专栏首页腾讯云安全的专栏腾讯安全首发“微应急”防护方案,五层保障护航小程序业务极速上线

腾讯安全首发“微应急”防护方案,五层保障护航小程序业务极速上线

科技的力量正在对抗新型冠状病毒肺炎疫情的战斗中扮演着不可替代的作用,上线仅三年的小程序,已然成为战“疫”中的核心武器之一,疫情查询、疫情防治、口罩购买、物资捐赠、线上买菜、在线教育、云会议……小程序不仅承载着守护公共卫生的安全,也成为企业复工的最佳拍档。

但全面爆发的小程序背后的安全风险不容忽视。疫情期间,各种各样的小程序集中开发,普遍需要在1-3天的极限时间完成上线,并快速进行服务功能的迭代和升级。而针对小程序的安全标准又十分严苛:确保“0”大型平台问题,“0”数据安全问题。尤其是政务、医疗等公共服务类小程序,不仅面向海量用户,还存储着他们个人的隐私信息,其稳定性和安全性更是不容有失。除此之外,超大规模的小程序还面临着复杂的跨网交换、超出平时数倍的运营压力,更不必说时刻潜伏的不法黑客攻击威胁。

为了能让各类小程序更好、更安全地参与到“战疫”中,腾讯安全整合旗下的安全能力推出“微应急”安全防护方案,通过一套部署在云端的纵深产品体系和一套覆盖“事前、事中、事后”全生命周期的安全服务体系,为小程序提供业务安全、运维安全、数据安全、应用环境安全、安全运营等五大保障,从小程序开发阶段就嵌入安全基因,保障小程序从上线到运营的全生命周期和全体系的安全。

(腾讯安全“微应急”安全防护方案全景)

要部署什么安全产品

才能让小程序安全运行?

用户在小程序中的数据泄露怎么预防?小程序遭遇DDoS攻击和恶意爬虫侵袭如何应对?对于功能丰富的小程序如何保障业务的集中管理和访问人员的集中管控?小程序虽然是新颖便捷的互联网服务载体,但同样面临着五花八门的安全威胁。经验不足或是刚刚入门的小程序开发者为了保障安全性,在部署安全产品时会出现不少“病急乱投医”的情况。

对抗外部风险

  • 为了进一步保证小程序的平台稳定性和业务使用连续性,阻挡不正当流量,帮助企业构建服务器安全防护体系,“微应急”安全防护方案从用户进入小程序时就引入相关HTTP/TLS的加密,提升加密传输的级别
  • 随即通过部署DDoS 防护提供全面、高效、专业的抗D 能力,以及Web应用防火墙高效应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等业务安全防护问题。
  • 腾讯安全为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,通过部署主机安全产品解决当前服务器面临的主要网络安全风险,包括基线核查、密码破解拦截、木马文件查杀、高危漏洞检测等安全功能。

经过实践检验,“DDoS防护+Web应用防火墙+主机安全”三大产品的联动可以在前端阻挡99%以上的攻击行为,阻挡绝大部分的不正常流量。

消除内部隐患

  • 为了消除运维人员有意或无意的操作风险,通过部署堡垒机,结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。
  • 同时,安全产品的部署和布防应该和业务发展协调。腾讯安全身份管控平台基于零信任策略,可对企业应用和服务提供集中管控,统一防控和统一审计,保障企业应用和服务更安全、更可靠,让你的小程序在云上跑更舒畅更安全。具体而言,可信身份令牌给小程序服务打造一张“安全门禁”,负责业务鉴权、信任传递;统一管控平台全面审计用户行为,持续把控环境风险;应用支持智能网关对接多种业务服务,实现互联互通。与传统网关产品相比,应用级智能网关还可支持特大型机构应用的API集中管理、支持灵活的安全准入控制机制、满足超大规模性能需求。
  • 除此之外,腾讯安全“微应急”防护方案针对备受关注的数据安全问题,提供从凭据安全管理、敏感数据加密到数据库审计和数据备份的能力,为客户提供完整的数据安全解决方案,防止数据泄露。

小时级的迭代、开发强度

如何缓解安全运营压力?

受疫情的影响,所有企业上线的新业务和应用背后都是压缩至小时级别的迭代和开发强度。本就容易在交付的时间压力下滋生的安全风险,在如此极限的交付压力下,带给安全运营的压力可想而知。为此,腾讯安全“微应急”防护方案通过打造事前风险探排查、事中应急响应、事后溯源审计的的安全服务体系,覆盖小程序开发的全生命周期,大幅降低安全运营的压力,同时提升精度和效率。

事前的风险排查格外重要,如果开发阶段没做好安全建设筑牢根基,后续的安全防护与在一口烂锅上修修补补无异,会显著增加不法黑客破译小程序的心业务逻辑和算法的风险,进而将一个本来提供口罩预约、疫情查询等公益功能的小程序二次打包,插入病毒、流氓广告等恶意代码,变为严重危害用户体验的作恶工具。

腾讯安全“微应急”防护方案可有效支持小程序在开发阶段的安全测试、风险评估和加固。

  • 对于小程序前端代码的加密,接入该方案的开发者只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度;
  • 针对小程序前端和后台WEB端,该方案提供整体自动化风险检测工具,覆盖前台代码安全和API使用规范,以及业务CGI和对WEB框架和的安全检测,基本覆盖当下主流Web攻击方式,可以让开发者在极限开发时间压力下,交付符合安全标准的小程序。
  • 基于多年的安全能力积累,腾讯安全建设了全面的漏洞信息库,同时安全专家实时跟进网络风险动态,第一时间提供漏洞威胁情报、扫描插件或该工具和专业处置建议。在小程序发布前,可以提前避免风险暴露,预防入侵;在发布后,可以检测小程序相关的服务,大幅缩减风险潜伏期,降低小程序的整体安全风险。
  • 一旦企业遭遇了安全事件。腾讯安全专家服务,可提供入侵原因分析、业务损失评估、系统恢复加固、以及黑客溯源取证的安全服务。减少因黑客入侵带来的损失,同时还可进一步提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务,帮助大中型企业客户提升现有安全解决方案的防御和检测能力,并且可以帮助小微企业以很小的代价来享受专业的威胁情报服务。

腾讯云原生的安全运营管理平台将腾讯安全专家服务在事前、事中、事后的能力有效融合,实现了“可视、检测、响应、预防”一体的安全运营体系。安全运营中心的安全报表、安全仪表盘及安全大屏等功能,让小程序运行安全态势可视可感知,提高安全事件处理效率。

目前,腾讯安全“微应急”安全防护方案已应用在全国200多个公共服务小程序中,护航公共服务的安全。同时,该方案中的产品及服务均已在腾讯云官网上线,点击下方「阅读原文」,即可开启你的小程序安全之旅。

➤推荐阅读

本文分享自微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 有料|2017腾讯云+未来峰会「云安全专场」议题抢先看

    腾讯云安全
  • 腾讯云副总裁黎巍:“云管端”协同引领智慧安全未来

    腾讯云安全
  • 等保2.0,我们划下了这些重点

    备受关注的网络安全等级保护制度2.0国家标准于5月13日正式发布,并将于2019年12月1日正式实施。等保2.0中明确了五种安全等级中对信息系统最低要求,也就是...

    腾讯云安全
  • 数据团队「隐形守护者」!从被动应对到资源输出,腾讯安全20年成长记

    本文为清华大学大数据研究中心联合大数据文摘发起的年度白皮书《顶级数据团队建设全景报告》系列专访的第三篇内容。《报告》囊括专家访谈、问卷、网络数据分析,力求为行业...

    大数据文摘
  • SDNLAB技术分享(十八):软件定义安全-SDN/NFV新型网络的安全揭秘

    1 大背景 1.1 SDx背景 ? 我比较喜欢用这张图作为开场白,在数据中心中,计算和存储的发展非常快,但是网络相对而言还是比较初级。这一点从Opentack的...

    SDNLAB
  • QCon 2019:云安全大咖们聚在一起都聊了啥?

    5月6-8 日,QCon 全球软件开发大会(北京)2019在北京国际会议中心举办,100+国内外资深技术大咖带来涉及 26+热门领域的重磅议题分享。 大会第二...

    云鼎实验室
  • 云原生安全相比传统防护到底优势在哪?听这些安全大咖怎么说

    在上云成为企业拥抱产业互联网必由之路的过程中,云上安全成为各方的关注焦点,云原生安全的理念应运而生。但贴合国内产业发展的云原生安全内涵是什么?云原生安全技术具体...

    腾讯安全
  • 腾讯丁珂:从战略视角构筑云数据时代企业全方位攻防能力

    11月20日,腾讯全球数字生态大会城市峰会来到上海,数百位专家、学者、企业领袖围绕数字经济时代城市共荣、产业共创、生态共建等方向展开探讨。

    腾讯安全
  • 腾讯副总裁丁珂:围绕数据构建原生和全生命周期的纵深防御技术架构

    9月10日,由湖南省人民政府、工业和信息化部主办的2019世界计算机大会在湘开幕。本届大会以“计算万物,湘约未来”为主题,邀请全球顶尖专家学者、企业家汇聚一堂,...

    腾讯安全
  • 腾讯安全专家周斌:“安全”是场要耐得住寂寞的马拉松

    腾讯云安全

扫码关注云+社区

领取腾讯云代金券