4000-110-253
等保2.0時(shí)代,沒有(yǒu)WAF功能的IDC會(huì)怎麽樣?. 2020-11-16
已經是等保2.0時(shí)代了。
國家(jiā)已非常重視(shì)網絡安全、網站(zhàn)安全。
等保2.0時(shí)代,對網站(zhàn)運營者帶來(lái)什麽影(yǐng)響?
在網絡安全法和(hé)等保2.0的規範中:
單位或個(gè)人(rén)建立、運營網站(zhàn),則有(yǒu)義務保證網站(zhàn)運行(xíng)正常。
如果被網站(zhàn)攻擊、被入侵,散播出不良言論、帶來(lái)不良影(yǐng)響、或網站(zhàn)以不良形象示人(rén)。那(nà)麽可(kě)能會(huì)給國家(jiā)、社會(huì)或他人(rén),帶來(lái)不良影(yǐng)響。如果發生(shēng)此種情況,相關單位、責任人(rén)需承擔相應的法律責任。
具體(tǐ)的責任細節,這裏不做(zuò)贅述,可(kě)參考《中華人(rén)民共和(hé)國網絡安全法》第六章第21、25、33、34、36、38條,以及等保2.0細則。
總結而言,網站(zhàn)不做(zuò)防護,違法了、後果很(hěn)嚴重:相關負責人(rén)可(kě)能會(huì)被罰款、處罰,相關企業可(kě)能被停業、吊銷營業執照。這還(hái)不考慮網站(zhàn)防護的真實需求,隻是從法律法規層面來(lái)看而已。
可(kě)能很(hěn)多(duō)人(rén)不以為(wèi)然,僥幸心理(lǐ)使然,認為(wèi)隻是個(gè)規定而已,不會(huì)查到自己頭上(shàng)。是嗎?不!國家(jiā)是認真的,各地已相繼展開(kāi)等保核查工作(zuò),公安、網安已經出動。
也就是說:無論是出于真實的安全需求、保護網站(zhàn)安全,還(hái)是為(wèi)了符合法律要求,做(zuò)為(wèi)網站(zhàn)的運營者,都必須要滿足等保要求、都必須給網站(zhàn)做(zuò)安全防護了。
網站(zhàn)防護如何做(zuò)?
當然是上(shàng)WAF(WEB應用防火(huǒ)牆:WebApplicationFirewall)。
如何上(shàng)WAF?
WAF有(yǒu)三種:軟件、雲、硬件。
1、硬件WAF:就是買台硬件WAF,接在自己的WEB服務器(qì)之前。但(dàn)一般中小(xiǎo)企業、個(gè)人(rén)是沒有(yǒu)自己的服務器(qì)的,都是用IDC的雲服務器(qì)、虛拟主機,這裏就不多(duō)講了,不是本文主題。
2、軟件WAF:就是自己在服務器(qì)上(shàng)部署軟件WAF,需要自己動手豐衣足食。
3、雲WAF:就是用IDC(雲服務器(qì)、虛拟主機的提供方)的雲WAF功能或平台。
IDC與雲WAF
這時(shí),就與IDC相關了,國內(nèi)絕大(dà)多(duō)數(shù)的網站(zhàn)運營者,都使用IDC提供的網站(zhàn)服務。
國內(nèi)大(dà)大(dà)小(xiǎo)小(xiǎo)的IDC有(yǒu)數(shù)百家(jiā)。知名的如阿裏雲、騰迅雲等是有(yǒu)雲WAF服務的,客戶選擇其WEB服務後,可(kě)以方便的使用其提供的雲WAF,滿足真實防護需求和(hé)等保要求(不考慮價格因素的情況下,如不願意承受其高(gāo)價格,也可(kě)自己部署軟件WAF,如:ShareWAF)。
但(dàn)更多(duō)的IDC是價格更為(wèi)實惠的區(qū)域性的中小(xiǎo)IDC。這些(xiē)IDC通(tōng)常是沒有(yǒu)WAF功能的,究其原因:很(hěn)多(duō)IDC是代理(lǐ)商,沒有(yǒu)太多(duō)技(jì)術(shù)實力,更别說門(mén)檻很(hěn)高(gāo)的WAF産品研發能力,所以無法提供WAF功能,再一個(gè)重要原因:還(hái)未有(yǒu)足夠的認識和(hé)重視(shì)。
沒有(yǒu)WAF的IDC會(huì)怎麽樣?
坦言:會(huì)相當被動。
以往,沒有(yǒu)等保要求的情況下,很(hěn)多(duō)客戶是不在意安全問題的,許多(duō)小(xiǎo)中企業隻是架個(gè)企業靜态官網,做(zuò)什麽安防呢,沒那(nà)資金預算(suàn),也不在意安全問題:被黑(hēi)了、網站(zhàn)被改了、挂馬了?大(dà)不了重上(shàng)傳一下網站(zhàn),無所謂的事。
但(dàn)現在不一樣了,如前文所述,如果發現上(shàng)述問題,問題就大(dà)了。舉例而言:就算(suàn)是個(gè)小(xiǎo)網站(zhàn),沒有(yǒu)太多(duō)的數(shù)據、太多(duō)的敏感信息,如果網站(zhàn)被修改,網頁出現了不良言論、不法言論、不實消息、色情等等,在公安、網安的視(shì)角:會(huì)造成不良的社會(huì)影(yǐng)響、甚至對國家(jiā)造成負面影(yǐng)響等。
如是大(dà)網站(zhàn),數(shù)據洩露、敏感信息流出,更是非常嚴重的問題,誰知是不是境外勢力的故意滲透、誰知道(dào)會(huì)被獲取什麽信息、誰知道(dào)數(shù)據會(huì)被用于什麽方面:釣魚?電(diàn)信詐騙……
所以為(wèi)防患于未然,網絡安全法、等保要求:網站(zhàn)防護,必須的!若不執行(xíng),就是公安、網安上(shàng)門(mén)。
在這種情況之下,客戶對自身網站(zhàn)的防護需求,是真實的,是剛需。
如果IDC沒有(yǒu)、不能提供WAF功能或雲WAF,客戶怎麽辦?
客戶有(yǒu)幾種選擇:
方案1、自己部署WAF,自己維護;問題:有(yǒu)技(jì)術(shù)要求,不是所有(yǒu)客戶都有(yǒu)技(jì)術(shù)人(rén)員。
方案2、接入其它IDC的雲WAF;問題:非同一IDC的服務,會(huì)給訪問速度帶來(lái)嚴重影(yǐng)響,維護也麻煩。客戶:我為(wèi)什麽不選擇那(nà)家(jiā)有(yǒu)WAF服務的IDC?遷移。
方案3、不防了,裸奔算(suàn)了。問題:客戶會(huì)顧慮重重,說不定哪天就被網安查了,要麽,幹脆不要這站(zhàn)了。
以上(shàng),如果不提供WAF,IDC會(huì)相當被動,将面臨:已有(yǒu)客戶流失,未來(lái)客戶越來(lái)越少(shǎo),甚至無法生(shēng)存下去。
所以,IDC必須有(yǒu)WAF!如何才能有(yǒu)呢?
IDC如何實現WAF功能?
1、自研
适合有(yǒu)技(jì)術(shù)實力、有(yǒu)安全知識儲備的IDC。
WAF領域,門(mén)檻較高(gāo),需要足夠的技(jì)術(shù)儲備和(hé)不短(duǎn)的開(kāi)發測試周期。
2、合作(zuò)
跟國內(nèi)的WAF方合作(zuò),由WAF方提供産品(或OEM)或技(jì)術(shù)支持。
3、收購WAF
資金充足産的IDC可(kě)以嘗試收購成熟的WAF産品,以金錢(qián)換時(shí)間(jiān),一步到位。
總結
網絡安全就是國家(jiā)安全,網絡的主體(tǐ)是網站(zhàn),網站(zhàn)安全了,網絡就安全了!這是國家(jiā)層面的策略。
做(zuò)為(wèi)網絡環境的極重要一環:IDC,提供安全,理(lǐ)情之中。
等保2.0之下,這或許會(huì)是IDC行(xíng)業洗牌的開(kāi)始,是風險,也是機遇。
轉自freebuf
