針對小程序的安全標準又十分嚴苛:確保“0”大型平臺問題,“0”數(shù)據(jù)安全問題。尤其是政務、醫(yī)療等公共服務類小程序,不僅面向海量用戶,還存儲著他們個人的隱私信息,其穩(wěn)定性和安全性更是不容有失。除此之外,超大規(guī)模的小程序還面臨著復雜的跨網交換、超出平時數(shù)倍的運營壓力,更不必說時刻潛伏的不法黑客攻擊威脅。
為了能讓各類小程序更好、更安全地參與到“戰(zhàn)疫”中,騰訊安全整合旗下的安全能力推出“微應急”安全防護方案,通過一套部署在云端的縱深產品體系和一套覆蓋“事前、事中、事后”全生命周期的安全服務體系,為小程序提供業(yè)務安全、運維安全、數(shù)據(jù)安全、應用環(huán)境安全、安全運營等五大保障,從小程序開發(fā)階段就嵌入安全基因,保障小程序從上線到運營的全生命周期和全體系的安全。
要部署什么安全產品,才能讓小程序安全運行?
用戶在小程序中的數(shù)據(jù)泄露怎么預防?小程序遭遇DDoS攻擊和惡意爬蟲侵襲如何應對?對于功能豐富的小程序如何保障業(yè)務的集中管理和訪問人員的集中管控?小程序雖然是新穎便捷的互聯(lián)網服務載體,但同樣面臨著五花八門的安全威脅。經驗不足或是剛剛入門的小程序開發(fā)者為了保障安全性,在部署安全產品時會出現(xiàn)不少“病急亂投醫(yī)”的情況。
對外而言,為了進一步保證小程序的平臺穩(wěn)定性和業(yè)務使用連續(xù)性,阻擋不正當流量,幫助企業(yè)構建服務器安全防護體系。“微應急”安全防護方案從用戶進入小程序時就引入相關HTTP/TLS的加密,提升加密傳輸?shù)募墑e,隨即通過部署DDoS 防護提供全面、高效、專業(yè)的抗D 能力,高效應對Web 攻擊、入侵、漏洞利用、掛馬、篡改、后門、爬蟲、域名劫持等業(yè)務安全防護問題,同時經過實踐檢驗,此外,騰訊安全用戶提供黑客入侵檢測和漏洞風險預警等安全防護服務,通過部署主機安全產品解決當前服務器面臨的主要網絡安全風險,包括基線核查、密碼破解攔截、木馬文件查殺、高危漏洞檢測等安全功能,同時經過實踐檢驗,這三個產品的聯(lián)動可以在前端阻擋99%以上的攻擊行為,阻擋絕大部分的不正常流量。
對內而言,為了消除運維人員有意或無意的操作風險,通過部署堡壘機,結合堡壘機與人工智能技術,為企業(yè)提供運維人員操作審計,對異常行為進行告警,防止內部數(shù)據(jù)泄密。
同時,安全產品的部署和布防應該和業(yè)務發(fā)展協(xié)調。騰訊安全身份管控平臺基于零信任策略,可對企業(yè)應用和服務提供集中管控,統(tǒng)一防控和統(tǒng)一審計,保障企業(yè)應用和服務更安全、更可靠,讓你的小程序在云上跑更舒暢更安全。具體而言 具體而言,可信身份令牌給小程序服務打造一張“安全門禁”,負責業(yè)務鑒權、信任傳遞;統(tǒng)一管控平臺全面審計用戶行為,持續(xù)把控環(huán)境風險;應用支持智能網關對接多種業(yè)務服務,實現(xiàn)互聯(lián)互通。與傳統(tǒng)網關產品相比,應用級智能網關還可支持特大型機構應用的API集中管理、支持靈活的安全準入控制機制、滿足超大規(guī)模性能需求。
除此之外,騰訊安全“微應急”防護方案針對備受關注的數(shù)據(jù)安全問題,提供從憑據(jù)安全管理、敏感數(shù)據(jù)加密到數(shù)據(jù)庫審計和數(shù)據(jù)備份的能力,為客戶提供完整的數(shù)據(jù)安全解決方案,防止數(shù)據(jù)泄露。
小時級的迭代、開發(fā)強度,如何緩解安全運營壓力?
受疫情的影響,所有企業(yè)上線的新業(yè)務和應用背后都是壓縮至小時級別的迭代和開發(fā)強度。本就容易在交付的時間壓力下滋生的安全風險,在如此極限的交付壓力下,帶給安全運營的壓力可想而知。為此,騰訊安全“微應急”防護方案通過打造事前風險探排查、事中應急響應、事后溯源審計的的安全服務體系,覆蓋小程序開發(fā)的全生命周期,大幅降低安全運營的壓力,同時提升精度和效率。
事前的風險排查格外重要,如果開發(fā)階段沒做好安全建設筑牢根基,后續(xù)的安全防護與在一口爛鍋上修修補補無異,會顯著增加不法黑客破譯小程序的心業(yè)務邏輯和算法的風險,進而將一個本來提供口罩預約、疫情查詢等公益功能的小程序二次打包,插入病毒、流氓廣告等惡意代碼,變?yōu)閲乐匚:τ脩趔w驗的作惡工具。
騰訊安全“微應急”防護方案可有效支持小程序在開發(fā)階段的安全測試、風險評估和加固。對于小程序前端代碼的加密,接入該方案的開發(fā)者只需將代碼(路徑或文件)傳遞給加密工具,即可實現(xiàn)字符串加密、屬性加密、調用轉換、代碼混淆等多項保護措施,提高攻擊者分析H5前端代碼邏輯的難度;針對小程序前端和后臺WEB端,該方案提供整體自動化風險檢測工具,覆蓋前臺代碼安全和API使用規(guī)范,以及業(yè)務CGI和對WEB框架和的安全檢測,基本覆蓋當下主流Web攻擊方式,可以讓開發(fā)者在極限開發(fā)時間壓力下,交付符合安全標準的小程序;基于多年的安全能力積累,騰訊安全建設了全面的漏洞信息庫,同時安全專家實時跟進網絡風險動態(tài),第一時間提供漏洞威脅情報、掃描插件或該工具和專業(yè)處置建議。在小程序發(fā)布前,可以提前避免風險暴露,預防入侵;在發(fā)布后,可以檢測小程序相關的服務,大幅縮減風險潛伏期,降低小程序的整體安全風險。
一旦企業(yè)遭遇了安全事件。騰訊安全專家服務,可提供入侵原因分析、業(yè)務損失評估、系統(tǒng)恢復加固、以及黑客溯源取證的安全服務,減少因黑客入侵帶來的損失,同時還可進一步提供威脅情報(IoC)查詢服務、IP/Domain/文件等信譽查詢服務,幫助大中型企業(yè)客戶提升現(xiàn)有安全解決方案的防御和檢測能力,并且可以幫助小微企業(yè)以很小的代價來享受專業(yè)的威脅情報服務。
騰訊云原生的安全運營管理平臺將騰訊安全專家服務在事前、事中、事后的能力有效融合,實現(xiàn)了“可視、檢測、響應、預防”一體的安全運營體系。安全運營中心的安全報表、安全儀表盤及安全大屏等功能,讓小程序運行安全態(tài)勢可視可感知,提高安全事件處理效率。
目前,騰訊安全“微應急”安全防護方案已應用在全國200多個公共服務小程序中,護航公共服務的安全。同時,該方案中的產品及服務均已在騰訊云官網上線,廣大企業(yè)可自行選購。
本文地址:http://m.hbbqcd.cn//article/2020/0310/15377.html