網站被黑客攻擊，公安機關罰企業錢，還要罰我錢？網安法：是的！

       近期在網上看到這樣的一些例子：河南一圖書館網站被黑，因未履行網絡安全保護獲罰建網站不維護遭黑客攻擊；哈爾濱某開辦單位被罰20000元；宜賓某單位未落實等級保護制度，企業被罰10000，法人被罰5000。

       其實遇到這樣的事情很多人是崩潰的：什么？我網站被黑客攻擊了耶，我是受害者耶!沒抓到壞人，還要罰我？

       可能很多人也覺得“在理”，然而實際上《網絡安全法》有明確規定：

       第六章 法律責任

       第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

       關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

       我們看看第 二十一條、二十五條、三十三條、三十四條、三十六條、三十八條是什么？

       第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

       (一)制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任;

       (二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;

       (三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月;

       (四)采取數據分類、重要數據備份和加密等措施;

       (五)法律、行政法規規定的其他義務。

       第二十五條 網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

       第三十三條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。

       第三十四條 除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

       (一)設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查;

       (二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;

       (三)對重要系統和數據庫進行容災備份;

       (四)制定網絡安全事件應急預案，并定期進行演練;

       (五)法律、行政法規規定的其他義務。

       第三十六條 關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。

       第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

       我們算一下賬：

       單位沒有履行網絡安全保護義務，被罰80000元

       直接負責的主管人員被罰15000、10000、10000元

       共計被罰：80000+15000+10000+10000=115000元

       這些錢可以做什么呢？買臺下一代防火墻都夠用了，流量不大的話，再配上 1 臺Web應用防火墻也夠用了或者：買個網站云防護，再加上 1 套網頁防篡改，也夠用了，當然，您要是覺得麻煩，您可以把維護工作交給我們。億萬聯合推出的網站維護金牌管家服務，為您解決后顧之憂！

       當然，億萬聯合也希望各個單位都能做好安全防護，不出問題。

       網站安全需要什么?其實也簡單，現在我把常見的網站防護產品整理下：

       Web應用安全掃描器(不是平時說的“漏掃”，是“Web漏掃”)

       網絡防火墻(下一代防火墻的話更好，包含網絡入侵防御、網絡防病毒的那種)

       Web應用防火墻(和上面的有本質區別!縮寫是“WAF”)

       網頁防篡改(或終端安全防護、服務器加固等，需安裝客戶端)

       網站安全監測平臺(帶Web漏掃、網頁木馬監測、關鍵詞監測、可用性檢測等)

       運維審計，可以對管理員對服務器的維護行為做審計

       日志審計，上面的網絡安全法提到了，日志要保存 180 天!

       數據庫審計，對業務系統的數據庫操作進行記錄

       高級可持續性威脅監測平臺(等保 0 明確的“應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析;”)

       億萬聯合提醒您：網站運營者、關鍵信息基礎設施的運營者，因為保存了大量敏感數據，是有責任、有義務做好安全防護的，否則一旦被黑客攻擊，輕則丟數據、被篡改，重則有政治風險，這個大家相信都懂的。

       另外：網站的安全服務、風險評估，大家一定要重視起來，為何習大大是中央網絡安全和信息化領導小組組長？就是因為網絡安全現在已經關系到了國家安全，到了一把手不得不親自抓的地步！國家都這么重視，更何況我們？