本文首先从网站客户的角度探讨了宝宝2.0时代网站保护的必要性,然后指出了宝宝时代没有WAF功能的IDC会怎样以及如何去做。已经是保障2.0时代了。国家高度重视网络安全和网站安全。MLPS2.0时代将对网站运营商带来哪些影响?根据《网络安全法》和《网络安全保护法》2.0规定:设立、运营网站的单位或者个人有义务保证网站的正常运行。如果您被网站攻击或黑客攻击,传播不良言论,带来不良影响,或以不良形象出现在网站上。则可能给国家、社会或他人带来不良影响。出现这种情况的,有关单位和责任人应当承担相应的法律责任。具体责任细则在此不再赘述,可参考《中华人民共和国网络安全法》第六章第21条、25条、33条、34条、36条、38条,以及ClassInsurance2.0的细则。综上所述,如果网站不受保护,属于违法行为,后果非常严重:相关负责人可能被罚款处罚,相关企业可能被停业或吊销营业执照。这没有考虑网站保护的实际需要,而只是从法律法规的角度考虑。可能很多人不这么认为,因为运气的缘故,他们认为这只是一个规则,他们不会发现自己。是吗?不!国家严重了,各地纷纷展开安全验证工作。作为网站运营者,必须满足安全要求,为网站提供安全保护。如何保护网站?当然是WAF(WEBApplicationFirewall:网络应用防火墙)。如何接入WAF?WAF分为三种类型:软件、云和硬件。硬件WAF:就是买一个硬件WAF,连接在自己的WEB服务器前面。但是一般中小企业和个人都没有自己的服务器。他们都使用IDC的云服务器和虚拟主机。这里就不说了,这不是本文的主题。软件WAF:就是自己在服务器上部署软件WAF,需要自己动手。云WAF:就是利用IDC(云服务器,虚拟主机提供商)的云WAF功能或平台。IDC和云WAF此时与IDC有关,中国绝大多数的网站运营商都使用IDC提供的网站服务。中国大大小小的IDC有数百家。阿里云、腾讯云等知名公司都有云WAF服务。客户选择自己的WEB服务后,可以方便的使用自己提供的云WAF来满足真正的保护需求和安全需求(不考虑价格因素),如果不愿意承担其高昂的价格,也可以自己部署软件WAF,如:ShareWAF)。但更多的IDC是区域性的中小型IDC,价格更实惠。这些IDC通常不具备WAF功能。原因是很多IDC都是代理,没有太多的技术实力,更何况WAF产品开发能力门槛高,所以无法提供WAF功能。另一个重要原因是他们还没有足够的认识和重视。IDC没有WAF会怎样?坦白说:会比较被动。以前在没有安全需求的时候,很多客户并不关心安全问题。很多中小企业只是建立了一个静态的企业官网。他们做了什么保安?他们没有预算,也不关心安全问题:被黑了,网站被改了,还是被黑了?最坏的情况是,重新上传网站,没有关系。但现在不同了。如上所述,如果发现以上问题,问题就严重了。例如:即使是小网站,数据也不多,敏感信息太多,如果网站被修改,网页上出现不良言论、违法言论、虚假新闻、色情等,从公共安全和网络安全:会对社会造成不良影响,甚至对国家造成负面影响。如果是大型网站,数据泄露和敏感信息外流是更严重的问题。谁知道是不是境外势力的蓄意渗透,谁知道会得到什么信息,谁知道这些数据会被用来做什么:钓鱼?电信诈骗……因此,为了防患于未然,《互联网安全法》等安全要求:网站保护是必须的!不落实,公安、网安就要找上门。在这种情况下,客户对自己网站的保护需求是真实的、刚需的。如果IDC没有或不能提供WAF功能或云WAF,客户怎么办?客户有多种选择:方案一:自己部署WAF,自己维护;问题:有技术要求,并不是所有客户都有技术人员。方案二:接入其他IDC的云WAF;问题:来自不同IDC的业务会严重影响访问速度,维护也很麻烦。客户:我为什么不选择有WAF服务的IDC?移民。选项3:不要防御,让我们忘记裸奔吧。问:客户会有很多顾虑,说不定哪天会被网络安全检查,又或者根本不会用这个网站。如前所述,如果不提供WAF,IDC将相当被动,将面临:现有客户流失,未来客户越来越少,甚至无法生存。所以IDC必须有WAF!我怎样才能拥有它?IDC如何实现WAF功能?(1)自研适用于有技术实力和安全知识储备的IDC。在WAF领域,门槛较高,需要足够的技术储备和较短的开发测试周期。(2)与国内WAF方合作,WAF方提供产品(或OEM)或技术支持。比如:ShareWAF就提供这种服务,也有与IDC搭建云WAF的经验。(3)有足够资金收购WAF的IDC可以尝试收购成熟的WAF产品,一步到位用钱换时间。综上所述,网络安全就是国家安全。网络的主体是网站。网站安全,网络就安全!这是国家战略。IDC作为网络环境中非常重要的一环,提供安全性是合理的。在保障2.0下,这或许是IDC行业洗牌的开始。这是风险也是机遇。
