本文先從網(wǎng)站客戶的角度談等保2.0時(shí)代網(wǎng)站防護(hù)的必要性，再指出等保時(shí)代沒(méi)有WAF功能的IDC會(huì)怎么樣，以及該如何做。

[[324718]]

已經(jīng)是等保2.0時(shí)代了。

國(guó)家已非常重視網(wǎng)絡(luò)安全、網(wǎng)站安全。

等保2.0時(shí)代，對(duì)網(wǎng)站運(yùn)營(yíng)者帶來(lái)什么影響?

在網(wǎng)絡(luò)安全法和等保2.0的規(guī)范中：

• 單位或個(gè)人建立、運(yùn)營(yíng)網(wǎng)站，則有義務(wù)保證網(wǎng)站運(yùn)行正常。
• 如果被網(wǎng)站攻擊、被入侵，散播出不良言論、帶來(lái)不良影響、或網(wǎng)站以不良形象示人。那么可能會(huì)給國(guó)家、社會(huì)或他人，帶來(lái)不良影響。如果發(fā)生此種情況，相關(guān)單位、責(zé)任人需承擔(dān)相應(yīng)的法律責(zé)任。

具體的責(zé)任細(xì)節(jié)，這里不做贅述，可參考《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六章第21、25、33、34、36、38條，以及等保2.0細(xì)則。

總結(jié)而言，網(wǎng)站不做防護(hù)，違法了、后果很嚴(yán)重：相關(guān)負(fù)責(zé)人可能會(huì)被罰款、處罰，相關(guān)企業(yè)可能被停業(yè)、吊銷營(yíng)業(yè)執(zhí)照。這還不考慮網(wǎng)站防護(hù)的真實(shí)需求，只是從法律法規(guī)層面來(lái)看而已。

可能很多人不以為然，僥幸心理使然，認(rèn)為只是個(gè)規(guī)定而已，不會(huì)查到自己頭上。是嗎?不!國(guó)家是認(rèn)真的，各地已相繼展開等保核查工作，公安、網(wǎng)安已經(jīng)出動(dòng)：

也就是說(shuō)：無(wú)論是出于真實(shí)的安全需求、保護(hù)網(wǎng)站安全，還是為了符合法律要求，做為網(wǎng)站的運(yùn)營(yíng)者，都必須要滿足等保要求、都必須給網(wǎng)站做安全防護(hù)了。

網(wǎng)站防護(hù)如何做?

當(dāng)然是上WAF(WEB應(yīng)用防火墻：Web Application Firewall)。

如何上WAF?

WAF有三種：軟件、云、硬件。

• 硬件WAF：就是買臺(tái)硬件WAF，接在自己的WEB服務(wù)器之前。但一般中小企業(yè)、個(gè)人是沒(méi)有自己的服務(wù)器的，都是用IDC的云服務(wù)器、虛擬主機(jī)，這里就不多講了，不是本文主題。
• 軟件WAF：就是自己在服務(wù)器上部署軟件WAF，需要自己動(dòng)手豐衣足食。
• 云WAF：就是用IDC(云服務(wù)器、虛擬主機(jī)的提供方)的云WAF功能或平臺(tái)。

IDC與云WAF

這時(shí)，就與IDC相關(guān)了，國(guó)內(nèi)絕大多數(shù)的網(wǎng)站運(yùn)營(yíng)者，都使用IDC提供的網(wǎng)站服務(wù)。

國(guó)內(nèi)大大小小的IDC有數(shù)百家。知名的如阿里云、騰迅云等是有云WAF服務(wù)的，客戶選擇其WEB服務(wù)后，可以方便的使用其提供的云WAF，滿足真實(shí)防護(hù)需求和等保要求(不考慮價(jià)格因素的情況下，如不愿意承受其高價(jià)格，也可自己部署軟件WAF，如：ShareWAF)。

但更多的IDC是價(jià)格更為實(shí)惠的區(qū)域性的中小IDC。這些IDC通常是沒(méi)有WAF功能的，究其原因：很多IDC是代理商，沒(méi)有太多技術(shù)實(shí)力，更別說(shuō)門檻很高的WAF產(chǎn)品研發(fā)能力，所以無(wú)法提供WAF功能，再一個(gè)重要原因：還未有足夠的認(rèn)識(shí)和重視。

沒(méi)有WAF的IDC會(huì)怎么樣?

坦言：會(huì)相當(dāng)被動(dòng)。

以往，沒(méi)有等保要求的情況下，很多客戶是不在意安全問(wèn)題的，許多小中企業(yè)只是架個(gè)企業(yè)靜態(tài)官網(wǎng)，做什么安防呢，沒(méi)那資金預(yù)算，也不在意安全問(wèn)題：被黑了、網(wǎng)站被改了、掛馬了?大不了重上傳一下網(wǎng)站，無(wú)所謂的事。

[[324720]]

但現(xiàn)在不一樣了，如前文所述，如果發(fā)現(xiàn)上述問(wèn)題，問(wèn)題就大了。舉例而言：就算是個(gè)小網(wǎng)站，沒(méi)有太多的數(shù)據(jù)、太多的敏感信息，如果網(wǎng)站被修改，網(wǎng)頁(yè)出現(xiàn)了不良言論、不法言論、不實(shí)消息、色情等等，在公安、網(wǎng)安的視角：會(huì)造成不良的社會(huì)影響、甚至對(duì)國(guó)家造成負(fù)面影響等。

如是大網(wǎng)站，數(shù)據(jù)泄露、敏感信息流出，更是非常嚴(yán)重的問(wèn)題，誰(shuí)知是不是境外勢(shì)力的故意滲透、誰(shuí)知道會(huì)被獲取什么信息、誰(shuí)知道數(shù)據(jù)會(huì)被用于什么方面：釣魚?電信詐騙……

所以為防患于未然，網(wǎng)絡(luò)安全法、等保要求：網(wǎng)站防護(hù)，必須的!若不執(zhí)行，就是公安、網(wǎng)安上門。

在這種情況之下，客戶對(duì)自身網(wǎng)站的防護(hù)需求，是真實(shí)的，是剛需。

如果IDC沒(méi)有、不能提供WAF功能或云WAF，客戶怎么辦?

客戶有幾種選擇：

• 方案1：自己部署WAF，自己維護(hù);問(wèn)題：有技術(shù)要求，不是所有客戶都有技術(shù)人員。
• 方案2：接入其它IDC的云WAF;問(wèn)題：非同一IDC的服務(wù)，會(huì)給訪問(wèn)速度帶來(lái)嚴(yán)重影響，維護(hù)也麻煩?？蛻簦何覟槭裁床贿x擇那家有WAF服務(wù)的IDC?遷移。
• 方案3：不防了，裸奔算了。問(wèn)題：客戶會(huì)顧慮重重，說(shuō)不定哪天就被網(wǎng)安查了，要么，干脆不要這站了。

以上，如果不提供WAF，IDC會(huì)相當(dāng)被動(dòng)，將面臨：已有客戶流失，未來(lái)客戶越來(lái)越少，甚至無(wú)法生存下去。

所以，IDC必須有WAF!如何才能有呢?

IDC如何實(shí)現(xiàn)WAF功能?

[[324721]]

(1) 自研

適合有技術(shù)實(shí)力、有安全知識(shí)儲(chǔ)備的IDC。

WAF領(lǐng)域，門檻較高，需要足夠的技術(shù)儲(chǔ)備和不短的開發(fā)測(cè)試周期。

(2) 合作

跟國(guó)內(nèi)的WAF方合作，由WAF方提供產(chǎn)品(或OEM)或技術(shù)支持。比如：ShareWAF，就提供這種服務(wù)，也有與IDC共建云WAF的經(jīng)驗(yàn)。

(3) 收購(gòu)WAF

資金充足產(chǎn)的IDC可以嘗試收購(gòu)成熟的WAF產(chǎn)品，以金錢換時(shí)間，一步到位。

總結(jié)

網(wǎng)絡(luò)安全就是國(guó)家安全，網(wǎng)絡(luò)的主體是網(wǎng)站，網(wǎng)站安全了，網(wǎng)絡(luò)就安全了!這是國(guó)家層面的策略。

做為網(wǎng)絡(luò)環(huán)境的極重要一環(huán)：IDC，提供安全，理情之中。

等保2.0之下，這或許會(huì)是IDC行業(yè)洗牌的開始，是風(fēng)險(xiǎn)，也是機(jī)遇。