系統(tǒng)保護(hù)小程序安全的解決方案來了！騰訊安全助力全行業(yè)戰(zhàn)“疫”

科技的力量正在對(duì)抗新型冠狀病毒肺炎疫情的戰(zhàn)斗中扮演著不可替代的作用，上線僅三年的小程序，已然成為戰(zhàn)“疫”中的核心武器之一，疫情查詢、疫情防治、口罩購(gòu)買、物資捐贈(zèng)、線上買菜、在線教育、云會(huì)議……小程序不僅承載著守護(hù)公共衛(wèi)生的安全，也成為企業(yè)復(fù)工的最佳拍檔。

但全面爆發(fā)的小程序背后不容忽視安全風(fēng)險(xiǎn)。疫情期間，各種各樣小程序集中開發(fā)，普遍需要在1-3天的極限時(shí)間完成上線，并快速進(jìn)行服務(wù)功能的迭代和升級(jí)。而針對(duì)小程序的安全標(biāo)準(zhǔn)又十分嚴(yán)苛：確保“0”大型平臺(tái)問題，“0”數(shù)據(jù)安全問題。尤其是政務(wù)、醫(yī)療等公共服務(wù)類小程序，不僅面向海量用戶，還存儲(chǔ)著他們個(gè)人的隱私信息，其穩(wěn)定性和安全性更是不容有失。除此之外，超大規(guī)模的小程序還面臨著復(fù)雜的跨網(wǎng)交換、超出平時(shí)數(shù)倍的運(yùn)營(yíng)壓力，更不必說時(shí)刻潛伏的不法黑客攻擊威脅。

為了能讓各類小程序更好、更安全地參與到“戰(zhàn)疫”中，騰訊安全整合旗下的安全能力推出“微應(yīng)急”安全防護(hù)方案，通過一套部署在云端的縱深產(chǎn)品體系和一套覆蓋“事前、事中、事后”全生命周期的安全服務(wù)體系，為小程序提供業(yè)務(wù)安全、運(yùn)維安全、數(shù)據(jù)安全、應(yīng)用環(huán)境安全、安全運(yùn)營(yíng)等五大保障，從小程序開發(fā)階段就嵌入安全基因，保障小程序從上線到運(yùn)營(yíng)的全生命周期和全體系的安全。

(騰訊安全“微應(yīng)急”安全防護(hù)方案全景)

要部署什么安全產(chǎn)品，才能讓小程序安全運(yùn)行？

用戶在小程序中的數(shù)據(jù)泄露怎么預(yù)防?小程序遭遇DDoS攻擊和惡意爬蟲侵襲如何應(yīng)對(duì)?對(duì)于功能豐富的小程序如何保障業(yè)務(wù)的集中管理和訪問人員的集中管控?小程序雖然是新穎便捷的互聯(lián)網(wǎng)服務(wù)載體，但同樣面臨著五花八門的安全威脅。經(jīng)驗(yàn)不足或是剛剛?cè)腴T的小程序開發(fā)者為了保障安全性，在部署安全產(chǎn)品時(shí)會(huì)出現(xiàn)不少“病急亂投醫(yī)”的情況。

對(duì)外而言，為了進(jìn)一步保證小程序的平臺(tái)穩(wěn)定性和業(yè)務(wù)使用連續(xù)性，阻擋不正當(dāng)流量，幫助企業(yè)構(gòu)建服務(wù)器安全防護(hù)體系。“微應(yīng)急”安全防護(hù)方案從用戶進(jìn)入小程序時(shí)就引入相關(guān)HTTP/TLS的加密，提升加密傳輸?shù)募?jí)別，隨即通過部署DDoS 防護(hù)提供全面、高效、專業(yè)的抗D 能力，高效應(yīng)對(duì)Web 攻擊、入侵、漏洞利用、掛馬、篡改、后門、爬蟲、域名劫持等業(yè)務(wù)安全防護(hù)問題，同時(shí)經(jīng)過實(shí)踐檢驗(yàn)，此外，騰訊安全用戶提供黑客入侵檢測(cè)和漏洞風(fēng)險(xiǎn)預(yù)警等安全防護(hù)服務(wù)，通過部署主機(jī)安全產(chǎn)品解決當(dāng)前服務(wù)器面臨的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，包括基線核查、密碼破解攔截、木馬文件查殺、高危漏洞檢測(cè)等安全功能，同時(shí)經(jīng)過實(shí)踐檢驗(yàn)，這三個(gè)產(chǎn)品的聯(lián)動(dòng)可以在前端阻擋99%以上的攻擊行為，阻擋絕大部分的不正常流量。

對(duì)內(nèi)而言，為了消除運(yùn)維人員有意或無意的操作風(fēng)險(xiǎn)，通過部署堡壘機(jī)，結(jié)合堡壘機(jī)與人工智能技術(shù)，為企業(yè)提供運(yùn)維人員操作審計(jì)，對(duì)異常行為進(jìn)行告警，防止內(nèi)部數(shù)據(jù)泄密。

同時(shí)，安全產(chǎn)品的部署和布防應(yīng)該和業(yè)務(wù)發(fā)展協(xié)調(diào)。騰訊安全身份管控平臺(tái)基于零信任策略，可對(duì)企業(yè)應(yīng)用和服務(wù)提供集中管控，統(tǒng)一防控和統(tǒng)一審計(jì)，保障企業(yè)應(yīng)用和服務(wù)更安全、更可靠，讓你的小程序在云上跑更舒暢更安全。具體而言 具體而言，可信身份令牌給小程序服務(wù)打造一張“安全門禁”，負(fù)責(zé)業(yè)務(wù)鑒權(quán)、信任傳遞;統(tǒng)一管控平臺(tái)全面審計(jì)用戶行為，持續(xù)把控環(huán)境風(fēng)險(xiǎn);應(yīng)用支持智能網(wǎng)關(guān)對(duì)接多種業(yè)務(wù)服務(wù)，實(shí)現(xiàn)互聯(lián)互通。與傳統(tǒng)網(wǎng)關(guān)產(chǎn)品相比，應(yīng)用級(jí)智能網(wǎng)關(guān)還可支持特大型機(jī)構(gòu)應(yīng)用的API集中管理、支持靈活的安全準(zhǔn)入控制機(jī)制、滿足超大規(guī)模性能需求。

除此之外，騰訊安全“微應(yīng)急”防護(hù)方案針對(duì)備受關(guān)注的數(shù)據(jù)安全問題，提供從憑據(jù)安全管理、敏感數(shù)據(jù)加密到數(shù)據(jù)庫(kù)審計(jì)和數(shù)據(jù)備份的能力，為客戶提供完整的數(shù)據(jù)安全解決方案，防止數(shù)據(jù)泄露。

小時(shí)級(jí)的迭代、開發(fā)強(qiáng)度，如何緩解安全運(yùn)營(yíng)壓力？

受疫情的影響，所有企業(yè)上線的新業(yè)務(wù)和應(yīng)用背后都是壓縮至小時(shí)級(jí)別的迭代和開發(fā)強(qiáng)度。本就容易在交付的時(shí)間壓力下滋生的安全風(fēng)險(xiǎn)，在如此極限的交付壓力下，帶給安全運(yùn)營(yíng)的壓力可想而知。為此，騰訊安全“微應(yīng)急”防護(hù)方案通過打造事前風(fēng)險(xiǎn)探排查、事中應(yīng)急響應(yīng)、事后溯源審計(jì)的的安全服務(wù)體系，覆蓋小程序開發(fā)的全生命周期，大幅降低安全運(yùn)營(yíng)的壓力，同時(shí)提升精度和效率。

事前的風(fēng)險(xiǎn)排查格外重要，如果開發(fā)階段沒做好安全建設(shè)筑牢根基，后續(xù)的安全防護(hù)與在一口爛鍋上修修補(bǔ)補(bǔ)無異，會(huì)顯著增加不法黑客破譯小程序的心業(yè)務(wù)邏輯和算法的風(fēng)險(xiǎn)，進(jìn)而將一個(gè)本來提供口罩預(yù)約、疫情查詢等公益功能的小程序二次打包，插入病毒、流氓廣告等惡意代碼，變?yōu)閲?yán)重危害用戶體驗(yàn)的作惡工具。

騰訊安全“微應(yīng)急”防護(hù)方案可有效支持小程序在開發(fā)階段的安全測(cè)試、風(fēng)險(xiǎn)評(píng)估和加固。對(duì)于小程序前端代碼的加密，接入該方案的開發(fā)者只需將代碼(路徑或文件)傳遞給加密工具，即可實(shí)現(xiàn)字符串加密、屬性加密、調(diào)用轉(zhuǎn)換、代碼混淆等多項(xiàng)保護(hù)措施，提高攻擊者分析H5前端代碼邏輯的難度;針對(duì)小程序前端和后臺(tái)WEB端，該方案提供整體自動(dòng)化風(fēng)險(xiǎn)檢測(cè)工具，覆蓋前臺(tái)代碼安全和API使用規(guī)范，以及業(yè)務(wù)CGI和對(duì)WEB框架和的安全檢測(cè)，基本覆蓋當(dāng)下主流Web攻擊方式，可以讓開發(fā)者在極限開發(fā)時(shí)間壓力下，交付符合安全標(biāo)準(zhǔn)的小程序;基于多年的安全能力積累，騰訊安全建設(shè)了全面的漏洞信息庫(kù)，同時(shí)安全專家實(shí)時(shí)跟進(jìn)網(wǎng)絡(luò)風(fēng)險(xiǎn)動(dòng)態(tài)，第一時(shí)間提供漏洞威脅情報(bào)、掃描插件或該工具和專業(yè)處置建議。在小程序發(fā)布前，可以提前避免風(fēng)險(xiǎn)暴露，預(yù)防入侵;在發(fā)布后，可以檢測(cè)小程序相關(guān)的服務(wù)，大幅縮減風(fēng)險(xiǎn)潛伏期，降低小程序的整體安全風(fēng)險(xiǎn)。

一旦企業(yè)遭遇了安全事件。騰訊安全專家服務(wù)，可提供入侵原因分析、業(yè)務(wù)損失評(píng)估、系統(tǒng)恢復(fù)加固、以及黑客溯源取證的安全服務(wù)，減少因黑客入侵帶來的損失，同時(shí)還可進(jìn)一步提供威脅情報(bào)(IoC)查詢服務(wù)、IP/Domain/文件等信譽(yù)查詢服務(wù)，幫助大中型企業(yè)客戶提升現(xiàn)有安全解決方案的防御和檢測(cè)能力，并且可以幫助小微企業(yè)以很小的代價(jià)來享受專業(yè)的威脅情報(bào)服務(wù)。

騰訊云原生的安全運(yùn)營(yíng)管理平臺(tái)將騰訊安全專家服務(wù)在事前、事中、事后的能力有效融合，實(shí)現(xiàn)了“可視、檢測(cè)、響應(yīng)、預(yù)防”一體的安全運(yùn)營(yíng)體系。安全運(yùn)營(yíng)中心的安全報(bào)表、安全儀表盤及安全大屏等功能，讓小程序運(yùn)行安全態(tài)勢(shì)可視可感知，提高安全事件處理效率。

目前，騰訊安全“微應(yīng)急”安全防護(hù)方案已應(yīng)用在全國(guó)200多個(gè)公共服務(wù)小程序中，護(hù)航公共服務(wù)的安全。同時(shí)，該方案中的產(chǎn)品及服務(wù)均已在騰訊云官網(wǎng)上線，廣大企業(yè)可自行選購(gòu)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。