但全面爆發(fā)的小程序背后不容忽視安全風(fēng)險(xiǎn)。疫情期間,各種各樣小程序集中開發(fā),普遍需要在1-3天的極限時(shí)間完成上線,并快速進(jìn)行服務(wù)功能的迭代和升級。而針對小程序的安全標(biāo)準(zhǔn)又十分嚴(yán)苛:確保“0”大型平臺(tái)問題,“0”數(shù)據(jù)安全問題。尤其是政務(wù)、醫(yī)療等公共服務(wù)類小程序,不僅面向海量用戶,還存儲(chǔ)著他們個(gè)人的隱私信息,其穩(wěn)定性和安全性更是不容有失。除此之外,超大規(guī)模的小程序還面臨著復(fù)雜的跨網(wǎng)交換、超出平時(shí)數(shù)倍的運(yùn)營壓力,更不必說時(shí)刻潛伏的不法黑客攻擊威脅。
為了能讓各類小程序更好、更安全地參與到“戰(zhàn)疫”中,騰訊安全整合旗下的安全能力推出“微應(yīng)急”安全防護(hù)方案,通過一套部署在云端的縱深產(chǎn)品體系和一套覆蓋“事前、事中、事后”全生命周期的安全服務(wù)體系,為小程序提供業(yè)務(wù)安全、運(yùn)維安全、數(shù)據(jù)安全、應(yīng)用環(huán)境安全、安全運(yùn)營等五大保障,從小程序開發(fā)階段就嵌入安全基因,保障小程序從上線到運(yùn)營的全生命周期和全體系的安全。
事前的風(fēng)險(xiǎn)排查格外重要,如果開發(fā)階段沒做好安全建設(shè)筑牢根基,后續(xù)的安全防護(hù)與在一口爛鍋上修修補(bǔ)補(bǔ)無異,會(huì)顯著增加不法黑客破譯小程序的心業(yè)務(wù)邏輯和算法的風(fēng)險(xiǎn),進(jìn)而將一個(gè)本來提供口罩預(yù)約、疫情查詢等公益功能的小程序二次打包,插入病毒、流氓廣告等惡意代碼,變?yōu)閲?yán)重危害用戶體驗(yàn)的作惡工具。
騰訊安全“微應(yīng)急”防護(hù)方案可有效支持小程序在開發(fā)階段的安全測試、風(fēng)險(xiǎn)評估和加固。對于小程序前端代碼的加密,接入該方案的開發(fā)者只需將代碼(路徑或文件)傳遞給加密工具,即可實(shí)現(xiàn)字符串加密、屬性加密、調(diào)用轉(zhuǎn)換、代碼混淆等多項(xiàng)保護(hù)措施,提高攻擊者分析H5前端代碼邏輯的難度;針對小程序前端和后臺(tái)WEB端,該方案提供整體自動(dòng)化風(fēng)險(xiǎn)檢測工具,覆蓋前臺(tái)代碼安全和API使用規(guī)范,以及業(yè)務(wù)CGI和對WEB框架和的安全檢測,基本覆蓋當(dāng)下主流Web攻擊方式,可以讓開發(fā)者在極限開發(fā)時(shí)間壓力下,交付符合安全標(biāo)準(zhǔn)的小程序?!∫坏┢髽I(yè)遭遇了安全事件。騰訊安全專家服務(wù),可提供入侵原因分析、業(yè)務(wù)損失評估、系統(tǒng)恢復(fù)加固、以及黑客溯源取證的安全服務(wù),減少因黑客入侵帶來的損失,同時(shí)還可進(jìn)一步提供威脅情報(bào)(IoC)查詢服務(wù)、IP/Domain/文件等信譽(yù)查詢服務(wù),幫助大中型企業(yè)客戶提升現(xiàn)有安全解決方案的防御和檢測能力,并且可以幫助小微企業(yè)以很小的代價(jià)來享受專業(yè)的威脅情報(bào)服務(wù)。
安全產(chǎn)品的部署和布防應(yīng)該和業(yè)務(wù)發(fā)展協(xié)調(diào)。騰訊安全身份管控平臺(tái)基于零信任策略,可對企業(yè)應(yīng)用和服務(wù)提供集中管控,統(tǒng)一防控和統(tǒng)一審計(jì),保障企業(yè)應(yīng)用和服務(wù)更安全、更可靠,讓你的小程序在云上跑更舒暢更安全。具體而言,可信身份令牌給小程序服務(wù)打造一張“安全門禁”,負(fù)責(zé)業(yè)務(wù)鑒權(quán)、信任傳遞;統(tǒng)一管控平臺(tái)全面審計(jì)用戶行為,持續(xù)把控環(huán)境風(fēng)險(xiǎn);應(yīng)用支持智能網(wǎng)關(guān)對接多種業(yè)務(wù)服務(wù),實(shí)現(xiàn)互聯(lián)互通。與傳統(tǒng)網(wǎng)關(guān)產(chǎn)品相比,應(yīng)用級智能網(wǎng)關(guān)還可支持特大型機(jī)構(gòu)應(yīng)用的API集中管理、支持靈活的安全準(zhǔn)入控制機(jī)制、滿足超大規(guī)模性能需求。受疫情的影響,所有企業(yè)上線的新業(yè)務(wù)和應(yīng)用背后都是壓縮至小時(shí)級別的迭代和開發(fā)強(qiáng)度。本就容易在交付的時(shí)間壓力下滋生的安全風(fēng)險(xiǎn),在如此極限的交付壓力下,帶給安全運(yùn)營的壓力可想而知。為此,騰訊安全“微應(yīng)急”防護(hù)方案通過打造事前風(fēng)險(xiǎn)排查、事中應(yīng)急響應(yīng)、事后溯源審計(jì)的的安全服務(wù)體系,覆蓋小程序開發(fā)的全生命周期,大幅降低安全運(yùn)營的壓力,同時(shí)提升精度和效率。騰訊云原生的安全運(yùn)營管理平臺(tái)將騰訊安全專家服務(wù)在事前、事中、事后的能力有效融合,實(shí)現(xiàn)了“可視、檢測、響應(yīng)、預(yù)防”一體的安全運(yùn)營體系。安全運(yùn)營中心的安全報(bào)表、安全儀表盤及安全大屏等功能,讓小程序運(yùn)行安全態(tài)勢可視可感知,提高安全事件處理效率。基于多年的安全能力積累,騰訊安全建設(shè)了全面的漏洞信息庫,同時(shí)安全專家實(shí)時(shí)跟進(jìn)網(wǎng)絡(luò)風(fēng)險(xiǎn)動(dòng)態(tài),第一時(shí)間提供漏洞威脅情報(bào)、掃描插件或該工具和專業(yè)處置建議。在小程序發(fā)布前,可以提前避免風(fēng)險(xiǎn)暴露,預(yù)防入侵;在發(fā)布后,可以檢測小程序相關(guān)的服務(wù),大幅縮減風(fēng)險(xiǎn)潛伏期,降低小程序的整體安全風(fēng)險(xiǎn)。為了進(jìn)一步保證小程序的平臺(tái)穩(wěn)定性和業(yè)務(wù)使用連續(xù)性,阻擋不正當(dāng)流量,幫助企業(yè)構(gòu)建服務(wù)器安全防護(hù)體系。騰訊安全“微應(yīng)急”安全防護(hù)方案從用戶進(jìn)入小程序時(shí)就引入相關(guān)HTTP/TLS的加密,提升加密傳輸?shù)募墑e,隨即通過部署DDoS 防護(hù)提供全面、高效、專業(yè)的抗D 能力。Web應(yīng)用防火墻可以高效應(yīng)對Web 攻擊、入侵、漏洞利用、掛馬、篡改、后門、爬蟲、域名劫持等業(yè)務(wù)安全防護(hù)問題。此外,騰訊安全用戶提供黑客入侵檢測和漏洞風(fēng)險(xiǎn)預(yù)警等安全防護(hù)服務(wù),通過部署主機(jī)安全產(chǎn)品解決當(dāng)前服務(wù)器面臨的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn),包括基線核查、密碼破解攔截、木馬文件查殺、高危漏洞檢測等安全功能。同時(shí)經(jīng)過實(shí)踐檢驗(yàn),“DDoS防護(hù)+Web應(yīng)用防火墻+主機(jī)安全”三大安全產(chǎn)品的聯(lián)動(dòng)可以在前端阻擋99%以上的攻擊行為,阻擋絕大部分的不正常流量。
對內(nèi)而言,為了消除運(yùn)維人員有意或無意的操作風(fēng)險(xiǎn),通過部署堡壘機(jī),結(jié)合堡壘機(jī)與人工智能技術(shù),為企業(yè)提供運(yùn)維人員操作審計(jì),對異常行為進(jìn)行告警,防止內(nèi)部數(shù)據(jù)泄密。除此之外,騰訊安全“微應(yīng)急”防護(hù)方案針對備受關(guān)注的數(shù)據(jù)安全問題,提供從憑據(jù)安全管理、敏感數(shù)據(jù)加密到數(shù)據(jù)庫審計(jì)和數(shù)據(jù)備份的能力,為客戶提供完整的數(shù)據(jù)安全解決方案,防止數(shù)據(jù)泄露。
目前,騰訊安全“微應(yīng)急”安全防護(hù)方案已應(yīng)用在全國200多個(gè)公共服務(wù)小程序中,護(hù)航公共服務(wù)的安全。同時(shí),該方案中的產(chǎn)品及服務(wù)均已在騰訊云官網(wǎng)上線,廣大企業(yè)可自行選購。
本文地址:http://islandpacificappraisals.com//article/2020/0310/15376.html