• 公司产品
  • 工控安全类
  • 安全实验室类
  • 安全监管类
  • 检测防御类
  • 安全评估类

您的位置: 首页  >  动态资讯  >  行业资讯

03-20   ———
网站被黑客攻击,罚单位钱,还要罚我钱?!
网站被黑客攻击,公安机关罚单位钱,还要罚我钱?!

网站被黑客攻击,公安机关罚单位钱,还要罚我钱?!


网安法:是的


遇到这样的事情是让人崩溃的:What?!我网站被黑客攻击了耶,我是受害者耶!没抓到坏人,还要罚我?!我……


然而实际上此事还真“有理”可寻,《网络安全法》明确规定:


第六章  法律责任


第五十九条  网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。


关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。


请自行查看《网络安全法》第21条、25条、33条、34条、36条、38条


我们算一下账:

单位没有履行网络安全保护义务,被罚80000元

直接负责的主管人员被罚15000、10000、10000元

共计被罚:80000+15000+10000+10000=115000元


这些钱可以做什么呢?

买台下一代防火墙够用了,流量不大的话,再配上1台Web应用防火墙也够用了

或者:买个网站云防护,再加上1套网页防篡改,也够用了……

然而……实际上,网络安全没有“然而”,出事了就是出事了,希望广大网络安全管理员能提前行动,把控全局,“把风险提前写在写给上级的报告上”,这样一旦出了问题,也能有一道护身符……


网站运营者、关键信息基础设施的运营者,因为保存了大量敏感数据,是有责任、有义务做好安全防护的,否则一旦被黑客攻击,轻则丢数据、被篡改,重则有政治风险,这个大家相信都懂的。


网站安全需要什么?其实也简单:

Web应用安全扫描器(不是平时说的“漏扫”,是“Web漏扫”)

网络防火墙(下一代防火墙的话更好,包含网络入侵防御、网络防病毒的那种)

Web应用防火墙(和上面的有本质区别!缩写是“WAF”)

网页防篡改(或终端安全防护、服务器加固等,需安装客户端)

网站安全监测平台(带Web漏扫、网页木马监测、关键词监测、可用性检测等)

运维审计,可以对管理员对服务器的维护行为做审计

日志审计,上面的网络安全法提到了,日志要保存180天!

数据库审计,对业务系统的数据库操作进行记录

高级可持续性威胁监测平台(等保0明确的“应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;”)


如果是省市级政务中心,当然可以上“安全大数据智能分析平台”或“网络安全态势感知系统”了,土豪级单位必备。


另外:安全服务、风险评估,大家似乎都认为“送的,不要钱”?以后可就不是咯。等保2.0明确了,这块以后也是重点。


为何国家的一把手是中央网络安全和信息化领导小组组长?就是因为网络安全现在已经关系到了国家安全,到了一把手不得不亲自抓的地步!


国家都这么重视,更何况我们?