避免被罚5000万，重视得从资产摸底管理开始

为做好网络安全法与相关法律的衔接协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，国家网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（以下称为《意见》），于14日公布。

《意见》中提到：

一

将第五十九条、第六十条、第六十一条、第六十二条修改为：“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的，由有关主管部门责令改正，给予警告、通报批评；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节特别严重的，由省级以上有关主管部门责令改正，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

三

将第六十四条修改为：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定，侵害个人信息依法得到保护的权利的，依照有关法律、行政法规的规定处罚。”

五

将第六十八条、第六十九条修改为：“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务，或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的，或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的，由有关主管部门责令改正，给予警告、通报批评，没收违法所得；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

可以看到，本次《意见》的修改，不仅对网络安全建设提出了更高的要求，同时也提高了处罚力度，加重了企业违法成本，其中新增情节特别严重的罚则，单位最高罚金高达5000万元。

如今有组织、团队化的政治黑客和商业黑客发起的网络攻击早已从漏洞、口令等逐渐转变成基于组织机构数字暴露面的通用漏洞、事件型0day、勒索软件攻击等。

特别近几年受疫情影响，越来越多的业务系统开放到外网，导致网络安全事故数量激增，究其原因，往往是对互联网暴露面资产梳理不当、监测不到位而引发的风险所致。

我们的网络安全建设需逐步从“合规驱动”阶段过渡到 “实战驱动”阶段，互联网暴露面资产管理也应由被动“亡羊补牢”的方式，向“先发现、先预防、先处理”的主动持续检测响应的方式转变。

互联网暴露面资产知多少？

企业当前有多少暴露在互联网侧的资产？

相较于内网而言，企业的互联网侧资产往往更难梳理，一是外网业务系统量大繁多，梳理困难；二是资产边界不清晰，不易找到资产梳理切入口；三是存在企业自己也不知道的“隐形”资产，资产底数不易明确。

而这些未梳理、未探测甚至未知的暴露面资产，最容易成为攻击者的利用工具，在企业监测不到的地方就悄悄被黑了。

ScanV（云监测）以SaaS服务模式，通过“主动＋被动”扫描方式，对接入的业务系统进行深入的资产探测，主动发现子域名、开放端口/服务、主机信息、服务协议等，帮助监管单位掌握辖区内的资产情况，快速发现新增资产，并持续监测资产变动情况，建立互联网暴露面资产知识图谱。

如何监测互联网暴露面资产风险？

企业在互联网侧提供访问的服务器是否开启了高危端口?提供的页面中是否有直接暴露的后台登录页面？

如今黑客攻击手段越来越高明，0day漏洞逐日增加，监测互联网暴露面资产风险，从本质上就是要从风险视角看待资产，采用脆弱性监测、安全事件监测、可用性监测、敏感信息监测等多种方式缩小攻击面，分析识别资产风险优先级，自动化进行标记和生命周期跟踪。