信息化時代，網(wǎng)絡(luò)已深刻地融入到社會生活的各個方面，網(wǎng)絡(luò)安適威脅也隨之向各層面滲透，而且已經(jīng)從線上滲透到線下。為保障網(wǎng)絡(luò)空間和國家安適，社會公共利益，掩護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展， 6 月 1 日起，《中華人民共和國網(wǎng)絡(luò)安適法》（以下簡稱《網(wǎng)絡(luò)安適法》）將正式施行。

那么問題來了，《網(wǎng)絡(luò)安適法》對網(wǎng)站運(yùn)營者提出了哪些要求，網(wǎng)站該如何做好應(yīng)對辦法？哪些新規(guī)和網(wǎng)站運(yùn)營者息息相關(guān)？網(wǎng)站運(yùn)營該做好哪些應(yīng)對辦法呢？為此，小編采訪了百度安適專家，從網(wǎng)站安適建設(shè)、規(guī)范網(wǎng)絡(luò)運(yùn)營兩大方面進(jìn)行了解讀，希望給網(wǎng)站提供一些操作性強(qiáng)的建議。

第一部分 關(guān)于企業(yè)自身的安適建設(shè)

問題一：按期給網(wǎng)站進(jìn)行安適體檢

 法律規(guī)定：《網(wǎng)絡(luò)安適法》第九條規(guī)定，網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和辦事活動，必需遵守法律、行政法規(guī)，尊重社會公德，遵守商業(yè)道德，誠實信用，履行網(wǎng)絡(luò)安適掩護(hù)義務(wù)，接受政府和社會的監(jiān)督，承擔(dān)社會責(zé)任。

第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安適辦事機(jī)構(gòu)對其網(wǎng)絡(luò)的安適性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)辦法報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安適掩護(hù)工作的部門。

專家解讀：網(wǎng)站自身的安適是各種網(wǎng)絡(luò)活動順利展開的基石，也是掩護(hù)網(wǎng)民財產(chǎn)和隱私的基礎(chǔ)。為此，網(wǎng)站要從以下幾個方面做好準(zhǔn)備：

一是按期為網(wǎng)站進(jìn)行體檢，及時發(fā)現(xiàn)網(wǎng)站的潛在風(fēng)險并盡快修復(fù)。有條件的網(wǎng)站建議每個季度進(jìn)行一次滲透測試，尤其是金融、電商這些重點(diǎn)行業(yè)企業(yè)。如果企業(yè)自己缺乏專業(yè)的能力和人才，可以與專業(yè)的第三方安適機(jī)構(gòu)合作開展。

二是網(wǎng)站在產(chǎn)品研發(fā)和上線過程中，要始終堅持安適原則。重點(diǎn)產(chǎn)品上線前要經(jīng)過代碼安適審計和滲透測試，確保沒有漏洞和后門的可能。

三是過去一些網(wǎng)絡(luò)辦事商出于各種目的習(xí)慣性的保存程序的后門，有的是為了后期提升用戶體驗，有的則是為了測試使用，還有的就是為了收集用戶隱私。網(wǎng)絡(luò)安適法實施之后，這樣的行為將被禁止。因為這些后門給黑客打開了便利之門，經(jīng)常會出現(xiàn)“螳螂捕蟬，黃雀在后”的情況。好比，蘋果iOS系統(tǒng) 2014 年被曝出com.apple.pcapd辦事存在后門，通過libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲流入和流出iOS設(shè)備的HTTP數(shù)據(jù)，能夠泄漏“大量情報”。

問題二：從四個層面完善網(wǎng)站安適建設(shè)

法律規(guī)定：《網(wǎng)絡(luò)安適法》第十條規(guī)定，建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供辦事，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家尺度的強(qiáng)制性要求，采取技術(shù)辦法和其他須要辦法，保障網(wǎng)絡(luò)安適、不變運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安適事件，防范網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

專家解讀：建立安適防護(hù)體系，不但是符合法律規(guī)定，更是為了掩護(hù)網(wǎng)站和網(wǎng)民的安適。為此，企業(yè)應(yīng)從硬件安適、系統(tǒng)安適、數(shù)據(jù)安適、應(yīng)用安適四個方面來安排完善的安適策略，可以自行研發(fā)，也可以與符合資質(zhì)的安適辦事商合作。目前安適市場有成熟的解決方案，從私有云安排到SaaS化的安適辦事，再到混合云安排都可以支持，企業(yè)可以按照自身的業(yè)務(wù)重要性、資金實力、安適技術(shù)實力等，綜合考慮選擇。舉例來說，中國超過77%的網(wǎng)站日拜候量低于100，這些網(wǎng)站大多架在云端，而且規(guī)模都不大，所以選擇面向中小企業(yè)的SaaS化綜合安適辦事即可，好比百度云加速；而傳統(tǒng)金融、互聯(lián)網(wǎng)金融機(jī)構(gòu)，就需要嚴(yán)格執(zhí)行等級掩護(hù)的規(guī)定，并且要專門針對現(xiàn)在比較流行的DDoS攻擊等，安排針對性的防御策略。

問題三：三分靠技術(shù)，七分靠辦理

法律規(guī)定：《網(wǎng)絡(luò)安適法》第二十一條規(guī)定，企業(yè)需制定內(nèi)部安適辦理制度和操作規(guī)程,確定網(wǎng)絡(luò)安適負(fù)責(zé)人,落實網(wǎng)絡(luò)安適掩護(hù)責(zé)任。

第三十四條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)設(shè)置專門安適辦理機(jī)構(gòu)和安適辦理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安適配景審查；按期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安適教育、技術(shù)培訓(xùn)和技能考核；對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；制定網(wǎng)絡(luò)安適事件應(yīng)急預(yù)案，并按期進(jìn)行演練；法律、行政法規(guī)規(guī)定的其他義務(wù)。

專家解讀：安適歷來是三分靠技術(shù)，七分靠辦理。比來幾年，互聯(lián)網(wǎng)企業(yè)、傳統(tǒng)企業(yè)在CTO、CIO基礎(chǔ)上，很多都設(shè)立了專門的CSO（首席安適官），可見企業(yè)越來越重視安適。企業(yè)應(yīng)從安適辦理制度和架構(gòu)設(shè)計、員工安適意識培訓(xùn)、安適應(yīng)急響應(yīng)處理流程等三個方面完善安適辦理制度：首先要建立安適辦理制度，包孕明確網(wǎng)絡(luò)安適掩護(hù)的范圍、員工行為規(guī)范、明確權(quán)責(zé)；其次對員工進(jìn)行按期安適意識教育和培訓(xùn)，將安適培訓(xùn)納入新員工入職培訓(xùn)，而且一年至少進(jìn)行一次安適演練；三是提前制定安適應(yīng)急處理流程，例如防范病毒入侵和網(wǎng)絡(luò)攻擊的策略，日志審計和分析，為事后攻擊溯源、追究責(zé)任保存好證據(jù)等。

只有提前指定完善的辦理制度，在黑客入侵時才能從容應(yīng)對。

問題四：日志留存 6 個月 信息追蹤更有依據(jù)