网站被攻击，负责人竟然还要被罚款！

2019年10月，贵阳某高校网站遭遇黑客攻击，登录页面被非法篡改为违法有害信息。影响恶劣。贵阳网警获悉后，立即展开调查。

经查，该高校网站平台未留存web访问日志，服务器系统日志、安全日志留存时间不满6个月留存时限，未开展网络安全检测，平台内共发现10余个木马后门，技术防护措施极为薄弱。

2019年10月19日，观山湖警方根据《中华人民共和国网络安全法》第21条、第59条之规定，依法对该高校及高校负责人分别处以10万元和5万元的行政罚款。

网站被攻击了，网站负责人还要被处罚，这到底是怎么回事？
实际上，《网络安全法》规定，网站运营者应负担网站网络安全保护义务。
《中华人民共和国网络安全法》第二十一条：
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

《中华人民共和国网络安全法》第五十九条第一款：
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。
新网云根据近几年被查出漏洞的网站情况，将常见漏洞做了以下整理：
1、跨站脚本XSS
黑客通过“HTML注入”篡改了网页，插入了恶意脚本，从而在用户在浏览网页时，实现控制用户浏览器行为的一种攻击方式。
2、SQL注入
SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。
3、WEB服务器漏洞
服务器解析漏洞依然广泛存在，常见Web服务器的解析漏洞有Apache/Nginx/IIS等。
4、数据库漏洞
常见的数据库漏洞主要有Oracle/MySQL两大类。内外部黑客会想法利用管理、网络、主机或数据库的自身漏洞尝试入侵到数据库中，以达到自身的目的。
5、弱口令
弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，通过系统弱口令，可被黑客直接获得系统控制权限。
6、信息泄漏漏洞

最常见的信息泄漏包含电子邮件地址泄漏、数据库信息泄漏、内网IP地址泄漏、网站路径泄漏风险，这类漏洞信息泄露可能是不慎泄露的，也有可能是攻击者通过恶意的交互从网站获得数据。

建议企事业单位、社会机构尽早进行安全策略的部署，防患于未然。新网云为云上用户提供基础的安全策略配置，可有效提升服务器的安全级别；当然也可以联系新网安全专家来进行整体加固，防范系统层和应用层的安全风险。http://www.xinnet.com/cs/cs.html