潮人地東莞seo博客小編下面跟大家分享關于seo優化方法之:網絡安全法實施之后正確網站運營的方法解析等問題,希望seo專員在做seo優化的過程中有所幫助,內容僅供參考。
2017年6月1日網絡安全法正式實施,同時百度安全指數平臺為站長朋友們公布了關于應對網絡安全法的實施,網站應該怎么樣正確的來進行運營。今天潮人地東莞seo博客將這篇內容轉載過來和朋友們分享一下,也希望朋友們對網絡安全及網站安全的相關內容多加關注,這篇內容題目為《《網絡安全法》今日實施,百度安全專家教你正確網站運營》正文部分如下:
6月1日起,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)將正式施行。問題來了,《網絡安全法》對網站運營者提出了哪些要求,網站該如何做好應對措施?哪些新規和網站運營者息息相關?網站運營該做好哪些應對措施?
seo博客相關推薦閱讀:seo優化博客:百度驚雷算法是怎樣
百度安全專家從網站安全建設、規范網絡運營兩大方面進行了解讀,希望給網站提供一些操作性強的建議。
第一部分 關于企業自身的安全建設
問題一:定期給網站進行安全體檢
法律規定:《網絡安全法》第九條規定,網絡運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網絡安全保護義務,接受政府和社會的監督,承擔社會責任。
第三十八條規定,關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
專家解讀:網站自身的安全是各種網絡活動順利展開的基石,也是保護網民財產和隱私的基礎。為此,網站要從以下幾個方面做好準備:
一是定期為網站進行體檢,及時發現網站的潛在風險并盡快修復。有條件的網站建議每個季度進行一次滲透測試,尤其是金融、電商這些重點行業企業。如果企業本身缺乏專業的能力和人才,可以與專業的第三方安全機構合作開展。
二是網站在產品研發和上線過程中,要始終堅持安全原則。重點產品上線前要經過代碼安全審計和滲透測試,確保沒有漏洞和后門的可能。
三是過去一些網絡服務商出于各種目的習慣性的保留程序的后門,有的是為了后期提升用戶體驗,有的則是為了測試使用,還有的就是為了收集用戶隱私。網絡安全法實施之后,這樣的行為將被禁止。因為這些后門給黑客打開了方便之門,經常會出現“螳螂捕蟬,黃雀在后”的情況。比如,蘋果iOS系統2014年被曝出com.apple.pcapd服務存在后門,通過libpcap網絡數據包捕獲流入和流出iOS設備的HTTP數據,能夠泄漏“大量情報”。
問題二:從四個層面完善網站安全建設
法律規定:《網絡安全法》第十條規定,建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。
專家解讀:建立安全防護體系,不僅是符合法律規定,更是為了保護網站和網民的安全。為此,企業應從硬件安全、系統安全、數據安全、應用安全四個方面來部署完善的安全策略,可以自行研發,也可以與符合資質的安全服務商合作。目前安全市場有成熟的解決方案,從私有云部署到 SaaS 化的安全服務,再到混合云部署都可以支持,企業可以根據自身的業務重要性、資金實力、安全技術實力等,綜合考慮選擇。舉例來說,中國超過 77 %的網站日訪問量低于 100 ,這些網站大多架在云端,并且規模都不大,所以選擇面向中小企業的SaaS化綜合安全服務即可,比如百度云加速;而傳統金融、互聯網金融機構,就需要嚴格執行等級保護的規定,而且要專門針對現在比較流行的 DDoS 攻擊等,部署針對性的防御策略。
問題三:三分靠技術,七分靠管理
法律規定:《網絡安全法》第二十一條規定,企業需制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。
第三十四條規定,關鍵信息基礎設施的運營者還應當設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;定期對從業人員進行網絡安全教育、技術培訓和技能考核;對重要系統和數據庫進行容災備份;制定網絡安全事件應急預案,并定期進行演練;法律、行政法規規定的其他義務。
專家解讀:安全歷來是三分靠技術,七分靠管理。最近幾年,互聯網企業、傳統企業在CTO、CIO基礎上,很多都設立了專門的CSO(首席安全官),可見企業越來越重視安全。企業應從安全管理制度和架構設計、員工安全意識培訓、安全應急響應處理流程等三個方面完善安全管理制度:
首先要建立安全管理制度,包括明確網絡安全保護的范圍、員工行為規范、明確權責;其次對員工進行定期安全意識教育和培訓,將安全培訓納入新員工入職培訓,并且一年至少進行一次安全演練;三是提前制定安全應急處理流程,例如防范病毒入侵和網絡攻擊的策略,日志審計和分析,為事后攻杭州市seo優化網站擊溯源、追究責任保留好證據等。
只有提前指定完善的管理制度,在黑客入侵時才能從容應對。
問題四:日志留存6個月 信息追蹤更有依據
法律規定:《網絡安全法》第二十一條規定,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。網絡運營者的安全義務包括采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。
專家解讀:數據備份一方面防止丟失,另一方面當黑客攻擊無法恢復系統時,可以保證業務的正常運行。所以,我們經常說最簡單也最便seo網站優化書推薦宜的安全措施就是數據備份。
除此之外,日志留存對于網站運營者的意義,不僅在于能夠留存歷史數據,更是為未來可能發生的安全威脅做保障。此前曾經轟動業界的 CSDN 核心數據泄漏事件,專案組對網上泄露的 CSDN 數據在事件方面進行對比時,發現其服務器被入侵事件為 2010 年 7 月前。但是由于設計入侵的服務器日志未留存,數據無法恢復,當時負責的技術人員又大部分離職,現有人員不了解情況,所以通過數據來源找到最初入侵者難度極大。
不過,數據備份意味著存儲成本的提高。企業可以根據情況,購買本地服務器或者是云主機服務。另外,有些安全服務商針對中小企業直接提供了網絡訪問日志存儲 6 個月以上的服務,例如百度云加速。
第二部分 關于規范網站運營,保護網民權益
問題一:引導用戶實名制 規范用戶網絡行為
法律規定:《網絡安全法》第二十四條規定,網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。
第四十七條規定,網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
專家解讀:實名制是一把利劍,一方面會加強網站保護網民隱私責任的重要性,另一方面也促使網民更加珍惜自己的網絡信譽,規范自己的網絡行為。
今年5月起很多網站已經開始了引導用戶開啟實名制認證,比如綁定手機號碼、提交身份認證信息等。在做好實名制引導的同時,企業也要做好這些隱私數據的保護工作,比如杜絕明文傳輸敏感信息、HTTPS改造加強網絡安全性,購買數據加密的解決方案等。
網絡安全法還規定了平臺對網民發布的信息有管理義務,確保用戶發布的內容符合法律規定。對此,企業應該引導用戶規范網絡行為的合法性,宣傳積極合法地使用互聯網服務。
同時,要加強內容審計,建立專門的制度,通過機器和人工相結合的方式審核內容的合法性。比如映客直播有1000名全職員工從事直播內容的審查工作;斗魚直播的800名審查員,在晚上7點到11點的高峰十七,幾乎同時審查2萬條以上直播。
問題二:確保網站安全 保護網民隱私
法律規定:《網絡安全法》第四十條規定,網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
第四十二條規定,網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
第四十四條規定,任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
專家解讀:網民在互聯網上屬于弱勢群體,大多數網民的隱私都在互聯網上裸奔,成為電信詐騙、網絡攻擊等的主要根源。這一方面源于網民本身的安全意識薄弱,另一方面更需要網站完善防護措施,確保網民的隱私安全。尤其是《網絡安全法》規定了實名制上網之后,網站對網民隱私保護的責任更重了。
因此,網站應該從以下幾個方面來保護網民隱私:
第一,加強數據安全防護策略部署,例如 DLP 數據防泄漏方案,保護網民隱私信息;
第二,制度上明確內部權責,對于用戶隱私的調用進行嚴格管理,堅持最小化利用網民隱私原則和權利范圍最小化原則;
第三,為用戶保留網絡證隆昌市網站seo優化排名據,在公安機關對網絡侵權行為進行審查時,配合公安機關提供相應電子證據;
問題三:建立應急響應流程,堅守最后一道防線
法律規定:《網絡安全法》第二十五條規定,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
網絡運營者不履行本法第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
專家解讀:就在不久前,永恒之藍勒索病毒泛濫,導致全球 99 個國家深受其害,尤其是教育、公安、辦公網絡。歷史事件是最好的鏡子。在網絡安全法實施之際,企業更應該重視應急響應的重要性,這是一切防護的最后一道防線。建立健全應急預案對未來可能存在的基于系統漏洞的入侵、病毒攻擊有著重要防范作用:
一是建立應急響應流程,并且進行安全應急演練。這里的流程包括如何應對黑客攻擊,一旦遭受攻擊如何進行止損、修復,還應該包括對員工進行培訓,在緊急情況下如何確保規范化操作,避免給企業造成損失。
二是定期進行安全應急培訓和演練,讓企業管理者和員工像進行了解消防演練一樣,熟知安全事件爆發時應該如何操作。
三是加強對網絡安全的追蹤和關注,在大規模網絡安全事件,例如永恒之藍爆發時,企業提前做好應急防范措施,提前進入應急狀態,最大程度保護企業免受損害。
以上是潮人地東莞seo博客跟大家分享關于seo優化方法之:網絡安全法實施之后正確網站運營的方法解析等問題,希望能對大家有所幫助,若有不足之處,請諒解,我們大家可以一起討論關于網站seo優化排名的技巧,一起學習,以上內容僅供參考。
