中新网6月14日电 近日,有官方媒体报道称,中央网信办、工业和信息化部、公安部、市场监管总局四部门将于2019年5月至12月联合开展全国范围的互联网网站安全专项整治工作,对未备案或备案信息不准确的网站进行清理,对攻击网站的违法犯罪行为进行严厉打击,对违法违规网站进行处罚和公开曝光。
业内人士称,这是对《网络安全法》要求“谁运营谁负责”主张的贯彻落实,将彻底改变以往网站运营者在安全防护方面不作为的现状,预计半年内网站防护将掀起一轮配置潮。
国家工业信息安全发展研究中心检查评估所副所长于盟表示,云防护具有部署快速简便、及时防护最新漏洞、全网协同防御等特点,而且费用比较经济,是当前有效快速提升网站防护能力的手段。
网站安全整治雷霆风暴来袭 不作为将被处罚
中国互联网协会和国家互联网应急中心联合发布《“网行指数”报告》显示,截至 2017 年底,我国网站数量达到 526.06万个,网站主办者达 401.65万个;与 2016 年底相比,网站数量增长了51万个,主办者增加了41万个,接入商新增62家,总体持续增长。
网站数量持续增长的背后,带来了严重的安全隐患,攻击篡改、植入后门、数据窃取等危害互联网网站安全的行为正愈演愈烈。
据国家计算机网络应急技术处理协调中心(简称“CNCERT”)抽样监测发现,2019年前4个月我境内被篡改的网站8213个,同比增长48.8%;被植入后门的网站10010个,同比增长22.5%。同时,近期发现由于运营者安全配置不当,很多数据库直接暴露在互联网上,导致大量用户个人信息泄露。
CNCERT有关负责人表示,造成这些事件很大原因是一些互联网网站运营者网络安全意识不强,特别是中小网站安全管理和防护能力较低,缺乏有效安全保障措施。
这也是四部委此次联手开展互联网安全整治的重要原因,该举措被业内视为官方改变网站安全运营薄弱现状的一记重拳。
据介绍,此次整治工作,要求各地通信管理局、公安机关将根据《网络安全法》,对落实网络安全义务不到位,发生网页篡改、被植入后门木马、大量公民个人信息被窃取等网络安全事件,以及存在非法获取、出售或提供个人信息等行为的网站,依据情节严重程度,采取约谈主要负责人、停业整顿、关闭网站、注销备案等措施并公开曝光,涉企行政处罚信息将依法纳入市场监管总局国家企业信用信息公示系统予以公示。
这也意味着网站运营者对安全不作为、听之任之的现状将成为过去,保障网站的安全运营将成为从业者的核心义务,这也是对《网络安全法》政策主张的贯彻落实。
众所周知,我国在网络政策上主张“谁接入,谁负责”、“谁运营,谁负责”,一直强调网络运营者的“主体责任”,要求网络运营者对其运营的网站和提供的网络产品和服务承担安全义务。而新颁布的《网络安全法》则在法律层面将网络运营者的网络信息安全义务和责任进行法定化。
网站防护迫在眉睫 云上防护将成首选
按照专项整治工作要求,全国500多万家网站将在接下来的半年时间内进入重点监管阶段,一旦其网站出现安全事故,如网页被篡改、被植入后门木马等,则运营者将被处罚,严重者将被关闭网站、注销备案。
现实情况是,全国500多万家网站,流量、资源和技术都集中在前几百家,长尾效应十分显著。其中,数以百万计的中小网站,因缺乏流量、资源和技术等方面的优势,自然成为黑客攻击的重灾区。
整治行动,只是第一步,意在改变安全意识的缺失。如何更有效更直接地提升这些中小网站的安全防护能力,成为监管乃至整个产业思考的重要问题。
国家工业信息安全发展研究中心检查评估所副所长于盟介绍,采用云防护方式是当前有效快速提升网站防护能力的手段。云防护一般通过DNS流量牵引将网站访问引流到分布式的云防护清洗中心进行安全检测及拦截,再将安全流量回注到网站服务器,无需部署硬件设备、无需调整业务结构及网络拓扑,具有部署快速简便、及时防护最新漏洞、全网协同防御等特点,而且费用比较经济。
网宿科技副总裁李东向媒体表示,我们看到市场已经从过去使用硬件设备防护的方式转变为使用云安全的防护方式,我们的智能云安全平台也在不断更新升级平台的防护能力,以应对越来越复杂及智能的安全攻击。
据介绍,网宿科技近年来一直持续加大布局云安全领域,在全球范围内规划建设十大清洗中心,目前已经上线洛杉矶、新加坡、日本、荷兰四大中心,全平台的防护规模已达10Tbps。2018年网宿云安全平台平均每天为全球网站抵御超26亿次攻击,最高抗D峰值达1.02Tbps。
公司官方网站显示,其网站云WAF产品,基于网宿大数据平台,形成了一套专业的攻防规则库,并通过机器自学习持续修正、扩充防御规则库,有效防御注入类、跨站脚本类、扫描类、网站挂马类、授权认证类、Web框架、敏感信息泄露等多种类型的Web应用攻击。
