網(wǎng)站被黑客攻擊，公安機關(guān)罰單位錢，還要罰我錢？！網(wǎng)安法：是的

下午游俠從朋友圈看到一張圖：

恩，讓我們放大了看看：

其實此前“游俠安全網(wǎng)”也發(fā)過幾個這樣的例子，見：

河南一圖書館網(wǎng)站被黑 因未履行網(wǎng)絡(luò)安全保護(hù)獲罰

建網(wǎng)站不維護(hù)遭黑客攻擊 哈爾濱某開辦單位被罰 20000 元

宜賓某單位未落實等級保護(hù)制度：企業(yè)被罰10000，法人被罰5000

其實遇到這樣的事情很多人是崩潰的：什么?!我網(wǎng)站被黑客攻擊了耶，我是受害者耶!沒抓到壞人，還要罰我?!我……

可能很多人也覺得“在理”，然而實際上《網(wǎng)絡(luò)安全法》有明確規(guī)定：

第六章  法律責(zé)任

第五十九條  網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

我們看看第 21 條、 25 條、 33 條、 34 條、 36 條、 38 條是什么(鑒于《網(wǎng)絡(luò)安全法》全文比較長，有感興趣的可以點這里看 http://www.youxia.org/2017/03/27301.html)：

第二十一條  國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

(一)制定內(nèi)部安全治理 制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任;

(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

第二十五條  網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，馬上 啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

第三十三條  建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

第三十四條  除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

(一)設(shè)置專門安全治理 機構(gòu)和安全治理 負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;

(二)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;

(三)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;

(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練;

(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

第三十六條  關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。

第三十八條  關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者托付網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

我們算一下賬：

單位沒有履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，被罰 80000 元

直接負(fù)責(zé)的主管人員被罰15000、10000、 10000 元

共計被罰：80000+15000+10000+10000= 115000 元

這些錢可以做什么呢?

買臺下一代防火墻夠用了，流量不大的話，再配上 1 臺Web應(yīng)用防火墻也夠用了

或者：買個網(wǎng)站云防護(hù)，再加上 1 套網(wǎng)頁防篡改，也夠用了……

然而……實際上，網(wǎng)絡(luò)安全沒有“然而”，出事了就是出事了，希望廣大網(wǎng)絡(luò)安全治理 員能提前行動，把控全局，“把風(fēng)險提前寫在寫給上級的報告上”，這樣一旦出了問題，也能有一道護(hù)身符……當(dāng)然，游俠也希望各個單位都能做好安全防護(hù)，不出問題。

網(wǎng)站安全需要什么?其實也簡單，游俠把常見的網(wǎng)站防護(hù)產(chǎn)品寫下：

• Web應(yīng)用安全掃描器(不是平時說的“漏掃”，是“Web漏掃”)
• 網(wǎng)絡(luò)防火墻(下一代防火墻的話更好，包含網(wǎng)絡(luò)入侵防備、網(wǎng)絡(luò)防病毒的那種)
• Web應(yīng)用防火墻(和上面的有本質(zhì)區(qū)別!縮寫是“WAF”)
• 網(wǎng)頁防篡改(或終端安全防護(hù)、服務(wù)器加固等，需安裝客戶端)
• 網(wǎng)站安全監(jiān)測平臺(帶Web漏掃、網(wǎng)頁木馬監(jiān)測、關(guān)鍵詞監(jiān)測、可用性檢測等)
• 運維審計，可以對治理 員對服務(wù)器的維護(hù)行為做審計
• 日志審計，上面的網(wǎng)絡(luò)安全法提到了，日志要保存 180 天!
• 數(shù)據(jù)庫審計，對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫操作進(jìn)行記錄
• 高級可持續(xù)性威脅監(jiān)測平臺(等保 0 明確的“應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析;”)
• 如果是省市級政務(wù)中心，當(dāng)然可以上“安全大數(shù)據(jù)智能分析平臺”或“網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)”了，土豪級單位必備。

游俠再說幾句：

網(wǎng)站運營者、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，因為保存了大量敏感數(shù)據(jù)，是有責(zé)任、有義務(wù)做好安全防護(hù)的，否則一旦被黑客攻擊，輕則丟數(shù)據(jù)、被篡改，重則有政治風(fēng)險，這個大家相信都懂的。

另外：安全服務(wù)、風(fēng)險評估，大家似乎都認(rèn)為“送的，不要錢”?以后可就不是咯。等保2. 0 明確了，這塊以后也是重點。

為何國家的一把手是中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長?就是因為網(wǎng)絡(luò)安全現(xiàn)在已經(jīng)關(guān)系到了國家安全，到了一把手不得不親自抓的地步!

國家都這么重視，更何況我們?