針對小程序的安全標準又十分嚴苛:確保“0”大型平臺問題,“0”數據安全問題。尤其是政務、醫療等公共服務類小程序,不僅面向海量用戶,還存儲著他們個人的隱私信息,其穩定性和安全性更是不容有失。除此之外,超大規模的小程序還面臨著復雜的跨網交換、超出平時數倍的運營壓力,更不必說時刻潛伏的不法黑客攻擊威脅。
為了能讓各類小程序更好、更安全地參與到“戰疫”中,騰訊安全整合旗下的安全能力推出“微應急”安全防護方案,通過一套部署在云端的縱深產品體系和一套覆蓋“事前、事中、事后”全生命周期的安全服務體系,為小程序提供業務安全、運維安全、數據安全、應用環境安全、安全運營等五大保障,從小程序開發階段就嵌入安全基因,保障小程序從上線到運營的全生命周期和全體系的安全。
要部署什么安全產品,才能讓小程序安全運行?
用戶在小程序中的數據泄露怎么預防?小程序遭遇DDoS攻擊和惡意爬蟲侵襲如何應對?對于功能豐富的小程序如何保障業務的集中管理和訪問人員的集中管控?小程序雖然是新穎便捷的互聯網服務載體,但同樣面臨著五花八門的安全威脅。經驗不足或是剛剛入門的小程序開發者為了保障安全性,在部署安全產品時會出現不少“病急亂投醫”的情況。
對外而言,為了進一步保證小程序的平臺穩定性和業務使用連續性,阻擋不正當流量,幫助企業構建服務器安全防護體系。“微應急”安全防護方案從用戶進入小程序時就引入相關HTTP/TLS的加密,提升加密傳輸的級別,隨即通過部署DDoS 防護提供全面、高效、專業的抗D 能力,高效應對Web 攻擊、入侵、漏洞利用、掛馬、篡改、后門、爬蟲、域名劫持等業務安全防護問題,同時經過實踐檢驗,此外,騰訊安全用戶提供黑客入侵檢測和漏洞風險預警等安全防護服務,通過部署主機安全產品解決當前服務器面臨的主要網絡安全風險,包括基線核查、密碼破解攔截、木馬文件查殺、高危漏洞檢測等安全功能,同時經過實踐檢驗,這三個產品的聯動可以在前端阻擋99%以上的攻擊行為,阻擋絕大部分的不正常流量。
對內而言,為了消除運維人員有意或無意的操作風險,通過部署堡壘機,結合堡壘機與人工智能技術,為企業提供運維人員操作審計,對異常行為進行告警,防止內部數據泄密。
同時,安全產品的部署和布防應該和業務發展協調。騰訊安全身份管控平臺基于零信任策略,可對企業應用和服務提供集中管控,統一防控和統一審計,保障企業應用和服務更安全、更可靠,讓你的小程序在云上跑更舒暢更安全。具體而言 具體而言,可信身份令牌給小程序服務打造一張“安全門禁”,負責業務鑒權、信任傳遞;統一管控平臺全面審計用戶行為,持續把控環境風險;應用支持智能網關對接多種業務服務,實現互聯互通。與傳統網關產品相比,應用級智能網關還可支持特大型機構應用的API集中管理、支持靈活的安全準入控制機制、滿足超大規模性能需求。
除此之外,騰訊安全“微應急”防護方案針對備受關注的數據安全問題,提供從憑據安全管理、敏感數據加密到數據庫審計和數據備份的能力,為客戶提供完整的數據安全解決方案,防止數據泄露。
小時級的迭代、開發強度,如何緩解安全運營壓力?
受疫情的影響,所有企業上線的新業務和應用背后都是壓縮至小時級別的迭代和開發強度。本就容易在交付的時間壓力下滋生的安全風險,在如此極限的交付壓力下,帶給安全運營的壓力可想而知。為此,騰訊安全“微應急”防護方案通過打造事前風險探排查、事中應急響應、事后溯源審計的的安全服務體系,覆蓋小程序開發的全生命周期,大幅降低安全運營的壓力,同時提升精度和效率。
事前的風險排查格外重要,如果開發階段沒做好安全建設筑牢根基,后續的安全防護與在一口爛鍋上修修補補無異,會顯著增加不法黑客破譯小程序的心業務邏輯和算法的風險,進而將一個本來提供口罩預約、疫情查詢等公益功能的小程序二次打包,插入病毒、流氓廣告等惡意代碼,變為嚴重危害用戶體驗的作惡工具。
騰訊安全“微應急”防護方案可有效支持小程序在開發階段的安全測試、風險評估和加固。對于小程序前端代碼的加密,接入該方案的開發者只需將代碼(路徑或文件)傳遞給加密工具,即可實現字符串加密、屬性加密、調用轉換、代碼混淆等多項保護措施,提高攻擊者分析H5前端代碼邏輯的難度;針對小程序前端和后臺WEB端,該方案提供整體自動化風險檢測工具,覆蓋前臺代碼安全和API使用規范,以及業務CGI和對WEB框架和的安全檢測,基本覆蓋當下主流Web攻擊方式,可以讓開發者在極限開發時間壓力下,交付符合安全標準的小程序;基于多年的安全能力積累,騰訊安全建設了全面的漏洞信息庫,同時安全專家實時跟進網絡風險動態,第一時間提供漏洞威脅情報、掃描插件或該工具和專業處置建議。在小程序發布前,可以提前避免風險暴露,預防入侵;在發布后,可以檢測小程序相關的服務,大幅縮減風險潛伏期,降低小程序的整體安全風險。
一旦企業遭遇了安全事件。騰訊安全專家服務,可提供入侵原因分析、業務損失評估、系統恢復加固、以及黑客溯源取證的安全服務,減少因黑客入侵帶來的損失,同時還可進一步提供威脅情報(IoC)查詢服務、IP/Domain/文件等信譽查詢服務,幫助大中型企業客戶提升現有安全解決方案的防御和檢測能力,并且可以幫助小微企業以很小的代價來享受專業的威脅情報服務。
騰訊云原生的安全運營管理平臺將騰訊安全專家服務在事前、事中、事后的能力有效融合,實現了“可視、檢測、響應、預防”一體的安全運營體系。安全運營中心的安全報表、安全儀表盤及安全大屏等功能,讓小程序運行安全態勢可視可感知,提高安全事件處理效率。
目前,騰訊安全“微應急”安全防護方案已應用在全國200多個公共服務小程序中,護航公共服務的安全。同時,該方案中的產品及服務均已在騰訊云官網上線,廣大企業可自行選購。
本文地址:http://knowyourextract.com//article/2020/0310/15377.html