等保2.0时代,没有WAF功能的IDC会怎么样?
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践
本文先从网站客户的角度谈等保2.0时代网站防护的必要性,再指出等保时代没有WAF功能的IDC会怎么样,以及该如何做。
已经是等保2.0时代了。
国家已非常重视网络安全、网站安全。
等保2.0时代,对网站运营者带来什么影响?
在网络安全法和等保2.0的规范中:
- 单位或个人建立、运营网站,则有义务保证网站运行正常。
- 如果被网站攻击、被入侵,散播出不良言论、带来不良影响、或网站以不良形象示人。那么可能会给国家、社会或他人,带来不良影响。如果发生此种情况,相关单位、责任人需承担相应的法律责任。
具体的责任细节,这里不做赘述,可参考《中华人民共和国网络安全法》第六章第21、25、33、34、36、38条,以及等保2.0细则。
总结而言,网站不做防护,违法了、后果很严重:相关负责人可能会被罚款、处罚,相关企业可能被停业、吊销营业执照。这还不考虑网站防护的真实需求,只是从法律法规层面来看而已。
可能很多人不以为然,侥幸心理使然,认为只是个规定而已,不会查到自己头上。是吗?不!国家是认真的,各地已相继展开等保核查工作,公安、网安已经出动:
也就是说:无论是出于真实的安全需求、保护网站安全,还是为了符合法律要求,做为网站的运营者,都必须要满足等保要求、都必须给网站做安全防护了。
网站防护如何做?
当然是上WAF(WEB应用防火墙:Web Application Firewall)。
如何上WAF?
WAF有三种:软件、云、硬件。
- 硬件WAF:就是买台硬件WAF,接在自己的WEB服务器之前。但一般中小企业、个人是没有自己的服务器的,都是用IDC的云服务器、虚拟主机,这里就不多讲了,不是本文主题。
- 软件WAF:就是自己在服务器上部署软件WAF,需要自己动手丰衣足食。
- 云WAF:就是用IDC(云服务器、虚拟主机的提供方)的云WAF功能或平台。
IDC与云WAF
这时,就与IDC相关了,国内绝大多数的网站运营者,都使用IDC提供的网站服务。
国内大大小小的IDC有数百家。知名的如阿里云、腾迅云等是有云WAF服务的,客户选择其WEB服务后,可以方便的使用其提供的云WAF,满足真实防护需求和等保要求(不考虑价格因素的情况下,如不愿意承受其高价格,也可自己部署软件WAF,如:ShareWAF)。
但更多的IDC是价格更为实惠的区域性的中小IDC。这些IDC通常是没有WAF功能的,究其原因:很多IDC是代理商,没有太多技术实力,更别说门槛很高的WAF产品研发能力,所以无法提供WAF功能,再一个重要原因:还未有足够的认识和重视。
没有WAF的IDC会怎么样?
坦言:会相当被动。
以往,没有等保要求的情况下,很多客户是不在意安全问题的,许多小中企业只是架个企业静态官网,做什么安防呢,没那资金预算,也不在意安全问题:被黑了、网站被改了、挂马了?大不了重上传一下网站,无所谓的事。
但现在不一样了,如前文所述,如果发现上述问题,问题就大了。举例而言:就算是个小网站,没有太多的数据、太多的敏感信息,如果网站被修改,网页出现了不良言论、不法言论、不实消息、色情等等,在公安、网安的视角:会造成不良的社会影响、甚至对国家造成负面影响等。
如是大网站,数据泄露、敏感信息流出,更是非常严重的问题,谁知是不是境外势力的故意渗透、谁知道会被获取什么信息、谁知道数据会被用于什么方面:钓鱼?电信诈骗……
所以为防患于未然,网络安全法、等保要求:网站防护,必须的!若不执行,就是公安、网安上门。
在这种情况之下,客户对自身网站的防护需求,是真实的,是刚需。
如果IDC没有、不能提供WAF功能或云WAF,客户怎么办?
客户有几种选择:
- 方案1:自己部署WAF,自己维护;问题:有技术要求,不是所有客户都有技术人员。
- 方案2:接入其它IDC的云WAF;问题:非同一IDC的服务,会给访问速度带来严重影响,维护也麻烦。客户:我为什么不选择那家有WAF服务的IDC?迁移。
- 方案3:不防了,裸奔算了。问题:客户会顾虑重重,说不定哪天就被网安查了,要么,干脆不要这站了。
以上,如果不提供WAF,IDC会相当被动,将面临:已有客户流失,未来客户越来越少,甚至无法生存下去。
所以,IDC必须有WAF!如何才能有呢?
IDC如何实现WAF功能?
(1) 自研
适合有技术实力、有安全知识储备的IDC。
WAF领域,门槛较高,需要足够的技术储备和不短的开发测试周期。
(2) 合作
跟国内的WAF方合作,由WAF方提供产品(或OEM)或技术支持。比如:ShareWAF,就提供这种服务,也有与IDC共建云WAF的经验。
(3) 收购WAF
资金充足产的IDC可以尝试收购成熟的WAF产品,以金钱换时间,一步到位。
总结
网络安全就是国家安全,网络的主体是网站,网站安全了,网络就安全了!这是国家层面的策略。
做为网络环境的极重要一环:IDC,提供安全,理情之中。
等保2.0之下,这或许会是IDC行业洗牌的开始,是风险,也是机遇。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
云原生计算基金会毕业的10大开源项目,都是什么来头?
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 云原生计算基金会(CNCF)是Linux基金会旗下的非盈利组织,来推动云原生计算的发展,帮助云原生技术开发人员来构建出色的产品。 CNCF的成立与一个重要项目密切相关,那就是Kubernetes。K8s最早是谷歌的内部容器编排项目Borg,为了推进其发展,谷歌决定将其开源,于是跟Linux基金会在2015年一起创办了CNCF。 CNCF成立后备受推崇,越来越多的项目和成员加入进来。截至目前,CNCF聚集的会员超过15万,项目贡献者超过8.5万人。 目前,已经有10个项目从孵化到成熟,最终进入到毕业阶段。这10个项目分别是Kubernetes、Prometheus、Envoy、CoreDNS、containerd、TUF、Jaeger、Fluentd、Vitess,还有刚刚毕业的项目Helm。 这些项目毕业意味着,这项技术已经展现出强劲的采用率势头,开放的治理流程,以及对社区,可持续性和包容性的承诺。 接下来,就让我们一起看看这些毕业项目在开源世界的影响力,以及它们脱胎于哪里? Kubernetes Kubernete...
- 下一篇
个人信息是黑客最喜欢的攻击目标:法国日报74亿数据泄露、印尼电商9000万数据泄露
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 法国日报74亿条数据泄露 近日,Security Detectives的安全研究人员发现法国发行量最大综合性日报费加罗报(Le Figaro)出现数据泄露事件。泄露的数据量超过8TB,涉及74亿条记录,包括Le Figaro网站注册用户的登陆凭证。 对新用户,记录包括登陆凭证和个人身份信息。对之前就注册的用户,登陆凭证仍然是隐藏的,但是个人身份信息已经暴露了。 可见的个人身份信息包括: 邮件 全民 家庭地址 新用户的口令,包括明文和md5哈希后的结果 居住地和邮编 IP地址 外部服务器访问token 研究人员估计2月到4月之间有至少42000个新用户注册。其中泄露的个人身份信息也包括Le Figaro网站的记者和雇员,包括邮箱地址和全名。 此外,泄露的数据库中也含有大量关于Le Figaro服务器的技术日志信息,这些敏感数据对黑客入侵企业的数据基础设施是非常有价值的。包括: SQL查询错误 不同服务器之间的流量 通信协议 对admin账户的潜在访问 许多泄露的信息都指向一个AGORA系统,可能是该公司使用的CRM系统...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群
- CentOS7,CentOS8安装Elasticsearch6.8.6