关于零信浏览器UI显示“等保合规(WAF)”标识

一个网站是否安全，至少有四个基本要素：一是https加密、二是采用何种密码算法加密、三是WAF防护，四是可信身份认证。这就是为何零信浏览器的UI创新显示四个安全相关图标：      ，不仅有安全锁标识，而且增加显示密码算法标识、WAF防护标识和网站身份认证级别标识。请参考：零信浏览器创新用户界面设计主要图标汇总。

浏览器作为上网入口，用户对正在浏览的网站是否安全是一无所知的。而目前各种网站攻击已经成为了常态，网站主也并不知晓其网站是否遭遇了攻击，除非是明显的造成了无法访问的攻击。所以，为了提升网站主和网站访问者的安全防护意识，满足《网络安全法》的合规要求，零信浏览器全球独家直接在地址栏显示网站是否有云WAF防护，让网站访问者对网站的安全防护状况和是否“等保合规”一目了然，这也是一个技术创新。

对于没有采用通过“等保合规”认证的云WAF防护的网站，则仅显示“云WAF防护”。

对于部署了 零信国密HTTPS加密自动化网关 或 零信国密WAF自动化网关 的网站，则显示为：WAF防护，等保合规，并且显示：由 零信网关WAF(******) 提供，其中******为用户部署的每台零信网关的全球唯一标识符。

“等保”就是网络安全等级保护的简称，是根据《网络安全法》第二十一条“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。” 和 第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”的要求，履行网络安全保护义务。所有网站都必须 “采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”和“采取数据分类、重要数据备份和加密等措施”来保证网站系统的安全，满足等保合规要求。

网站安全的第一要素是https加密，实现从浏览器到服务器之间的信息传输是加密的，防止机密信息在传输过程泄密，有效杜绝各种非法窃取和非法篡改。这是基本要求，没有https加密，所有浏览器都会提示“不安全”，这是正确和准确的提示。

第二个要素是HTTPS加密所采用的密码算法，如是否采用了商用密码算法满足合规要求。同时，如果采用传统密码算法，则现在就已经无法保障数据安全了，因为已经存在“先收集后解密”安全威胁，所以零信浏览器第二个重要的标识是HTTPS加密所采用的密码算法。

第三要素是WAF防护，这也是不可或缺的，WAF能有效防止各种攻击，防止信息从浏览器到达服务器后的被非法窃取和非法篡改。https加密保障机密信息安全到达服务器，而信息到达服务器后防止各种网络攻击的工作就只能由Web应用防火墙(WAF)来完成了。没有WAF防护，https加密也就失去了意义了！这一点非常重要。https加密和WAF防护各司其职、各管一段！

第四要素是网站可信认证，一个假冒银行网站也可能会有https加密，浏览器也会显示安全锁标识，也可能会有WAF防护，但是，这些并不证明这个假冒银行网站是安全的！所以，网站可信认证是网站安全的第三个重要元素，同https加密和WAF防护一样重要！最简单的网站可信认证就是部署已经验证网站身份的IV SSL证书、OV SSL 证书和EV SSL证书，零信浏览器会对应显示 、 、 标识。而对于只部署了未验证身份的DV SSL证书的网站，则显示 标识，因为网站真实身份未验证。也可以申请零信浏览器的网站可信认证服务。

推荐用户选用 零信国密HTTPS加密自动化管理解决方案，无需向CA申请SSL证书，无需在Web服务器安装SSL证书，也无需在Web服务器上安装ACME客户端软件，全自动实现https加密和WAF防护。由于SSL证书有效期将缩短为47天，传统人工申请和部署SSL证书的解决方案无法满足大量的网站系统都需要部署SSL证书的应用需求，必须实现SSL证书自动化管理。特别是需要实现国密HTTPS加密的关键信息基础设施系统，需要原Web服务器零改造的不影响现有业务系统正常运行的解决方案，零信技术解决方案不仅自动化部署国际SSL证书，同时还自动化部署国密SSL证书，实现双算法SSL证书的自动化管理。零信浏览器优先采用SM2算法实现HTTPS加密，其他不支持SM2算法的浏览器则采用ECC算法实现HTTPS加密。对于已经支持后量子密码混合协议的网站，零信浏览器则优先采用后量子密码混合协议实现HTTPS加密，并在地址栏显示“”标识。