網站被黑客攻擊
，公安機關罰企業錢，還要罰我錢？網安法：是的！

       近期在網上看到這樣的一些例子：河南一圖書館網站被黑，因未履行網絡安全保護獲罰建網站不維護遭黑客攻擊；哈爾濱某開辦單位被罰20000元；宜賓某單位未落實等級保護製度
，企業被罰10000，法人被罰5000。

       其實遇到這樣的事情很多人是崩潰的：什麼
？我網站被黑客攻擊了耶

，我是受害者耶!沒抓到壞人，還要罰我

？

       可能很多人也覺得“在理”，然而實際上《網絡安全法》有明確規定：

       第六章 法律責任

       第五十九條 網絡運營者不履行本法第二十一條
、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正
，給予警告;拒不改正或者導致危害網絡安全等後果的，處一萬元以上十萬元以下罰款


，對直接負責的主管人員處五千元以上五萬元以下罰款。

       關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條

、第三十六條
、第三十八條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

       我們看看第 二十一條、二十五條、三十三條、三十四條、三十六條
、三十八條是什麼
？

       第二十一條 國家實行網絡安全等級保護製度。網絡運營者應當按照網絡安全等級保護製度的要求
，履行下列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

       (一)製定內部安全管理製度和操作規程，確定網絡安全負責人，落實網絡安全保護責任;

       (二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;

       (三)采取監測、記錄網絡運行狀態

、網絡安全事件的技術措施
，並按照規定留存相關的網絡日誌不少於六個月;

       (四)采取數據分類
、重要數據備份和加密等措施;

       (五)法律

、行政法規規定的其他義務。

       第二十五條 網絡運營者應當製定網絡安全事件應急預案，及時處置係統漏洞
、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，並按照規定向有關主管部門報告。

       第三十三條 建設關鍵信息基礎設施應當確保其具有支持業務穩定

、持續運行的性能，並保證安全技術措施同步規劃、同步建設、同步使用。

       第三十四條 除本法第二十一條的規定外
，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

       (一)設置專門安全管理機構和安全管理負責人
，並對該負責人和關鍵崗位的人員進行安全背景審查;

       (二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;

       (三)對重要係統和數據庫進行容災備份;

       (四)製定網絡安全事件應急預案
，並定期進行演練;

       (五)法律、行政法規規定的其他義務。

       第三十六條 關鍵信息基礎設施的運營者采購網絡產品和服務
，應當按照規定與提供者簽訂安全保密協議
，明確安全和保密義務與責任。

       第三十八條 關guan鍵jian信xin息xi基ji礎chu設she施shi的de運yun營ying者zhe應ying當dang自zi行xing或huo者zhe委wei托tuo網wang絡luo安an全quan服fu務wu機ji構gou對dui其qi網wang絡luo的de安an全quan性xing和he可ke能neng存cun在zai的de風feng險xian每mei年nian至zhi少shao進jin行xing一yi次ci檢jian測ce評ping估gu，並bing將jiang檢jian測ce評ping估gu情qing況kuang和he改gai進jin措cuo施shi報bao送song相xiang關guan負fu責ze關guan鍵jian信xin息xi基ji礎chu設she施shi安an全quan保bao護hu工gong作zuo的de部bu門men。

       我們算一下賬：

       單位沒有履行網絡安全保護義務，被罰80000元

       直接負責的主管人員被罰15000、10000、10000元

       共計被罰：80000+15000+10000+10000=115000元

       這些錢可以做什麼呢？買台下一代防火牆都夠用了
，流量不大的話，再配上 1 台Web應用防火牆也夠用了或者：買個網站雲防護，再加上 1 套(tao)網(wang)頁(ye)防(fang)篡(cuan)改(gai)
，也(ye)夠(gou)用(yong)了(le)，當(dang)然(ran)，您(nin)要(yao)是(shi)覺(jiao)得(de)麻(ma)煩(fan)，您(nin)可(ke)以(yi)把(ba)維(wei)護(hu)工(gong)作(zuo)交(jiao)給(gei)我(wo)們(men)。億(yi)萬(wan)聯(lian)合(he)推(tui)出(chu)的(de)網(wang)站(zhan)維(wei)護(hu)金(jin)牌(pai)管(guan)家(jia)服(fu)務(wu)，為(wei)您(nin)解(jie)決(jue)後(hou)顧(gu)之(zhi)憂(you)！

       當然
，億萬聯合也希望各個單位都能做好安全防護
，不出問題。

       網站安全需要什麼?其實也簡單，現在我把常見的網站防護產品整理下：

       Web應用安全掃描器(不是平時說的“漏掃”，是“Web漏掃”)

       網絡防火牆(下一代防火牆的話更好，包含網絡入侵防禦
、網絡防病毒的那種)

       Web應用防火牆(和上麵的有本質區別!縮寫是“WAF”)

       網頁防篡改(或終端安全防護、服務器加固等，需安裝客戶端)

       網站安全監測平台(帶Web漏掃
、網頁木馬監測、關鍵詞監測
、可用性檢測等)

       運維審計，可以對管理員對服務器的維護行為做審計

       日誌審計，上麵的網絡安全法提到了
，日誌要保存 180 天!

       數據庫審計，對業務係統的數據庫操作進行記錄

       高級可持續性威脅監測平台(等保 0 明確的“應采取技術措施對網絡行為進行分析
，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析;”)

       億萬聯合提醒您：網站運營者
、關鍵信息基礎設施的運營者，因為保存了大量敏感數據，是有責任
、有義務做好安全防護的，否則一旦被黑客攻擊，輕則丟數據、被篡改，重則有政治風險，這個大家相信都懂的。

       另外：網站的安全服務、風(feng)險(xian)評(ping)估(gu)，大(da)家(jia)一(yi)定(ding)要(yao)重(zhong)視(shi)起(qi)來(lai)，為(wei)何(he)習(xi)大(da)大(da)是(shi)中(zhong)央(yang)網(wang)絡(luo)安(an)全(quan)和(he)信(xin)息(xi)化(hua)領(ling)導(dao)小(xiao)組(zu)組(zu)長(chang)？就(jiu)是(shi)因(yin)為(wei)網(wang)絡(luo)安(an)全(quan)現(xian)在(zai)已(yi)經(jing)關(guan)係(xi)到(dao)了(le)國(guo)家(jia)安(an)全(quan)，到(dao)了(le)一(yi)把(ba)手(shou)不(bu)得(de)不(bu)親(qin)自(zi)抓(zhua)的(de)地(di)步(bu)！國家都這麼重視，更何況我們
？