信息化时代，网络已深刻地融入到社会生活的各个方面，网络安全威胁也随之向各层面渗透，并且已经从线上渗透到线下。为保障网络空间和国家安全，社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，6月1日起，《中华人民共和国网络安全法》（以下简称《网络安全法》）将正式施行。

　　那么问题来了，《网络安全法》对网站运营者提出了哪些要求，网站该如何做好应对措施？哪些新规和网站运营者息息相关？网站运营该做好哪些应对措施呢？为此，小编采访了百度安全专家，从网站安全建设、规范网络运营两大方面进行了解读，希望给网站提供一些操作性强的建议。

　　关于企业自身的安全建设

　　一、 定期给网站进行安全体检

　　根据《网络安全法》的规定，网络运营者需要定期给网站进行安全体检。网站自身的安全是各种网络活动顺利展开的基石，也是保护网民财产和隐私的基础。为此，网站要从以下几个方面做好准备：

　　一是定期为网站进行体检，及时发现网站的潜在风险并尽快修复。有条件的网站建议每个季度进行一次渗透测试，尤其是金融、电商这些重点行业企业。

　　二是网站在产品研发和上线过程中，要始终坚持安全原则。重点产品上线前要经过代码安全审计和渗透测试，确保没有漏洞和后门的可能。

　　三是关闭后门。过去一些网络服务商出于各种目的习惯性的保留程序的后门，有的是为了后期提升用户体验，有的则是为了测试使用，还有的就是为了收集用户隐私。网络安全法实施之后，这样的行为将被禁止。

　　二、 从四个层面完善网站安全建设

　　建立安全防护体系，不仅是符合法律规定，更是为了保护网站和网民的安全。为此，企业应从硬件安全、系统安全、数据安全、应用安全四个方面来部署完善的安全策略，可以自行研发，也可以与符合资质的安全服务商合作。目前安全市场有成熟的解决方案，从私有云部署到SaaS化的安全服务，再到混合云部署都可以支持，企业可以根据自身的业务重要性、资金实力、安全技术实力等，综合考虑选择。

　　三、 三分靠技术，七分靠管理

　　安全历来是三分靠技术，七分靠管理。最近几年，互联网企业、传统企业在CTO、CIO基础上，很多都设立了专门的CSO（首席安全官），可见企业越来越重视安全。企业应从安全管理制度和架构设计、员工安全意识培训、安全应急响应处理流程等三个方面完善安全管理制度：首先要建立安全管理制度，包括明确网络安全保护的范围、员工行为规范、明确权责；其次对员工进行定期安全意识教育和培训，将安全培训纳入新员工入职培训，并且一年至少进行一次安全演练；三是提前制定安全应急处理流程，例如防范病毒入侵和网络攻击的策略，日志审计和分析，为事后攻击溯源、追究责任保留好证据等。

　　四、 日志留存6个月 信息追踪更有依据

　　数据备份一方面防止丢失，另一方面当黑客攻击无法恢复系统时，可以保证业务的正常运行。百度安全专家表示，数据备份是最简单也最便宜的安全措施，更是能为未来可能发生的安全威胁做保障。

　　不过，数据备份意味着存储成本的提高。企业可以根据情况，购买本地服务器或者是云主机服务。另外，有些安全服务商针对中小企业直接提供了网络访问日志存储6个月以上的服务，例如百度云加速。

　　关于规范网站运营，保护网民权益

　　一、 引导用户实名制 规范用户网络行为

　　实名制是一把利剑，一方面会加强网站保护网民隐私责任的重要性，另一方面也促使网民更加珍惜自己的网络信誉，规范自己的网络行为。

　　今年5月起很多网站已经开始了引导用户开启实名制认证，在做好实名制引导的同时，企业也要做好这些隐私数据的保护工作，比如杜绝明文传输敏感信息、HTTPS改造加强网络安全性，购买数据加密的解决方案等。

　　网络安全法还明确了平台对网民发布信息的管理义务，确保用户发布的内容符合法律规定。对此，企业应该引导用户规范网络行为的合法性，宣传积极合法地使用互联网服务。同时，要加强内容审计，建立专门的制度，通过机器和人工相结合的方式审核内容的合法性。

　　二、 确保网站安全 保护网民隐私

　　网民在互联网上属于弱势群体，大多数网民的隐私都在互联网上裸奔，成为电信诈骗、网络攻击等的主要根源。这一方面源于网民本身的安全意识薄弱，另一方面更需要网站完善防护措施，确保网民的隐私安全。尤其是《网络安全法》规定了实名制上网之后，网站对网民隐私保护的责任更重了。

　　因此，网站应该从以下几个方面来保护网民隐私：

　　第一，加强数据安全防护策略部署，例如DLP数据防泄漏方案，保护网民隐私信息；

　　第二，制度上明确内部权责，对于用户隐私的调用进行严格管理，坚持最小化利用网民隐私原则和权利范围最小化原则；

　　第三，为用户保留网络证据，在公安机关对网络侵权行为进行审查时，配合公安机关提供相应电子证据；

• 建立应急响应流程，坚守最后一道防线

　　就在不久前，永恒之蓝勒索病毒泛滥，导致全球99个国家深受其害，尤其是教育、公安、办公网络。历史事件是最好的镜子。在网络安全法实施之际，企业更应该重视应急响应的重要性，这是一切防护的最后一道防线。建立健全应急预案对未来可能存在的基于系统漏洞的入侵、病毒攻击有着重要防范作用：

　　一是建立应急响应流程，并且进行安全应急演练。这里的流程包括如何应对黑客攻击，一旦遭受攻击如何进行止损、修复，还应该包括对员工进行培训，在紧急情况下如何确保规范化操作，避免给企业造成损失。

　　二是定期进行安全应急培训和演练，让企业管理者和员工像进行了解消防演练一样，熟知安全事件爆发时应该如何操作。

　　三是加强对网络安全的追踪和关注，在大规模网络安全事件，例如永恒之蓝爆发时，企业提前做好应急防范措施，提前进入应急状态，最大程度保护企业免受损害。