信息化時代，網絡已深刻地融入到社會生活的各個方面，網絡安適威脅也隨之向各層面滲透，而且已經從線上滲透到線下。為保障網絡空間和國家安適，社會公共利益，掩護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展， 6 月 1 日起，《中華人民共和國網絡安適法》（以下簡稱《網絡安適法》）將正式施行。

那么問題來了，《網絡安適法》對網站運營者提出了哪些要求，網站該如何做好應對辦法？哪些新規和網站運營者息息相關？網站運營該做好哪些應對辦法呢？為此，小編采訪了百度安適專家，從網站安適建設、規范網絡運營兩大方面進行了解讀，希望給網站提供一些操作性強的建議。

第一部分 關于企業自身的安適建設

問題一：按期給網站進行安適體檢

 法律規定：《網絡安適法》第九條規定，網絡運營者開展經營和辦事活動，必需遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網絡安適掩護義務，接受政府和社會的監督，承擔社會責任。

第三十八條規定，關鍵信息基礎設施的運營者應當自行或者委托網絡安適辦事機構對其網絡的安適性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進辦法報送相關負責關鍵信息基礎設施安適掩護工作的部門。

專家解讀：網站自身的安適是各種網絡活動順利展開的基石，也是掩護網民財產和隱私的基礎。為此，網站要從以下幾個方面做好準備：

一是按期為網站進行體檢，及時發現網站的潛在風險并盡快修復。有條件的網站建議每個季度進行一次滲透測試，尤其是金融、電商這些重點行業企業。如果企業自己缺乏專業的能力和人才，可以與專業的第三方安適機構合作開展。

二是網站在產品研發和上線過程中，要始終堅持安適原則。重點產品上線前要經過代碼安適審計和滲透測試，確保沒有漏洞和后門的可能。

三是過去一些網絡辦事商出于各種目的習慣性的保存程序的后門，有的是為了后期提升用戶體驗，有的則是為了測試使用，還有的就是為了收集用戶隱私。網絡安適法實施之后，這樣的行為將被禁止。因為這些后門給黑客打開了便利之門，經常會出現“螳螂捕蟬，黃雀在后”的情況。好比，蘋果iOS系統 2014 年被曝出com.apple.pcapd辦事存在后門，通過libpcap網絡數據包捕獲流入和流出iOS設備的HTTP數據，能夠泄漏“大量情報”。

問題二：從四個層面完善網站安適建設

法律規定：《網絡安適法》第十條規定，建設、運營網絡或者通過網絡提供辦事，應當依照法律、行政法規的規定和國家尺度的強制性要求，采取技術辦法和其他須要辦法，保障網絡安適、不變運行，有效應對網絡安適事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。

專家解讀：建立安適防護體系，不但是符合法律規定，更是為了掩護網站和網民的安適。為此，企業應從硬件安適、系統安適、數據安適、應用安適四個方面來安排完善的安適策略，可以自行研發，也可以與符合資質的安適辦事商合作。目前安適市場有成熟的解決方案，從私有云安排到SaaS化的安適辦事，再到混合云安排都可以支持，企業可以按照自身的業務重要性、資金實力、安適技術實力等，綜合考慮選擇。舉例來說，中國超過77%的網站日拜候量低于100，這些網站大多架在云端，而且規模都不大，所以選擇面向中小企業的SaaS化綜合安適辦事即可，好比百度云加速；而傳統金融、互聯網金融機構，就需要嚴格執行等級掩護的規定，并且要專門針對現在比較流行的DDoS攻擊等，安排針對性的防御策略。

問題三：三分靠技術，七分靠辦理

法律規定：《網絡安適法》第二十一條規定，企業需制定內部安適辦理制度和操作規程,確定網絡安適負責人,落實網絡安適掩護責任。

第三十四條規定，關鍵信息基礎設施的運營者還應當設置專門安適辦理機構和安適辦理負責人，并對該負責人和關鍵崗位的人員進行安適配景審查；按期對從業人員進行網絡安適教育、技術培訓和技能考核；對重要系統和數據庫進行容災備份；制定網絡安適事件應急預案，并按期進行演練；法律、行政法規規定的其他義務。

專家解讀：安適歷來是三分靠技術，七分靠辦理。比來幾年，互聯網企業、傳統企業在CTO、CIO基礎上，很多都設立了專門的CSO（首席安適官），可見企業越來越重視安適。企業應從安適辦理制度和架構設計、員工安適意識培訓、安適應急響應處理流程等三個方面完善安適辦理制度：首先要建立安適辦理制度，包孕明確網絡安適掩護的范圍、員工行為規范、明確權責；其次對員工進行按期安適意識教育和培訓，將安適培訓納入新員工入職培訓，而且一年至少進行一次安適演練；三是提前制定安適應急處理流程，例如防范病毒入侵和網絡攻擊的策略，日志審計和分析，為事后攻擊溯源、追究責任保存好證據等。

只有提前指定完善的辦理制度，在黑客入侵時才能從容應對。

問題四：日志留存 6 個月 信息追蹤更有依據