網(wǎng)站被黑客攻擊，公安機關罰單位錢，還要罰我錢？！網(wǎng)安法：是的

下午游俠從朋友圈看到一張圖：

恩，讓我們放大了看看：

其實此前“游俠安全網(wǎng)”也發(fā)過幾個這樣的例子，見：

河南一圖書館網(wǎng)站被黑 因未履行網(wǎng)絡安全保護獲罰

建網(wǎng)站不維護遭黑客攻擊 哈爾濱某開辦單位被罰 20000 元

宜賓某單位未落實等級保護制度：企業(yè)被罰10000，法人被罰5000

其實遇到這樣的事情很多人是崩潰的：什么?!我網(wǎng)站被黑客攻擊了耶，我是受害者耶!沒抓到壞人，還要罰我?!我……

可能很多人也覺得“在理”，然而實際上《網(wǎng)絡安全法》有明確規(guī)定：

第六章  法律責任

第五十九條  網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

我們看看第 21 條、 25 條、 33 條、 34 條、 36 條、 38 條是什么(鑒于《網(wǎng)絡安全法》全文比較長，有感興趣的可以點這里看 http://www.youxia.org/2017/03/27301.html)：

第二十一條  國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：

(一)制定內部安全治理 制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任;

(二)采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施;

(三)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(五)法律、行政法規(guī)規(guī)定的其他義務。

第二十五條  網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險;在發(fā)生危害網(wǎng)絡安全的事件時，馬上 啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。

第三十三條  建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施同步規(guī)劃、同步建設、同步使用。

第三十四條  除本法第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：

(一)設置專門安全治理 機構和安全治理 負責人，并對該負責人和關鍵崗位的人員進行安全背景審查;

(二)定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核;

(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;

(四)制定網(wǎng)絡安全事件應急預案，并定期進行演練;

(五)法律、行政法規(guī)規(guī)定的其他義務。

第三十六條  關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。

第三十八條  關鍵信息基礎設施的運營者應當自行或者托付網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

我們算一下賬：

單位沒有履行網(wǎng)絡安全保護義務，被罰 80000 元

直接負責的主管人員被罰15000、10000、 10000 元

共計被罰：80000+15000+10000+10000= 115000 元

這些錢可以做什么呢?

買臺下一代防火墻夠用了，流量不大的話，再配上 1 臺Web應用防火墻也夠用了

或者：買個網(wǎng)站云防護，再加上 1 套網(wǎng)頁防篡改，也夠用了……

然而……實際上，網(wǎng)絡安全沒有“然而”，出事了就是出事了，希望廣大網(wǎng)絡安全治理 員能提前行動，把控全局，“把風險提前寫在寫給上級的報告上”，這樣一旦出了問題，也能有一道護身符……當然，游俠也希望各個單位都能做好安全防護，不出問題。

網(wǎng)站安全需要什么?其實也簡單，游俠把常見的網(wǎng)站防護產(chǎn)品寫下：

• Web應用安全掃描器(不是平時說的“漏掃”，是“Web漏掃”)
• 網(wǎng)絡防火墻(下一代防火墻的話更好，包含網(wǎng)絡入侵防備、網(wǎng)絡防病毒的那種)
• Web應用防火墻(和上面的有本質區(qū)別!縮寫是“WAF”)
• 網(wǎng)頁防篡改(或終端安全防護、服務器加固等，需安裝客戶端)
• 網(wǎng)站安全監(jiān)測平臺(帶Web漏掃、網(wǎng)頁木馬監(jiān)測、關鍵詞監(jiān)測、可用性檢測等)
• 運維審計，可以對治理 員對服務器的維護行為做審計
• 日志審計，上面的網(wǎng)絡安全法提到了，日志要保存 180 天!
• 數(shù)據(jù)庫審計，對業(yè)務系統(tǒng)的數(shù)據(jù)庫操作進行記錄
• 高級可持續(xù)性威脅監(jiān)測平臺(等保 0 明確的“應采取技術措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢測和分析;”)
• 如果是省市級政務中心，當然可以上“安全大數(shù)據(jù)智能分析平臺”或“網(wǎng)絡安全態(tài)勢感知系統(tǒng)”了，土豪級單位必備。

游俠再說幾句：

網(wǎng)站運營者、關鍵信息基礎設施的運營者，因為保存了大量敏感數(shù)據(jù)，是有責任、有義務做好安全防護的，否則一旦被黑客攻擊，輕則丟數(shù)據(jù)、被篡改，重則有政治風險，這個大家相信都懂的。

另外：安全服務、風險評估，大家似乎都認為“送的，不要錢”?以后可就不是咯。等保2. 0 明確了，這塊以后也是重點。

為何國家的一把手是中央網(wǎng)絡安全和信息化領導小組組長?就是因為網(wǎng)絡安全現(xiàn)在已經(jīng)關系到了國家安全，到了一把手不得不親自抓的地步!

國家都這么重視，更何況我們?