关于零信浏览器UI显示“等保合规(WAF)”标识

一个网站是否安全,至少有三个基本要素,一是https加密,二是WAF防护,三是可信身份认证,三者缺一不可。这就是为何零信浏览器的UI创新显示三个安全相关图标:加密  waf  t4 ,不仅有加密锁标识,而且增加显示云WAF防护标识和网站身份认证级别标识。请参考:零信浏览器创新用户界面设计 主要图标汇总

浏览器作为上网入口,用户对正在浏览的网站是否安全是一无所知的。而目前各种网站攻击已经成为了常态,网站主也并不知晓其网站是否遭遇了攻击,除非是明显的造成了无法访问的攻击。所以,为了提升网站主和网站访问者的安全防护意识,满足《网络安全法》的合规要求,零信浏览器全球独家直接在地址栏显示网站是否有云WAF防护,让网站访问者对网站的安全防护状况和是否“等保合规”一目了然,这也是一个技术创新。

关于零信浏览器UI显示云WAF防护标识

对于没有采用通过“等保合规”认证的云WAF防护的网站,则仅显示“云WAF防护”。

云WAF防护标识

对于部署了 零信国密HTTPS加密自动化网关零信国密WAF自动化网关 的网站,则显示为:WAF防护,等保合规,并且显示:由 零信网关WAF(******) 提供,其中******为用户部署的每台零信网关的全球唯一标识符。

云WAF防护标识

“等保”就是网络安全等级保护的简称,是根据《网络安全法》第二十一条“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。” 和 第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”的要求,履行网络安全保护义务。所有网站都必须 “采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”和“采取数据分类、重要数据备份和加密等措施”来保证网站系统的安全,满足等保合规要求。

网站安全的第一要素是https加密,实现从浏览器到服务器之间的信息传输是加密的,防止机密信息在传输过程泄密,有效杜绝各种非法窃取和非法篡改,这是网站安全的基线,没有https加密,所有浏览器都会提示“不安全”。HTTPS加密能满足 “通信传输”、“数据完整性”、“数据保密性”等三个方面的等保合规要求。HTTPS加密同时还能满足“网络与通信安全”-采用密码技术保证通信过程中数据的完整性、机密性和实体身份的真实性、“应用和数据安全”-采用密码技术保障信息系统应用的重要数据在传输、存储过程中的机密性和完整性等两个方面的密保合规要求。

第二要素是WAF防护,这也是不可或缺的,WAF能有效防止各种攻击,防止信息从浏览器到达服务器后的被非法窃取和非法篡改。https加密保障机密信息安全到达服务器,而信息到达服务器后防止各种网络攻击的工作就只能由Web应用防火墙来完成了,没有WAF防护,https加密也就是失去了意义了!这一点非常重要。https加密和WAF防护各司其职、各管一段!云WAF防护能满足 “入侵防范”、“恶意代码防范”、“数据完整性(防篡改)”等三个方面的等保合规要求。

WAF防护

第三要素是网站可信认证,一个假冒银行网站也可能会有https加密,浏览器也会显示加密锁标识,也可能会有WAF防护,但是,这些并不证明这个假冒银行网站是安全的!所以,网站可信认证是网站安全的第三个重要元素,同https加密和WAF防护一样重要!最简单的网站可信认证就是部署已经验证网站身份的IV SSL证书、OV SSL 证书和EV SSL证书!

推荐用户选用 零信国密HTTPS加密自动化管理三大解决方案,无需向CA申请SSL证书,也无需在Web服务器安装SSL证书,全自动实现https加密。用户可以根据自己的业务系统管理需要选择合适解决方案,主要适用于两大应用场景:HTTPS加密自动化 和 HTTPS国密改造,前者主要解决国际算法SSL证书的自动化部署难题,因为有许多企业官网和各种业务管理系统仍然没有部署SSL证书,这些系统只需部署国际算法SSL证书即可,无需国密改造,但是需要实现自动化证书管理。后者则不仅需要部署国际SSL证书,同时还需要部署国密SSL证书,并且需要实现双证书自动化管理。

零信云SSL