安全贴士

网络安全工作“等”字诀要不得

作者:来源: 发布时间:2026-06-24

  长期以来,在部分网络运营者和关键信息基础设施运营者中,存在一种错误认识:只要没有发生网络安全事件、没有造成数据泄露或者重大影响,监管部门一般不会处罚。这种认识在过去某些时期和个别案例中似乎能够找到“经验依据”,但随着我国网络安全法治体系不断完善,这种观念已经明显不适应当前的监管要求。特别是修订后的《网络安全法》第六十一条,进一步释放出明确信号,网络安全违法行为的处罚不再以事故发生为前提,履行法定义务本身已经成为监管重点。
  从法律规定来看,第六十一条明确指出,网络运营者不履行第二十三条、第二十七条规定的网络安全保护义务,以及关键信息基础设施运营者不履行第三十五条、第三十六条、第三十八条、第四十条规定的安全保护义务的,由有关主管部门责令改正、给予警告,并可处以罚款;拒不改正或者造成危害网络安全后果的,将面临更重处罚。值得注意的是,意味着即使尚未发生网络安全事件,只要存在违法违规行为,同样可能受到行政处罚。拒不改正则加重处罚,已成定局!因此,网络安全工作必须树立“等不得”的理念。
  首先,网络安全责任落实等不得。
  一些单位认为网络安全是技术部门的事情,管理层只需在发生问题后进行处置即可。然而,《网络安全法》明确要求建立网络安全责任制,落实安全保护责任。网络安全责任不是事后追责,而是事前预防。无论是网络运营者还是关键信息基础设施运营者,都应当明确主要负责人、分管负责人和具体责任部门职责,建立覆盖规划、建设、运行、维护全过程的责任体系。如果等到检查发现问题或者发生事件后再明确责任,往往已经错失最佳整改时机。
  其次,安全制度建设等不得。
  制度是网络安全工作的基础。实践中,一些单位存在制度缺失、制度过期或者制度与实际运行脱节的问题。账号管理制度、日志管理制度、漏洞管理制度、外包管理制度、数据安全管理制度等长期未更新,甚至停留在纸面上。监管检查时发现制度不健全,本身就可能被认定为未履行法定义务。网络安全制度建设必须坚持常态化、体系化推进,不能抱有“先运行、后完善”的侥幸心理
  再次,技术防护措施落实等不得。
  法律规定网络运营者应采取技术措施监测、记录网络运行状态和网络安全事件,并按照规定留存相关网络日志。现实中,部分单位为了节约成本,对防火墙、入侵检测、漏洞扫描、安全审计等技术措施投入不足,认为只要没有遭受攻击即可。事实上,监管部门检查时关注的不仅是是否发生事件,更关注是否建立了必要的安全防护体系。没有部署必要的安全措施,即使没有造成损害后果,也可能被认定为未履行网络安全保护义务。
  同时,风险隐患整改更是等不得。
  近年来,各级监管部门通过监督检查、专项行动、攻防演练、风险监测等方式发现大量网络安全隐患。部分单位收到整改通知后,存在“拖一拖”“缓一缓”的思想,认为问题暂时不会产生影响。然而,第六十一条明确规定,拒不改正本身就是加重处罚的重要情形。对于发现的弱口令问题、高危漏洞问题、边界防护缺失问题、数据暴露问题等,必须立即整改、及时销号,形成闭环管理机制。整改不及时,可能比问题本身带来更大的法律风险。
  此外,关键信息基础设施保护工作更加是等不得。
  关键信息基础设施关系国家安全、国计民生和公共利益,其安全保护要求明显高于一般网络运营者。安全保护制度建立、安全产品和服务采购安全审查、安全检测评估、重要数据保护等均属于法定义务。部分单位认为自身尚未遭受攻击,因此对安全评估、安全监测和风险排查重视不足。这种认识与法律要求背道而驰。对于关基运营者而言,监管关注的是“是否履职”,而不仅仅是“是否出事”。但是实际工作中发现很多关基单位将关基安全当做网络安全的一个边角料。
  最后,网络安全意识提升更等不得。
  许多网络安全问题表面上是技术问题,根源上却是认识问题。思想上不重视,制度上不完善,管理上不到位,最终都会转化为现实风险。随着网络安全监管从“结果导向”逐步转向“过程导向”和“责任导向”,网络安全合规已经成为组织运营管理的重要组成部分。任何寄希望于“不出事就没事”的想法,都可能付出沉重代价。
  网络安全工作没有旁观者,也没有局外人。修订后的《网络安全法》第六十一条充分表明,监管部门不仅处罚网络安全事件,也处罚不履行法定义务的行为。对于网络运营者和关键信息基础设施运营者而言,必须彻底摒弃“出了事情才会被处罚”的旧观念,坚持“责任落实等不得、制度建设等不得、防护部署等不得、隐患整改等不得、关基保护等不得、意识提升等不得”,把依法履行网络安全保护义务贯穿到日常工作全过程。唯有如此,才能真正做到防患于未然,实现国家安全、社会稳定与企业发展的多赢局面。
  有些人把安全等同于边界防护,把“没被攻击”误认为“没出问题”,把资产台账当成真实现状,把漂亮的安全指标当成安全本身。于是,防火墙挡住了外部入侵,却挡不住数据被内部人员或失控资产持续带出;公开暴露的数据、遗忘的服务器和历史遗留泄露被视而不见;安全汇报沉迷于展示拦截数量和整改率,却回避最核心的数据暴露问题。最终,当勒索、诈骗或数据倒卖事件暴发时,人们将其归因于一次突如其来的攻击,却不愿承认真正的事故早在数据失控、资产失管、信息外泄的那一刻就已经发生。所谓“安全”,不过是在集体维护一个“我们很安全”的幻觉。很多单位的安全建设,本质上是在拼命加固大门,却从不清点仓库;等发现东西丢了,第一反应是“遭贼了”,而不愿承认货物其实早就在自己眼皮底下被一车一车运走了。
  安全感是一种情绪,安全性是一种能力。前者靠相信,后者靠证明。组织最大的风险,往往不是缺少安全设备,而是把“我觉得很安全”误当成了“我能够证明自己安全”。当安全沦为一种感觉时,事故只是时间问题;当安全成为一套严密的逻辑和能力体系时,风险才真正处于可控状态。


初审:初冰茜
复审:樊春运
终审:韩冬