網站被攻擊，負責人竟然還要被罰款！

2019年10月，貴陽某高校網站遭遇黑客攻擊，登錄頁面被非法篡改為違法有害信息。影響惡劣。貴陽網警獲悉后，立即展開調查。

經查，該高校網站平臺未留存web訪問日志，服務器系統日志、安全日志留存時間不滿6個月留存時限，未開展網絡安全檢測，平臺內共發現10余個木馬后門，技術防護措施極為薄弱。

2019年10月19日，觀山湖警方根據《中華人民共和國網絡安全法》第21條、第59條之規定，依法對該高校及高校負責人分別處以10萬元和5萬元的行政罰款。

網站被攻擊了，網站負責人還要被處罰，這到底是怎么回事？
實際上，《網絡安全法》規定，網站運營者應負擔網站網絡安全保護義務。
《中華人民共和國網絡安全法》第二十一條：
國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；
（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；
（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；
（四）采取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

《中華人民共和國網絡安全法》第五十九條第一款：
網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。
新網云根據近幾年被查出漏洞的網站情況，將常見漏洞做了以下整理：
1、跨站腳本XSS
黑客通過“HTML注入”篡改了網頁，插入了惡意腳本，從而在用戶在瀏覽網頁時，實現控制用戶瀏覽器行為的一種攻擊方式。
2、SQL注入
SQL注入是比較常見的網絡攻擊方式之一，它不是利用操作系統的BUG來實現攻擊，而是針對程序員編寫時的疏忽，通過SQL語句，實現無賬號登錄，甚至篡改數據庫。
3、WEB服務器漏洞
服務器解析漏洞依然廣泛存在，常見Web服務器的解析漏洞有Apache/Nginx/IIS等。
4、數據庫漏洞
常見的數據庫漏洞主要有Oracle/MySQL兩大類。內外部黑客會想法利用管理、網絡、主機或數據庫的自身漏洞嘗試入侵到數據庫中，以達到自身的目的。
5、弱口令
弱口令指的是僅包含簡單數字和字母的口令，例如“123”、“abc”等，因為這樣的口令很容易被別人破解，通過系統弱口令，可被黑客直接獲得系統控制權限。
6、信息泄漏漏洞

最常見的信息泄漏包含電子郵件地址泄漏、數據庫信息泄漏、內網IP地址泄漏、網站路徑泄漏風險，這類漏洞信息泄露可能是不慎泄露的，也有可能是攻擊者通過惡意的交互從網站獲得數據。

建議企事業單位、社會機構盡早進行安全策略的部署，防患于未然。新網云為云上用戶提供基礎的安全策略配置，可有效提升服務器的安全級別；當然也可以聯系新網安全專家來進行整體加固，防范系統層和應用層的安全風險。http://www.xinnet.com/cs/cs.html