上云了照样被攻击,当“甩手掌柜”太危险!

来源:知道创宇2019.12.30

据武汉网警12月初通报,日前武汉某网络科技有限责任公司网站域名下的网页,被非法篡改链接至赌博网站。

经调查发现,该网站由公司的技术部门进行运维和管理,他们将网站托管在一家云服务商,因自身技术能力有限,网站只有云服务商提供的基础安全防护。


网警对此表示,该公司作为“云租户方”未采取任何防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,公司发现网站被篡改植入“暗链”后也没有采取停止传输或消除等处置措施。依据《网络安全法》相关规定,该公司被依法予以警告,并被责令关闭网站并限期改正。


这是一起运营者未履行自身网络安全保护义务的典型案例,而网站主体责任人当“甩手掌柜”的情况,还不止这一种。


11月下旬,烟台市公安局芝罘分局发现,本市两家企业运行在互联网上的自建信息系统中存有用户的个人信息合计近20万条,但系统未落实网络安全防护、安全审计、日志记录等必要的安全保护技术措施,且系统管理员账号使用弱口令,存在非常严重的安全隐患。


进一步调查显示,这两家企业的信息系统由开发区某企业为其提供网络技术服务,而这两家企业并未关心过其系统是否会存在安全隐患,而技术供应商的安全意识和技术实力也明显不足。


依据《网络安全法》相关规定,芝罘公安分局对两家企业依法下达整改通知书,并处罚款人民币两万元,对两家企业网络安全直接负责人和其他直接责任人员分别罚款人民币一万元,同时对为两家企业提供网络技术服务的开发区某企业予以警告,并对该公司网络安全直接责任人员罚款一万元。


警方相关负责人介绍,处罚并不是目的,而是要倒逼网站主体责任人主动管网,以此杜绝当“甩手掌柜”的现象


国家《网络安全法》施行以来,正式以法律的形式将网络安全保护义务、公民个人信息保护等事项进行明确和立法保护。但在实际工作中,仍有一些单位和个人对网络安全认识不高、重视不够、投入不足,特别是一些上了云或外包出去的网站系统,主体单位对系统的安全运行不管不问,极易导致网站系统因缺陷和漏洞被攻击篡改,公民个人信息和企业核心资料被窃取外泄,进而导致网上业务无法稳定经营,造成严重损失,同时还要面临执法机构的严厉处罚。


因此,知道创宇建议各网络运营者一定要主动担负起网络安全责任,为大众提供合规而安全的在线业务。知道创宇云防御平台,是知道创宇推出的为解决互联网时代的企业Web系统访问速度慢、安全状态严峻的专业安全防御平台,专门为企事业单位、商业网站提供一站式、全生命周期的云加速、云防护服务。



目前知道创宇在全国各地部署了数十个大型云计算中心,储备了数百G的防御带宽,所有数据中心均部署有腾讯宙斯盾流量清洗设备与知道创宇祝融攻击智能识别引擎,将为企业阻止包括XSS、SQL注入、木马、0day攻击、DDoS僵尸网络、DNS攻击等一系列针对Web系统的安全威胁。知道创宇的安全产品符合网安法、等保2.0、IPv6计划等多项政策要求,极大降低了在基础环境和业务安全上的投入和成本,帮助企业快速建立既合规又安全的网络防护体系。