等保2.0時(shí)代,對網(wǎng)站運營(yíng)者帶來(lái)什么影響?
在網(wǎng)絡(luò )安全法和等保2.0的規范中:
單位或個(gè)人建立、運營(yíng)網(wǎng)站,則有義務(wù)保證網(wǎng)站運行正常。
如果網(wǎng)站被攻擊、被入侵,散播出不良言論、帶來(lái)不良影響、或網(wǎng)站以不良形象示人。那么可能會(huì )給國家、社會(huì )或他人,帶來(lái)不良影響。如果發(fā)生此種情況,相關(guān)單位、責任人需承擔相應的法律責任。
具體的責任細節,這里不做贅述,可參考《中華人民共和國網(wǎng)絡(luò )安全法》第六章第21、25、33、34、36、38條,以及等保2.0細則。
總結而言,網(wǎng)站不做防護,違法了、后果很?chē)乐兀合嚓P(guān)負責人可能會(huì )被罰款、處罰,相關(guān)企業(yè)可能被停業(yè)、吊銷(xiāo)營(yíng)業(yè)執照。這還不考慮網(wǎng)站防護的真實(shí)需求,只是從法律法規層面來(lái)看而已。
可能很多人不以為然,僥幸心理使然,認為只是個(gè)規定而已,不會(huì )查到自己頭上。是嗎?不!國家是認真的,各地已相繼展開(kāi)等保核查工作,公安、網(wǎng)安已經(jīng)出動(dòng)。
也就是說(shuō):無(wú)論是出于真實(shí)的安全需求、保護網(wǎng)站安全,還是為了符合法律要求,做為網(wǎng)站的運營(yíng)者,都必須要滿(mǎn)足等保要求、都必須給網(wǎng)站做安全防護了。
網(wǎng)站防護如何做?
當然是上WAF(WEB應用防火墻:Web Application Firewall)。
如何上WAF?
WAF有三種:軟件、云、硬件。
- 硬件WAF:就是買(mǎi)臺硬件WAF,接在自己的WEB服務(wù)器之前。但一般中小企業(yè)、個(gè)人是沒(méi)有自己的服務(wù)器的,都是用IDC的云服務(wù)器、虛擬主機,這里就不多講了,不是本文主題。
- 軟件WAF:就是自己在服務(wù)器上部署軟件WAF,需要自己動(dòng)手豐衣足食。
- 云WAF:就是用IDC(云服務(wù)器、虛擬主機的提供方)的云WAF功能或平臺。
IDC與云WAF
這時(shí),就與IDC相關(guān)了,國內絕大多數的網(wǎng)站運營(yíng)者,都使用IDC提供的網(wǎng)站服務(wù)。
國內大大小小的IDC有數百家。知名的如阿里云、騰迅云等是有云WAF服務(wù)的,客戶(hù)選擇其WEB服務(wù)后,可以方便的使用其提供的云WAF,滿(mǎn)足真實(shí)防護需求和等保要求(不考慮價(jià)格因素的情況下,如不愿意承受其高價(jià)格,也可自己部署軟件WAF,如:ShareWAF)。
但更多的IDC是價(jià)格更為實(shí)惠的區域性的中小IDC。這些IDC通常是沒(méi)有WAF功能的,究其原因:很多IDC是代理商,沒(méi)有太多技術(shù)實(shí)力,更別說(shuō)門(mén)檻很高的WAF產(chǎn)品研發(fā)能力,所以無(wú)法提供WAF功能,再一個(gè)重要原因:還未有足夠的認識和重視。
沒(méi)有WAF的IDC會(huì )怎么樣?
坦言:會(huì )相當被動(dòng)。
以往,沒(méi)有等保要求的情況下,很多客戶(hù)是不在意安全問(wèn)題的,許多小中企業(yè)只是架個(gè)企業(yè)靜態(tài)官網(wǎng),做什么安防呢,沒(méi)那資金預算,也不在意安全問(wèn)題:被黑了、網(wǎng)站被改了、掛馬了?大不了重上傳一下網(wǎng)站,無(wú)所謂的事。
但現在不一樣了,如前文所述,如果發(fā)現上述問(wèn)題,問(wèn)題就大了。舉例而言:就算是個(gè)小網(wǎng)站,沒(méi)有太多的數據、太多的敏感信息,如果網(wǎng)站被修改,網(wǎng)頁(yè)出現了不良言論、不法言論、不實(shí)消息、色情等等,在公安、網(wǎng)安的視角:會(huì )造成不良的社會(huì )影響、甚至對國家造成負面影響等。
如是大網(wǎng)站,數據泄露、敏感信息流出,更是非常嚴重的問(wèn)題,誰(shuí)知是不是境外勢力的故意滲透、誰(shuí)知道會(huì )被獲取什么信息、誰(shuí)知道數據會(huì )被用于什么方面:釣魚(yú)?電信詐騙……
所以為防患于未然,網(wǎng)絡(luò )安全法、等保要求:網(wǎng)站防護,必須的!若不執行,就是公安、網(wǎng)安上門(mén)。
在這種情況之下,客戶(hù)對自身網(wǎng)站的防護需求,是真實(shí)的,是剛需。
如果IDC沒(méi)有、不能提供WAF功能或云WAF,客戶(hù)怎么辦?
客戶(hù)有幾種選擇:
- 方案1、自己部署WAF,自己維護;問(wèn)題:有技術(shù)要求,不是所有客戶(hù)都有技術(shù)人員。
- 方案2、接入其它IDC的云WAF;問(wèn)題:非同一IDC的服務(wù),會(huì )給訪(fǎng)問(wèn)速度帶來(lái)嚴重影響,維護也麻煩。客戶(hù):我為什么不選擇那家有WAF服務(wù)的IDC?遷移。
- 方案3、不防了,裸奔算了。問(wèn)題:客戶(hù)會(huì )顧慮重重,說(shuō)不定哪天就被網(wǎng)安查了,要么,干脆不要這站了。
以上,如果不提供WAF,IDC會(huì )相當被動(dòng),將面臨:已有客戶(hù)流失,未來(lái)客戶(hù)越來(lái)越少,甚至無(wú)法生存下去。
所以,IDC必須有WAF!如何才能有呢?
IDC如何實(shí)現WAF功能?
1、自研
適合有技術(shù)實(shí)力、有安全知識儲備的IDC。
WAF領(lǐng)域,門(mén)檻較高,需要足夠的技術(shù)儲備和不短的開(kāi)發(fā)測試周期。
2、合作
跟國內的WAF方合作,由WAF方提供產(chǎn)品(或OEM)或技術(shù)支持。
3、收購WAF
資金充足產(chǎn)的IDC可以嘗試收購成熟的WAF產(chǎn)品,以金錢(qián)換時(shí)間,一步到位。
總結
網(wǎng)絡(luò )安全就是國家安全,網(wǎng)絡(luò )的主體是網(wǎng)站,網(wǎng)站安全了,網(wǎng)絡(luò )就安全了!這是國家層面的策略。
做為網(wǎng)絡(luò )環(huán)境的極重要一環(huán):IDC,提供安全,理情之中。
等保2.0之下,這或許會(huì )是IDC行業(yè)洗牌的開(kāi)始,是風(fēng)險,也是機遇。
