國家已非常重視網絡安全、網站安全。
等保2.0時代,對網站運營者帶來什么影響?
在網絡安全法和等保2.0的規范中:
單位或個人建立、運營網站,則有義務保證網站運行正常。
如果被網站攻擊、被入侵,散播出不良言論、帶來不良影響、或網站以不良形象示人。那么可能會給國家、社會或他人,帶來不良影響。如果發生此種情況,相關單位、責任人需承擔相應的法律責任。
具體的責任細節,這里不做贅述,可參考《中華人民共和國網絡安全法》第六章第21、25、33、34、36、38條,以及等保2.0細則。
總結而言,網站不做防護,違法了、后果很嚴重:相關負責人可能會被罰款、處罰,相關企業可能被停業、吊銷營業執照。這還不考慮網站防護的真實需求,只是從法律法規層面來看而已。
可能很多人不以為然,僥幸心理使然,認為只是個規定而已,不會查到自己頭上。是嗎?不!國家是認真的,各地已相繼展開等保核查工作,公安、網安已經出動。
也就是說:無論是出于真實的安全需求、保護網站安全,還是為了符合法律要求,做為網站的運營者,都必須要滿足等保要求、都必須給網站做安全防護了。
網站防護如何做?
當然是上WAF(WEB應用防火墻:WebApplicationFirewall)。
如何上WAF?
WAF有三種:軟件、云、硬件。
1、硬件WAF:就是買臺硬件WAF,接在自己的WEB服務器之前。但一般中小企業、個人是沒有自己的服務器的,都是用IDC的云服務器、虛擬主機,這里就不多講了,不是本文主題。
2、軟件WAF:就是自己在服務器上部署軟件WAF,需要自己動手豐衣足食。
3、云WAF:就是用IDC(云服務器、虛擬主機的提供方)的云WAF功能或平臺。
IDC與云WAF
這時,就與IDC相關了,國內絕大多數的網站運營者,都使用IDC提供的網站服務。
國內大大小小的IDC有數百家。知名的如阿里云、騰迅云等是有云WAF服務的,客戶選擇其WEB服務后,可以方便的使用其提供的云WAF,滿足真實防護需求和等保要求(不考慮價格因素的情況下,如不愿意承受其高價格,也可自己部署軟件WAF,如:ShareWAF)。
但更多的IDC是價格更為實惠的區域性的中小IDC。這些IDC通常是沒有WAF功能的,究其原因:很多IDC是代理商,沒有太多技術實力,更別說門檻很高的WAF產品研發能力,所以無法提供WAF功能,再一個重要原因:還未有足夠的認識和重視。
沒有WAF的IDC會怎么樣?
坦言:會相當被動。
以往,沒有等保要求的情況下,很多客戶是不在意安全問題的,許多小中企業只是架個企業靜態官網,做什么安防呢,沒那資金預算,也不在意安全問題:被黑了、網站被改了、掛馬了?大不了重上傳一下網站,無所謂的事。
但現在不一樣了,如前文所述,如果發現上述問題,問題就大了。舉例而言:就算是個小網站,沒有太多的數據、太多的敏感信息,如果網站被修改,網頁出現了不良言論、不法言論、不實消息、色情等等,在公安、網安的視角:會造成不良的社會影響、甚至對國家造成負面影響等。
如是大網站,數據泄露、敏感信息流出,更是非常嚴重的問題,誰知是不是境外勢力的故意滲透、誰知道會被獲取什么信息、誰知道數據會被用于什么方面:釣魚?電信詐騙……
所以為防患于未然,網絡安全法、等保要求:網站防護,必須的!若不執行,就是公安、網安上門。
在這種情況之下,客戶對自身網站的防護需求,是真實的,是剛需。
如果IDC沒有、不能提供WAF功能或云WAF,客戶怎么辦?
客戶有幾種選擇:
方案1、自己部署WAF,自己維護;問題:有技術要求,不是所有客戶都有技術人員。
方案2、接入其它IDC的云WAF;問題:非同一IDC的服務,會給訪問速度帶來嚴重影響,維護也麻煩。客戶:我為什么不選擇那家有WAF服務的IDC?遷移。
方案3、不防了,裸奔算了。問題:客戶會顧慮重重,說不定哪天就被網安查了,要么,干脆不要這站了。
以上,如果不提供WAF,IDC會相當被動,將面臨:已有客戶流失,未來客戶越來越少,甚至無法生存下去。
所以,IDC必須有WAF!如何才能有呢?
IDC如何實現WAF功能?
1、自研
適合有技術實力、有安全知識儲備的IDC。
WAF領域,門檻較高,需要足夠的技術儲備和不短的開發測試周期。
2、合作
跟國內的WAF方合作,由WAF方提供產品(或OEM)或技術支持。
3、收購WAF
資金充足產的IDC可以嘗試收購成熟的WAF產品,以金錢換時間,一步到位。
總結
網絡安全就是國家安全,網絡的主體是網站,網站安全了,網絡就安全了!這是國家層面的策略。
做為網絡環境的極重要一環:IDC,提供安全,理情之中。
等保2.0之下,這或許會是IDC行業洗牌的開始,是風險,也是機遇。
