中新網6月14日電 近日,有官方媒體報道稱,中央網信辦、工業和信息化部、公安部、市場監管總局四部門將于2019年5月至12月聯合開展全國範圍的互聯網網站安全專項整治工作,對未備案或備案信息不准確的網站進行清理,對攻擊網站的違法犯罪行爲進行嚴厲打擊,對違法違規網站進行處罰和公開曝光。
業內人士稱,這是對《網絡安全法》要求“誰運營誰負責”主張的貫徹落實,將徹底改變以往網站運營者在安全防護方面不作爲的現狀,預計半年內網站防護將掀起一輪配置潮。
國家工業信息安全發展研究中心檢查評估所副所長于盟表示,雲防護具有部署快速簡便、及時防護最新漏洞、全網協同防禦等特點,而且費用比較經濟,是當前有效快速提升網站防護能力的手段。
網站安全整治雷霆風暴來襲 不作爲將被處罰
中國互聯網協會和國家互聯網應急中心聯合發布《“網行指數”報告》顯示,截至 2017 年底,我國網站數量達到 526.06萬個,網站主辦者達 401.65萬個;與 2016 年底相比,網站數量增長了51萬個,主辦者增加了41萬個,接入商新增62家,總體持續增長。
網站數量持續增長的背後,帶來了嚴重的安全隱患,攻擊篡改、植入後門、數據竊取等危害互聯網網站安全的行爲正愈演愈烈。
據國家計算機網絡應急技術處理協調中心(簡稱“CNCERT”)抽樣監測發現,2019年前4個月我境內被篡改的網站8213個,同比增長48.8%;被植入後門的網站10010個,同比增長22.5%。同時,近期發現由于運營者安全配置不當,很多數據庫直接暴露在互聯網上,導致大量用戶個人信息泄露。
CNCERT有關負責人表示,造成這些事件很大原因是一些互聯網網站運營者網絡安全意識不強,特別是中小網站安全管理和防護能力較低,缺乏有效安全保障措施。
這也是四部委此次聯手開展互聯網安全整治的重要原因,該舉措被業內視爲官方改變網站安全運營薄弱現狀的一記重拳。
據介紹,此次整治工作,要求各地通信管理局、公安機關將根據《網絡安全法》,對落實網絡安全義務不到位,發生網頁篡改、被植入後門木馬、大量公民個人信息被竊取等網絡安全事件,以及存在非法獲取、出售或提供個人信息等行爲的網站,依據情節嚴重程度,采取約談主要負責人、停業整頓、關閉網站、注銷備案等措施並公開曝光,涉企行政處罰信息將依法納入市場監管總局國家企業信用信息公示系統予以公示。
這也意味著網站運營者對安全不作爲、聽之任之的現狀將成爲過去,保障網站的安全運營將成爲從業者的核心義務,這也是對《網絡安全法》政策主張的貫徹落實。
衆所周知,我國在網絡政策上主張“誰接入,誰負責”、“誰運營,誰負責”,一直強調網絡運營者的“主體責任”,要求網絡運營者對其運營的網站和提供的網絡産品和服務承擔安全義務。而新頒布的《網絡安全法》則在法律層面將網絡運營者的網絡信息安全義務和責任進行法定化。
網站防護迫在眉睫 雲上防護將成首選
按照專項整治工作要求,全國500多萬家網站將在接下來的半年時間內進入重點監管階段,一旦其網站出現安全事故,如網頁被篡改、被植入後門木馬等,則運營者將被處罰,嚴重者將被關閉網站、注銷備案。
現實情況是,全國500多萬家網站,流量、資源和技術都集中在前幾百家,長尾效應十分顯著。其中,數以百萬計的中小網站,因缺乏流量、資源和技術等方面的優勢,自然成爲黑客攻擊的重災區。
整治行動,只是第一步,意在改變安全意識的缺失。如何更有效更直接地提升這些中小網站的安全防護能力,成爲監管乃至整個産業思考的重要問題。
國家工業信息安全發展研究中心檢查評估所副所長于盟介紹,采用雲防護方式是當前有效快速提升網站防護能力的手段。雲防護一般通過DNS流量牽引將網站訪問引流到分布式的雲防護清洗中心進行安全檢測及攔截,再將安全流量回注到網站服務器,無需部署硬件設備、無需調整業務結構及網絡拓撲,具有部署快速簡便、及時防護最新漏洞、全網協同防禦等特點,而且費用比較經濟。
網宿科技副總裁李東向媒體表示,我們看到市場已經從過去使用硬件設備防護的方式轉變爲使用雲安全的防護方式,我們的智能雲安全平台也在不斷更新升級平台的防護能力,以應對越來越複雜及智能的安全攻擊。
據介紹,網宿科技近年來一直持續加大布局雲安全領域,在全球範圍內規劃建設十大清洗中心,目前已經上線洛杉矶、新加坡、日本、荷蘭四大中心,全平台的防護規模已達10Tbps。2018年網宿雲安全平台平均每天爲全球網站抵禦超26億次攻擊,最高抗D峰值達1.02Tbps。
公司官方網站顯示,其網站雲WAF産品,基于網宿大數據平台,形成了一套專業的攻防規則庫,並通過機器自學習持續修正、擴充防禦規則庫,有效防禦注入類、跨站腳本類、掃描類、網站挂馬類、授權認證類、Web框架、敏感信息泄露等多種類型的Web應用攻擊。