的SaaS化综合安全服务即可,比如百度云加速;而传统金融、互联网金融机构,就需要严格执行等级保护的规定,而且要专门针对现在比较流行的 DDoS 攻击等,部署针对性的防御策略。
问题三:三分靠技术,七分靠管理
法律规定:《网络安全法》第二十一条规定,企业需制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
第三十四条规定,关键信息基础设施的运营者还应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;法律、行政法规规定的其他义务。
【字都这么大了,好意思不看我?】
专家解读:安全历来是三分靠技术,七分靠管理。最近几年,互联网企业、传统企业在CTO、CIO基础上,很多都设立了专门的CSO(首席安全官),可见企业越来越重视安全。企业应从安全管理制度和架构设计、员工安全意识培训、安全应急响应处理流程等三个方面完善安全管理制度:首先要建立安全管理制度,包括明确网络安全保护的范围、员工行为规范、明确权责;其次对员工进行定期安全意识教育和培训,将安全培训纳入新员工入职培训,并且一年至少进行一次安全演练;三是提前制定安全应急处理流程,例如防范病毒入侵和网络攻击的策略,日志审计和分析,为事后攻击溯源、追究责任保留好证据等。
只有提前指定完善的管理制度,在黑客入侵时才能从容应对。
问题四:日志留存6个月 信息追踪更有依据
法律规定:《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络运营者的安全义务包括采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
【施主,我都有三个,你要多备份】
专家解读:数据备份一方面防止丢失,另一方面当黑客攻击无法恢复系统时,可以保证业务的正常运行。所以,我们经常说最简单也最便宜的安全措施就是数据备份。
除此之外,日志留存对于网站运营者的意义,不仅在于能够留存历史数据,更是为未来可能发生的安全威胁做保障。此前曾经轰动业界的 CSDN 核心数据泄漏事件,专案组对网上泄露的 CSDN 数据在事件方面进行对比时,发现其服务器被入侵事件为 2010 年 7 月前。但是由于设计入侵的服务器日志未留存,数据无法恢复,当时负责的技术人员又大部分离职,现有人员不了解情况,所以通过数据来源找到最初入侵者难度极大。
不过,数据备份意味着存储成本的提高。企业可以根据情况,购买本地服务器或者是云主机服务。另外,有些安全服务商针对中小企业直接提供了网络访问日志存储 6 个月以上的服务,例如百度云加速。
第二部分 关于规范网站运营,保护网民权益
问题一:引导用户实名制 规范用户网络行为
法律规定:《网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
第四十七条规定,网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
【这种,不知道行不行】
专家解读:实名制是一把利剑,一方面会加强网站保护网民隐私责任的重要性,另一方面也促使网民更加珍惜自己的网络信誉,规范自己的网络行为。
今年5月起很多网站已经开始了引导用户开启实名制认证,比如绑定手机号码、提交身份认证信息等。在做好实名制引导的同时,企业也要做好这些隐私数据的保护工作,比如杜绝明文传输敏感信息、HTTPS改造加强网络安全性,购买数据加密的解决方案等。
网络安全法还规定了平台对网民发布的信息有管理义务,确保用户发布的内容符合法律规定。对此,企业应该引导用户规范网络行为的合法性,宣传积极合法地使用互联网服务。同时,要加强内容审计,建立专门的制度,通过机器和人工相结合的方式审核内容的合法性。比如映客直播有1000名全职员工从事直播内容的审查工作;斗鱼直播的800名审查员,在晚上7点到11点的高峰十七,几乎同时审查2万条以上直播。
问题二:确保网站安全 保护网民隐私
法律规定:《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
【不要泄露,不该知道的不要知道】
专家解读:网民在互联网上属于弱势群体,大多数网民的隐私都在互联网上裸奔,成为电信诈骗、网络攻击等的主要根源。这一方面源于网民本身的安全意识薄弱,另一方面更需要网站完善防护措施,确保网民的隐私安全。尤其是《网络安全法》规定了实名制上网之后,网站对网民隐私保护的责任更重了。
因此,网站应该从以下几个方面来保护网民隐私:
第一,加强数据安全防护策略部署,例如 DLP 数据防泄漏方案,保护网民隐私信息;
第二,制度上明确内部权责,对于用户隐私的调用进行严格管理,坚持最小化利用网民隐私原则和权利范围最小化原则;
第三,为用户保留网络证据,在公安机关对网络侵权行为进行审查时,配合公安机关提供相应电子证据;
问题三:建立应急响应流程,坚守最后一道防线
法律规定:《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
网络运营者不履行本法第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
【坚守最后一道防线,有底线】
专家解读:就在不久前,永恒之蓝勒索病毒泛滥,导致全球 99 个国家深受其害,尤其是教育、公安、办公网络。历史事件是最好的镜子。在网络安全法实施之际,企业更应该重视应急响应的重要性,这是一切防护的最后一道防线。建立健全应急预案对未来可能存在的基于系统漏洞的入侵、病毒攻击有着重要防范作用:
一是建立应急响应流程,并且进行安全应急演练。这里的流程包括如何应对黑客攻击,一旦遭受攻击如何进行止损、修复,还应该包括对员工进行培训,在紧急情况下如何确保规范化操作,避免给企业造成损失。
二是定期进行安全应急培训和演练,让企业管理者和员工像进行了解消防演练一样,熟知安全事件爆发时应该如何操作。
三是加强对网络安全的追踪和关注,在大规模网络安全事件,例如永恒之蓝爆发时,企业提前做好应急防范措施,提前进入应急状态,最大程度保护企业免受损害。
