網(wǎng)站被黑客攻擊，公安機關(guān)罰企業(yè)錢，還要罰我錢？網(wǎng)安法：是的！

       近期在網(wǎng)上看到這樣的一些例子：河南一圖書館網(wǎng)站被黑，因未履行網(wǎng)絡(luò)安全保護獲罰建網(wǎng)站不維護遭黑客攻擊；哈爾濱某開辦單位被罰20000元；宜賓某單位未落實等級保護制度，企業(yè)被罰10000，法人被罰5000。

       其實遇到這樣的事情很多人是崩潰的：什么？我網(wǎng)站被黑客攻擊了耶，我是受害者耶!沒抓到壞人，還要罰我？

       可能很多人也覺得“在理”，然而實際上《網(wǎng)絡(luò)安全法》有明確規(guī)定：

       第六章 法律責任

       第五十九條 網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務的，由有關(guān)主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

       關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護義務的，由有關(guān)主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

       我們看看第 二十一條、二十五條、三十三條、三十四條、三十六條、三十八條是什么？

       第二十一條 國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

       (一)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任;

       (二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

       (三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;

       (四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

       (五)法律、行政法規(guī)規(guī)定的其他義務。

       第二十五條 網(wǎng)絡(luò)運營者應當制定網(wǎng)絡(luò)安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

       第三十三條 建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

       第三十四條 除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應當履行下列安全保護義務：

       (一)設(shè)置專門安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查;

       (二)定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓和技能考核;

       (三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;

       (四)制定網(wǎng)絡(luò)安全事件應急預案，并定期進行演練;

       (五)法律、行政法規(guī)規(guī)定的其他義務。

       第三十六條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。

       第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應當自行或者委托網(wǎng)絡(luò)安全服務機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。

       我們算一下賬：

       單位沒有履行網(wǎng)絡(luò)安全保護義務，被罰80000元

       直接負責的主管人員被罰15000、10000、10000元

       共計被罰：80000+15000+10000+10000=115000元

       這些錢可以做什么呢？買臺下一代防火墻都夠用了，流量不大的話，再配上 1 臺Web應用防火墻也夠用了或者：買個網(wǎng)站云防護，再加上 1 套網(wǎng)頁防篡改，也夠用了，當然，您要是覺得麻煩，您可以把維護工作交給我們。億萬聯(lián)合推出的網(wǎng)站維護金牌管家服務，為您解決后顧之憂！

       當然，億萬聯(lián)合也希望各個單位都能做好安全防護，不出問題。

       網(wǎng)站安全需要什么?其實也簡單，現(xiàn)在我把常見的網(wǎng)站防護產(chǎn)品整理下：

       Web應用安全掃描器(不是平時說的“漏掃”，是“Web漏掃”)

       網(wǎng)絡(luò)防火墻(下一代防火墻的話更好，包含網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)防病毒的那種)

       Web應用防火墻(和上面的有本質(zhì)區(qū)別!縮寫是“WAF”)

       網(wǎng)頁防篡改(或終端安全防護、服務器加固等，需安裝客戶端)

       網(wǎng)站安全監(jiān)測平臺(帶Web漏掃、網(wǎng)頁木馬監(jiān)測、關(guān)鍵詞監(jiān)測、可用性檢測等)

       運維審計，可以對管理員對服務器的維護行為做審計

       日志審計，上面的網(wǎng)絡(luò)安全法提到了，日志要保存 180 天!

       數(shù)據(jù)庫審計，對業(yè)務系統(tǒng)的數(shù)據(jù)庫操作進行記錄

       高級可持續(xù)性威脅監(jiān)測平臺(等保 0 明確的“應采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析;”)

       億萬聯(lián)合提醒您：網(wǎng)站運營者、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，因為保存了大量敏感數(shù)據(jù)，是有責任、有義務做好安全防護的，否則一旦被黑客攻擊，輕則丟數(shù)據(jù)、被篡改，重則有政治風險，這個大家相信都懂的。

       另外：網(wǎng)站的安全服務、風險評估，大家一定要重視起來，為何習大大是中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組組長？就是因為網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)關(guān)系到了國家安全，到了一把手不得不親自抓的地步！國家都這么重視，更何況我們？