网站被黑客攻击:公安机关罚单位钱，还要罚我钱？应该吗？

　　文章授权转载自游侠安全网

　　下午游侠从朋友圈看到一张图：

　　恩，让我们放大了看看：

　　其实此前“游侠安全网”也发过几个这样的例子，见：

　　河南一图书馆网站被黑 因未履行网络安全保护获罚

　　建网站不维护遭黑客攻击 哈尔滨某开办单位被罚 20000 元

　　宜宾某单位未落实等级保护制度：企业被罚10000，法人被罚5000

　　其实遇到这样的事情很多人是崩溃的：什么?!我网站被黑客攻击了耶，我是受害者耶!没抓到坏人，还要罚我?!我……

　　可能很多人也觉得“在理”，然而实际上《网络安全法》有明确规定：

　　第六章   法律责任

　　第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

　　关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

　　我们看看第 21 条、 25 条、 33 条、 34 条、 36 条、 38 条是什么(鉴于《网络安全法》全文比较长，有感兴趣的可以点这里看 http://www.youxia.org/2017/03/27301.html)：

　　第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

　　(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

　　(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

　　(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;

　　(四)采取数据分类、重要数据备份和加密等措施;

　　(五)法律、行政法规规定的其他义务。

　　第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

　　第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

　　第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

　　(一)设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查;

　　(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

　　(三)对重要系统和数据库进行容灾备份;

　　(四)制定网络安全事件应急预案，并定期进行演练;

　　(五)法律、行政法规规定的其他义务。

　　第三十六条 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

　　第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

　　我们算一下账：

　　单位没有履行网络安全保护义务，被罚 80000 元

　　直接负责的主管人员被罚15000、10000、 10000 元

　　共计被罚：80000+15000+10000+10000= 115000 元

　　这些钱可以做什么呢?

　　买台下一代防火墙够用了，流量不大的话，再配上 1 台Web应用防火墙也够用了

　　或者：买个网站云防护，再加上 1 套网页防篡改，也够用了……

　　然而……实际上，网络安全没有“然而”，出事了就是出事了，希望广大网络安全管理员能提前行动，把控全局，“把风险提前写在写给上级的报告上”，这样一旦出了问题，也能有一道护身符……当然，游侠也希望各个单位都能做好安全防护，不出问题。

　　网站安全需要什么?其实也简单，游侠把常见的网站防护产品写下：

　　Web应用安全扫描器(不是平时说的“漏扫”，是“Web漏扫”)

　　网络防火墙(下一代防火墙的话更好，包含网络入侵防御、网络防病毒的那种)

　　Web应用防火墙(和上面的有本质区别!缩写是“WAF”)

　　网页防篡改(或终端安全防护、服务器加固等，需安装客户端)

　　网站安全监测平台(带Web漏扫、网页木马监测、关键词监测、可用性检测等)

　　运维审计，可以对管理员对服务器的维护行为做审计

　　日志审计，上面的网络安全法提到了，日志要保存 180 天!

　　数据库审计，对业务系统的数据库操作进行记录

　　高级可持续性威胁监测平台(等保 0 明确的“应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析;”)

　　如果是省市级政务中心，当然可以上“安全大数据智能分析平台”或“网络安全态势感知系统”了，土豪级单位必备。

　　游侠再说几句：

　　网站运营者、关键信息基础设施的运营者，因为保存了大量敏感数据，是有责任、有义务做好安全防护的，否则一旦被黑客攻击，轻则丢数据、被篡改，重则有政治风险，这个大家相信都懂的。

　　另外：安全服务、风险评估，大家似乎都认为“送的，不要钱”?以后可就不是咯。等保2. 0 明确了，这块以后也是重点。

　　为何国家的一把手是中央网络安全和信息化领导小组组长?就是因为网络安全现在已经关系到了国家安全，到了一把手不得不亲自抓的地步!

　　国家都这么重视，更何况我们?

　　著作权归作者所有。