当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 > 最大化 缩小

    自己的网站被黑也违法?还要交罚款?你可以这样

    栏目:IIS7网站监控 时间:2019-12-02 18:10

    政府、企业、个人网站被黑现象层出不穷
      让我们看看最近的几条新闻:
      河南洛阳北控水务集团因违反《网络安全法》第五十九条第一款之规定,受到了行政处罚,其中洛阳市北控水务集团被罚款80000元,三个部门相关责任人李某、张某、李某分别被罚款15000元、10000元及10000元。
      云南某公司网站被黑客入侵,网站主页被篡改。经查,该公司长期处于未采取任何网络安全技术的“真空裸奔”状态。
      此事被大理市公安局知悉后,对该公司作出警告并罚款,对负责网络安全的直接责任人给予罚款,并责令该公司立即对网络安全问题进行整改。
      灵宝市查处一起网络运营者不履行网络安全保护义务的违法案件,根据《中华人民共和国网络安全法》相关规定,对涉事企业罚款1万元,并对直接责任人罚款5000元;
      设立网站后长期无人维护,被黑客攻击入侵造成了恶劣的社会影响。近日,哈尔滨市公安局网安支队开出全省首个违反《网络安全法》案“罚单”,网站的开办者——方正县政府农业技术推广中心被责令整改,并罚款20000元;
      新乡市封丘县图书馆网站遭到黑客攻击,致使网页被篡改。依据相关法律,因未履行网络安全保护义务被罚2万元;
      2017年7月25日,汕头网警支队发现汕头市某信息科技有限公司于2015年11月向公安机关报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至通报时未按规定定期开展等级测评。汕头警方认为,该公司未按法律规定履行网络安全等级测评义务,遂根据《网络安全法》规定,对该单位给予警告处罚并责令其改正。
      2017年6月至7月间,山西忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。该单位之行为已违犯《网络安全法》相关规定,忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。
      2017年8月,重庆公安局网安总队在日常检查中发现,重庆市某科技发展有限公司自《网络安全法》正式实施以来,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为。于是,公安机关根据《网络安全法》相关规定,决定给予该公司警告处罚,并责令限期15日内进行整改。
      2017年8月10日,江苏宿迁市华睿科技有限公司服务器内接入一违法网站被民警发现,民警经勘验取证后,立即传唤该公司法人代表王某,要求对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息立即予以停止传输、采取消除等处置措施并保存有关记录,并根据《网络安全法》规定,给予上述公司警告处罚并要求其立即整改到位。
      各位站长可能会有疑问,是我的网站被黑了,明明我是受害者,为什么我还要受到处罚呢?这不“合理”啊。
      其实,看似不合理的背后,实际上却是十分合理合法的,为什么呢?请大家看一下我国的网络安全法的相关条例:
      根据《网络安全法》第21条规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
      简单来说,就是网络运营者要采用各种技术手段保障所运营网站的安全,否则将会受到严厉的惩罚,这对于网络运营者无疑是巨大压力。
      对于违反此法规的网络运营者,据《网络安全法》第五十九条规定,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。
      简单来说,如果你没有完成法律要求的相关维护和预防工作而 被黑,在你自己的利益收到损失的同时,你还将面临法律的处罚。真可谓赔了夫人又折兵
    朋友圈里发生的真实案例:

      多么惨痛的教训!不仅网站被黑损失了一笔,公司被罚,管理人员乃至个人都要被罚,从上面罚到下面,可谓损失惨重!但是如果我们积极的做好了网站的劫持检测,黑链检测,或者平时多找几个漏洞,做好日志及备份,是不是就不会有类似的事情发生呢?
    那么网站安全需要什么?
      接下来下笔者根据实战经验总结出的几个需要注意的网站安全相关要点,希望能帮助到大家:
      电信劫持、DNS劫持、域名被墙、DNS污染、三大搜索引擎快照劫持检测;(这一项可以试试iis7站长之家的劫持检测产品,良心,推荐!)
      Web应用安全扫描器(不是平时说的“漏扫”,是“Web漏扫”)
      网络防火墙(下一代防火墙的话更好,包含网络入侵防御、网络防病毒的那种)
      Web应用防火墙(和上面的有本质区别!缩写是“WAF”)
      网页防篡改(或终端安全防护、服务器加固等,需安装客户端)
      网站安全监测平台(带Web漏扫、网页木马监测、关键词监测、可用性检测等)
      运维审计,可以对管理员对服务器的维护行为做审计
      日志审计,上面的网络安全法提到了,日志要保存180天!
      数据库审计,对业务系统的数据库操作进行记录
      大家可以想一下,你的钱是用来交罚款合适呢,还是等网站被黑后损失一大笔,还要交罚款合适呢?相信大家都会选择“防患于未然”,既避免了自己网站被黑的损失,也避免了触犯法律,还要交罚款的风险。