科技的力量正在对抗新型冠状病毒肺炎疫情的战斗中扮演着不可替代的作用,上线仅三年的小程序,已然成为战“疫”中的核心武器之一,疫情查询、疫情防治、口罩购买、物资捐赠、线上买菜、在线教育、云会议……小程序不仅承载着守护公共卫生的安全,也成为企业复工的最佳拍档。
但全面爆发的小程序背后不容忽视安全风险。疫情期间,各种各样小程序集中开发,普遍需要在1-3天的极限时间完成上线,并快速进行服务功能的迭代和升级。而针对小程序的安全标准又十分严苛:确保“0”大型平台问题,“0”数据安全问题。尤其是政务、医疗等公共服务类小程序,不仅面向海量用户,还存储着他们个人的隐私信息,其稳定性和安全性更是不容有失。除此之外,超大规模的小程序还面临着复杂的跨网交换、超出平时数倍的运营压力,更不必说时刻潜伏的不法黑客攻击威胁。
为了能让各类小程序更好、更安全地参与到“战疫”中,腾讯安全整合旗下的安全能力推出“微应急”安全防护方案,通过一套部署在云端的纵深产品体系和一套覆盖“事前、事中、事后”全生命周期的安全服务体系,为小程序提供业务安全、运维安全、数据安全、应用环境安全、安全运营等五大保障,从小程序开发阶段就嵌入安全基因,保障小程序从上线到运营的全生命周期和全体系的安全。
(腾讯安全“微应急”安全防护方案全景)
要部署什么安全产品,才能让小程序安全运行?
用户在小程序中的数据泄露怎么预防?小程序遭遇DDoS攻击和恶意爬虫侵袭如何应对?对于功能丰富的小程序如何保障业务的集中管理和访问人员的集中管控?小程序虽然是新颖便捷的互联网服务载体,但同样面临着五花八门的安全威胁。经验不足或是刚刚入门的小程序开发者为了保障安全性,在部署安全产品时会出现不少“病急乱投医”的情况。
对外而言,为了进一步保证小程序的平台稳定性和业务使用连续性,阻挡不正当流量,帮助企业构建服务器安全防护体系。“微应急”安全防护方案从用户进入小程序时就引入相关HTTP/TLS的加密,提升加密传输的级别,随即通过部署DDoS 防护提供全面、高效、专业的抗D 能力,高效应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等业务安全防护问题,同时经过实践检验,此外,腾讯安全用户提供黑客入侵检测和漏洞风险预警等安全防护服务,通过部署主机安全产品解决当前服务器面临的主要网络安全风险,包括基线核查、密码破解拦截、木马文件查杀、高危漏洞检测等安全功能,同时经过实践检验,这三个产品的联动可以在前端阻挡99%以上的攻击行为,阻挡绝大部分的不正常流量。
对内而言,为了消除运维人员有意或无意的操作风险,通过部署堡垒机,结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。
同时,安全产品的部署和布防应该和业务发展协调。腾讯安全身份管控平台基于零信任策略,可对企业应用和服务提供集中管控,统一防控和统一审计,保障企业应用和服务更安全、更可靠,让你的小程序在云上跑更舒畅更安全。具体而言 具体而言,可信身份令牌给小程序服务打造一张“安全门禁”,负责业务鉴权、信任传递;统一管控平台全面审计用户行为,持续把控环境风险;应用支持智能网关对接多种业务服务,实现互联互通。与传统网关产品相比,应用级智能网关还可支持特大型机构应用的API集中管理、支持灵活的安全准入控制机制、满足超大规模性能需求。
除此之外,腾讯安全“微应急”防护方案针对备受关注的数据安全问题,提供从凭据安全管理、敏感数据加密到数据库审计和数据备份的能力,为客户提供完整的数据安全解决方案,防止数据泄露。
小时级的迭代、开发强度,如何缓解安全运营压力?
受疫情的影响,所有企业上线的新业务和应用背后都是压缩至小时级别的迭代和开发强度。本就容易在交付的时间压力下滋生的安全风险,在如此极限的交付压力下,带给安全运营的压力可想而知。为此,腾讯安全“微应急”防护方案通过打造事前风险探排查、事中应急响应、事后溯源审计的的安全服务体系,覆盖小程序开发的全生命周期,大幅降低安全运营的压力,同时提升精度和效率。
事前的风险排查格外重要,如果开发阶段没做好安全建设筑牢根基,后续的安全防护与在一口烂锅上修修补补无异,会显著增加不法黑客破译小程序的心业务逻辑和算法的风险,进而将一个本来提供口罩预约、疫情查询等公益功能的小程序二次打包,插入病毒、流氓广告等恶意代码,变为严重危害用户体验的作恶工具。
腾讯安全“微应急”防护方案可有效支持小程序在开发阶段的安全测试、风险评估和加固。对于小程序前端代码的加密,接入该方案的开发者只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度;针对小程序前端和后台WEB端,该方案提供整体自动化风险检测工具,覆盖前台代码安全和API使用规范,以及业务CGI和对WEB框架和的安全检测,基本覆盖当下主流Web攻击方式,可以让开发者在极限开发时间压力下,交付符合安全标准的小程序;基于多年的安全能力积累,腾讯安全建设了全面的漏洞信息库,同时安全专家实时跟进网络风险动态,第一时间提供漏洞威胁情报、扫描插件或该工具和专业处置建议。在小程序发布前,可以提前避免风险暴露,预防入侵;在发布后,可以检测小程序相关的服务,大幅缩减风险潜伏期,降低小程序的整体安全风险。
一旦企业遭遇了安全事件。腾讯安全专家服务,可提供入侵原因分析、业务损失评估、系统恢复加固、以及黑客溯源取证的安全服务,减少因黑客入侵带来的损失,同时还可进一步提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务,帮助大中型企业客户提升现有安全解决方案的防御和检测能力,并且可以帮助小微企业以很小的代价来享受专业的威胁情报服务。
腾讯云原生的安全运营管理平台将腾讯安全专家服务在事前、事中、事后的能力有效融合,实现了“可视、检测、响应、预防”一体的安全运营体系。安全运营中心的安全报表、安全仪表盘及安全大屏等功能,让小程序运行安全态势可视可感知,提高安全事件处理效率。
目前,腾讯安全“微应急”安全防护方案已应用在全国200多个公共服务小程序中,护航公共服务的安全。同时,该方案中的产品及服务均已在腾讯云官网上线,广大企业可自行选购。